發饗する琴罵: 3月 2014

2014年3月19日水曜日

http://kb.juniper.net/InfoCenter/index?page=content&id=KB27390&actp=search&viewlocale=en_US&searchid=1395237135170

2014年3月17日月曜日

http://certcollection.org/forum/topic/143124-ccie-rs-lab-task-solutions-discussions-launch-page-k8-k7-k6-k6-k4-k2/
MichioIkeda 　　　　　変態

root# run show configuration | display set
set version 10.4R2.6

【vlan作成】
set vlans vlan10 vlan-id 10
set vlans vlan11 vlan-id 11

【VLANアサイン】
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan10
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan11

#set interfaces ge-0/0/20 unit 0 family ethernet-switching port-mode trunk
#set interfaces ge-0/0/20 unit 0 family ethernet-switching vlan members vlan100
#set interfaces ge-0/0/20 unit 0 family ethernet-switching vlan members vlan101
#set interfaces ge-0/0/20 unit 0 family ethernet-switching vlan members vlan102

【VLANinterface追加】
set interfaces vlan unit 11 family inet address 1.1.1.1/24
set interfaces vlan unit 12 family inet address 1.1.2.1/24
set vlans vlan-11 l3-interface vlan.11
set vlans vlan-12 l3-interface vlan.12

【CHANELの作成】
set chassis aggregated-devices ethernet device-count 2
set interfaces ge-0/0/0 ether-options 802.3ad ae0
set interfaces ge-0/0/1 ether-options 802.3ad ae0

set interfaces ge-0/0/2 ether-options 802.3ad ae1
set interfaces ge-0/0/3 ether-options 802.3ad ae1

set interfaces ae0 unit 0 family ethernet-switching
set interfaces ae1 unit 1 family ethernet-switching

set interfaces ae0 aggregated-ether-options lacp active
ae0にてLACPを使用する際、モードをactiveとするコマンドとなります。
set interfaces ae0 aggregated-ether-options lacp passive
ae0をLACPのモードをpassiveとするコマンドとなります。
set interfaces ge-0/0/0 ether-options 802.3ad ae0 lacp force-up
ae0をLACPを使用せず、force-up(Static)とするコマンドとなります。
set interfaces ae0 aggregated-ether-options minimum-links 2
Link Aggregation内のポート数の最小を設定する。
上記設定の場合、LAGの最小数を2に設定とし、2以下となった場合、ae0がダウンします。

【OSPF】
set protocols ospf area 0.0.0.0 interface vlan.11
set protocols ospf area 0.0.0.0 interface vlan.12

http://www.infraeye.com/study/studyz1.html

【SSG - ファームウェアのバックアップ方法】
【SSG - ファームウェアのアップデート方法】
【SSG 5 - 初期化方法 ①】
【SSG 5 - 初期化方法 ②】
【SSG 5 - 初期化方法 ③】
【SSG - 基本設定】
【SSG - 管理設定： SNMP】
【SSG - 管理設定： SYSLOG】
【SSG - ゾーンの作成と設定】
【SSG - インターフェースの設定】
【SSG - ポリシーの設定その1】
【SSG - ポリシーの設定その2 ( サービスの設定 )】
【　SSG - ポリシーによるWebAUTHの設定】
【NAT-src の種類と設定方法】
【NAT-dst の種類と設定方法】
【　VIP の設定方法】
【MIP の設定方法】
【MIPの設定を深く理解するために・・・Globalゾーンとは】
【スタティックルーティングの設定】
【OSPF の設定】
【HAの物理構成】
【NSRPの設定 ( アクティブ/パッシブ構成 )】
【NSRPの設定例 ( アクティブ/パッシブ構成 )
【L2モード ( 透過モード )】
【SSG - VLAN Routing】
【SSG - Track-ip】
【SSG - PPPoE Internet】
【　付録： DNSプロキシの設定（オプション設定）】
【参考1812Jとnetscreenでpppoe】
【SSG - PPPoE Internet 2】
【SSG - Policy-Based VPN】
【SSG - Route-Based VPN】
【SSG - Policy-Based Configuration】
【SSG - Route-based Configuration】
【SSG - Route-based Configuration】
【JUNOS】
【JUNOS - shell/operational/config】
【JUNOS - Active Config / Candidate Config】
【JUNOS - set / delete / edit / copy / rename】
【JUNOS - upgrade / license / root】

【SSG - ファームウェアのバックアップ方法】
save software from flash to tftp “TFTPサーバのIPアドレス” “ファーウェアファイル名”
　 ※ ちなみに、get file コマンドによりFLASHメモリの内容を確認することができる。
　
【SSG - ファームウェアのアップデート方法】
save software from tftp “TFTPサーバのIPアドレス” “ファームウェアファイル名” to flash 」＋「reset」
※ ちなみに、
"save config from flash to tftp 192.168.0.1 ファイル名" のコマンドを入力すれば、
設定ファイルをTFTPサーバに送れる。

【SSG 5 - 初期化方法 ①】
「unset all」＋「reset」

【SSG 5 - 初期化方法 ②】
ユーザ名とパスワードにその機器のシリアル番号を入力することで初期化することができます。ただし
シリアル番号によるログインはセキュリティ上問題なので、通常は unset admin device-reset コマンド
を機器に設定しておき、このシリアル番号によるログインを不可能にしておきます。

【SSG 5 - 初期化方法 ③】
SSGの工場出荷時の状態に戻したい場合は、以下の手順で筐体背面にあるリセットボタンを押します。
①　背面のリセットボタンをボールペンなどの先で8秒くらい押し続ける
⇒　前面のPOWER LEDがオレンジ色に点灯、同時にSTATUS LEDがオレンジ色に点滅
⇒　CLIプロンプトで “ Configuration Erasure Process has been initiated ” が出力される。
⇒　CLIプロンプトで “ Waiting for 2nd confirmation ” が出力される。
⇒　STATUS LEDが緑色の点滅に変わる
②　背面のリセットボタンを押すのを止める
⇒　POWER LEDが緑色の点灯に変わるが、STATUS LEDは緑色の点滅が続く。
③　リセットボタンを押すのを止めてから数秒後に、再度リセットボタン8秒くらい押し続ける
⇒　CLIプロンプトで “ 2nd push has been confirmed ” が出力される。
⇒　POWER LEDはオレンジ色に点灯。STATUS LEDは赤色に点滅。
⇒　CLIプロンプトで “ Configuration Erase sequence accepted, unit reset ” が出力される。
⇒　POWER LEDは緑色に点灯。STATUS LEDが緑色に点灯する（＝デバイスの再起動が開始される）
⇒　POWER LEDは緑色に点灯。STATUS LEDが緑色に点滅する状態になれば、初期化の完了となる。
初期化によって削除されるのはフラッシュ内の構成ファイルだけであり、ライセンス情報は消去されない。
※　ライセンスを削除するためにはCLIで exec license-key delete key-name コマンドを入力します。

【SSG - 基本設定】

◆　ホスト名の設定
set hostname hostname

◆　設定例：ホスト名を “SSG5” とする
　SSG5-> set hostname SSG5

◆　ログイン時のユーザとパスワードの設定
set admin name username
set admin password password

◆　設定例：ログイン時のユーザ名を “ juniper " パスワードを “ juniper” とする

　SSG5->　set admin name juniper
　SSG5->　set admin password juniper

◆　ログイン時の管理ユーザの追加 ( ユーザ名とパスワードの設定 )
set admin user username password password all | read-only

◆　設定例：ログイン時の管理ユーザ名を “ test1 " パスワードを “ test1” とし、設定変更できないユーザとする

　SSG5->　set admin user test1 password test1 privilege read-only

◆　日本のタイムゾーン設定、NTPサーバ、ソースアドレスの設定
set clock timezone 9
set ntp server ip-address
set ntp server src-interface NTPサーバを参照しにいくソースインターフェース

◆　設定例：日本のタイムゾーン “+9” の指定、NTPサーバを “10.1.1.1”、ソースインターフェースを "bgroup0" とする

　SSG5->　set clock timezone 9
　SSG5->　set ntp server 10.1.1.1
　SSG5->　set ntp server src-interface bgroup0

◆　DNSの設定 ( SSGで設定されているコンフィグでドメイン名がある場合に、その名前解決を行う際に使用 )
set dns host dns1 ipaddress
set dns host dns2 ipaddress

◆　設定例：プライマリーのDNSサーバに"1.1.1.1"、セカンダリ―のDNSサーバに"2.2.2.2"と指定

　SSG5->　set dns host dns1 1.1.1.1
　SSG5->　set dns host dns2 2.2.2.2

◆　SSGを管理アクセスすることができるIPアドレスの設定
set admin manager-ip アクセスを許可するIPアドレス

◆　設定例： 172.16.1.0/24 のネットワークからのみSSGへアクセス可能にする
　SSG5->　set admin manager-ip 172.16.1.0 255.255.255.0
　
　
　
【SSG - 管理設定： SNMP】
各プロトコルごとの出力レベル設定
set log module system level level destination protocol

◆　設定例：コンソールに対して、emergencyレベルのログを出力をさせる
　SSG5->　set log module system level emergency destination console

◆　SNMPコミュニティ、パーミッション、バージョンの設定
set snmp community string [ Read-Only | Read-Write ] [ trap-off | trap-on ] traffic version [ any | v1 | v2c ]

◆　設定例： SNMPコミュニティを“public”、コミュニティ権限を“Read-Only”、バージョンを“any”に指定
　SSG5->　set snmp community public Read-Only trap-on version any
　
　
◆　SNMPのシステム名、コンタクト、ロケーションの設定
set snmp name name
set snmp contact string
set snmp location string

◆　設定例： SNMPのシステム名に"SSG5-1"、コンタクトに"cool@infraexpert.com"、ロケーションに"Tokyo"とする

　SSG5->　set snmp name SSG5-1
　SSG5->　set snmp contact cool@infraexpert.com
　SSG5->　set snmp location Tokyo

【SSG - 管理設定： SYSLOG】

◆　SYSLOGサーバの指定、Security Facility、Facilityの指定
set syslog config ip-address facilities security-facility facility

◆　設定例： SYSLOGサーバを“10.1.1.1”に指定し、セキュリティファシリティとファシリティを“local0”に指定

　SSG5->　set syslog config 10.1.1.1
　SSG5->　set syslog config 10.1.1.1 facilities local0 local0

※　SSGのAttackに関するログは"security-facility"のファシリティ、通常のログは"facility"のファシリティとして送信される。

◆　SYSLOGサーバへのログの送信設定
set syslog config 10.1.1.1 log [ all | event | idp | traffic ]
⇒ 「 all 」は"eventログ"と"trafficログ"の両方指定を意味する（かなりの負荷）。通信ログをだけ送信したい場合「traffic」を指定。

◆　設定例： SYSLOGサーバ “10.1.1.1” に "eventログだけ" を送信する ( デフォルトの設定 )
　SSG5->　set syslog config 10.1.1.1 log event

SYSLOGの有効化
　SSG5->　set syslog enable
　SSG - 管理設定：アラームしきい値の設定

◆　CPU使用率、メモリ使用率、セッションのアラームしきい値の設定
set alarm threshold cpu percent
set alarm threshold memory percent
set alarm threshold session [ percent percent | count number ]

◆　設定例： CPU使用率、メモリ使用率、セッション数使用率をそれぞれ70%に設定し、それを超えた場合アラームを出す設定

　SSG5->　set alarm threshold cpu 70
　SSG5->　set alarm threshold memory 70
　SSG5->　set alarm threshold session percent 70

【SSG - ゾーンの作成と設定】

デフォルトで作成されているセキュリティゾーンだけを使用するなら、以下のゾーンの作成は必要はない。

◆　ゾーンの作成
set zone name zone [ L2 | tunnel ]

◆　設定例： Layer3セキュリティゾーン “TEST1” を作成
　SSG5-> set zone name TEST1

◆　設定例： Layer2セキュリティゾーン “L2-TEST1” を作成（L2セキュリティゾーン作成の場合、名前の先頭に "L2-" をつける）
　SSG5-> set zone name L2-TEST1 L2
　

◆　バーチャルルータへのゾーンの割り当て
ゾーンを作成するとデフォルトで "trust-vr" のバーチャルルータにそのゾーンが自動的に割り当てられる。
従い、"trust-vr"の割り当てのままでOKなら、バーチャルルータへのゾーンの割り当てという設定は不要。
一般的はありませんが、例えば、"trust-vr"ではなく"untrust-vr"に設定したい場合は以下の設定を行う。

◆　設定例： “TEST1” のゾーンを"untrust-vr"のバーチャルルータに割り当て ( 通常、このような設定はしない )
　SSG5-> set zone TEST1 vrouter untrust-vr
　
　
　
ゾーンが作成されると、デフォルトで以下のL3セキュリティゾーンにおけるトラフィック制御の設定では
"tcp-rst"が適用されることになる。これは"Trust"ゾーンに適用されている設定と同じです。したがって
特に以下の内容の制御を行う必要がない場合は以下の設定を行う必要がありません。しかし、例えば
このゾーンでDHCPリレーを行わないようにしたい場合は、以下のような設定例のコマンドを設定します。

◆　L3セキュリティゾーンにおけるトラフィック制御
set zone zone [ asymmetric-vpn | block | no-dhcp-relay | reassembly-for-alg | tcp-rst ]

CLI WebUIに該当する項目チェックがある場合の動作
block Block Intra-Zone Traffic 　同じセキュリティゾーン内のホスト間のトラフィックをブロック。
no-dhcp-relay No DHCP Relay 　このゾーンでDHCPリレーを行わないようにする。
reassembly-for-alg TCP/IP Reassembly for ALG 　検査される前にフラグメント化されたHTTPとFTPパケットを再組立て
tcp-rst If TCP non SYN, send RESET back 　SYN以外のTCPフラグのパケット送るホストへ"RESET TCP"を送信

◆　設定例： “TEST1” のゾーンでDHCPリレーを行わないようにする設定
　SSG5-> set zone TEST1 no-dhcp-relay
　
　

【SSG - インターフェースの設定】

◆　ゾーンへのインターフェースの割り当て
set interface interface zone zone

◆　設定例： "TEST1"のゾーンに "ethernet0/6" を割り当てる
　SSG5->　set interface ethernet0/6 zone TEST1※ SSG5ではデフォルトでe0/6が"bgroup0"に割り当てられており、上記設定前に unset interface bgroup0 port e0/6 と入力

◆　インターフェースへのIPアドレスの設定
set interface interface ip ip-address/netmask

◆　設定例： "ethernet0/6"に"172.16.1.1/24"のIPアドレスを割り当てる
　SSG5->　set interface ethernet0/6 ip 172.16.1.1/24

◆　インターフェースモードの設定
set interface interface [ route | nat ]

◆　設定例： "ethernet0/6"をL3の"Routeモード"にする
　SSG5->　set interface ethernet0/6 route

◆　管理アクセスできるようにするための設定
set interface interface ip manageable

◆　設定例： "ethernet0/6"に管理アクセスできるようにするための設定
　SSG5->　set interface ethernet0/6 ip manageable

◆　管理アクセスするIPアドレスをインターフェースのIPアドレスとは別にする設定
set interface interface manage-ip ip-address

◆　設定例： "ethernet0/6"に管理アクセスするIPアドレスを"172.16.1.2/24"
　SSG5->　set interface ethernet0/6 manage-ip 172.16.1.2

◆　管理アクセスする際に許可するプロトコル
set interface interface manage [ ping | ssh | telnet | snmp | ssl | web | ident-reset ]

◆　設定例： "ethernet0/6"にWebUIによる管理アクセスを許可する設定
　SSG5->　set interface ethernet0/6 manage web

◆　speed / duplex の設定 ( デフォルトは auto/auto )
set interface interface phy [ auto | full | half ] [ 10mb | 100mb | 1000mb ]
◆　設定例： "ethernet0/0"を speed 100、duplex full とする設定
　SSG5->　set interface ethernet0/0 phy full 100mb

SSGへSSHで管理アクセスするためには、set interface interface manage ssh コマンドの設定だけでなく
SSHのバージョン指定、SSHの有効化の設定が必要となる。以下はSSHv2指定、SSH有効化の設定です。

　SSG5->　set ssh version v2
　SSG5->　set ssh enable

ステータス確認コマンド説明
　get interface 　インターフェースの情報の概要を確認。[ Ciscoでいう show ip int brief ]
　get counter statistics interface "interface" 　インターフェースカウンタの確認。物理レイヤーの問題を特定できる。
　get counter flow interface "interface" 　トラフィックフローに割り当てられたパケットのカウンタを確認できる。
　clear counter all 　get counter statistics int と get counter flow inter のカウンタをクリア。
　get log event 　システムイベントの日付、時刻、レベル、ログ内容の表示。[ Ciscoでいうsh log ]

【SSG - ポリシーの設定その1】

SSGは、ゾーンをまたぐトラフィックはポリシーによって制御する。デフォルトでは、"Trust"から"Untrust"
ゾーンへのトラフィックは全て許可するというポリシーが1つ設定されている。その設定が以下の一行です。
なお"Trust"から"Untrust"へ送出されたトラフィックの戻り（ "Untrust"から"Trust"へ）のトラフィックは
自動的に許可されます。このファイアウォール機能は、「ステートフルインスペクション」と呼ばれている。

　SSG5-> set policy id 1 from Trust to Untrust Any Any ANY permit
　
　

ポリシーを設定する前に、IPアドレスまたはネットワークセグメントを示すアドレスブックを作成します。
デフォルトでは、"Any"というアドレスブックが作成されており、"Any"は全てのネットワークを意味する。
アドレスブックはゾーンごとに作成する必要がある。つまり、この"Any"もゾーンごとに作成されている。

◆　① アドレスブックの作成
set adress zone name ipaddress/mask

◆　設定例： “TEST1” ゾーンで使用する、"172.16.1.0/24"を示す"SALESNW"、"172.16.2.0/24"を示す"ENGINW"を作成

　SSG5-> set address TEST1 SALESNW 172.16.1.0 255.255.255.0
　SSG5-> set address TEST1 ENGINW 172.16.2.0 255.255.255.0

◆　② アドレスグループの作成
set group address zone addressbook add addressbook

◆　設定例： “TEST1” ゾーンで使用する、"SALESNW"と"ENGINW"のアドレスブックを " TOKYONW " に束ねるアドレスグループ

　SSG5-> set group address TEST1 TOKYONW add SALESNW
　SSG5-> set group address TEST1 TOKYONW add ENGINW

◆　③　ポリシーの作成
set policy id number from zone to zone source-address dest-address service [ deny | nat | permit | reject | tunnel ]

◆　例1 ： "TEST1"から"Untrust"ゾーンへ、送信元アドレスの"SALESNW (172.16.1.0/24)"の通信を許可
　SSG5-> set policy id 2 from TEST1 to Untrust SALESNW Any ANY permit

◆　例2 ： "TEST1"から"Untrust"ゾーンへ、送信元"SALESNW (172.16.1.0/24)"から宛先"SECNW （10.1.1.0/24) の通信を許可
　SSG5-> set policy id 3 from TEST1 to Untrust SALESNW SECNW ANY permit

◆　例3 ： "TEST1"から"Untrust"ゾーンへ、送信元の"TOKYONW ( = 172.16.1.0/24 と 172.16.2.0/24 ) からの通信を許可
　SSG5-> set policy id 4 from TEST1 to Untrust TOKYONW ANY ANY permit
なお、作成したポリシーの順序を変えたい場合は set policy move コマンドを使用します。例えば、ポリシー
ID "1"のポリシーの順序を、ポリシーID"2"の後にしたい場合は、以下のコマンドを入力します。また例えば
ポリシーID"3"をポリシーID"1"より前の順序にしたい場合は、set policy move 3 before 1 のように入力する。

　SSG5-> set policy move 1 after 2
　
　
　
【SSG - ポリシーの設定その2 ( サービスの設定 )】

"TEST1"ゾーンから"Untrust"ゾーンへ、送信元アドレス"SALESNW (172.16.1.0/24)"からのHTTP通信を許可する設定は以下。

　SSG5-> set policy id 1 from TEST1 to Untrust SALESNW Any HTTP permit
　
◆　カスタムサービスの作成
set service name protocol [tcp | udp | icmp | number] src-port port-range dst-port port-range

◆　設定例： “ POP3S ” という名前で、TCP通信の送信元ポート番号 ( 0-65535 )、宛先ポート番号 ( 995 ) を作成
　SSG5-> set service POP3S protocol tcp src-port 0-65535 dst-port 995-995

また、1つのサービスに対して、複数のポート番号を束ねたい場合は" + "キーワードを使用します。
以下は、宛先TCPポート80、8080、8888を"MYWEB"という1つのサービス名に束ねている設定です。

　SSG5-> set service MYWEB protocol tcp src-port 0-65535 dst-port 80-80
　SSG5-> set service MYWEB + tcp src-port 0-65535 dst-port 8080-8080
　SSG5-> set service MYWEB + tcp src-port 0-65535 dst-port 8888-8888
　
　
SSG - ポリシーの設定その2 ( サービスグループの設定 )

複数のPre-defined Serviceやカスタムサービスは1つのグループ（カスタムサービスグループ）にできる。

◆　カスタムサービスグループの作成
set group service group-name add member-name

◆　設定例： “ HTTP-HTTPS ” という名前で、Pre-defined Serciceである「HTTP」と「HTTPS」を1つにグループ化

　SSG5-> set group service HTTP-HTTPS add HTTP
　SSG5-> set group service HTTP-HTTPS add HTTPS

