読者です 読者をやめる 読者になる 読者になる

らくがきちょう

なんとなく

Cisco VIRL でよく使う「検証用コンフィグ・テンプレート」

Cisco Network VIRL

Cisco VIRL で IOS 等を検証する際に「よく使うコンフィグのテンプレート」をメモしておきます。機種によって異なりますが、概ね以下のような方針にしています。(仮想環境では無く) 実機で検証する際はこれらに加え、コンソールポートのスピードを速くする等、微修正しています。

  1. 検証用のコンフィグテンプレートなので、セキュリティ設定は度外視
  2. 時刻は日本 (JST +9) に設定
  3. 名前解決はさせない
  4. バナー設定は削除
  5. コンソール / TELNET / SSHタイムアウト時間は長めに設定
  6. pager は設定しない

あくまで検証環境用のコンフィグ・テンプレートな点はご注意を!

Cisco IOSv

hostname IOSv
!
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
!
clock timezone JST +9
!
no ip domain-lookup
!
no banner exec ^C
no banner incoming ^C
no banner login ^C
!
line con 0
 exec-timeout 300 0
 privilege level 15
 logging synchronous
 length 0
!
line vty 0 4
 exec-timeout 300 0
 privilege level 15
 logging synchronous
 no login
 length 0
 transport input telnet
!
end

デフォルトでは以下の通り vty が「transport input none」に設定されていて TELNET 接続出来ない為、明示的に TELNET 有効化しておきます。

line vty 0 4
 login
 transport input none

Cisco IOS-XRv

hostname XRv
!
clock timezone JST 9
service timestamps log datetime localtime msec
service timestamps debug datetime localtime msec
!
telnet vrf default ipv4 server max-servers 5
!
domain lookup disable
!
line default
 exec-timeout 300 0
 length 0
!
end

XRv はデフォルトで TELNET が無効化されていますので、telnet ipv4 server を設定し有効化しておきます。

Cisco NX-OSv

license grace-period
!
hostname NX-OSv
!
no ip domain-lookup
!
clock timezone JST 9 0
!
line console
  exec-timeout 300
  terminal length 0
!
line vty
  exec-timeout 300
!
logging timestamp milliseconds

NX-OSv で検証を進めるにはライセンスが必要です。例えばライセンスが無い状態で BGP を有効化しようとするとエラーになります。

NX-OSv(config)# feature bgp
Feature grace period is disabled

120 日間の評価ライセンスを有効化しておけば、BGP 等も利用することが出来ます。

NX-OSv(config)# license grace-period
NX-OSv(config)# feature bgp
LAN_ENTERPRISE_SERVICES_PKG license not installed. bgp feature will be shutdown after grace period of approximately 120 day

2016 Mar 27 16:15:18.621 NX-OSv %LICMGR-2-LOG_LIC_NO_LIC: No license(s) present for feature LAN_ENTERPRISE_SERVICES_PKG. Application(s) shut down in 119 days.
2016 Mar 27 16:15:18.624 NX-OSv %LICMGR-2-LOG_LICAPP_NO_LIC: Application bgp running without LAN_ENTERPRISE_SERVICES_PKG license, shutdown in 119 days

Cisco ASAv

ASAv ではデフォルトで名前解決をしませんので、「名前解決を無効化する」ような設定はしていません。また、デフォルトでは ASA を通過する ICMP パケットを破棄してしまう為、inspect icmp を追加して ICMP を inspection 対象とし、ASA を通過出来るようにしています。これは実施したい検証の内容によって削除する場合もあります。

hostname ASAv
!
clock timezone JST 9
!
no pager
!
telnet timeout 300
ssh timeout 60
console timeout 60
!
policy-map global_policy
 class inspection_default
  inspect icmp
!
no service call-home
clear config call-home
!
end

ASA ではコンソール / TELNET / SSHタイムアウト時間の最大値が異なります。

接続方法 設定可能な値 デフォルト値
コンソール 0 〜 60 分 0 (タイムアウトしない)
TELNET 1 〜 144 分 5 分
SSH 1 〜 60 分 5 分

CLI で確認すると以下のように表示されます。

ASAv(config)# console timeout ?

configure mode commands/options:
  <0-60>  Idle time in minutes after which a console session will be closed, 0
          means timeout is disabled
ASAv(config)# telnet timeout ?

configure mode commands/options:
  <1-1440>  Idle time in minutes after which a telnet session will be closed;
            default is 5 minutes
  <cr>
ASAv(config)# ssh timeout ?

configure mode commands/options:
  <1-60>  Idle time in minutes after which a ssh session will be closed

デフォルトでは call-home のコンフィグが入っていますが、不要なので削除しておきます。しかし、no call-home では削除出来ないので、テンプレートでは no service call-home しつつ clear config call-home しています (no service call-home だけではコンフィグが残ります)

ASAv(config)# no call-home
INFO: use 'no service call-home' to disable call-home service or 'clear config call-home' to remove all call-home setting.

JUNOS

set system host-name vMX
set system time-zone Asia/Tokyo
set system root-authentication encrypted-password "$1$.XUnmGul$NIzsUzi.ytBlGuddwf.Ib0"
set system login user admin uid 2000
set system login user admin class super-user
set system login user admin authentication encrypted-password "$1$C2Xoe7mV$mV7UKMSasOyBa0v/pjeRd1"
set system services telnet
set system syslog console any warning

root ユーザでは TELNET 出来ない為、super-user 権限を持つ「admin」ユーザを作成しています。root ユーザのパスワードが未設定だと commit 出来ない為、root と admin 両ユーザともにパスワードは「password1」としています。

ユーザ名 パスワード TELNET 可否
root password1
admin password1