Cisco VIRL で IOS 等を検証する際に「よく使うコンフィグのテンプレート」をメモしておきます。機種によって異なりますが、概ね以下のような方針にしています。(仮想環境では無く) 実機で検証する際はこれらに加え、コンソールポートのスピードを速くする等、微修正しています。
- 検証用のコンフィグテンプレートなので、セキュリティ設定は度外視
- 時刻は日本 (JST +9) に設定
- 名前解決はさせない
- バナー設定は削除
- コンソール / TELNET / SSH のタイムアウト時間は長めに設定
- pager は設定しない
あくまで検証環境用のコンフィグ・テンプレートな点はご注意を!
Cisco IOSv
hostname IOSv ! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime ! clock timezone JST +9 ! no ip domain-lookup ! no banner exec ^C no banner incoming ^C no banner login ^C ! line con 0 exec-timeout 300 0 privilege level 15 logging synchronous length 0 ! line vty 0 4 exec-timeout 300 0 privilege level 15 logging synchronous no login length 0 transport input telnet ! end
デフォルトでは以下の通り vty が「transport input none」に設定されていて TELNET 接続出来ない為、明示的に TELNET 有効化しておきます。
line vty 0 4 login transport input none
Cisco CSR1000V
hostname CSR1000V ! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime ! clock timezone JST +9 ! no ip domain-lookup ! line con 0 exec-timeout 300 0 privilege level 15 logging synchronous length 0 ! line vty 0 4 exec-timeout 300 0 privilege level 15 logging synchronous no login length 0 transport input telnet ! end
Cisco IOS-XRv
hostname XRv ! clock timezone JST 9 service timestamps log datetime localtime msec service timestamps debug datetime localtime msec ! telnet vrf default ipv4 server max-servers 5 ! domain lookup disable ! line default exec-timeout 300 0 length 0 ! end
XRv はデフォルトで TELNET が無効化されていますので、telnet ipv4 server を設定し有効化しておきます。
Cisco NX-OSv
license grace-period ! hostname NX-OSv ! no ip domain-lookup ! clock timezone JST 9 0 ! line console exec-timeout 300 terminal length 0 ! line vty exec-timeout 300 ! logging timestamp milliseconds
NX-OSv で検証を進めるにはライセンスが必要です。例えばライセンスが無い状態で BGP を有効化しようとするとエラーになります。
NX-OSv(config)# feature bgp Feature grace period is disabled
120 日間の評価ライセンスを有効化しておけば、BGP 等も利用することが出来ます。
NX-OSv(config)# license grace-period NX-OSv(config)# feature bgp LAN_ENTERPRISE_SERVICES_PKG license not installed. bgp feature will be shutdown after grace period of approximately 120 day 2016 Mar 27 16:15:18.621 NX-OSv %LICMGR-2-LOG_LIC_NO_LIC: No license(s) present for feature LAN_ENTERPRISE_SERVICES_PKG. Application(s) shut down in 119 days. 2016 Mar 27 16:15:18.624 NX-OSv %LICMGR-2-LOG_LICAPP_NO_LIC: Application bgp running without LAN_ENTERPRISE_SERVICES_PKG license, shutdown in 119 days
Cisco ASAv
ASAv ではデフォルトで名前解決をしませんので、「名前解決を無効化する」ような設定はしていません。また、デフォルトでは ASA を通過する ICMP パケットを破棄してしまう為、inspect icmp を追加して ICMP を inspection 対象とし、ASA を通過出来るようにしています。これは実施したい検証の内容によって削除する場合もあります。
hostname ASAv ! clock timezone JST 9 ! no pager ! telnet timeout 300 ssh timeout 60 console timeout 60 ! policy-map global_policy class inspection_default inspect icmp ! no service call-home clear config call-home ! end
ASA ではコンソール / TELNET / SSH でタイムアウト時間の最大値が異なります。
| 接続方法 | 設定可能な値 | デフォルト値 |
|---|---|---|
| コンソール | 0 〜 60 分 | 0 (タイムアウトしない) |
| TELNET | 1 〜 144 分 | 5 分 |
| SSH | 1 〜 60 分 | 5 分 |
CLI で確認すると以下のように表示されます。
ASAv(config)# console timeout ?
configure mode commands/options:
<0-60> Idle time in minutes after which a console session will be closed, 0
means timeout is disabledASAv(config)# telnet timeout ?
configure mode commands/options:
<1-1440> Idle time in minutes after which a telnet session will be closed;
default is 5 minutes
<cr>ASAv(config)# ssh timeout ? configure mode commands/options: <1-60> Idle time in minutes after which a ssh session will be closed
デフォルトでは call-home のコンフィグが入っていますが、不要なので削除しておきます。しかし、no call-home では削除出来ないので、テンプレートでは no service call-home しつつ clear config call-home しています (no service call-home だけではコンフィグが残ります)
ASAv(config)# no call-home INFO: use 'no service call-home' to disable call-home service or 'clear config call-home' to remove all call-home setting.
JUNOS
set system host-name vMX set system time-zone Asia/Tokyo set system root-authentication encrypted-password "$1$.XUnmGul$NIzsUzi.ytBlGuddwf.Ib0" set system login user admin uid 2000 set system login user admin class super-user set system login user admin authentication encrypted-password "$1$C2Xoe7mV$mV7UKMSasOyBa0v/pjeRd1" set system services telnet set system syslog console any warning
root ユーザでは TELNET 出来ない為、super-user 権限を持つ「admin」ユーザを作成しています。root ユーザのパスワードが未設定だと commit 出来ない為、root と admin 両ユーザともにパスワードは「password1」としています。
| ユーザ名 | パスワード | TELNET 可否 |
|---|---|---|
| root | password1 | X |
| admin | password1 | ○ |