カスタムサービスグループの作成でプロトコルを束ねていく方法以外に、マルチセルポリシーという手法で
プロトコルを束ねていく方法もあります。例えば以下の設定は、SALES(192.168.1.0/24)のクライアントPCが
DNS、FTP、HTTP、mail、PINGなどのサービスを利用してインターネットに通信するための設定となります。

　SSG5-> set policy id 5 from Trust to Untrust SALES any dns permit
　SSG5-> set policy id 5
　SSG5(policy:5)-> set service ftp
　SSG5(policy:5)-> set service http
　SSG5(policy:5)-> set service https
　SSG5(policy:5)-> set service mail
　SSG5(policy:5)-> set service POP3
　SSG5(policy:5)-> set service ping
　SSG5(policy:5)-> exit

SSG - トラフィックログとカウンタ

作成されているポリシーに対して、トラフィックログとカウンターを確認できるようにポリシーを設定できます。
先ず、作成したポリシーのIDを確認するため、get policy でIDの情報（例えば3）を得て以下の設定をする。

　SSG5-> set policy id 3
　SSG5(policy:3)-> set log
　SSG5(policy:3)-> set count
　SSG5(policy:3)-> exit

確認コマンド説明
get log traffic 該当ポリシーにヒットしたトラフィックログの確認
get counter policy 3 second 該当ポリシーにヒットしたカウンター表示の確認

【　SSG - ポリシーによるWebAUTHの設定】

一般的に使用されていませんが、SSGではWeb認証を設定することができます。PCが通信を開始する前に
SSGへWebアクセスしてWebブラウザ上でユーザ名とパスワードを入力し、認証に成功すれば通信ができる。

　SSG5-> set user TEST1 password TEST1
　SSG5-> set webauth banner success "WEBAUTH SUCCESS"

　SSG5-> set interface ethernet0/1 webauth
　SSG5-> set interface ethernet0/1 webauth-ip 192.168.0.250

　SSG5-> set policy from Trust to Untrust SOUMU Any ANY permit webauth

⇒　http://192.168.0.250 にアクセスし、ユーザ名（TEST1)、パスワード（TEST1）を入力した後、TrustからUntrustへ通信できる。
⇒　get user TEST1 や get auth table により、認証情報を確認することができる。

【NAT-src の種類と設定方法】

NAT-src には以下の4種類があるが、一般的に使用されるのは「DIPアドレスなしのNAT-src」となります。
NAT-src は単にDIP（ Dynamic IP )とも呼ばれます。WebUIの設定項目ではNAT-srcではなく"DIP"とある。

◆　DIPアドレスなしのNAT-src
set policy from zone to zone source-ip dest-ip service nat src permit

◆　設定例： "Trust"から"Untrust"ゾーンへ転送される送信元が"SALESNW = 172.16.1.0/24"は、Egress I/F のIPに変換
　SSG5-> set policy from Trust to Untrust SALESNW any any nat src permit

◆　ポート変換のあるDIPアドレスプール
set interface interface dip number start-address end-address
set policy from zone to zone source-ip dest-ip service nat src dip-id number permit

◆　設定例： "Trust"から"Untrust"へ転送される送信元が"SALESNW "のトラフィックは、1.1.1.1～1.1.1.10 に変換（ポートも変換）

　SSG5-> set interface ethernet0/0 dip 5 1.1.1.1 1.1.1.10
　SSG5-> set policy from Trust to Untrust SALESNW any any nat src dip-id 5 permit

◆　ポート変換のないDIPアドレスプール
set interface interface dip number start-address end-address fix-port
set policy from zone to zone source-ip dest-ip service nat src dip-id number permit

◆　設定例： "Trust"から"Untrust"へ転送されるが送信元が"SALESNW"のトラフィックは 1.1.1.1～1.1.1.10 に変換（ポートは固定）

　SSG5-> set interface ethernet0/0 dip 5 1.1.1.1 1.1.1.10 fix-port
　SSG5-> set policy from Trust to Untrust SALESNW any any nat src dip-id 5 permit
　
◆　DIPアドレスシフティング
set interface interface name dip number shift-from private-address to start-address end-address
set policy from zone to zone source-ip dest-ip service nat src dip-id number permit

◆　設定例： "Trust"から"Untrust"へ転送されるトラフィックで、"192.168.1.5 は 1.1.1.5 へ"、"192.168.1.6 は 1.1.1.6 へ" NAT変換

　SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.1.5 to 1.1.1.5 1.1.1.6
　SSG5-> set policy from Trust to Untrust Any Any any nat src dip-id 5 permit

【NAT-dst の種類と設定方法】

NAT-dst の種類説明
1対1 マッピング　１つのグローバルIPアドレスを、1つのプライベートIPアドレスにマッピング。
1対多マッピング　1つのグローバルIPアドレスを、宛先ポートに基づいて、複数のプライベートIPアドレスにマッピング。
多対多マッピング　アドレスシフティングで、グローバルIPアドレスのグループを連続したプライベートIPアドレスの範囲にマップ。
ポート変換　静的にポートマッピングすることで、ポート変換をNAT-dst構成で適用。

作成手順①：アドレスブック作成。外部からアクセスするグローバルIPアドレスを定義したアドレスブック作成。
作成手順②：到達可能にするためのスタティックルートの作成。SSGパケットフロー図の説明通り、着信した
パケットに対して、アドレス変換する前にルーティングテーブルを参照します。従って、アドレス変換前である
アドレス（ネットワーク）に対するルーティングエントリが存在する必要があります。そこで、ルーティング設定
において、プライベートアドレスが設定されたI/FをアウトバウンドI/Fとしたルーティングを設定する必要がある。

　SSG5-> set address Trust PUBHTTP 1.1.1.10/32
　SSG5-> set route 1.1.1.10/32 interface ethernet0/2

作成手順③：ポリシーの作成。以下の4種類がある。

◆　1対1 マッピング
set policy from zone to zone source-ip dest-ip service nat dst ip ip-address permit

　SSG5-> set policy from EXTERNAL to Trust any PUBHTTP http nat dst ip 192.168.1.10 permit

◆　1対多マッピング ( VIP機能に類似。上記の"1対1マッピング"を複数記述することを意味する )
set policy from zone to zone source-ip dest-ip service nat dst ip ip-address permit

　SSG5-> set policy from EXTERNAL to Trust any PUBHTTP http nat dst ip 192.168.1.10 permit
　SSG5-> set policy from EXTERNAL to Trust any PUBHTTP ftp nat dst ip 192.168.1.11 permit

◆　多対多マッピング
set policy from zone to zone source-ip dest-ip service nat dst ip start-ip end-ip

　SSG5-> set policy from EXTERNAL to Trust any RANHTTP http nat dst ip 192.168.1.10 192.168.1.20 permit

◆　ポート変換
set policy from zone to zone source-ip dest-ip service nat dst ip ip-address port number permit

　SSG5-> set policy from EXTERNAL to Trust any PUBHTTP http nat dst ip 192.168.1.10 port 8080 permit
　

【　VIP の設定方法】
◆　①　UntrustゾーンのインターフェースでVIPアドレスの設定
set interface interface vip global-ip port service private-ip
⇒　設定例の前提は "set admin port number"コマンドで、SSGへのHTTPの管理アクセスのポート番号を変えておくこと。例えば
set admin port 8888 と設定し、SSGへ"http://x.x.x.x:8888/"としてHTTPの管理アクセスできるようになり、一方で、VIP通信のために
ポート"80"を使用できる。この設定がなければ右記が表示 ⇒ Not supported service: (ip:x.x.x.x/port:80) is for management of the box.
また、以下のようにポート53を指定する場合はDNSプロキシを有効にしている場合 ( set dns proxy enable ) は無効化する必要がある。

◆　設定例

　SSG5-> set interface ethernet0/0 vip 1.1.1.10 80 http 192.168.1.11
　SSG5-> set interface ethernet0/0 vip 1.1.1.10 53 dns 192.168.1.12

　※ VIPのIPアドレスにSSGのインターフェースのIPを指定した場合、set int ethernet0/0 vip interface-ip の構文に自動変換される。
　
　
◆　設定例

　SSG5-> set interface ethernet0/0 vip 1.1.1.10 80 http 192.168.1.11
　SSG5-> set interface ethernet0/0 vip 1.1.1.10 53 dns 192.168.1.12

　※ VIPのIPアドレスにSSGのインターフェースのIPを指定した場合、set int ethernet0/0 vip interface-ip の構文に自動変換される。

◆　②　ポリシーの設定
set policy from zone to zone source-ip VIP(address) service permit

◆　設定例

　SSG5-> set policy from Untrust to Global any VIP(ethernet0/0) HTTP permit
　SSG5-> set policy from Untrust to Global any VIP(ethernet0/0) DNS permit

◇　1.1.1.1/24がTrustゾーンのインターフェースにバインドされているので以下の設定でもOK

　SSG5-> set policy from Untrust to Trust any VIP(ethernet0/0) HTTP permit
　SSG5-> set policy from Untrust to Trust any VIP(ethernet0/0) DNS permit

※ VIPがSSGのI/FのIPでない場合、上記コマンドの"VIP(ethernet0/0)"のところを、"VIP(1.1.1.10)"という書き方に変えます。

【MIP の設定方法】
◆　①　MIPアドレスの定義 ( 一般的にUntrust（グローバル）ネットワークのインターフェースで設定）
set interface interface mip global-ip host private-ip netmask netmask vr vr

◆　設定例

　SSG5-> set interface ethernet0/0 mip 1.1.1.2 host 192.168.1.11 netmask 255.255.255.255 vr trust-vr
　SSG5-> set interface ethernet0/0 mip 1.1.1.3 host 192.168.1.12 netmask 255.255.255.255 vr trust-vr

◆　②　ポリシーの設定 ( 正確には、どのトラフィックにおいてMIPを有効化し、MIPアドレスへの変換プロセス起動させるか )
set policy from zone to zone source-ip MIP(address) service permit

◆　上図の設定例 ( Globalゾーンとは仮想IPアドレスで使用するゾーン）

　SSG5-> set policy from Untrust to Global any MIP(1.1.1.2) HTTP permit
　SSG5-> set policy from Untrust to Global any MIP(1.1.1.3) DNS permit

◇　1.1.1.0/28がTrustゾーンのインターフェースにバインドされているので以下の設定でもOK

　SSG5-> set policy from Untrust to Trust any MIP(1.1.1.2) HTTP permit
　SSG5-> set policy from Untrust to Trust any MIP(1.1.1.3) DNS permit

【MIPの設定を深く理解するために・・・Globalゾーンとは】
SSG5-> set interface ethernet0/0 mip 2.2.2.2 host 192.168.1.11
　SSG5-> set interface ethernet0/0 mip 2.2.2.3 host 192.168.1.12

　SSG5-> set policy from Untrust to Global Any MIP(2.2.2.2) HTTP permit
　SSG5-> set policy from Untrust to Global Any MIP(2.2.2.3) DNS permit

　SSG5-> set interface ethernet0/0 zone Untrust
　SSG5-> set interface ethernet0/0 ip 10.1.1.1/24
　SSG5-> set interface ethernet0/0 route

　SSG5-> set interface ethernet0/1 zone Trust
　SSG5-> set interface ethernet0/1 ip 192.168.1.1/24
　SSG5-> set interface ethernet0/1 route

　SSG5-> set interface ethernet0/0 mip 10.1.1.5 host 192.168.2.10
　SSG5-> set policy from Untrust to Global Any MIP(10.1.1.5) HTTP nat src permit

上記コンフィグの場合、10.1.2.0/24のネットワークから通信のみに上図のトラフィックフローとなります。
いわゆる双方向NAT（Twice NAT）を行いたい場合は、上記設定とシンメトリーになるように設定をする。
以下のコンフィグは、192.168.2.10/24がクライアントPC、10.1.2.10がWebサーバという想定としています。

※ インターフェースの設定は当然ながら同じとなりますので、MIPとポリシー設定の部分だけの抜粋です。
これにより192.168.2.10/24から発信した場合、上図のトラフィックフローが反転します。（アドレスは異なる）

　SSG5-> set interface ethernet0/1 mip 192.168.1.5 host 10.1.2.10
　SSG5-> set policy from Trust to Global Any MIP(192.168.1.5) HTTP nat src permit

【スタティックルーティングの設定】

下記構文のなかにバーチャルルータを指定するコマンドがあるが、省略した場合、デフォルトで"trust-vr"
のバーチャルルータが選択される。従って、一般的には "vrouter name" 部分の設定は必要ありません。
"interface interface"のinterfaceでは、パケットが送出されるアウトプットインターフェースを指定します。
※ ルーティングを設定した後は、ゾーン間でトラフィックが許可されるポリシーを設定することを忘れずに。

◆　スティックルートの設定
set [ vrouter name ] route dest-network/mask interface interface gateway nexthop-address

◆　スタティックルートの設定例
　SSG5-> set route 10.1.2.0/24 interface ethernet0/6 gateway 10.1.1.254
◆　デフォルトルートの設定例
　SSG5-> set route 0.0.0.0/0 interface ethernet0/0 gateway 1.1.1.2

ルーティングテーブルにおける優先度は [ Connected = 0 ] [ Static = 20 ] [OSPF = 60 ] [ RIP = 100 ] と
デフォルトで定義されています。つまり、同じ宛先に対してOSPFとRIPとで経路情報を学習している場合は
デフォルトではOSPFで学習した経路情報を有線します。この優先度を変えたい場合は以下の設定をします。

◆　Preference値の設定
set [ vrouter name ] route dest-network/mask interface interface preference number

◆　Preference値の設定例 ( 10.1.2.0/24を宛先としたスタティックルートの優先度を"80"にする例 )
　SSG5-> set route 10.1.2.0/24 interface ethernet0/6 preference 80
　RIP の設定

（1）　RIPインスタンスの作成
先ず、バーチャルルータ上にRIPルーティングインスタンスを作成して、RIPを使用可能な状態にします。この
設定により、RIPが有効になっているVR上の各インターフェースとRIPパケットがやりとりできるようになります。

◆　RIPルーティングインスタンスの設定
set vrouter vrouter protocol rip
set vrouter vrouter protocol rip enable

◆　"trust-vr"のバーチャルルータでRIPインスタンスを作成し有効化する設定

　SSG5-> set vrouter trust-vr protocol rip
　SSG5-> set vrouter trust-vr protocol rip enable

（2）　RIPのインターフェースで有効化
デフォルトでは、全てのインターフェースでRIPは無効化されています。そのため、RIPパケットを送受信したい
インターフェースを明示的に指定して有効化させる必要があります。

◆　RIPルーティングインスタンスの設定
set interface interface protocol rip enable

◆　"ethernet0/6"のインターフェースでRIPを有効化する設定
　SSG5-> set interface ethernet0/6 protocol rip enable

（3）　RIPのバージョン指定（オプション設定）
デフォルトでは、バーチャルルータにはRIPversion2が有効化されていますが、これを変更することができる。
また、RIPが有効化されたインターフェースごとにバージョンを設定することができる。インターフェースごとに
設定されたデフォルトのバージョンも送信、受信ともに RIPversion2 です。SSG間の接続であればバージョン
を変更する必要はないが、Ciscoと接続する場合、Ciscoは受信バージョンが [v1v2]、送信バージョンが [v1]
なので、SSG側で受信を [ v1] または [ v1v2 ] にし、相互に送信と受信バージョンを一致させる必要がある。

◆　バーチャルルータのRIPバージョンの設定
set vrouter vrouter protocol rip version [ v1 | v2 ]

◆　"trust-vr"でRIP version 2を有効化する設定
　SSG5-> set vrouter trust-vr protocol rip version v2

◆　RIPが有効なインターフェースでのRIPバージョンの設定
set interface interface protocol rip send-version [ v1 | v2 | v1v2 ]
set interface interface protocol rip receive-version [ v1 | v2 | v1v2 ]

◆　"ethernet0/6"で送信、受信ともに [ v1v2 ] にする設定

　SSG5-> set interface ethernet0/6 protocol rip send-version v1v2
　SSG5-> set interface ethernet0/6 protocol rip receive-version v1v2

　get vrouter vrouter protocol rip config 　RIPのコンフィグの抜粋情報の表示
　get vrouter vrouter protocol rip database destination/mask 　RIPデータベースの表示
　get vrouter vrouter protocol rip 　RIPの詳細情報の表示
　get vrouter vrouter protocol rip neighbors 　RIPのネイバールータの表示
　get interface interface protocol rip 　特定のインターフェースにおけるRIPの詳細表示
　
　
　
　
【OSPF の設定】

（0）　バーチャルルータのルータIDの設定

◆　バーチャルルータのルータIDの設定
set vrouter vrouter router-id ipv4address

◆　"trust-vr"のバーチャルルータのルータIDを "192.168.1.1"とする設定
　SSG5-> set vrouter trust-vr router-id 192.168.1.1

（1）　OSPFインスタンスの作成
先ず、バーチャルルータ上にOSPFルーティングインスタンスを作成して、OSPFを使用可能な状態にします。
これにより、OSPFが有効になっているVR上の各インターフェースとOSPFパケットがやりとりできるようになる。

◆　OSPFルーティングインスタンスの設定
set vrouter vrouter protocol ospf
set vrouter vrouter protocol ospf enable

◆　"trust-vr"のバーチャルルータでRIPインスタンスを作成し有効化

　SSG5-> set vrouter trust-vr protocol ospf
　SSG5-> set vrouter trust-vr protocol ospf enable

（2）　OSPFエリアの作成
OSPFルーティングインスタンスを作成した時点で、自動的にバックボーンエリア（0.0.0.0)も作成されますが
それ以外のエリアを使用する場合は、手動で作成する必要があります。

◆　OSPFエリアの作成
set vrouter vrouter protocol ospf area number

◆　"trust-vr"のバーチャルルータにOSPFエリア"10"を作成
　SSG5-> set vrouter trust-vr protocol ospf area 0.0.0.10

（3）　OSPFエリアのインターフェースへの割り当て
作成したOSPFエリアは、インターフェースに割り当てる必要があります。

◆　OSPFエリアのインターフェースへの割り当て
set interface interface protocol ospf area number

◆　" ethernet0/6 "にOSPFエリア "0 "を割り当て、" bgroup0 " にOSPFエリア "10"を割り当て

　SSG5-> set interface ethernet0/6 protocol ospf area 0.0.0.0
　SSG5-> set interface bgroup0 protocol ospf area 0.0.0.10

（4）　インターフェース上でのOSPF有効化
OSPFエリアを適用したインターフェースで、OSPFを有効化することでルーティングテーブルが形成される。

◆　インターフェース上でのOSPFの有効化
set interface interface protocol ospf enable

◆　" ethernet0/6 "と " bgroup0 "のインターフェースでOSPFを有効化する設定

　SSG5-> set interface ethernet0/6 protocol ospf enable
　SSG5-> set interface bgroup0 protocol ospf enable

OSPFステータス確認コマンド説明
　get vrouter vrouter protocol ospf config 　OSPFのコンフィグの抜粋情報の表示
　get vrouter vrouter protocol ospf 　OSPFの詳細情報の表示
　get vrouter vrouter protocol ospf neighbor 　OSPFのネイバールータの表示
　get vrouter vrouter protocol ospf interface 　有効化されたインターフェースの稼働状態の表示
　get interface interface protocol ospf 　特定のインターフェースにおけるOSPFの詳細表示

【HAの物理構成】

NSRPによりHA構成を組む場合、HA用の専用インターフェースを設けて機器間を直結させるの一般的です。
機種によっては、HA専用インターフェースがありますが、ない場合は、デフォルトで存在する"HA"ゾーンに
インターフェースを割り当て、HA専用インターフェースする。HAは通常2つのリンクで構成する（1リンクも可）。
HAリンクでは、HAを維持するためのコントロールリンクメッセージとデータリンクメッセージがやりとりされる。

◆　HAゾーンへのインターフェースの割り当て
set interface interface zone HA　

◆　設定例　：　"ethernet0/5" と"ethernet0/6" の割り当て

　SSG5-> set interface ethernet0/5 zone HA

【NSRPの設定 ( アクティブ/パッシブ構成 )】

◆　①　クラスタの作成
set nsrp cluster id number

◆　設定例　：　クラスタ 1 の作成
　SSG5-> set nsrp cluster id 1

◆　②　RTO同期の有効化
　SSG5-> set nsrp rto-mirror sync

◆　③　NSRPクラスタにおける認証/暗号化設定 ( オプション： HAリンクが直結する構成では不要 )
set nsrp auth password password
set nsrp encrypt password password

◆　設定例　：　NSRAPクラスタの機器間の認証.、暗号のパスワードに "juniper" とする

　SSG5-> set nsrp auth password juniper
　SSG5-> set nsrp encrypt password juniper

◆　④　NSRPクラスタ名の設定 ( オプション：クラスタの全メンバーに1つの名前を定義したい場合に使用）
set nsrp cluster name name
⇒　NSRPクラスタは、各々が異なるホスト名を持てるが、切替り時にSNMP通信やデジタル証明書の有効性を阻害される場合がある

◆　設定例　：　クラスタ名に"SSG5-AAA"とする
　SSG5-> set nsrp cluster name SSG5-AAA

◆　⑤　VSDグループのID、VSDグループの優先順位の設定
set nsrp vsd-group id id prirority prirority
⇒　NSRPの構成では、"0"に近い優先順位番号を持つVSDグループのメンバーがアクティブ機になる。デフォルト値は"100"。

◆　設定例　：　VSDグループを"0"にし、優先順位の値を"1"にする

　SSG5-> set nsrp vsd-group 0
　SSG5-> set nsrp vsd-group 0 prirority 1

◆　⑥　プレエンプトの設定
set nsrp vsd-group id id preempt
⇒　アクティブ機に障害発生後、再びアクティブ機が正常になった場合に自動的に切り戻るためにはpreemptの設定が必要。

◆　設定例　：　VSDグループを"0"において、preemptを有効化する
　SSG5-> set nsrp vsd-group id 0 preempt

◆　⑦　フェールオーバーを遅らせる設定
set nsrp vsd-group id id preempt hold-down seconds
⇒　ネットワーク全体の収束に合わせ、切り戻る時間の遅延をhold-downで調整できる。（オプション）

◆　設定例　：　VSDグループを"0"において、preemptを有効化し、hold-downタイムを10秒とする設定
　SSG5-> set nsrp vsd-group id 0 preempt hold-down 10

◆　⑧　監視インターフェース、ゾーン、Track IPの設定　（以下の3つのうち、よく使用されるのはインターフェーストリガーです）
set nsrp vsd-group id id monitor interface interface weight value
⇒　NSRPによるHAでは、インターフェースに障害が発生した場合にフェールオーバーが発生するように設定できる。

◆　設定例　：　VSDグループ"0"で、"ethernet0/0"または"ethernet0/2"のどちらかで障害が発生した場合にフェールオーバー

　SSG5-> set nsrp vsd-group id 0 monitor interface ethernet0/0
　SSG5-> set nsrp vsd-group id 0 monitor interface ethernet0/2

set nsrp vsd-group id id monitor zone zone weight value
⇒　NSRPによるHAでは、ゾーンそのもにに障害が発生した場合にフェールオーバーが発生するように設定できる。
　SSG5-> set nsrp vsd-group id 0 monitor zone TRUST

set nsrp monitor track-ip ip address weight value
⇒　NSRPによるHAでは、PING監視しているIPの応答がなくなった場合にフェールオーバーが発生するように設定できる。
　SSG5-> set nsrp monitor track-ip ip 192.168.0.100

◆　⑨　HAリンクの監視 ( オプション）
set nsrp ha-link probe interval seconds threshold seconds

◆　HAリンクの両方のI/Fに3秒間隔でプロ―プが送信し、4回連続しリクエストの応答がない場合にHAが動作していないと判断。
　SSG5-> set nsrp ha-link probe interval 3 threshold 5

【NSRPの設定例 ( アクティブ/パッシブ構成 )

set hostname SSG5-1

　set int ethernet0/0 ip 192.168.2.254/24
　set int ethernet0/0 route
　set int ethernet0/0 manage-ip 192.168.2.1
　set int ethernet0/0 ip manageable

　set int bgroup0 port ethernet0/2
　set int bgroup0 ip 192.168.1.254/24
　set int bgroup0 route
　set int bgroup0 manage-ip 192.168.1.1
　set int bgroup0 ip manageable

　set interface ethernet0/5 zone HA
　set interface ethernet0/6 zone HA

　set nsrp rto-mirror sync

　set nsrp cluster id 1
　set nsrp vsd-group id 0
　set nsrp vsd-group id 0 priority 1
　set nsrp vsd-group id 0 preempt
　set nsrp vsd-group id 0 preempt hold-down 10

　set nsrp vsd-group id 0 monitor int ethernet0/0
　set nsrp vsd-group id 0 monitor int ethernet0/2

　set hostname SSG5-2

　set int ethernet0/0 ip 192.168.2.254/24
　set int ethernet0/0 route
　set int ethernet0/0 manage-ip 192.168.2.2
　set int ethernet0/0 ip manageable

　set int bgroup0 port ethernet0/2
　set int bgroup0 ip 192.168.1.254/24
　set int bgroup0 route
　set int bgroup0 manage-ip 192.168.1.2
　set int bgroup0 ip manageable

　set interface ethernet0/5 zone HA
　set interface ethernet0/6 zone HA

　set nsrp rto-mirror sync

　set nsrp cluster id 1
　set nsrp vsd-group id 0
　set nsrp vsd-group id 0 priority 100

　set nsrp vsd-group id 0 monitor int ethernet0/0
　set nsrp vsd-group id 0 monitor int ethernet0/2

監視しているインターフェースのデフォルトの重み（weight）は255。NSRPフェールオーバーのしきい値は
255です。従って以下のように1つのインターフェースのしきい値を128にした場合、1つのインターフェースが
ダウンしてもNSRPのフェールオーバーは発生しません。以下の設定例では、ethernet0/1とethernet0/2の
両方がダウンすることによってフェールオーバーが発生します。1つのインターフェースダウンだけでNSRPの
切替りを発生させたくない場合の設定手法。I/Fを同じbridgeグループにまとめる場合によく使用される手法。

　SSG320M-> set nsrp vsd-group id 0 monitor interface ethernet0/1 weight 128
　SSG320M-> set nsrp vsd-group id 0 monitor interface ethernet0/2 weight 128

【L2モード ( 透過モード )】
◆　ユーザ定義のL2ゾーンの作成 ( デフォルトのゾーンだけを使用する場合は設定不要 )
set zone name zone L2

◆　設定例： Layer2ゾーン “L2-TEST1” を作成（L2ゾーン作成の場合、名前の先頭に "L2-" をつける）
　SSG5-> set zone name L2-TEST1 L2
　
L2モード（透過モード）の設定

◆　①　IPアドレスの削除
unset interface interface ip

◆　設定例　：　"bgroup0"と"ethernet0/0"のIPアドレスの削除

　SSG5-> unset interface bgroup0 ip
　SSG5-> unset interface ethernet0/0 ip

◆　② 透過ゾーンの割り当て
set interface interface zone zone
※　機種やバージョンにより1つのインターフェースに透過ゾーンを割り当てるだけで "Changed to L2/L3 mix mode" と表示されます。
※　SSGをL2モードとして動作させるためには、全てのインターフェースに透過ゾーンを割り当てる必要があります。全てに割り当て後、
"Changed to pure l2 mode"と表示すればL2モードへ移行完了。get system では "System in transparent mode." と表示される。

◆　設定例　：　"bgroup0"に"V1-Trust"を割り当てる設定、"ethernet0/0"に"V1-Untrust"を割り当てる設定

　SSG5-> set interface bgroup0 zone V1-Trust
　SSG5-> set interface ethernet0/0 zone V1-Untrust

③　管理インターフェースの設定
set interface vlan1 ip address/mask
※ 管理インターフェースのIPアドレスとは別に管理用のIPアドレスを設定したい場合は"set interface vlan1 address"で設定

◆　設定例　：　VLAN 1 の管理インターフェースに"192.168.0.100"の割り当て
　SSG5-> set interface vlan1 ip 192.168.0.100/24

④　管理サービスの有効化
◆　設定例　：全ての管理サービスを有効化する設定
　SSG5-> set interface vlan1 manage
◆　設定例　： PING、Webアクセス、Telnetアクセスのみ有効化する設定

　SSG5-> set interface vlan1 manage ping
　SSG5-> set interface vlan1 manage web
　SSG5-> set interface vlan1 manage telnet

　
⑤　ゾーンごとの管理アクセスの有効化
set zone zone manage service

◆　設定例　：　"V1-Trust"ゾーンからSSGのVLAN1インターフェースにping/web/telnetの管理アクセスを有効化

　SSG5-> set interface V1-Trust manage ping
　SSG5-> set interface V1-Trust manage web
　SSG5-> set interface V1-Trust manage telnet
　
　
◆　⑥　ブロードキャストの設定 ( オプション ) ・・・基本的にデフォルト値で問題ない

◆　MACテーブルにエントリがない場合、受信I/Fを除き、全ての透過モードI/Fに元のパケットが送出される（デフォルト設定）
　SSG5-> set interface vlan1 broadcast flood

◆　MACテーブルにエントリがない場合、受信I/Fを除き、全てのインターフェースにARPリクエストが送出される
　SSG5-> set interface vlan1 broadcast arp

◆　⑦　ポリシーの作成
set policy id number from zone to zone source-address dest-address service [ deny | permit | reject ]

◆　設定例： "V1-Trust"ゾーンから、"V1-Untrust"ゾーンへ全ての通信を許可する設定
　SSG5-> set policy from "V1-Trust" to "V1-Untrust" "Any" "Any" "ANY" permit
　
透過モードで確認すべきコマンド説明
get interface 　そのインターフェースがL2モード（透過）であることを確認 ⇒ mode xparent
get arp 　L2モード、L3モードともにARPキャッシュを確認。L2モードの場合ゾーン名で表示。
get mac-learn 　MACアドレステーブルの確認。
get session 　セッションテーブルの確認。L2モード、L3モードともに確認できるコマンド。

【SSG - VLAN Routing】
VLANルーティングその2

SSGは、Ciscoルータと同じように1つの物理インターフェースに複数のサブインターフェースを作成できます。
従って、下図のような構成でVLANルーティングを行うこともできます。この構成の場合、サブインターフェース
ごとにゾーンを割り当てることになります。従って、異なるセグメント間ではポリシーによる制御を行える。この
構成の場合、1つの物理インターフェースを共有することになるので、アップリンクの帯域幅があまり使えない。

　SSG5-> set zone name TRUNK

　SSG5-> set interface ethernet0/4 zone TRUNK
　SSG5-> set interface ethernet0/4.1 tag 10 zone TRUNK
　SSG5-> set interface ethernet0/4.2 tag 20 zone TRUNK

　SSG5-> set interface ethernet0/4.1 ip 10.1.1.1/24
　SSG5-> set interface ethernet0/4.1 route

　SSG5-> set interface ethernet0/4.2 ip 10.1.2.1/24
　SSG5-> set interface ethernet0/4.2 route

異なるセグメント間の通信ですが、異なるセキュリティゾーン間の通信ではないので、ポリシーは不要です。
Catalystスイッチの設定は以下の通り、特別な設定はありません。

　Catalyst(config)# vlan 10
　Catalyst(config)# vlan 20

　Catalyst(config)# interface FastEthernet0/1
　Catalyst(config)# switchport mode access
　Catalyst(config)# switchport access vlan 10

　Catalyst(config)# interface FastEthernet0/2
　Catalyst(config)# switchport mode access
　Catalyst(config)# switchport access vlan 20

　Catalyst(config)# interface GigabitEternet0/1
　Catalyst(config)# switchport mode trunk
　
　
【SSG - Track-ip】
①　スタティックルートの設定
正常時は、0.0.0.0/0 の宛先へのトラフィックは e0/0 から送出されるようにメトリックを低くします。

　SSG-> set route 0.0.0.0/0 interface ethernet0/0 gateway 10.1.1.1 metric 10
　SSG-> set route 0.0.0.0/0 interface ethernet0/1 gateway 10.1.2.1 metric 11

②　監視IPアドレス、しきい値の設定
SSGから1.1.1.2へ3回（interval値）のPING応答が得られなかった場合、インターフェースのトラッキングの
障害しきい値に10（weight値）が適用されます。この設定ではしきい値が5（threshold）であるため、障害時
この10のウェイト値が適用されると、しきい値を超えるので、SSGはこのI/Fのルートを非アクティブにします。

　SSG-> set interface ethernet0/0 monitor track-ip ip
　SSG-> set interface ethernet0/0 monitor track-ip ip 1.1.1.2 interval 3
　SSG-> set interface ethernet0/0 monitor track-ip ip 1.1.1.2 threshold 1
　SSG-> set interface ethernet0/0 monitor track-ip ip 1.1.1.2 weight 2

PPPoE接続の設定
【SSG - PPPoE Internet】

下図のPPPoEによるインターネット接続の設定方法を紹介。以下の（1）～(6）の流れで設定を行います。

（1）　インターフェースの設定
SSGを設定する場合、①バーチャルルータの設定 ⇒ ②ゾーンの設定 ⇒ ③インターフェースの設定、という
順で設定していくが、デフォルトのバーチャルルータ ( turst-vr ) を使用して、デフォルトのゾーンを使用する
場合はいきなり③のインターフェース設定を行います。今回はSSG5のデフォルト設定をできる限り利用します。

◆　今回使用するデフォルトの「ゾーン設定」と「インターフェース設定」

　SSG5-> set zone Untrust vrouter trust-vr
　SSG5-> set interface ethernet0/0 zone Untrust

　SSG5-> set zone Trust vrouter trust-vr
　SSG5-> set interface bgroup0 zone Trust
　SSG5-> set interface bgroup0 port ethernet0/2
　SSG5-> set interface bgroup0 ip 192.168.1.1/24

（2）　PPPoEの設定
PPPoEは以下の項目に従い設定して、インターネット接続するWAN側インターフェース（e0/0）にバインドする。

PPPoE設定コマンド説明
　set pppoe name name 　PPPoE名の設定
　set pppoe name name username username password password 　ISPから付与されたユーザ名とパスワードの設定
　set pppoe name name interface interface 　PPPoE設定を割り当てるインターフェース
　set pppoe name name authentication [ CHAP | PAP | any ] 　PPPoE認証の設定 ( デフォルトは any )
　set pppoe name name idle time 　PPPoE接続の自動接続時間 ( 0 = 自動切断しない）
　
◆　PPPoEの設定例

　SSG5-> set pppoe name MYPPPOE
　SSG5-> set pppoe name MYPPPOE username test@plala.or.jp password testpass
　SSG5-> set pppoe name MYPPPOE interface ethernet0/0
　SSG5-> set pppoe name MYPPPOE authentication chap
　SSG5-> set pppoe name MYPPPOE idle 0

（3）　ポリシーの設定
ゾーン間のトラフィックはポリシーのチェックが行われます。今回の構成では、TrustゾーンからUntrustゾーンへ
通信が発生するのでポリシーでこの通信を許可する設定を行う必要があります。ただし、デフォルトでは以下の
設定が入っており、TrustゾーンからUntrustゾーンへのトラフィックは全て許可されています。UntrustからTrust
への戻りのトラフィックは、ステートフルインスペクションにより許可されるのでポリシーの設定は必要ありません。

◆　今回使用するデフォルトの「ゾーン設定」と「インターフェース設定」
　SSG5-> set policy id 1 from Trust to Untrust Any Any ANY permit
　

（4）　アドレス変換の設定
今回の構成では、クライアントPCがインターネット通信する時は、送信元アドレスがプライベートアドレスなので
送信元アドレスをグローバルアドレスに変換する必要がある。アドレス変換にはインターフェースベースNATと
ポリシーベースNATがありますが、デフォルトで"bgroup0"は"NATモード"であり、インターフェースベースNAT
ができる状態になっている。一般的ではありませんが、今回は以下のデフォルトの設定を使用することにする。

◆　今回使用するデフォルトの「 bgroup0 におけるNATモード」
　SSG5-> set interface bgroup0 nat
　

（5）　ルーティングの設定
本来はデフォルトルートを設定する必要がありますが、PPPoE接続が成功した場合、PPPoEサーバをネクスト
ホップとしてデフォルトルートが自動的に取り込まれる。従ってPPPoE接続では設定する必要がないです。
なお、構文のなかにバーチャルルータを指定するコマンドがあるが、省略した場合は、デフォルトで"trust-vr"
のバーチャルルータが選択されます。従って、一般的には "vrouter name" 部分の設定は必要ありません。

◆　スティックルートの設定
set [ vrouter name ] route dest-network/mask interface interface gateway nexthop-address

◆　デフォルトルートの設定例
　SSG5-> set route 0.0.0.0/0 interface ethernet0/0 gateway 1.1.1.2

（6）　MTUの設定

◆　MTUの設定
set interface interface mtu size

◆　Bフレッツを接続するインターフェース"Untrust"でMTU1454とする設定
　SSG5-> set interface ethernet0/0 mtu 1454

（7）　MSSの設定
上記の通り、MTUについてはインターフェースごとに設定できるが、SSGの場合、MSS値についてはシステム
全体に対して適用する設定が必要となります。PPPoE環境にてMSSを変更しない場合はデフォルト値として、
"set flow all-tcp-mss 1304"が設定されます。MTU値が1454である場合、MSS値は1414にすることが正解
なのですが、デフォルト値の"1304"でも最適に通信ができる場合は変更する必要はありません。ちなみに、
"set flow tcp-mss"というコマンドはSSGを通過するVPNトラフィックに適用されるMSS値の変更コマンドです。

◆　MSSの設定
set flow all-tcp-mss number

◆　システム全体として、MSSサイズを"1414"にする設定
　SSG5-> set flow all-tcp-mss 1414

（8）　DHCPサーバの設定 (オプション設定）
SSGをDHCPサーバとして動作させて、クライアントPCにIPアドレスを割り当てる場合は、以下の設定をします。
ただし、以下の設定例はデフォルトでSSGに設定されている内容であり、今回はデフォルト設定を使用します。
※ PPPoE接続が成功すると、クライアントに付与するDNSサーバのIPアドレスが自動的にSSGに設定される。

DHCP設定コマンド説明
　set interface interface dhcp server service 　DHCPサーバを有効にしたい I/Fの指定
　set interface interface dhcp server auto 　サーバモードを Auto に指定
　set interface interface dhcp server option gateway next-hop 　付与するデフォルトゲートウェイの設定
　set interface interface dhcp server option netmask mask 　付与するサブネットマスク
　set interface interface dhcp server option dns1 ip-address 　付与するプライマリDNSサーバアドレス
　set interface interface dhcp server option dns2 ip-address 　付与するセカンダリDNSサーバアドレス
　set interface interface dhcp server option domainname name 　付与するドメインサフィックス
　set interface interface dhcp server option wins1 ip-address 　付与するプライマリWINSサーバアドレス
　set interface interface dhcp server option wins2 ip-address 　付与するセカンダリWINSサーバアドレス
　set interface interface dhcp server ip start to end 　付与するIPアドレスのレンジ
　set interface interface dhcp server ip address mac address 　付与する固定IPアドレスとMACアドレスの指定
　set interface interface dhcp server option lease time 　付与するIPアドレスのリース期間

◆　DHCPサーバの設定例

　SSG5-> set interface bgroup0 dhcp server service
　SSG5-> set interface bgroup0 dhcp server auto
　SSG5-> set interface bgroup0 dhcp server option gateway 192.168.1.1
　SSG5-> set interface bgroup0 dhcp server option netmask 255.255.255.0
　SSG5-> set interface bgroup0 dhcp server option dns1 2.2.2.1
　SSG5-> set interface bgroup0 dhcp server option dns2 2.2.2.2
　SSG5-> set interface bgroup0 dhcp server ip 192.168.1.33 to 192.168.1.126

つまり、（1）～（8）の流れの設定とはいえ、実質的には（2）の5行を設定するだけで、PPPoEによるインターネット
接続が問題なく行える、ということです。しかし、一般的にはインターフェースベースNATではなく、ポリシーベース
NATが使用される。ポリシーベースNATでは、どの送信元と宛先トラフィックをNAT変換するのか細かく設定可能。

◆　DHCPサーバの設定例

　SSG5-> set interface bgroup0 dhcp server service
　SSG5-> set interface bgroup0 dhcp server auto
　SSG5-> set interface bgroup0 dhcp server option gateway 192.168.1.1
　SSG5-> set interface bgroup0 dhcp server option netmask 255.255.255.0
　SSG5-> set interface bgroup0 dhcp server option dns1 2.2.2.1
　SSG5-> set interface bgroup0 dhcp server option dns2 2.2.2.2
　SSG5-> set interface bgroup0 dhcp server ip 192.168.1.33 to 192.168.1.126

つまり、（1）～（8）の流れの設定とはいえ、実質的には（2）の5行を設定するだけで、PPPoEによるインターネット
接続が問題なく行える、ということです。しかし、一般的にはインターフェースベースNATではなく、ポリシーベース
NATが使用される。ポリシーベースNATでは、どの送信元と宛先トラフィックをNAT変換するのか細かく設定可能。

PPPoE接続で確認すべきコマンド説明
get pppoe all 　PPPoEの接続ステータスを確認
get arp 　ARPキャッシュが行われているかを確認。ARPテーブルのクリアは clear arp。
get interface 　グローバルIPアドレスを取得できているかを確認
get route 　PPPoEサーバをネクストホップしたデフォルトルートの存在を確認
get policy 　ゾーン間におけるポリシーが許可されているかどうかを確認
get session 　NAT変換が行われ、問題なく通信できていることを確認
get config 　設定が正しく行われているかどうかを確認
get log event 　通信できない場合は、イベントログを確認ましょう。ログは clear event でクリア―できる。
　get log system saved 　SSGがDUMPを吐き出していないかを確認。吐き出している場合は機器に異常の可能性。
get tech-support 　通信に不具合が発生し、問題が解決しない場合に取得すべき全情報
ちなみに、SSGではGloblIPのLAN型払い出しの際に、例えばUntrustインターフェースで unnumbered で受けるような構成は取りません。
Untrustインターフェースに /28 のGlobal IPアドレスをそのまま受けることになる。あとは、VIPやMIPを利用してDMZセグメントを設けます。

【　付録： DNSプロキシの設定（オプション設定）】

先ほど紹介した通り、DHCPサーバでDNSサーバのIPアドレスをクライアントに配布すれば以下の設定は不要。
しかし例えばクライアントにDNSサーバのグローバルIPアドレスを配布したくない場合、つまりクライアントPCが
SSGをDNSサーバとして指定して名前解決をしたい場合のコマンドは以下となる。以下のコマンドの前提として
クライアントPCはe0/5配下のネットワークにいること、ISPから取得したDNSサーバのIPは「1.1.1.1」であること。

　SSG5-> set interface ethernet0/5 proxy dns
　SSG5-> set dns proxy
　SSG5-> set dns proxy enable
　SSG5-> set dns server-select domain * outgoing-interface ethernet0/0 primary-server 1.1.1.1

上記のように設定すれば、クライアントPCにとってはSSGがDNSサーバとして動作しているように見えます。
プライマリDNSサーバを1.1.1.1、セカンダリDNSサーバを2.2.2.2とし、そのFailoverを有効化したい設定は以下。
⇒　SSG5-> set dns server-select domain * outgoing-int ethernet0/0 primary-server 1.1.1.1 secondary-server 2.2.2.2 failover

なお、"set dns server-select domain"というコマンドは、本来は、選択したドメイン名のクエリ―を特定のDNS
サーバに転送する、という使い方として有用です。これにより関連のないサービス要求の処理をDNSサーバが
行わなくて済むという利点、トラフィックの保護という利点がある。SSGにおける"DNSプロキシ"はドメイン名の
一部または全てに従いDNSクエリーを特定のDNSサーバに転送する、ということが本来の活用方法ということ。

例えば、ドメイン名「*.abc.com」が含まれたFQDNに関連づけられたDNSクエリ―は、トンネルI/F (tunnel.1)を
経由して、192.168.0.1 のDNSサーバに問い合わせさせる設定は以下。※ IPsec-VPN接続の構成を想定。
⇒　SSG5-> set dns server-select domain .abc.com outgoing-interface tunnel.1 primary-server 192.168.0.1

そして、その他のDNSクエリ―全て（*)は、e0/0を経由し「8.8.8.8」のDNSサーバに問合わせする設定は以下。
⇒　SSG5-> set dns server-select domain * outgoing-interface ethernet0/0 primary-server 8.8.8.8

【参考1812Jとnetscreenでpppoe】

ということでやってみました。FWウォールは今週末にじっくり取り組みたいのでちょっと他のことをちょろちょろとやろうかと思います。1812JをPPPoEサーバにnetscreen 5GTをPPPoEクライアントにして接続してみました。

1812J設定

cilent/test というアカウントでpppoe接続してきた場合に10.0.0.2をクライアントに割り振る設定になってます。公式のドキュメントがさっと見つからなかったので、なんとなく見てまわったサイトから推測でいれたので細かい設定の意味まで追えてないです。

(config)# username client password test
(config)# bba-group pppoe global
(config-bba-group)# virtual-template 1
(config-bba-group)# ac name client

(config)# interface FastEthernet 0
(config-if)# ip address 10.0.0.1 255.255.255.0
(config-if)# pppoe enable group global

(config)# ip local pool client-pool 10.0.0.2

(config)# interface virtual-template 1
(config-if)# mtu 1454
(config-if)# ip unnumbered FastEthernet 0
(config-if)# peer default ip address pool client-pool
(config-if)# ppp authentication chap
netscreen設定

1812Jと比べてすごくシンプル！これだけで動きました。mypppoeというところはnameなので任意の名前がつけられるみたいです。

mindgw-> set pppoe name mypppoe
mindgw-> set pppoe name mypppoe username client password test
mindgw-> set pppoe name mypppoe interface untrust
mindgw-> set pppoe name mypppoe idle 0
get pppoeすると設定が確認できます。Connectedになってるので繋がってますね。

mindgw-> get pppoe all
Column E: Y - Instance is enabled, N - Instance is disabled
Id PPPoE Instance E Interface User Mac addr State
--------------------------------------------------------------------------
0 mypppoe Y untrust client 0010db70fc61 Connected
untrustのインタフェースの状態を確認。10.0.0.2が割り振られているのがわかります。

mindgw-> get interface untrust
Interface untrust:
description untrust
number 1, if_info 88, if_index 0, mode route
link up, phy-link up/full-duplex
vsys Root, zone Untrust, vr trust-vr
PPPoE instance mypppoe enabled
admin mtu 0, operating mtu 1492, default mtu 1492
*ip 10.0.0.2/32 mac 0010.db70.fc61
gateway 10.0.0.1
*manage ip 10.0.0.2, mac 0010.db70.fc61
route-deny disable
pmtu-v4 disabled
ping disabled, telnet disabled, SSH disabled, SNMP disabled
web disabled, ident-reset disabled, SSL disabled
DNS Proxy disabled, webauth disabled, webauth-ip 0.0.0.0
OSPF disabled BGP disabled RIP disabled RIPng disabled mtrace disabled
PIM: not configured IGMP not configured
bandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps]
configured ingress mbw 0kbps, current bw 0kbps
total allocated gbw 0kbps
DHCP-Relay disabled
DHCP-server disabled
Number of SW session: 2063, hw sess err cnt 0
念のためping

mindgw-> ping 10.0.0.1
Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 1 seconds
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=3/3/4 ms
なんかさほど苦労せずに動いたので物足りない...。そういえば1812Jで初めてPPPoEの設定をした時にリゾルバ(DNSサーバ)のアドレスが自動でつかないから手で設定した記憶がありますが、あれはIPCPの設定をすれば上手く行く様です。ついでに試しておくかな。

PPPoE接続の設定（その2）

前回の"SSG - PPPoEによるインターネット接続"では、デフォルト値を多く使用した内容となっていますが
ここではデフォルト値をあまり使用しない設定を紹介。PPPoEなどの基本設定は前回と同じであるため割愛。

【SSG - PPPoE Internet 2】

構成

PC(192.168.5.0/24)---SALES(0/5.1/24)SSG(0/0)UNTRUST---PPPOE
PC(192.168.6.0/24)---SALES(0/6.1/24)」

①　新たなゾーンの作成、ゾーンのI/Fへの割り当て、I/FへのIPアドレスの割り当て、routeモードの設定

　SSG5-> set zone name SALES
　SSG5-> set zone SALES vrouter trust-vr

　SSG5-> set interface ethernet0/5 zone SALES
　SSG5-> set interface ethernet0/5 ip 192.168.5.1/24
　SSG5-> set interface ethernet0/5 route

　SSG5-> set interface ethernet0/6 zone SALES
　SSG5-> set interface ethernet0/5 ip 192.168.5.1/24
　SSG5-> set interface ethernet0/5 route

②　アドレスブックの作成、マルチセルポリシーによる複数のサービス指定、DIPアドレスなしのNAT-src

　SSG5-> set address SALES SALESNW1 192.168.5.0 255.255.255.0
　SSG5-> set address SALES SALESNW2 192.168.6.0 255.255.255.0

　SSG5-> set group address SALES SALESNW add SALESNW1
　SSG5-> set group address SALES SALESNW add SALESNW2

　SSG5-> set policy id 2 from SALES to Untrust SALESNW any dns nat src permit
　SSG5-> set policy id 2
　SSG5(policy:5)-> set service ftp
　SSG5(policy:5)-> set service http
　SSG5(policy:5)-> set service https
　SSG5(policy:5)-> set service mail
　SSG5(policy:5)-> set service POP3
　SSG5(policy:5)-> set service ping
　SSG5(policy:5)-> exit

③　SSGでDHCPサーバ機能、DNSプロキシ機能を有効化

　SSG5-> set interface ethernet0/5 dhcp server service
　SSG5-> set interface ethernet0/5 dhcp server auto
　SSG5-> set interface ethernet0/5 dhcp server option gateway 192.168.5.1
　SSG5-> set interface ethernet0/5 dhcp server option netmask 255.255.255.0
　SSG5-> set interface ethernet0/5 dhcp server option dns1 192.168.5.1
　SSG5-> set interface ethernet0/5 dhcp server ip 192.168.5.10 to 192.168.5.254

　SSG5->set interface ethernet0/6 dhcp server service
　SSG5->set interface ethernet0/6 dhcp server auto
　SSG5->set interface ethernet0/6 dhcp server option gateway 192.168.6.1
　SSG5->set interface ethernet0/6 dhcp server option dns1 192.168.6.1
　SSG5->set interface ethernet0/6 dhcp server option netmask 255.255.255.0
　SSG5->set interface ethernet0/6 dhcp server ip 192.168.6.10 to 192.168.6.254

　SSG5-> set interface ethernet0/5 proxy dns
　SSG5-> set interface ethernet0/6 proxy dns

　SSG5-> set dns proxy
　SSG5-> set dns proxy enable
　SSG5-> set dns server-select domain * outgoing-interface ethernet0/0 primary-server 8.8.8.8

【SSG - Policy-Based VPN】

　SSGにおけるIPsec-VPN

Juniper SSGではIPsec-VPNによるVPN接続可能です。但し、SSL-VPNによるVPNは対応していません。
なお、IPsec-VPNの一般的なネットワーク技術は、「 VPNとは」をご参照ください。JuniperのVPN方式は、
ポリシーベースVPNとルートベースVPNの2種類があります。この記事ではポリシーベースVPNを紹介する。

　ポリシーベースVPNの設定

PC(172.16.1.5)---(Trust_e0/1_172.16.1.1)SSG(UnTrust_e0/0_1.1.1.1)----→
→----(UnTrust_e0/0_2.2.2.2)SSG(Trust_e0/1_172.16.2.1)---PC(172.16.2.5)

ポリシーベースVPNの設定は、以下の①～④の手順通りです。設定例は上図構成のOSAKA側のSSGを前提。

◆　① IKEフェーズ１ - IKEゲートウェイの作成
set ike gateway name address ip outgoing-interface int preshare key sec-level [ standard | basic | compatible ]

　SSG5-> set ike gateway P1TOKYO address 2.2.2.2 outgoing-int e0/0 preshare JUNI sec-level standard

◆　② IKEフェーズ2 - IKE VPNの作成
set vpn name gateway phase1name sec-level [ standard | basic | compatible ]

　SSG5-> set vpn P2TOKYO gateway P1TOKYO sec-level standard※ Configでは右記のように表示 ⇒　set vpn "P2TOKYO" gateway "P1TOKYO" no-replay tunnel idletime 0 sec-level standard
※ proposal をカスタマイズしたい場合は sec-level ではなくて "proposal g2-esp-3des-sha g2-esp-des-md5"のように設定する。
※ g2-esp-3des-sh の "g2"とは、Diffie-Hellman Group2 のことであり、鍵交換用のグループが Group2 であることを意味します。

◆　③ アドレスブックの作成
set address zone name ipaddress/mask

　SSG5-> set address Trust OSAKANW 172.16.1.0/24
　SSG5-> set address Untrust TOKYONW 172.16.2.0/24

◆　④ ポリシーの作成
set policy id number from zone to zone source-address dest-address service tunnel vpn name

　SSG5-> set policy from Trust to Untrust OSAKANW TOKYONW ANY tunnel vpn P2TOKYO
　SSG5-> set policy from Untrust to Trust TOKYONW OSAKANW ANY tunnel vpn P2TOKYO

IPsec-VPNの確認コマンド説明
ping 　上図では、ping 172.16.2.5 from e0/1 でトラフィックを生成してトンネルを確立。
get ike cookie 　IKEフェーズ1 の確認。"Active"がカウントされて、各情報が含まれたCookieの生成を確認。
get sa active 　IKEフェーズ2 の確認。"Sta"が"A（成功）"なのか確認。行き帰りの両トンネルの存在を確認。
get log event 　IKEフェーズ1、IKEフェーズ2 のログを確認。
IKEフェーズトラブルシューティングコマンド
IKE Phase 1 　get ike cookie / debug flow basic / debug ike / get log event
IKE Phase 2 　get sa active / unset ike policy-checking / debug ike / get log event

IPsec-VPN接続が上手く行われない場合は、以下の5点を再度ご確認下さい。それでも動作しない場合はバグを疑いましょう。

IPsec-VPNの確認コマンド説明
アドレスブックの不一致　network/length 含めて、両拠点のSSGのアドレスブックに対称性があるかを確認しましょう。
プロポーザルの不一致　両拠点のSSGで設定しているプロポーザルが完全一致か確認。Custom時は特に要注意。
Preshared-keyの不一致　両拠点のSSGで設定している事前共有鍵（preshare)が完全一致か確認しましょう。
出力 I/F の不一致　outgoing-interface で指定したインターフェースが外側（インターネット側）であるかを確認
ルーティングのチェック　ルーティングテーブルに宛先ネットワークへの経路情報が存在することを確認。

【SSG - Route-Based VPN】
トンネルインターフェースの特徴

トンネルインターフェースは仮想インターフェースであり物理的は存在しませんが、IPインターフェースである
ことから、ゾーン割り当て、I/F番号、IPアドレッシングといった他のインターフェースと同じ構成を必要とする。
トンネルインターフェースは固定IPアドレスを割り当てる構成、Unnumberedを使用する構成の2種類がある。

ルートベースVPNの設定
構成
PC(172.16.1.5)---(Trust_e0/1_172.16.1.1)SSG(UnTrust_e0/0_1.1.1.1)----→
→----(UnTrust_e0/0_2.2.2.2)SSG(Trust_e0/1_172.16.2.1)---PC(172.16.2.5)

ルートベースVPNの設定は、以下の①～④の手順通りです。設定例は上図構成のOSAKA側のSSGを前提。

◆　① トンネルインターフェースの作成
set interface tunnel.number zone name
set interface tunnel.number ip [ unnumbered interface interface | address/mask ]

　SSG5-> set interface tunnel.1 zone Trust
　SSG5-> set interface tunnel.1 ip unnumbered interface ethernet0/1

◆　② IKEフェーズ１ - IKEゲートウェイの作成
set ike gateway name address ip outgoing-interface int preshare key sec-level [ standard | basic | compatible ]
　SSG5-> set ike gateway P1TOKYO address 2.2.2.2 outgoing-int e0/0 preshare JUNI sec-level standard

◆　③ IKEフェーズ2 - AutoKey IKEの作成、バインドインターフェースの指定
set vpn name gateway phase1name sec-level [ standard | basic | compatible ]
set vpn name bind interface tunnel.number

　SSG5-> set vpn P2TOKYO gateway P1TOKYO sec-level standard
　SSG5-> set vpn P2TOKYO bind interface tunnel.1

※ Configでは右記のように表示 ⇒ set vpn "P2TOKYO" gateway "P1TOKYO" no-replay tunnel idletime 0 sec-level standard。
※ proposal をカスタマイズしたい場合は sec-level ではなくて "proposal g2-esp-3des-sha g2-esp-des-md5"のように設定する。

◆　④ ルーティングの設定
set route network interface tunnel.number
⇒　トンネルはポイントツーポイントであるため、ゲートウェイアドレスを指定する必要はない。
　SSG5-> set route 172.16.2.0/24 interface tunnel.1

ルートベースVPNの設定は以上であるが、トンネルインターフェースの位置によりポリシーを設定する必要です。
トンネルインターフェースがソースI/Fと同じゾーンにある場合、ingressとegress I/Fが同じゾーンにあることから
ポリシーは不要であり、トンネルインターフェースがソースI/Fと異なるゾーンにある場合、ポリシーが必要となる。
つまり上図構成のIPsec-VPNの範囲が示す通り、unnumberedの構成ではポリシーが不要であることが分かる。

IPsec-VPNの確認コマンド説明
ping 　上図では、ping 172.16.2.5 from e0/1 でトラフィックを生成してトンネルを確立。
get route ip 　上図では、get route ip 172.16.2.5 により、送出I/FがトンネルI/Fであるｋとおを確認。
get ike cookie 　IKEフェーズ1 の確認。"Active"がカウントされて、各情報が含まれたCookieの生成を確認。
get sa active 　IKEフェーズ2 の確認。"Sta"が"A（成功）"なのか確認。行き帰りの両トンネルの存在を確認。
get log event 　IKEフェーズ1、IKEフェーズ2 のログを確認。
IKEフェーズトラブルシューティングコマンド
IKE Phase 1 　get ike cookie / debug flow basic / debug ike / get log event
IKE Phase 2 　get sa active / unset ike policy-checking / debug ike / get log event

IPsec-VPN接続が上手く行われない場合は、以下の5点を再度ご確認下さい。それでも動作しない場合はバグを疑いましょう。

注意すべき点説明
プロキシIDの不一致　プロキシIDの不一致により、IKEフェーズ2でエラーが発生する。
プロポーザルの不一致　両拠点のSSGで設定しているプロポーザルが完全一致か確認。Custom時は特に要注意。
ポリシーベースのNAT 　トンネルインターフェースにIPアドレスが割り当てられない構成では、NATは正しく動作しない。
イントラゾーンブロッキング　ingressとegress I/Fが同じならポリシーは不要だが、イントラゾーンブロッキングがOFFが前提。
出力 I/F の不一致　outgoing-interface で指定したインターフェースが外側（インターネット側）であるかを確認
ルーティングのチェック　ルーティングテーブルに宛先ネットワークへの経路情報が存在することを確認。

また、トンネルインターフェースが、データトラフィックのingress I/Fであり、egress I/Fである点を認識しましょう。

【SSG - Policy-Based Configuration】
【SSG - Route-based Configuration】

構成
PC(172.16.1.5)---(Trust_e0/1_172.16.1.1)SSG(UnTrust_e0/0_1.1.1.1)----→
→----(UnTrust_e0/0_2.2.2.2)SSG(Trust_e0/1_172.16.2.1)---PC(172.16.2.5)
ポリシーベースVPN 設定例

　set hostname SSG5-1

　set int ethernet0/0 zone Untrust
　set int ethernet0/0 ip 1.1.1.1/24
　set int ethernet0/0 route

　set int ethernet0/1 zone Trust
　set int ethernet0/1 ip 172.16.1.1/24
　set int ethernet0/1 route

　set route 0.0.0.0/0 int e0/0 gateway 1.1.1.254

　set ike gateway P1TOKYO address 2.2.2.2 outgoing-int e0/0 preshare JUNI sec-level standard
　set vpn P2TOKYO gateway P1TOKYO sec-level standard
　
　set address Trust OSAKANW 172.16.1.0/24
　set address Untrust TOKYONW 172.16.2.0/24

　set policy id 1 from Trust to Untrust OSAKANW TOKYONW ANY tunnel vpn P2TOKYO
　set policy id 2 from Untrust to Trust TOKYONW OSAKANW ANY tunnel vpn P2TOKYO

　set hostname SSG5-2

　set int ethernet0/0 zone Untrust
　set int ethernet0/0 ip 2.2.2.2/24
　set int ethernet0/0 route

　set int ethernet0/1 zone Trust
　set int ethernet0/1 ip 172.16.2.1/24
　set int ethernet0/1 route

　set route 0.0.0.0/0 int e0/0 gateway 2.2.2.254

　set ike gateway P1OSAKA address 1.1.1.1 outgoing-int e0/0 preshare JUNI sec-level standard
　set vpn P2OSAKA gateway P1OSAKA sec-level standard

　set address Trust TOKYONW 172.16.2.0/24
　set address Untrust OSAKANW 172.16.1.0/24

　set policy id 1 from Trust to Untrust TOKYONW OSAKANW ANY tunnel vpn P2OSAKA
　set policy id 2 from Untrust to Trust OSAKANW TOKYONW ANY tunnel vpn P2OSAKA

【SSG - Route-based Configuration】

構成
PC(172.16.1.5)---(Trust_e0/1_172.16.1.1)SSG(UnTrust_e0/0_1.1.1.1)----→
→----(UnTrust_e0/0_2.2.2.2)SSG(Trust_e0/1_172.16.2.1)---PC(172.16.2.5)
ルートベースVPN 設定例

　set hostname SSG5-1

　set int ethernet0/0 zone Untrust
　set int ethernet0/0 ip 1.1.1.1/24
　set int ethernet0/0 route

　set int ethernet0/1 zone Trust
　set int ethernet0/1 ip 172.16.1.1/24
　set int ethernet0/1 route

　set interface tunnel.1 zone Trust
　set interface tunnel.1 ip unnumbered interface ethernet0/1

　set ike gateway P1TOKYO address 2.2.2.2 outgoing-int e0/0 preshare JUNI sec-level standard
　set vpn P2TOKYO gateway P1TOKYO sec-level standard
　set vpn P2TOKYO bind interface tunnel.1

　set route 172.16.2.0/24 interface tunnel.1
　set route 0.0.0.0/0 interface ethernet0/0 gateway 1.1.1.254

　set hostname SSG5-2

　set int ethernet0/0 zone Untrust
　set int ethernet0/0 ip 2.2.2.2/24
　set int ethernet0/0 route

　set int ethernet0/1 zone Trust
　set int ethernet0/1 ip 172.16.2.1/24
　set int ethernet0/1 route

　set interface tunnel.1 zone Trust
　set interface tunnel.1 ip unnumbered interface ethernet0/1

　set ike gateway P1OSAKA address 1.1.1.1 outgoing-int e0/0 preshare JUNI sec-level standard
　set vpn P2OSAKA gateway P1OSAKA sec-level standard
　set vpn P2OSAKA bind interface tunnel.1

　set route 172.16.1.0/24 interface tunnel.1
　set route 0.0.0.0/0 interface ethernet0/0 gateway 2.2.2.254

ポリシーベースVPN 設定例 ( CiscoルータとJuniper SSGとの接続 )

SSGとCiscoルータとでIPsec-VPN接続を行う場合のポリシーベースVPNの設定例は以下のとおりです。

構成
PC(172.16.1.5)---(Trust_e0/1_172.16.1.1)SSG(UnTrust_e0/0_1.1.1.1)----→
→----(gi0_2.2.2.2)892J(fa8_172.16.2.1)---PC(172.16.2.5)

　set hostname SSG5-1

　set int ethernet0/0 zone Untrust
　set int ethernet0/0 ip 1.1.1.1/24
　set int ethernet0/0 route

　set int ethernet0/1 zone Trust
　set int ethernet0/1 ip 172.16.1.1/24
　set int ethernet0/1 route

　set route 0.0.0.0/0 int e0/0 gateway 1.1.1.254

　set ike gateway P1TOKYO address 2.2.2.2 outgoing-int e0/0 preshare JUNI sec-level standard
　set vpn P2TOKYO gateway P1TOKYO sec-level standard
　
　set address Trust OSAKANW 172.16.1.0/24
　set address Untrust TOKYONW 172.16.2.0/24

　set policy id 1 from Trust to Untrust OSAKANW TOKYONW ANY tunnel vpn P2TOKYO
　set policy id 2 from Untrust to Trust TOKYONW OSAKANW ANY tunnel vpn P2TOKYO

　crypto isakmp policy 1
　encr 3des
　hash sha
　authentication pre-share
　group 2

　crypto isakmp key JUNI address 1.1.1.1

　crypto ipsec transform-set IPSEC esp-3des esp-sha-hmac

　crypto map M-ipsec 1 ipsec-isakmp
　set peer 1.1.1.1
　set transform-set IPSEC
　match address A-ipsec

　interface GigabitEthernet0
　ip address 2.2.2.2 255.255.255.0
　duplex auto
　speed auto
　crypto map M-ipsec

　interface FastEthernet8
　ip address 172.16.2.5 255.255.255.0
　duplex auto
　speed auto

　ip route 0.0.0.0 0.0.0.0 2.2.2.254

　ip access-list extended A-ipsec
　permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255

【JUNOS】
　JUNOS - ディレクトリ構造

JUNOSはFreeBSDをベースとしていることからディレクトリ構造になっています。主要なパスは以下の通り。

ディレクトリ説明
　　　　/config
　juniper.conf.gz / juniper.conf.1.gz / juniper.conf.2.gz / juniper.conf.3.gz のように
　現在使用しているコンフィグ（juniper.confi.gz）と過去3世代のコンフィグの格納場所。

　　　　/var/db/config 　4世代目（juniper.conf.4.gz)～49世代目(juniper.conf.49.gz)のコンフィグの格納場所。
　　　　/var/home 　各ユーザのホームディレクトリ。
　　　　/var/tmp 　コアダンプファイルの保存先、JUNOSの変更の際の一時保存先。
　　　　/var/log
　Syslogでローカルに保存するログを格納する場所（/var/log/messages）
　いわばdebugであるtracingファイルを保存する場所 ( /var/log/filename ）

　　　　/altroot 　the root file system (/) is backed up to /altroot
　　　　/altconfig 　/config directory is backed up to /altconfig

【JUNOS - shell/operational/config】
◇　show configratuion | display set
show configurationと入力した場合、コンフィグは階層的に表示されますが、| display set と入力する
ことで、設定コマンドとなるset形式でコンフィグが表示されます。（コンフィグの張り付けが可能な形式。）

◇　show configratuion | display set | no-more
このコマンドでは、show conf | display set の出力結果をさらにパイプで no-more に引き渡している。
これにより、set形式でコンフィグが表示されて、なおかつ ---(more)--- が表示されないようになる。

JUNOS - 複数ユーザのログインを無効

JUNOSではCisco IOSと同様に、同時に複数のユーザがログインし、設定などの操作を行うことが可能。
現在ログインしているユーザについては、show system usersコマンドによって確認することができます

なお、ログインするためのユーザ作成方法は以下。ここでは管理者権限のcoolというユーザを作成。
⇒　set system login user cool class super-user authentication plain-text-password

ちなみに、SRXならtelnetログインするために、以下のコマンドでtelnet通信を許可する必要もあります。
⇒　set system services telnet　と　set security zones security-zone trust host-inbound-traffic system-services telnet

【JUNOS - Active Config / Candidate Config】
この複数のユーザがログインできる状態である場合、誰かが設定を追加してcommitした場合、その他の
ログインしているユーザのコンフィグ全てに反映されることになる。コンフィグレーションモード移行の際に
configure exclusiveとすることで、自身が設定変更する際に他のユーザが変更をできないようにできます。

JUNOS - コンフィグの世代管理

JUNOSでは、50世代分のコンフィグを保持できます。commitするごとに、それまで有効であったActive
Configurationは、1世代前のコンフィグとして保存される。Candidate Configurationを、例えば3世代前の
Active Configurationにしたい場合は rollback 3 と入力します。つまり、"rollback 世代"という構文です。

commitコマンドで保存されたコンフィグの詳細は、rollback？で確認できます。

JUNOS - ActiveコンフィグとCandidateコンフィグの表示

Activeコンフィグレーションは、オペレーションモードでshow configurationコマンドにより表示できます。
Candiateコンフィグレーションは、グローバルコンフィグレーションモードで"show"により表示できます。

JUNOS - コンフィグの保存（save）、読込（load）

設定したコンフィグレーションは、commitにより有効化されるのと同時に、起動時に読み込まれる設定
ファイルである"juniper.conf.gz"に自動的に保存されます。コンフィグの保存方法については、この
設定ファイルに書き込む以外にも、別途ファイルとしてユーザのホームディレクトリなどに保存できます。

JUNOS - コンフィグの保存（save）、読込（load）

設定したコンフィグレーションは、commitにより有効化されるのと同時に、起動時に読み込まれる設定
ファイルである"juniper.conf.gz"に自動的に保存されます。コンフィグの保存方法については、この
設定ファイルに書き込む以外にも、別途ファイルとしてユーザのホームディレクトリなどに保存できます。

saveコマンドにより保存されたコンフィグを読み込むためには、loadコマンドを使用します。loadされた
コンフィグは、Candidateコンフィグとして読み込まれるため、有効化させたい場合はcommitする必要が
あります。loadする際にoverrideオプションを指定すれば、現在のcandidateコンフィグをすべて消去し
loadしたコンフィグを読み込みます。一方、mergeオプションを指定すれば、現在のcandidateコンフィグ
に、新たにロードしたコンフィグをマージしていきます。

commitコマンドの後には、以下のオプション値を付けられます。当方は"commit and-quit"をよく使用します。

commitコマンド説明
commit and-quit 　commit実施後に、オペレーションモードに移行。よく使用されるコマンド。
commit comment 　commitにコメントを残す。オペレーションモードでshow system commitで確認できる。
commit check 　commitせずに、コンフィグの整合性のみのをチェックする。
commit at 指定時間　指定した時間にcommitを行う。
commit confirmed 時間（分）
　指定時間後にcommit前の状態に戻す。一時的にcommitをし、設定時間内にcommitが
　実行されない場合に、自動的にroolbackが行われる。いわばお試し期間のcommitです。

【JUNOS - set / delete / edit / copy / rename】

JUNOS - 便利な差分チェック ( show | compare )

設定追加(set）や設定削除（delete）してから設定有効化（commit）する前に、当方が必ず実行している
コマンドがあります。それが "show | compare" です。Candidateコンフィグで行った変更箇所を示して
くれます。例えば、fe-0/0/0のIPアドレス192.168.1.1/24を削除し、192.168.2.1/24に設定したとします。

⇒　delete interfaces fe-0/0/0 unit 0 family inet address 192.168.1.1/24
⇒　set interfaces fe-0/0/0 unit 0 family inet address 192.168.2.1/24

そこで、show | compare と入力すると階層場所が指定された上で、設定が追加されたコマンドが + と
表示され、設定が削除されたコマンドが - と表示されます。

JUNOS - copyコマンドとrenameコマンド

例えば、fe-0/0/1の設定を、fe-0/0/0の設定と全く同じにしたい場合、copyコマンドを使用します。
これにより、インターフェース関連のパラメータをインターフェースごとに１つずつ設定しなくても済む。

root#copy interfaces fs-0/0/0 to fe 0/0/01

例えば、ポート収容の変更が発生して、fe-0/0/0に接続していた機器を、fe-0/0/2に接続すること
になった場合、fe-0/0/0に設定されていた内容を全て削除して、fe-0/0/2に設定したい場合には
renameコマンドを使用する。以下の設定例の場合は、fe-0/0/0の設定はI/F含めて削除される。

rename interfaces fe-0/0/0 to fe-0/0/2

【JUNOS - upgrade / license / root】
JUNOS - ダウンロードとアップグレード

JUNOSは、こちらのJuniper - Webサイト(http://www.juniper.net/support/downloads/junos.html)からダウンロードします。
JUNOSをダウンロードするためにはJUNOS取扱ベンダーなら、会社で発行してくれる
アカウントでログインすればダウンロードが可能です。

root>show version

root>show chassis hardware

root>show configuration display set | no-more
次に、現在使用中のファイルシステム、JUNOS、コンフィグなどの構成情報をSNAPSHOTとして取得する。
※ SNAPHOSTの取得が必要ない場合は、request system snapshot media usb コマンドは必須ではない。
※ 以下のコマンドでUSBメモリにバックアップを取った場合、そのUSBメモリは例えばPCで認識しなくなる。

root>reauest system snapshot media usb

次に、SRX100でJUNOSをバージョンアップするための設定をする。先ず、全てのコンフィグを削除。
root>configure
root#delete

◇　ライセンスキーバックアップとリストア
ライセンスをインストールしている場合は request system license save SRXLICENSE.txt コマンドによってライセンスキーを
SRX上にバックアップしましょう。インストールされているライセンスキーは、show system license keys コマンドにより確認できる。
適用されているライセンスを全て削除するためには request system license delete "ライセンス名" で1つずつ削除。ライセンス
キーをリストアするためには、request system license add SRXLICENSE.txt で、事前にバックアップしたものをリストアします。
※　SRXLICENSE.txt ファイルは、file show コマンドによって生成されていることが確認できます。/cf/root の配下に生成されます。

つづいて、FTPによるバージョンアップを行うための最小限の設定を行います。下図の構成を前提に設定。
FTP_SV---------------(fe-0/0/0 .1/24)SRX
192.168.1.10
infra
infra123

http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/sw/cat60/iosscg/chapter06/06_redund.html

Router# copy source_device : source_filename { disk0 | disk1 } : target_filename

または

Router# copy source_device : source_filename sup-bootflash: target_filename

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

Text.text

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

【トランク I0SとCatOS】

【ログをコンソールに出力させない設定】

【CatOs SPAN による複数ポートのモニタ】

【I0S SPAN】

【ルータをTFTPサーバにする】

【ntpサーバーとntpクライアントの設定】

【Module 電源 ON】

【FWSMログイン】

【tclsh】

【CDPの有効、無効】

【CDPの情報確認】

【telnetの検証・中断・再開】

【copyコマンド色々】

【ルータとTFTPサーバ　IOSアップロード/ダウンロード】

【IOS無しの復旧方法(BOX)】

【正しいドリカバリーCisco 2600シリーズ】

【CatalystBoxType　パスワードリカバリー】

【Catalyst4900Mポート　Tengiga⇔giga変換】

【コンソールサーバの作り方】

【ボーレート変更】

【sakura】

【まくろ①】

【まくろ②】

【まくろ③】

【CiscoとYAMAHAのPPPoe】

【CiscoとYAMAHAのIpsec】

【RTX-1100とCatalyst 2924XLのtrunk 接続】

【YAMAHA_pass-log】

【YAMAHAコンソールの列数調整】

【RTX-1200コマンド一覧】

【AppreciaL2 ミラーポート】

【★アプレシアL2SW ファームアップ手順】

【AppreciaL2 ミラーポート】

【AppreciaL2 Vlanの作成、トランク/アクセスポートの作成】

【GR2000のPWリカバリあるいはデフォルトリスタート】

【AXシリーズのPWリカバリあるいはデフォルトリスタート】

【トランク I0SとCatOS】

［CatOs］

#module 1 : 2-port 1000BaseX Supervisor

set Module name 1

set vlan 10 1/1-2

set port trap 1/1-2 enable

clear trunk 1/1 1-9

set trunk 1/1 on dotla 10-1005, 1025-4094

clear trunk 1/2 1-9

set trunk 1/2 on dotlQ 10-1005, 1025-4094

set port channel 1/1-2 mode off

↑↓

[IOS]

interface GigabitEthernetO/1

switchport trunk encapsulation dotla

switchport trunk native vlan 10

switchport trunk allowed vlan 10-1005, 1025-4094

switchport mode trunk

【ログをコンソールに出力させない設定】

conf t

logging console informational

end

clear line console O

【CatOs SPAN による複数ポートのモニタ】

switch （enable) set span 1/1, 1/3-5 1/2

1/1, 1/3-5を1/2でモニタするの意

【10S SPAN】

C2950#configure terminal

C2950(config)#

C2950(config)#monitor session l source interface fastethernet O/2

!一一一インターフェイスファストイーサネット0/2が、送信元ポートとして定されます。

C2950(config)#monitor session l destination interface fastethernet O/3

!一一インターフェイスファストイーサネット0/3が、宛先ポートとして設定されます

【ルータをTFTPサーバにする】

configure terminal コマンドを使って、Router1をTFTPサーバとして設定する。

Router1(config)#tftp-server flash:c2600-c-mz.123-26.bin

!--このコマンドによって、ルータがTFTPサーバとして設定されます。

【ntpサーバーとntpクライアントの設定】

･ ntpサーバ側

Router_2501_A(config)＃ntp master

･ ntpクライアント側

ntp server サーバのアドレス

【Module電源 ON】

power enable module

no power enable module

【FWSMログイン】

Router#tsession slot 1 processor 1

Trying 127.0.0.61 ‥. Open

【tclsh】

tclsh

foreach i {

150.1.1.1

164.1.47.7

150.1.7.7

164.1.7.7

164.1.14.7

164.1.31.7

150.1.8.8

164.1.24.8

164.1.32.8

164.1.18.8

164.1.43.9

150.1.9.9

164.1.31.9

164.1.32.9

164.1.43.10

150.1.10.10

164.1.14.10

164.1.24.10

} { ping $i }

【CDPの有効、無効】

http://www.geocities.jp/yasasikukaitou/CCNA3.txt

デフォルトではCDPは有効になっている。

(config)#no cdp run 'すべてのインターフェースでCDPを無効にする

(config)#cdp run 'すべてのインターフェースでCDPを有効にする

(config-if)#no cdp enable　　　　　　'特定のインターフェースでCDPを無効にする

(config-if)#cdp enable '特定のインターフェースでCDPを有効にする

【CDPの情報確認】

#show cdp 'CDPの送信間隔、ホールドタイム、CDPバージョンの表示

(config)#cdp timer 100 'CDPの送信時間を１００秒に設定（５～２５４秒内）

(config)#cdp holdtime 200 'ホールドタイムを２００秒に設定（１０～２５５秒内）

(config)#no cdp advertise-v2 'CDPバージョン２を無効にする＝バージョン１の利用

#show cdp interface e0 '特定のインターフェースのCDP情報の表示

#show cdp neighbors '隣接デバイスのCDP情報の要約

　　　　　　　　　　　　隣接デバイスの名前、ローカルインターフェース、ホールドタイム値、

　　　　　　　　　　　　デバイスの種類、プラットフォーム、相手のインターフェース

#show cdp neighbors detail '隣接デバイスのCDP情報の詳細

　　　　　　　　　　　　　　show cdp neighborsの情報＋ネットワークアドレス、IOS情報

#clear cdp table 'CDP情報のクリア

#show cdp traffic 'CDPのトラフィックエラー情報

#clear cdp counters 'CDPのトラフィック情報のクリア

【telnetの検証・中断・再開】

(Ctlr+shift+6)+xで、ローカルの操作にもどることができる。

#show sessions '自分がtelnet接続しているリモート端末を表示

#disconnect 1 '自分から張ったtelent接続をコネクション番号を指定して終了

#resume 1 '再びリモート操作に戻る

#show users '自分に対して張られたtelnet接続セッションを表示

#clear line 1 '自分に対して張られているtelnet接続をきる

【copyコマンド色々】

(1)IOSをTFTPサーバへバックアップ

(config)#no ip routing　　　　　　　　　　　'IPルーティングは不要なので一時的に無効にする

(config)#ip default-gateway TFTPｻｰﾊﾞｱﾄﾞﾚｽ　 'TFTPサーバを指定　PC側でもﾃﾞﾌｫﾙﾄｹﾞｰﾄｳｪｲをルータに指定

#copy flash tftp　　　　　　　　　　　　　 'flashのIOSをTFTPへコピー(対話形式）

(2)TFTPサーバからFlashへIOSをダウンロード

#copy tftp flash　　　　　　　　　　　　　　'TFTPのIOSをFlashへダウンロード（対話形式）

(3)ルータをTFTPサーバに見立て、IOSをダウンロード

まず、ルータ同士をFastEthernet（クロスケーブル）で接続し、IPアドレスを設定しておく必要がある。

・ルータ(TFTP)側

(config)#tftp-server flash: c2600-d-mz.122-3.bin

・ダウンローする側のルータ

#copy tftp flash

【IOS無しの復旧方法(BOX)】

IOSの破損や誤ってIOSを削除した場合、電源を落とさなければ上記の方法で復旧できるが、

電源を落とした場合はROMモードで起動するため上記の方法での復旧はできない。

ROMモードでの復旧方法には、tftpdnld、xmodemコマンドがある。

(1)tftpdnldコマンドによる復旧方法

rommon 1>set '現在の設定を表示する

rommon 2>unset IP_ADDESS=10.0.0.2 'unsetコマンドで設定の削除ができる

rommon 3>IP_ADDRESS=10.0.0.4　　　　　　'削除した設定の変更

rommon 4>tftpdnld 'TFTPサーバからIOSをダウンロードする

rommon 5>confreg 0x2102 'config-registerを変更

rommon 6>reset '再起動

(2)xmodemコマンドによる復旧方法

rommon 1>confreg '現在のconfig-registerを表示

・コンソールスピードを変更しますか？にはyを設定し、

　コンソールスピードを変更する

・PC側でもいったんターミナルソフトを終了し、スピードを再設定して起動する。

rommon 2>reset '再起動

rommon 1>xmodem -c c2600-d-mz.122-3.bin 'ダウンロードするIOSの指定

・PC側でのハイパーターミナルソフトで、

転送＞ファイルの送信をクリックし、IOSファイルを指定しプロトコルをxmodemにして送信する。

rommon 2>confreg 0x2102

rommon 3>confreg

・コンソールスピードを変更しますか？にはyを設定し、

　コンソールスピードをもとの9600bpsに戻す

・PC側でもいったんターミナルソフトを終了し、スピードを再設定して起動する。

rommon 4>reset

【正しいドリカバリーCisco 2600シリーズ】

ルータを再起動し、Break信号を送ってROMモニタモードで起動。

rommon 1>confreg 0x2142 '設定を読み込ませないようにconfig-register値を変更

rommon 2>sync　　　　　　　　　 '設定を保存

rommon 3>reset　　　　　　　　　'再起動

Router>enable

Router#copy start run

HIRO#

HIRO#configure terminal

HIRO(config)#enable secret hiro

HIRO(config)#line con 0

HIRO(config-line)#login

HIRO(config-line)#password hiro

HIRO(config-line)#end

HIRO#copy run start

【CatalystBoxType　パスワードリカバリー】

Cisco Catalyst 固定構成レイヤ 2 およびレイヤ 3 スイッチのパスワード回復手順

目次

概要

はじめに

表記法

前提条件

手順

関連情報

概要

このドキュメントでは、Cisco Catalyst レイヤ 2 固定構成スイッチ 2900XL/3500XL、2940、2950/2955、2960、および 2970 シ

リーズ、さらに、Cisco Catalyst レイヤ 3 固定構成スイッチ 3550、3560、および 3750 シリーズのパスワード回復手順につい

て説明しています。

はじめに

表記法

ドキュメント表記の詳細は、『シスコテクニカルティップスの表記法』を参照してください。

前提条件

このドキュメントに適用される特定の前提条件はありません。

手順

次のパスワード回復手順に従います。

ターミナルまたはターミナルエミュレーション（たとえば、Hyper Terminal）を装備する PC をスイッチのコンソールポ

ートに接続します。

1.

次のターミナル設定を使用します。

ビット/秒（ボー）： 9600

データビット： 8

パリティ：なし

ストップビット： 1

フロー制御：Xon/Xoff

注：コンソールポートへのケーブル接続とターミナル接続についての追加情報は、『Catalyst スイッチのコンソールポー

トに端末を接続する方法』を参照してください。

2. 電源コードのプラグを抜きます。

3. スイッチの電源を投入して switch: プロンプトが表示されるようにします。

2900XL、3500XL、2940、2950、2960、2970、3550、3560、および 3750 シリーズスイッチの場合は、次の手順を実行します。

前面パネルの左側にある Mode ボタンを押したままの状態で、電源コードをスイッチに再接続します。

Catalyst スイッチシリーズ

LED の挙動と Mode ボタンの解放操作

2900XL, 3500XL, 3550 Port1x の上にある LED が消えたら、Mode ボタンを放します。

2940, 2950

ステータス（STAT）LED が消えておよそ 5 秒後に Mode ボタンを放します。 Mode ボタンを放すと、SYST LED はオレンジ色で点滅します。

SYST LED がオレンジ色の点滅から緑色の点灯に変わったら、Mode ボタンを放します。 Mode ボタンを放すと、SYST LED は緑色で点滅します。

2960, 2970,3560, 3750

SYST LED が緑色に点灯しておよそ 15 秒後に Mode ボタンを放します。 Mode ボタンを放すと、SYST LED は緑色で点滅します。

注：LED の位置は、モデルにより若干異なる場合があります。

2955 シリーズスイッチのみ：

Catalyst 2955 シリーズスイッチでは、パスワードの回復に外部 Mode ボタンは使用しません。それに代り、パスワード

回復目的のために、スイッチブートローダがブレークキー検出を使用して自動ブートシーケンスを停止します。

ブレークシーケンスは、使用しているターミナルアプリケーションおよびオペレーティングシステムによって異なります。

Hyperterm が Windows 2000 で稼働している場合は、Ctrl + Break キーを使用します。 UNIX が稼働するワークステーショ

ンでは、Ctrl-C がブレークキーです。詳細については、『パスワード回復中の標準的なブレークキーシーケンスの組み合せ』

を参照してください。

次の例では、2955 で Hyperterm を使用して、switch:モードに切り替えています。

C2955 Boot Loader (C2955-HBOOT-M) Version 12.1(0.0.514), CISCO DEVELOPMENT TEST

VERSION

Compiled Fri 13-Dec-02 17:38 by madison

WS-C2955T-12 starting...

Base ethernet MAC Address: 00:0b:be:b6:ee:00

Xmodem file system is available.

Initializing Flash...

flashfs[0]: 19 files, 2 directories

flashfs[0]: 0 orphaned files, 0 orphaned directories

flashfs[0]: Total bytes: 7741440

flashfs[0]: Bytes used: 4510720

flashfs[0]: Bytes available: 3230720

flashfs[0]: flashfs fsck took 7 seconds.

...done initializing flash.

Boot Sector Filesystem (bs:) installed, fsid: 3

Parameter Block Filesystem (pb:) installed, fsid: 4

*** The system will autoboot in 15 seconds ***

Send break character to prevent autobooting.

!--- このメッセージが表示されるまで待ってから

!--- ブレークシーケンスを発行します。

!--- Hyperterm を使用して Ctrl+Break キーを押します。

The system has been interrupted prior to initializing the flash file system to finish

loading the operating system software:

flash_init

load_helper

boot

switch:

4. flash_init コマンドを発行します。

switch: flash_init

Initializing Flash...

flashfs[0]: 143 files, 4 directories

flashfs[0]: 0 orphaned files, 0 orphaned directories

flashfs[0]: Total bytes: 3612672

flashfs[0]: Bytes used: 2729472

flashfs[0]: Bytes available: 883200

flashfs[0]: flashfs fsck took 86 seconds

....done Initializing Flash.

Boot Sector Filesystem (bs:) installed, fsid: 3

Parameter Block Filesystem (pb:) installed, fsid: 4

switch:

!--- この出力は、2900XL スイッチからの出力です。

!--- 他のスイッチからの出力は、若干異なります。

5. load_helper コマンドを発行します。

switch: load_helper

switch:

6. dir flash: コマンドを発行します。

注：dir flash の後に必ずコロン「:」を入力してください。

スイッチのファイルシステムが表示されます。

switch: dir flash:

Directory of flash:/

2 -rwx 1803357 <date> c3500xl-c3h2s-mz.120-5.WC7.bin

!--- これはソフトウェアの現在のバージョンです。

4 -rwx 1131 <date> config.text

!--- これはコンフィギュレーションファイルです。

5 -rwx 109 <date> info

6 -rwx 389 <date> env_vars

7 drwx 640 <date> html

18 -rwx 109 <date> info.ver

403968 bytes available (3208704 bytes used)

switch:

!--- この出力は、3500XL スイッチからの出力です。

!--- 他のスイッチからの出力は、若干異なります。

7. rename flash:config.text flash:config.old と入力して、コンフィギュレーションファイル名を変更します。

switch: rename flash:config.text flash:config.old

switch:

!--- config.text ファイルは、パスワード定義を

!--- 含みます。

8. boot コマンドを発行して、システムをブートします。

switch: boot

Loading "flash:c3500xl-c3h2s-mz.120-5.WC7.bin"...###############################

################################################################################

######################################################################

File "flash:c3500xl-c3h2s-mz.120-5.WC7.bin" uncompressed and installed, entry po

int: 0x3000

executing...

!--- 出力を省略。

!--- この出力は、3500XL スイッチからの出力です。

!--- 他のスイッチからの出力は、若干異なります。

9. プロンプトで「n」を入力して、初期設定ダイアログを中断します。

--- System Configuration Dialog ---

At any point you may enter a question mark '?' for help.

Use ctrl-c to abort configuration dialog at any prompt.

Default settings are in square brackets '[]'.

Continue with configuration dialog? [yes/no]: n

!--- いいえの場合は、「n」を入力します。

Press RETURN to get started.

!--- Return キーまたは Enter キーを押します。

Switch>

!--- Switch> プロンプトが表示されます。

10. Switch プロンプトで en と入力して、イネーブルモードに入ります。

Switch>en

Switch#

11. rename flash:config.old flash:config.text と入力して、コンフィギュレーションファイル名を元の名前に戻します。

Switch#rename flash:config.old flash:config.text

Destination filename [config.text]

!--- Return キーまたは Enter キーを押します。

Switch#

12. コンフィギュレーションファイルをメモリへコピーします。

Switch#copy flash:config.text system:running-config

Destination filename [running-config]?

!--- Return キーまたは Enter キーを押します。

1131 bytes copied in 0.760 secs

Sw1#

コンフィギュレーションファイルは、これでリロードされます。

不明な現在のパスワードを書き換えてください。少なくとも 1 つの大文字、1 つの数字および 1 つの特殊文字を使用し

て、強力なパスワードを選択します。

13.

注：必要なパスワードを上書きしてください。これらのパスワードをすべて上書きする必要はありません。

Sw1# conf t

!--- 既存のシークレットパスワードに上書きします。

Sw1(config)#enable secret <new_secret_password>

!--- 既存のイネーブルパスワードに上書きします。

Sw1(config)#enable password <new_enable_password>

!--- 既存の vty パスワードに上書きします。

Sw1(config)#line vty 0 15

Sw1(config-line)#password <new_vty_password>

Sw1(config-line)#login

!--- 既存のコンソールパスワードに上書きします。

Sw1(config-line)#line con 0

Sw1(config-line)#password <new_console_password>

write memory コマンドを使用して、実行コンフィギュレーションをコンフィギュレーションファイルとして書き出してく

ださい。

14.

Sw1#write memory

Building configuration...

[OK]

Sw1#

【Catalyst4900Mポート　Tengiga⇔giga変換】

　hw-module

　Switch (config) hw-module slot.3 port-group 1 select gi

　Switch (config) hw-module slot 3 port-group 1 select glgabitethernet

【コンソールサーバの作り方】

　telnet設定プラス以下の設定。

　lo interfaceのアドレスが1.1.1.1/24

line 0/0/0 0/0/7

transport input all

stopbits 1

1.1.1.1　2018 （ポート番号－show lineで確認）で他の機器に接続OK

【ボーレート変更】

　enable

　terminal speed 115200

【sakura】

正規表現にチェック

文字列2つ以上　．

消したい文字列1つ

置換前：.*xxx.*\n

置換後：

消したい文字列2つ以上

置換前：.*xxx①.*\n|.*xxx②.*\n

置換後：

xxxを含む行を空行に（改行だけ残す）

置換前： .*xxx[^\r\n]*

置換後：

CSCの文字前で改行

\nCSC

CSCの文字後で改行

CSC\n

・スペース・タブだけの行 ⇒ スペース・タブを削除し、空行にする場合。

置換前：^[ \t]+([\r\n])

置換後：$1

・スペース・タブだけの行 ⇒ 行をバッサリ削除する場合。

置換前：^[ \t]+[\r\n]+

置換後：

・何も無い空行を削除する場合。

置換前：^[\r\n]+

置換後：

・何も無い空行、またはスペースタブのみの行を削除する場合。

置換前：^[ \t]*[\r\n]+

置換後：

さらに、これらの中で自分がよく使う物なんかがあれば、マクロ化しておけば良し

改行削除

置換前:\r\n

置換後：

行頭が数字でない行削除

置換前：　　　　^[^0-9].*
置換後：　　　　　

【まくろ①】

sendln 'telnet 1.1.1.1'

wait 'Password: ' '% Connection '

if result=2 then

goto label1

endif

sendln 'cisco'

sendln

sendln

sendln 'enable'

wait 'Password: '

sendln'cisco'

wait '#'

logopen 'C:\Documents and Settings\user\デスクトップ\新しいフォルダ\day_1.1.1.1 log.txt' 0 0

sendln 'terminal length 0'

wait '#'

sendln 'show ip route'

wait '#'

logclose

sendln 'exit'

wait '>'

:label1

sendln 'telnet 1.1.2.1'

wait 'Password: ' '% Connection '

if result=2 then

goto label2

endif

sendln 'cisco'

sendln 'enable'

wait 'Password: '

sendln'cisco'

wait '#'

logopen 'C:\Documents and Settings\user\デスクトップ\新しいフォルダ\day_1.1.2.1_log.txt' 0 0

sendln 'terminal length 0'

wait '#'

sendln 'show ip route'

wait '#'

logclose

sendln 'exit'

wait '>'

:label2

sendln 'telnet 1.1.3.1'

wait 'Password: ' '% Connection '

if result=2 then

goto label3

endif

sendln 'cisco'

sendln 'enable'

wait 'Password: '

sendln'cisco'

wait '#'

logopen 'C:\Documents and Settings\user\デスクトップ\新しいフォルダ\day_1.1.3.1_log.txt' 0 0

sendln 'terminal length 0'

wait '#'

sendln 'show ip route'

wait '#'

logclose

sendln 'exit'

wait '>'

:label3

sendln 'telnet 1.1.4.1'

wait 'Password: ' '% Connection '

if result=2 then

goto label4

endif

sendln 'cisco'

sendln 'enable'

wait 'Password: '

sendln'cisco'

wait '#'

logopen 'C:\Documents and Settings\user\デスクトップ\新しいフォルダ\day_1.1.4.1_log.txt' 0 0

sendln 'terminal length 0'

wait '#'

sendln 'show ip route'

wait '#'

logclose

sendln 'exit'

wait '>'

:label4

sendln 'telnet 1.1.5.1'

wait 'Password: ' '% Connection '

if result=2 then

goto label5

endif

sendln 'cisco'

sendln 'enable'

wait 'Password: '

sendln'cisco'

wait '#'

logopen 'C:\Documents and Settings\user\デスクトップ\新しいフォルダ\day_1.1.5.1_log.txt' 0 0

sendln 'terminal length 0'

wait '#'

sendln 'show ip route'

wait '#'

logclose

sendln 'exit'

wait '>'

:label5

sendln 'telnet 1.1.6.1'

wait 'Password: ' '% Connection '

if result=2 then

goto label6

endif

sendln 'cisco'

sendln 'enable'

wait 'Password: '

sendln'cisco'

wait '#'

logopen 'C:\Documents and Settings\user\デスクトップ\新しいフォルダ\day_1.1.6.1_log.txt' 0 0

sendln 'terminal length 0'

wait '#'

sendln 'show ip route'

wait '#'

logclose

sendln 'exit'

:label6

【まくろ②】

while 1

sendln

sendln

sendln 'clear counters'

sendln

pause 3

wait '%CLEAR-5-COUNTERS:'

sendln

sendln

sendln 'show clock'

sendln

sendln

sendln 'ping ip 1.1.1.1'

wait '#'

sendln 'ping ip 1.1.2.1'

wait '#'

sendln

sendln

pause 3

sendln

sendln

sendln

sendln 'show interfaces lo1'

sendln

sendln

sendln

sendln

sendln

sendln

sendln 'telnet 1.1.2.1'

sendln

sendln

wait 'Password: '

sendln 'cisco'

sendln

sendln

sendln

sendln

sendln 'enable'

wait 'Password: '

sendln 'cisco'

sendln

sendln

sendln

sendln

wait '#'

sendln

sendln

sendln 'show interfaces lo2'

wait '#'

sendln

sendln

sendln

sendln

sendln 'clear counters'

sendln

sendln

sendln

wait '%CLEAR-5-COUNTERS:'

sendln

sendln 'exit'

sendln

sendln

endwhile

【まくろ③】

;; 【事前】事前ログ取得用マクロv2.ttl
;; 2011/03/15
;; ver 1.0.0

inputbox '試験番号を入力してください' '試験番号'
shot = inputstr

inputbox '試験回数を入力してください' '試験回数' '1'
num = inputstr

;; 日付の取得
getdate Str_Getdate
strcopy Str_Getdate 1 4 Str_Year ;YYYY
strcopy Str_Getdate 6 2 Str_Mon ;MM
strcopy Str_Getdate 9 2 Str_Day ;DD

;; 時間の取得
gettime Str_Gettime
strcopy Str_Gettime 1 2 Str_Hour ;HH
strcopy Str_Gettime 4 2 Str_Minute ;MM
strcopy Str_Gettime 6 2 Str_Second ;SS

strconcat yymmdd Str_Year
strconcat yymmdd Str_Mon
strconcat yymmdd Str_Day

timeout = 10

;; #1にTELNETで接続

connect '1.1.1.1:23 /nossh'

wait 'login:'

sendln 'adpro'

wait '1>'

sendln 'enable'

sendln

wait '1>'

sprintf2 filename1 'C:\log\%s_1_show ip route_%s_%s.txt' shot yymmdd num

logopen filename1 0 1

sendln 'show ip route'

wait '1#'

wait '1#'

logclose

closett

sprintf2 filename1 'C:\log\%s_1_show ip route_%s_%s.txt' shot yymmdd num

fileopen fhandle filename1 1
filewrite fhandle Str_Getdate
filewrite fhandle ' '
filewrite fhandle Str_Gettime
filewrite fhandle ' '
fileclose fhandle

【CiscoとYAMAHAのPPPoe】

pppoe
topology
Cisco(PPPOEServer)-Yamaha(PPPOEClient)

PPPOEServer
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no aaa new-model
memory-size iomem 5
ip cef
!
multilink bundle-name authenticated
!
!
username cisco password 0 cisco
archive
log config
hidekeys
!
!
bba-group pppoe test
virtual-template 1
!
bba-group pppoe test[]
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
pppoe enable group test
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Virtual-Template1
mtu 1454
ip address 200.200.200.1 255.255.255.0
peer default ip address pool test1
ppp authentication chap
!
ip local pool test1 200.200.200.2
ip forward-protocol nd
!
ip http server
no ip http secure-server
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
!
end

client
yamaha

# Memory 16Mbytes, 2LAN
ip lan1 address 10.10.10.10/24
pp select 1
pp always-on on
pppoe use lan2
pp auth accept chap
pp auth myname cisco cisco
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ccp type none
ip pp address 200.200.200.2/24
ip pp mtu 1454
pp enable 1
ip route default gateway pp 1
#

【CiscoとYAMAHAのIpsec】
R1tunnel1# show config
# RT105e Rev.6.03.28 (Thu Jul 24 16:44:14 2003)
# MAC Address : 00:a0:de:17:99:ec, 00:a0:de:17:99:ed
# Memory 16Mbytes, 2LAN
administrator password *
security class 1 on on
console prompt R1
ip lan1 address 1.1.1.2/24
ip lan1 ospf area backbone
ip lan2 address 1.1.2.1/24
ip lan2 ospf area backbone
ip lan2 nat descriptor 1
tunnel select 1
ipsec tunnel 101
tunnel enable 1
ip route 1.1.4.0/24 gateway tunnel 1
nat descriptor type 1 nat
nat descriptor address outer 1 1.1.2.1-1.1.2.10
nat descriptor address inner 1 1.1.1.1-1.1.1.10
ospf use on
ospf router id 1.1.2.1
ospf area backbone
ipsec auto refresh on
ipsec ike duration ipsec-sa 1 24000
ipsec ike duration isakmp-sa 1 24000
ipsec ike local address 1 1.1.2.1
ipsec ike pre-shared-key 1 text himitsu
ipsec ike remote address 1 1.1.3.2
ipsec sa policy 101 1 esp des-cbc
R1tunnel1#

R2# show config
# RT105e Rev.6.03.28 (Thu Jul 24 16:44:14 2003)
# MAC Address : 00:a0:de:16:86:65, 00:a0:de:16:86:66
# Memory 16Mbytes, 2LAN
administrator password *
security class 1 on on
console prompt R2
ip lan1 address 1.1.3.2/24
ip lan1 ospf area backbone
ip lan2 address 1.1.4.1/24
ip lan2 ospf area backbone
tunnel select 1
ipsec tunnel 101
tunnel enable 1
ip route default gateway tunnel 1 filter 1
ip route 1.1.1.0/24 gateway tunnel 1
ip filter 1 pass 1.1.4.1-1.1.4.10 *
ospf use on
ospf router id 1.1.3.2
ospf area backbone
ipsec auto refresh on
ipsec ike duration ipsec-sa 1 24000
ipsec ike duration isakmp-sa 1 24000
ipsec ike local address 1 1.1.3.2
ipsec ike pre-shared-key 1 text himitsu
ipsec ike remote address 1 1.1.2.1
ipsec sa policy 101 1 esp des-cbc
R2#

R3#show running-config
Building configuration...

Current configuration : 1011 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
enable password cisco
!
ip subnet-zero
ip cef
!
no ip domain-lookup
!
interface Loopback0
ip address 1.1.1.10 255.255.255.255
!
interface Loopback1
ip address 1.1.1.11 255.255.255.255
!
interface Loopback2
ip address 1.1.1.12 255.255.255.255
!
interface Loopback3
ip address 1.1.1.13 255.255.255.255
!
interface Loopback4
ip address 1.1.1.14 255.255.255.255
!
interface Loopback5
ip address 1.1.1.15 255.255.255.255
!
interface Ethernet0/0
ip address 1.1.2.3 255.255.255.0
half-duplex
!
interface Ethernet0/1
ip address 1.1.3.3 255.255.255.0
half-duplex
!
router ospf 1
log-adjacency-changes
network 1.1.1.13 0.0.0.0 area 0
network 1.1.1.14 0.0.0.0 area 0
network 1.1.1.15 0.0.0.0 area 0
network 1.1.2.3 0.0.0.0 area 0
network 1.1.3.3 0.0.0.0 area 0
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
end

【RTX-1100とCatalyst 2924XLのtrunk 接続】

RTX-1100の設定の該当部分は下記の通りです。

--------------------------------------------
lan type lan2 100-fdx
vlan lan2/1 802.1q vid=101 name=vlan101
vlan lan2/2 802.1q vid=102 name=vlan102
ip lan2/1 address 192.168.101.1/24
ip lan2/2 address 192.168.102.1/24
ip filter 100 pass * * * * *

Catalyst 2924XL
2924XLの設定の該当部分は下記の通りです。
--------------------------------------------
no spanning-tree vlan 101
no spanning-tree vlan 102

interface FastEthernet0/10
description vlan101
switchport access vlan 101
no cdp enable
!
interface FastEthernet0/20
description vlan102
switchport access vlan 102
no cdp enable

interface FastEthernet0/24
description trunk-to-RTX1100
duplex full
speed 100
switchport trunk encapsulation dot1q
switchport mode trunk
no cdp enable

【YAMAHA_pass-log】
ip filter 1000 pass-log * *

ip tunnel secure filter in/out 1000
ip lan1 secure filter in/out 1000
ip pp secure fileter in/out 1000
syslog notice on

【YAMAHAコンソールの列数調整】
KyotenRouter6# console columns ?
入力形式： console columns カラム数
カラム数 = 80-200
　　説明：コンソール画面に表示するカラム数を設定します

【RTX-1200コマンド一覧】
KyotenRouter6# show command
account threshold: 課金の閾値を設定します
account threshold bri1: 課金の閾値を設定します
account threshold pp: 課金の閾値を設定します
administrator: 管理ユーザとしてログインします
administrator password: 管理パスワードを設定します
administrator password encrypted: 管理パスワードを設定します
設定されたパスワードは暗号化して保存されます
alarm batch: バッチファイル実行機能に関連するアラームを鳴らすかどうかを設定します
alarm entire: 有効になっているアラーム音を鳴らすか、全く鳴らさないかを設定します
alarm http revision-up: HTTPリビジョンアップ機能に関連するアラームを鳴らすかどうかを設定します
alarm http upload: HTTPアップロード機能に関連するアラームを鳴らすかどうかを設定します
alarm lua: Luaスクリプト機能に関連するアラームを鳴らすかどうかを設定します
alarm mobile: 携帯端末接続時にアラームを鳴らすかどうかを設定します
alarm sd: microSD機能に関連するアラームを鳴らすかどうかを設定します
alarm startup: 起動時のアラーム音の種類を設定します
alarm usbhost: USBホスト機能に関連するアラームを鳴らすかどうかを設定します
auth user: ユーザ認証に使用するユーザ名とパスワードを設定します
auth user attribute: 認証に使用するユーザの属性を設定します
auth user group: ユーザ認証に使用するグループにユーザを設定します。
auth user group attribute: 認証に使用するユーザグループの属性を設定します
bgp aggregate: BGPで広告する集約経路を定義します
bgp aggregate filter: 集約経路に対するフィルタを定義します
bgp autonomous-system: 自律システム(AS)の番号を設定します
bgp configure refresh: BGPの設定を動作に反映させます
bgp export: 指定したBGP経路を取り込みます
bgp export aspath: 指定したBGP経路を取り込みます
bgp export filter: BGP経路を注入するためのフィルタを定義します
bgp import: BGPに指定したプロトコルの経路を導入します
bgp import filter: 経路をBGPに導入するためのフィルタを定義します
bgp log: BGPのログの種類を設定します
bgp neighbor: BGPの接続先を定義します
bgp preference: BGPにより得られた経路のプリファレンス値を設定します
bgp router id: BGPのルータIDを設定します
bgp use: BGP機能を使うか否かを設定します
clear account: アカウント内容をクリアします
clear account pp: PPのアカウント内容をクリアします
clear arp: ARPテーブルをクリアします
clear boot list: 起動の情報をクリアします
clear diagnosis config port: diagnose config port map/access コマンドの診断結果として保存していた履歴を全消去します
clear dns cache: DNSキャッシュを削除します
clear heartbeat2: 生存通知(リリース2)の受信情報をクリアします
clear inarp: InARPテーブルをクリアします
clear ip dynamic routing: IPの動的経路情報を削除します
clear ipv6 dynamic routing: IPv6の動的経路情報を削除します
clear ipv6 neighbor cache: IPv6の近隣情報を削除します
clear log: ログ内容をクリアします
clear mobile access limitation: 指定したモバイルインタフェースの発信制限を解除します。
clear mobile access limitation pp: 指定したPPの発信制限を解除します。
clear nat descriptor dynamic: 動的なNAT情報を削除します
clear nat descriptor interface dynamic pp: インタフェースに関連した動的なNAT情報を削除します
clear nat descriptor interface dynamic tunnel: インタフェースに関連した動的なNAT情報を削除します
clear nat descriptor interface dynamic wan1: インタフェースに関連した動的なNAT情報を削除します
clear nat descriptor interface dynamic LAN-INTERFACE: インタフェースに関連した動的なNAT情報を削除します
clear switching-hub macaddress: スイッチングハブのMACアドレステーブルをクリアします
clear url filter: URLフィルタの情報をクリアします
clear url filter external-database: 外部データベース参照型URLフィルタの情報をクリアします
cold start: 工場出荷設定でルータを再起動します
connect: 手動で、指定した相手先に対して回線を接続します
console character: 出力文字コードを選択します
console columns: コンソール画面に表示するカラム数を設定します
console info: コンソールにシステムからの情報を表示するか否か選択します
console lines: コンソール画面に表示する行数を設定します
console prompt: 64文字以内でコンソールのプロンプト文字を設定します
cooperation bandwidth-measuring: 帯域検出機能を使用するか否かを設定します
cooperation bandwidth-measuring go: 帯域検出機能を実行します
cooperation bandwidth-measuring remote: 帯域検出機能の相手先情報を設定します
cooperation load-watch: 負荷監視機能を使用するか否かを設定します
cooperation load-watch control: 負荷監視通知機能の制御を設定します
cooperation load-watch go: 負荷監視に伴って送出されるパケットと同じパケットを送出します
cooperation load-watch remote: 負荷監視通知機能の相手先情報を設定します
cooperation load-watch trigger: 負荷監視通知機能のトリガを設定します
cooperation port: 連携機能で使用するポート番号を設定します
copy: ファイルまたはディレクトリをコピーします
copy config: 設定ファイルをファイル1からファイル2にコピーします
copy exec: 実行形式ファームウェアファイルをファイル1からファイル2にコピーします
date: 年月日を設定します
delete: ファイルまたはディレクトリを削除します
delete config: 設定ファイルを削除します
delete exec: 実行形式ファームウェアファイルを削除します
description: システムの説明を設定します
description pp: インタフェースの説明を設定します
description tunnel: インタフェースの説明を設定します
description wan1: インタフェースの説明を設定します
description LAN-INTERFACE: インタフェースの説明を設定します
dhcp client client-identifier: DHCPクライアントIDオプションのタイプとIDを設定します
dhcp client hostname: DHCPクライアントのホストネームを設定します
dhcp client option: DHCPクライアントのオプションを設定します
dhcp client release linkdown: インタフェースがダウンした時のDHCPクライアントの挙動を設定します
dhcp convert: リース情報を予約情報に変換します
dhcp duplicate check: DHCPサーバとしてアドレス割り当て前にそのアドレスが使われていないことをチェックする待ち時間[ms]を設定します
dhcp manual lease: IPアドレスを指定したクライアントにリースします
dhcp manual release: IPアドレスのリースを解除します
dhcp relay select: DHCPリレーエージェントとして動作する時のサーバの選択方式を設定します
dhcp relay server: DHCPリレーエージェントとして動作する時のDHCPサーバのIPアドレスを設定します(最大4)
dhcp relay threshold: DHCPサーバへパケットを中継する閾値を設定します
dhcp scope: DHCPサーバとして動作する時のDHCPスコープを定義します
dhcp scope bind: DHCPスコープ内のIPアドレスを指定したクライアントに予約します
dhcp scope lease type: DHCPサーバのアドレス割り当て動作を設定します
dhcp scope option: DHCPスコープのオプションを定義します
dhcp server rfc2131 compliant: DHCPサーバの動作をRFC2131準拠とするかどうかを設定します
dhcp service: DHCPサーバとして動作するか、リレーエージェントとして動作するかを設定します
diagnose config port access pp: 指定されたポートへ到達可能なアクセス範囲を診断します
diagnose config port access LAN-INTERFACE: 指定されたポートへ到達可能なアクセス範囲を診断します
diagnose config port map pp: ポートの開閉状態を診断します
diagnose config port map LAN-INTERFACE: ポートの開閉状態を診断します
diagnosis config port history-num: diagnose config port map/access コマンドの診断結果として保存する履歴の数を設定します
diagnosis config port max-detect: diagnose config port map/access コマンドで検出が可能な通過パケットの最大数を設定します
disconnect: 手動で、指定した相手先との回線を切断します
disconnect ip connection: IPコネクションを削除します
disconnect ipv6 connection: IPv6コネクションを削除します
disconnect user: 指定した相手先との接続を切断します
dns cache max entry: DNSキャッシュの最大エントリ数を設定します
dns cache use: DNSリカーシブサーバで、キャッシュを使用するか否か選択します
dns domain: DNSドメインを指定します
dns host: DNSサーバへアクセスできるホストを設定します
dns notice order: DNSサーバとして通知するアドレスの順序をプロトコル別に設定します
dns private address spoof: DNSリカーシブサーバで、プライベートアドレスに対する問い合わせを処理するか否か選択します
dns server: DNSサーバのIPアドレスまたはネットボランチDNSサーバ番号を設定します(最大4)
dns server dhcp: DNSサーバを取得するLAN又はWANインタフェースを設定します
dns server pp: DNSサーバを通知してくれる相手のPP番号を設定します
dns server select: DNSサーバをDNS問い合わせやその元送信者に応じて選択する規則を設定します
dns service: DNSを使用するか否かを設定します
dns srcport: DNSの始点ポート番号の範囲を設定します
dns static: 静的なDNSレコードを設定します
dns syslog resolv: syslog で DNS により名前解決するか否か選択します
ethernet filter: イーサネットフィルタを定義します
ethernet LAN-INTERFACE filter: インタフェースに対するイーサネットフィルタリングを設定します
execute at-command: 指定したモバイルインタフェースに対してATコマンドを実行します
execute batch: バッチファイルを実行します
exit: ログアウトします
external-memory auto-search time: 外部メモリ内のファイルを検索するときのタイムアウト時間を設定します
external-memory batch filename: execute batchコマンドで実行するバッチファイル名を指定します
external-memory boot permit: 外部メモリ内のファイルからの起動を許可するか否かを設定します
external-memory config filename: 外部メモリを差して起動した時、外部メモリから読み込まれる設定ファイル名を指定します
あるいは外部メモリボタンとDOWNLOADボタンを同時に押下した時、外部メモリからコピーされる設定ファイル名を指定します
external-memory exec filename: 外部メモリを差して起動した時、外部メモリから読み込まれるファームウェアファイル名を指定します
あるいは外部メモリボタンとDOWNLOADボタンを同時に押下した時、外部メモリからコピーされるファームウェアファイル名を指定します
external-memory performance-test go: 外部メモリが必要な性能を持つか否かを確認します
external-memory statistics filename prefix: 外部メモリに保存する統計情報のファイル名のプレフィックスを指定します
external-memory syslog filename: 外部メモリに保存するSYSLOGファイル名を指定します
fr cir: DLCIのCIR値その他のパラメータを設定します
fr compression use: フレームリレーにおけるデータ圧縮機能を使用するか否かを設定します
fr congestion control: フレームリレー輻輳制御を行うか否かを設定します
fr de: フレームリレーDEビットフィルタを設定します
fr dlci: フレームリレーで使用するDLCI(最大96個)を設定します
fr inarp: フレームリレーでInARPを使用するか否か選択します
fr lmi: PVC状態確認手順(LMI)のタイプを選択します
fr pp dequeue type: FR回線に送信するパケットキューの出力方式を設定します
grep: コマンドの出力をスクロールできるようにします
heartbeat pre-shared-key: 生存通知が用いる事前共有鍵を設定します
heartbeat receive: 生存通知パケットを受信したとき、それを処理するか否かを設定します
heartbeat send: 生存通知パケットを送信します
heartbeat2 myname: 生存通知(リリース2)で使用する名前を設定します
heartbeat2 receive: 生存通知(リリース2)の受信設定を定義します
heartbeat2 receive enable: 生存通知(リリース2)の受信設定を有効にします
heartbeat2 receive log: 生存通知(リリース2)パケットの受信時にログを出力するか否かを設定します
heartbeat2 receive monitor: 生存通知(リリース2)パケットの受信間隔の許容時間を設定します
heartbeat2 receive record limit: 受信した生存通知情報(リリース2)の最大保持数を設定します
heartbeat2 transmit: 生存通知(リリース2)の通知設定を定義します
heartbeat2 transmit enable: 生存通知(リリース2)の通知設定を有効にします
heartbeat2 transmit interval: 生存通知(リリース2)パケットの送信間隔を設定します
heartbeat2 transmit log: 生存通知(リリース2)パケットの送信時にログを出力するか否か設定します
help: コンソールの使用方法の概説を表示します
http revision-down permit: HTTPリビジョンアップ機能によりリビジョンダウンを許可するか否かを設定します
http revision-up go: HTTPを使用してリビジョンチェックとリビジョンアップを行います
http revision-up permit: HTTPリビジョンアップを許可するか否かを設定します
http revision-up proxy: HTTPリビジョンアップで使用するProxyサーバを設定します
http revision-up schedule: ファームウェアのリビジョンアップを試みるスケジュールを設定します
http revision-up timeout: HTTPリビジョンアップでのタイムアウトするまでの時間を設定します
http revision-up url: HTTPリビジョンアップで使用するURLを設定します
http upload: HTTPでアップロードするファイルを設定します
http upload go: HTTPでファイルのアップロードを行います
http upload permit: HTTPアップロードを許可するか否かを設定します
http upload proxy: HTTPアップロードで使用するProxyサーバを設定します
http upload retry interval: HTTPアップロード機能に失敗したときのリトライするまでの時間とリトライ回数を設定します
http upload timeout: HTTPアップロードのタイムアウトするまでの時間を設定します
http upload url: HTTPでファイルをアップロードするURLを設定します
httpd custom-gui api password: カスタムGUIのAPIにアクセスするためのパスワードを設定します
httpd custom-gui api use: カスタムGUIのAPIを使用するか否かを設定します
httpd custom-gui use: カスタムGUIを使用するか否かを設定します
httpd custom-gui user: カスタムGUIを使用するユーザを設定します
httpd host: HTTPブラウザでアクセスできるホストを設定します
httpd listen: HTTPDサーバのポート番号を設定します
httpd service: HTTPDサーバ機能を動作させるか否かを設定します
httpd timeout: HTTPサーバのタイムアウト時間を設定します
interface reset: インタフェースをリセットします
interface reset pp: 選択した相手先情報番号にバインドされているインタフェースをリセットします
ip arp timer: ARPテーブルの寿命を設定します
ip filter: IPに対するフィルタを定義します
ip filter directed-broadcast: Directed-Broadcast宛のIPパケットをフィルタリングするか否かを選択します
ip filter dynamic: IPに対する動的なフィルタを定義します
ip filter dynamic timer: IPに対する動的フィルタのタイムアウト値を設定します
ip filter set: IPフィルタセットを定義します
ip filter source-route: Source-routeオプション付きIPパケットをフィルタリングするか否かを選択します
ip flow timer: フローテーブルのエントリ保持時間を設定する
ip forward filter: パケット転送フィルターを定義します
ip fragment remove df-bit: ルールに適合したパケットのDFビットをクリアします
ip host: 名前とIPアドレスを結びつけます
ip icmp echo-reply send: ICMP Echo-Replyパケットを送信するか否かを選択します
ip icmp echo-reply send-only-linkup: リンクダウンしているインタフェースに付与されているIP アドレスに対して送られたICMP Echoパケットに対して、ICMP Echo-Replyパケットを送信するか否かを選択します
ip icmp error-decrypted-ipsec send: IPsecで復号したパケットに対するICMPエラーを送信するか否かを選択します
ip icmp log: ICMPパケットをログに記録するか否かを選択します
ip icmp mask-reply send: ICMP Mask-Replyパケットを送信するか否かを選択します
ip icmp parameter-problem send: ICMP Parameter-Problemパケットを送信するか否かを選択します
ip icmp redirect receive: ICMP Redirectパケットを受信した時にそれを処理するか否かを選択します
ip icmp redirect send: ICMP Redirectパケットを送信するか否かを選択します
ip icmp time-exceeded send: ICMP Time-Exceededパケットを送信するか否かを選択します
ip icmp timestamp-reply send: ICMP Timestamp-Replyパケットを送信するか否かを選択します
ip icmp unreachable send: ICMP Unreachableパケットを送信するか否かを選択します
ip implicit-route preference: implicit経路のプリファレンス値を設定します
ip keepalive: IPキープアライブのパラメータを設定します
ip local forward filter: インタフェースにパケット転送フィルターを適用します
ip loopback1 address: LOOPBACKインタフェースのIPアドレスを設定します
ip loopback1 ospf area: インタフェースの属するOSPFエリアを設定します
ip loopback1 secure filter: インタフェースに対するIPのフィルタリングを設定します
ip loopback2 address: LOOPBACKインタフェースのIPアドレスを設定します
ip loopback2 ospf area: インタフェースの属するOSPFエリアを設定します
ip loopback2 secure filter: インタフェースに対するIPのフィルタリングを設定します
ip loopback3 address: LOOPBACKインタフェースのIPアドレスを設定します
ip loopback3 ospf area: インタフェースの属するOSPFエリアを設定します
ip loopback3 secure filter: インタフェースに対するIPのフィルタリングを設定します
ip loopback4 address: LOOPBACKインタフェースのIPアドレスを設定します
ip loopback4 ospf area: インタフェースの属するOSPFエリアを設定します
ip loopback4 secure filter: インタフェースに対するIPのフィルタリングを設定します
ip loopback5 address: LOOPBACKインタフェースのIPアドレスを設定します
ip loopback5 ospf area: インタフェースの属するOSPFエリアを設定します
ip loopback5 secure filter: インタフェースに対するIPのフィルタリングを設定します
ip loopback6 address: LOOPBACKインタフェースのIPアドレスを設定します
ip loopback6 ospf area: インタフェースの属するOSPFエリアを設定します
ip loopback6 secure filter: インタフェースに対するIPのフィルタリングを設定します
ip loopback7 address: LOOPBACKインタフェースのIPアドレスを設定します
ip loopback7 ospf area: インタフェースの属するOSPFエリアを設定します
ip loopback7 secure filter: インタフェースに対するIPのフィルタリングを設定します
ip loopback8 address: LOOPBACKインタフェースのIPアドレスを設定します
ip loopback8 ospf area: インタフェースの属するOSPFエリアを設定します
ip loopback8 secure filter: インタフェースに対するIPのフィルタリングを設定します
ip loopback9 address: LOOPBACKインタフェースのIPアドレスを設定します
ip loopback9 ospf area: インタフェースの属するOSPFエリアを設定します
ip loopback9 secure filter: インタフェースに対するIPのフィルタリングを設定します
ip null secure filter: インタフェースに対するIPのフィルタリングを設定します
ip pp address: PPインタフェースのIPアドレスを設定します
ip pp forward filter: インタフェースにパケット転送フィルターを適用します
ip pp intrusion detection: IPの侵入検知を動作させるか否かを設定します
ip pp intrusion detection notice-interval: 1秒間に通知する侵入検知情報の頻度を設定します
ip pp intrusion detection repeat-control: 同じホストに対する同じ種類の攻撃をTIME秒に1回のみ通知するよう抑制します
ip pp intrusion detection report: show ip intrusion detectionコマンドで表示される侵入検知情報の最大件数を設定します
ip pp intrusion detection threshold: 侵入検知で用いる閾値を設定します
ip pp mtu: 選択されている相手先へのIPのMTUを設定します
ip pp nat descriptor: インタフェースに適用するNATディスクリプタの番号を最大16まで設定します
ip pp ospf area: インタフェースの属するOSPFエリアを設定します
ip pp ospf neighbor: 非ブロードキャスト型ネットワークに接続されているOSPFルータを設定します
ip pp rebound: 同一インタフェースに折り返すパケットを送信するか否かを設定します
ip pp remote address: 選択されている相手におけるPP側IPアドレスを設定します
ip pp remote address pool: AnonymousのためのIPアドレスプールを設定します
ip pp rip auth key: RIP2の認証キーを設定します
ip pp rip auth type: RIP2の認証方法を設定します
ip pp rip backup interface: バックアップ時にRIPの送信インタフェースを切り替えるか否かを設定します
ip pp rip connect interval: インタフェース接続時のRIPを送出する時間間隔を設定します
ip pp rip connect send: インタフェース接続時のRIP送出タイミングを選択します
ip pp rip disconnect interval: インタフェース非接続時のRIPを送出する時間間隔を設定します
ip pp rip disconnect send: インタフェース非接続時のRIP送出タイミングを選択します
ip pp rip filter: インタフェースのRIPのフィルタリングを設定します
ip pp rip force-to-advertise: 強制的に広告するRIPエントリを設定します
ip pp rip hold routing: インタフェース接続中にRIPで得られたIPの経路情報を切断後に保持するか否か選択します
ip pp rip hop: インタフェースのRIPのホップカウント数を設定します
ip pp rip receive: インタフェースでIPのRIPを受信するか否かを設定します
ip pp rip send: インタフェースにIPのRIPを送信するか否かを設定します
ip pp rip trust gateway: インタフェースで信頼できるRIPゲートウェイを設定します
ip pp secure filter: インタフェースに対するIPのフィルタリングを設定します
ip pp tcp mss limit: TCPパケットのMSSを制限するかどうかを設定します
ip route: IPの静的経路情報を設定します
ip route change log: IPの経路が変化したことをログに記録するか否かを選択します
ip routing: IPパケットの経路制御を可能にするか否かを選択します
ip routing process: IPルーティングのタイプを選択します
ip simple-service: IPの各種サービスを利用するか否かを選択します
ip stealth: ステルス機能を動作させるインタフェースを設定します
ip tos supersede: 転送するIPパケットのTOSフィールドを書き換えるか否かを選択します
ip tunnel address: TUNNELインタフェースのIPアドレスを設定します
ip tunnel forward filter: インタフェースにパケット転送フィルターを適用します
ip tunnel intrusion detection: IPの侵入検知を動作させるか否かを設定します
ip tunnel intrusion detection notice-interval: 1秒間に通知する侵入検知情報の頻度を設定します
ip tunnel intrusion detection repeat-control: 同じホストに対する同じ種類の攻撃をTIME秒に1 回のみ通知するよう抑制します
ip tunnel intrusion detection report: show ip intrusion detectionコマンドで表示される侵入検知情報の最大件数を設定します
ip tunnel intrusion detection threshold: 侵入検知で用いる閾値を設定します
ip tunnel mtu: 選択されている相手先へのIPのMTUを設定します
ip tunnel nat descriptor: インタフェースに適用するNATディスクリプタの番号を最大16まで設定します
ip tunnel ospf area: インタフェースの属するOSPFエリアを設定します
ip tunnel ospf neighbor: 非ブロードキャスト型ネットワークに接続されているOSPFルータを設定します
ip tunnel rebound: 同一インタフェースに折り返すパケットを送信するか否かを設定します
ip tunnel remote address: 選択されているトンネルの相手側IPアドレスを設定します
ip tunnel rip auth key: RIP2の認証キーを設定します
ip tunnel rip auth type: RIP2の認証方法を設定します
ip tunnel rip filter: インタフェースのRIPのフィルタリングを設定します
ip tunnel rip force-to-advertise: 強制的に広告するRIPエントリを設定します
ip tunnel rip hop: インタフェースのRIPのホップカウント数を設定します
ip tunnel rip receive: インタフェースでIPのRIPを受信するか否かを設定します
ip tunnel rip send: インタフェースにIPのRIPを送信するか否かを設定します
ip tunnel rip trust gateway: インタフェースで信頼できるRIPゲートウェイを設定します
ip tunnel secure filter: インタフェースに対するIPのフィルタリングを設定します
ip tunnel tcp mss limit: TCPパケットのMSSを制限するかどうかを設定します
ip wan1 address: WANインタフェースのIPアドレスを設定します
ip wan1 dhcp lease time: LAN側またはWAN側で要求するIPアドレスのリースタイムを設定します
ip wan1 dhcp retry: LAN側またはWAN側から再送するDHCPメッセージの回数と間隔を設定します
ip wan1 forward filter: インタフェースにパケット転送フィルターを適用します
ip wan1 intrusion detection: IPの侵入検知を動作させるか否かを設定します
ip wan1 intrusion detection notice-interval: 1秒間に通知する侵入検知情報の頻度を設定します
ip wan1 intrusion detection repeat-control: 同じホストに対する同じ種類の攻撃をTIME秒に1回のみ通知するよう抑制します
ip wan1 intrusion detection report: show ip intrusion detectionコマンドで表示される侵入検知情報の最大件数を設定します
ip wan1 intrusion detection threshold: 侵入検知で用いる閾値を設定します
ip wan1 mtu: 選択されている相手先へのIPのMTUを設定します
ip wan1 nat descriptor: インタフェースに適用するNATディスクリプタの番号を最大16まで設定します
ip wan1 secure filter: インタフェースに対するIPのフィルタリングを設定します
ip wan1 tcp mss limit: TCPパケットのMSSを制限するかどうかを設定します
ip LAN-INTERFACE address: LANインタフェースのIPアドレスを設定します
ip LAN-INTERFACE arp log: ARPエントリに関するログを出力するか否かを設定します
ip LAN-INTERFACE arp queue length: ARPキューの長さを設定します
ip LAN-INTERFACE arp static: 静的なARPテーブルを設定します
ip LAN-INTERFACE dhcp lease time: LAN側またはWAN側で要求するIPアドレスのリースタイムを設定します
ip LAN-INTERFACE dhcp retry: LAN側またはWAN側から再送するDHCPメッセージの回数と間隔を設定します
ip LAN-INTERFACE forward filter: インタフェースにパケット転送フィルターを適用します
ip LAN-INTERFACE intrusion detection: IPの侵入検知を動作させるか否かを設定します
ip LAN-INTERFACE intrusion detection notice-interval: 1秒間に通知する侵入検知情報の頻度を設定します
ip LAN-INTERFACE intrusion detection repeat-control: 同じホストに対する同じ種類の攻撃をTIME秒に1回のみ通知するよう抑制します
ip LAN-INTERFACE intrusion detection report: show ip intrusion detectionコマンドで表示される侵入検知情報の最大件数を設定します
ip LAN-INTERFACE intrusion detection threshold: 侵入検知で用いる閾値を設定します
ip LAN-INTERFACE mtu: 選択されている相手先へのIPのMTUを設定します
ip LAN-INTERFACE nat descriptor: インタフェースに適用するNATディスクリプタの番号を最大16まで設定します
ip LAN-INTERFACE ospf area: インタフェースの属するOSPFエリアを設定します
ip LAN-INTERFACE ospf neighbor: 非ブロードキャスト型ネットワークに接続されているOSPFルータを設定します
ip LAN-INTERFACE proxyarp: LAN側にProxy ARPを返すか否か選択します
ip LAN-INTERFACE rebound: 同一インタフェースに折り返すパケットを送信するか否かを設定します
ip LAN-INTERFACE rip auth key: RIP2の認証キーを設定します
ip LAN-INTERFACE rip auth type: RIP2の認証方法を設定します
ip LAN-INTERFACE rip filter: インタフェースのRIPのフィルタリングを設定します
ip LAN-INTERFACE rip force-to-advertise: 強制的に広告するRIPエントリを設定します
ip LAN-INTERFACE rip hop: インタフェースのRIPのホップカウント数を設定します
ip LAN-INTERFACE rip receive: インタフェースでIPのRIPを受信するか否かを設定します
ip LAN-INTERFACE rip send: インタフェースにIPのRIPを送信するか否かを設定します
ip LAN-INTERFACE rip trust gateway: インタフェースで信頼できるRIPゲートウェイを設定します
ip LAN-INTERFACE secondary address: インタフェースのセカンダリIPアドレスを設定します
ip LAN-INTERFACE secure filter: インタフェースに対するIPのフィルタリングを設定します
ip LAN-INTERFACE tcp mss limit: TCPパケットのMSSを制限するかどうかを設定します
ip LAN-INTERFACE vrrp: インタフェースに対してVRRPを設定します
ip LAN-INTERFACE vrrp shutdown trigger: VRRPのシャットダウントリガを設定します
ip LAN-INTERFACE wol relay: Wake On LANのMagic Packetを中継するか否かを設定します
ipsec auto refresh: 自動的にSAを更新するか否かを設定します
ipsec ike always-on: IKEで常時接続するか否かを設定します
ipsec ike auth method: IKEが用いる認証方式を設定します
ipsec ike duration: IKEで提案するISAKMP/IPsec SAの寿命を設定します
ipsec ike eap myname: EAP-MD5認証で使用する名前とパスワードを設定します
ipsec ike eap request: EAP-MD5 による認証を行うか否かを設定します
ipsec ike encryption: IKEが用いる暗号アルゴリズムを設定します
ipsec ike esp-encapsulation: ESPパケットをUDPでカプセル化するか否かを設定します
ipsec ike group: IKEが用いるグループを設定します
ipsec ike hash: IKEが用いるハッシュアルゴリズムを設定します
ipsec ike keepalive log: IKEキープアライブの情報をsyslogに出力するか否かを設定します
ipsec ike keepalive use: IKEでkeep-aliveを用いるか否かを設定します
ipsec ike license-key: YMS-VPN1-CPと接続するためのライセンスキーを設定します
ipsec ike license-key use: YMS-VPN1-CPと接続するためのライセンスキーを適用するか否かを設定します
ipsec ike local address: 自分側のセキュリティ・ゲートウェイのIPアドレスを設定します
ipsec ike local id: IKEで用いる自分側のIDを設定します
ipsec ike local name: ローカルのセキュリティ・ゲートウェイの名前を設定します
ipsec ike log: IKEのログの種類を設定します
ipsec ike mode-cfg address: 内部IPアドレスプールを設定します
ipsec ike mode-cfg address pool: 内部IPアドレスプールを定義します
ipsec ike mode-cfg method: IKE Mode-Cfgのメソッドを設定します
ipsec ike nat-traversal: IPsec NAT Traversalを使用するかどうかを設定します
ipsec ike negotiate-strictly: IKEのネゴシエーションで、設定と異なる提案を受けたときに要求を破棄するか否かを設定します
ipsec ike payload type: IKEペイロードのタイプを設定します
ipsec ike pfs: IKEでPFSを用いるか否かを設定します
ipsec ike pki file: IKEで用いるPKIファイルを設定します
ipsec ike pre-shared-key: IKEが用いる事前共有鍵を設定します
ipsec ike queue length: IKEメッセージの受信キューの長さを設定します
ipsec ike remote address: 相手側のセキュリティ・ゲートウェイのIPアドレスまたはドメイン名を設定します
ipsec ike remote id: IKEで用いる相手側のIDを設定します
ipsec ike remote name: 相手側のセキュリティ・ゲートウェイの名前を設定します
ipsec ike restrict-dangling-sa: IKE SAを削除するときに同時に対応するIPsec SAを削除するかどうかを設定します
ipsec ike retry: IKEメッセージを再送する回数と間隔を設定します
ipsec ike send info: IKEの情報ペイロードを送信するか否かを設定します
ipsec ike version: IKEのバージョンを設定します
ipsec ike xauth myname: XAUTHで使用する名前とパスワードを設定します
ipsec ike xauth request: XAUTH によるユーザ認証を行なうか否かを設定します
ipsec ipcomp type: IPCOMPで使用する圧縮アルゴリズムを選択します
ipsec log illegal-spi: 無効なSPIのパケットを受信したことをログにとるか否かを設定します
ipsec refresh sa: すべてのSAを削除してIKEの状態を初期化します
ipsec sa delete: 管理されているSAを削除します
ipsec sa policy: SAのポリシーを定義します
ipsec transport: トランスポートモードを定義します
ipsec tunnel: トンネルインタフェースが用いるSAのポリシーを定義します
ipsec tunnel outer df-bit: IPsecトンネルの外側のIPv4ヘッダのDFビットをどのように作るか設定します
ipsec use: IPsecを使用するか否かを設定します
ipv6 filter: IPv6に対するフィルタを定義します
ipv6 filter dynamic: IPv6に対する動的なフィルタを定義します
ipv6 icmp echo-reply send: ICMP Echo-Replyパケットを送信するか否かを選択します
ipv6 icmp echo-reply send-only-linkup: リンクダウンしているインタフェースに付与されているIPアドレスに対して送られたICMP Echoパケットに対して、ICMP Echo-Replyパケットを送信するか否かを選択します
ipv6 icmp error-decrypted-ipsec send: IPsecで復号したパケットに対するICMPエラーを送信するか否かを選択します
ipv6 icmp log: ICMPパケットをログに記録するか否かを選択します
ipv6 icmp packet-too-big send: ICMP Packet-Too-Bigパケットを送信するか否かを選択します
ipv6 icmp parameter-problem send: ICMP Parameter-Problemパケットを送信するか否かを選択します
ipv6 icmp redirect receive: ICMP Redirectパケットを受信した時にそれを処理するか否かを選択します
ipv6 icmp redirect send: ICMP Redirectパケットを送信するか否かを選択します
ipv6 icmp time-exceeded send: ICMP Time-Exceededパケットを送信するか否かを選択します
ipv6 icmp unreachable send: ICMP Unreachableパケットを送信するか否かを選択します
ipv6 loopback1 address: インタフェースのIPv6アドレスを設定します
ipv6 loopback1 secure filter: インタフェースに対するIPv6のフィルタリングを設定します
ipv6 loopback2 address: インタフェースのIPv6アドレスを設定します
ipv6 loopback2 secure filter: インタフェースに対するIPv6のフィルタリングを設定します
ipv6 loopback3 address: インタフェースのIPv6アドレスを設定します
ipv6 loopback3 secure filter: インタフェースに対するIPv6のフィルタリングを設定します
ipv6 loopback4 address: インタフェースのIPv6アドレスを設定します
ipv6 loopback4 secure filter: インタフェースに対するIPv6のフィルタリングを設定します
ipv6 loopback5 address: インタフェースのIPv6アドレスを設定します
ipv6 loopback5 secure filter: インタフェースに対するIPv6のフィルタリングを設定します
ipv6 loopback6 address: インタフェースのIPv6アドレスを設定します
ipv6 loopback6 secure filter: インタフェースに対するIPv6のフィルタリングを設定します
ipv6 loopback7 address: インタフェースのIPv6アドレスを設定します
ipv6 loopback7 secure filter: インタフェースに対するIPv6のフィルタリングを設定します
ipv6 loopback8 address: インタフェースのIPv6アドレスを設定します
ipv6 loopback8 secure filter: インタフェースに対するIPv6のフィルタリングを設定します
ipv6 loopback9 address: インタフェースのIPv6アドレスを設定します
ipv6 loopback9 secure filter: インタフェースに対するIPv6のフィルタリングを設定します
ipv6 max auto address: 自動的に設定されるIPv6アドレスの最大数を設定します
ipv6 nd ns-trigger-dad: DADをトリガにNSを送信するか否かを設定します
ipv6 null secure filter: インタフェースに対するIPv6のフィルタリングを設定します
ipv6 pp address: インタフェースのIPv6アドレスを設定します
ipv6 pp dad retry count: 選択されているインタフェースでのDADの再送回数を設定します。
0を指定した場合、DADを行いません。
ipv6 pp dhcp service: インタフェースにおけるDHCPv6の動作を設定します
ipv6 pp mld: インタフェースにおけるMLDの動作を設定します
ipv6 pp mld static: インタフェースにおける静的なMLDリスナーを設定します
ipv6 pp mtu: 選択されている相手先へのIPv6のMTUを設定します
ipv6 pp prefix: インタフェースのIPv6プレフィックスを設定します
ipv6 pp rip connect interval: インタフェース接続時のRIPを送出する時間間隔を設定します
ipv6 pp rip connect send: インタフェース接続時のRIP送出タイミングを選択します
ipv6 pp rip disconnect interval: インタフェース非接続時のRIPを送出する時間間隔を設定します
ipv6 pp rip disconnect send: インタフェース非接続時のRIP送出タイミングを選択します
ipv6 pp rip filter: インタフェースのRIPのフィルタリングを設定します
ipv6 pp rip hold routing: インタフェース接続中にRIPで得られたIPの経路情報を切断後に保持するか否か選択します
ipv6 pp rip hop: インタフェースのRIPのホップカウント数を設定します
ipv6 pp rip receive: RIPngをインタフェースから受信するか否かを設定します
ipv6 pp rip send: RIPngをインタフェースに送信するか否かを設定します
ipv6 pp rip trust gateway: インタフェースで信頼できるRIPngゲートウェイを設定します
ipv6 pp rtadv send: ルータ広告を送出するように設定します
ipv6 pp secure filter: インタフェースに対するIPv6のフィルタリングを設定します
ipv6 pp tcp mss limit: TCPパケットのMSSを制限するかどうかを設定します
ipv6 prefix: ルータ広告で広告するプレフィックスを設定します
ipv6 rh0 discard: タイプ0のルーティングヘッダが付いたIPv6パケットを破棄するか否かを選択します
ipv6 rip preference: RIPngのプリファレンス値を設定します
ipv6 rip use: RIPng機能を使うか否かを設定します
ipv6 route: IPv6の静的経路情報を設定します
ipv6 routing: IPv6パケットの経路制御を可能にするか否かを選択します
ipv6 routing process: IPv6ルーティングのタイプを選択します
ipv6 source address selection rule: IPv6始点アドレス選択の規則を設定します
ipv6 stealth: ステルス機能を動作させるインタフェースを設定します
ipv6 tunnel address: インタフェースのIPv6アドレスを設定します
ipv6 tunnel dhcp service: インタフェースにおけるDHCPv6の動作を設定します
ipv6 tunnel mld: インタフェースにおけるMLDの動作を設定します
ipv6 tunnel mld static: インタフェースにおける静的なMLDリスナーを設定します
ipv6 tunnel prefix: インタフェースのIPv6プレフィックスを設定します
ipv6 tunnel rip filter: インタフェースのRIPのフィルタリングを設定します
ipv6 tunnel rip receive: RIPngをインタフェースから受信するか否かを設定します
ipv6 tunnel rip send: RIPngをインタフェースに送信するか否かを設定します
ipv6 tunnel secure filter: インタフェースに対するIPv6のフィルタリングを設定します
ipv6 tunnel tcp mss limit: TCPパケットのMSSを制限するかどうかを設定します
ipv6 LAN-INTERFACE address: インタフェースのIPv6アドレスを設定します
ipv6 LAN-INTERFACE dad retry count: 選択されているインタフェースでのDADの再送回数を設定します。
0を指定した場合、DADを行いません。
ipv6 LAN-INTERFACE dhcp service: インタフェースにおけるDHCPv6の動作を設定します
ipv6 LAN-INTERFACE mld: インタフェースにおけるMLDの動作を設定します
ipv6 LAN-INTERFACE mld static: インタフェースにおける静的なMLDリスナーを設定します
ipv6 LAN-INTERFACE mtu: 選択されている相手先へのIPv6のMTUを設定します
ipv6 LAN-INTERFACE prefix: インタフェースのIPv6プレフィックスを設定します
ipv6 LAN-INTERFACE rip filter: インタフェースのRIPのフィルタリングを設定します
ipv6 LAN-INTERFACE rip hop: インタフェースのRIPのホップカウント数を設定します
ipv6 LAN-INTERFACE rip receive: RIPngをインタフェースから受信するか否かを設定します
ipv6 LAN-INTERFACE rip send: RIPngをインタフェースに送信するか否かを設定します
ipv6 LAN-INTERFACE rip trust gateway: インタフェースで信頼できるRIPngゲートウェイを設定します
ipv6 LAN-INTERFACE rtadv send: ルータ広告を送出するように設定します
ipv6 LAN-INTERFACE secure filter: インタフェースに対するIPv6のフィルタリングを設定します
ipv6 LAN-INTERFACE tcp mss limit: TCPパケットのMSSを制限するかどうかを設定します
isdn arrive permit: 選択されている相手からの着信を許可するか否かを選択します
isdn auto connect: 選択されている相手に対して、通信回線を自動で接続するか否かを選択します
isdn call block time: 選択されている相手に対し、切断後の再発信を抑制する時間を設定します
isdn call permit: 選択されている相手への発信を許可するか否かを選択します
isdn call prohibit time: 選択されている相手に対し、発信応答が無い場合に自動再発信する場合の時間間隔を設定します
isdn callback mscbcp user-specify: 選択されている相手からの、番号指定によるMSコールバック要求に応答するか否かを選択します
isdn callback permit: 選択されている相手からの要求により、コールバックするか否かを選択します
isdn callback permit type: 選択されている相手に対して、受け入れることのできるコールバックのタイプを設定します
isdn callback request: 選択されている相手に対して、コールバック機能を使用するか否かを選択します
isdn callback request type: 選択されている相手に対して、要求するコールバックのタイプを設定します
isdn callback response time: 選択されている相手へコールバックする際の遅延時間を設定します
isdn callback wait time: 選択されている相手からのコールバック応答の待ち時間を設定します
isdn disconnect input time: 選択されている相手に対して、パケット無入力時に回線を切断する時間を設定します
isdn disconnect interval time: 選択されている相手の、課金単位時間とパケット監視時間を設定します
isdn disconnect output time: 選択されている相手に対して、パケット無送出時に回線を切断する時間を設定します
isdn disconnect policy: 選択されている相手に対して、タイムアウトにより回線を自動切断するポリシーを設定します
isdn disconnect time: 選択されている相手に対して、タイムアウトにより回線を自動切断する時間を設定します
isdn fast disconnect time: 別宛先のパケットを受信してから、選択されている相手との回線を切断する時間を設定します
isdn forced disconnect time: 選択されている相手との回線が接続されてから、強制的に切断する時間を設定します
isdn local address bri1: 指定したインタフェースのISDN番号を設定します
isdn piafs arrive: PIAFSモードでの着信を可能にするか否かを選択します
isdn piafs call: PIAFSで発信する時の速度と通信モードを選択します
isdn piafs control: PIAFSを制御する側を選択します
isdn remote address: 選択されている相手の発(着)信用ISDN番号を設定します(最大8つ)
isdn remote call order: 選択されている相手のISDN番号に発信する順番を設定します
isdn terminator bri1: ISDN終端抵抗を設定します
l2tp keepalive log: L2TPキープアライブをログに取るかどうか選択します
l2tp keepalive use: L2TPキープアライブを使用するか否か選択します
l2tp service: L2TPサーバ機能を動作させるか否かを設定します
l2tp syslog: L2TPのコネクション制御のsyslogを出力するか否かを設定します
l2tp tunnel auth: L2TPトンネル認証を使用するか否か選択します
l2tp tunnel disconnect time: 選択されている L2TP トンネルに対して、データパケット無入力・無送信時に、タイムアウトにより L2TP トンネルを切断する時間を設定します
lan backup recovery time LAN-INTERFACE: 接続が復旧してからバックアップを止めるまでの時間を設定します
lan backup LAN-INTERFACE: LAN接続がダウンした時にバックアップするインタフェースを指定します
lan keepalive interval LAN-INTERFACE: キープアライブを出すインターバルとダウン検出用のカウントを設定します
lan keepalive log LAN-INTERFACE: キープアライブをログに取るかどうか選択します
lan keepalive use LAN-INTERFACE: キープアライブの種類を選択します
lan linkup send-wait-time LAN-INTERFACE: LANインタフェースのリンクアップ後の送信抑制秒数を設定します
lan port-mirroring lan1: LANのポートミラーリング機能を設定します
lan shutdown LAN-INTERFACE: LANインタフェースをシャットダウンします
lan type LAN-INTERFACE: LANの通信モードを選択します
leased keepalive down: キープアライブによってダウンが検出された時の動作を設定します
less: コマンドの出力をスクロールできるようにします
less config: 設定情報を表示します
less config list: 設定情報を表示します
less config pp: 設定情報を表示します
less config tunnel: 設定情報を表示します
less exec list: 実行形式ファームウェアファイルの情報を表示します
less file list: ファイル情報を表示します
less log: システム及び通信のログを表示します
line type bri1: 通信回線種別を選択します
login password: ログインパスワードを設定します
login password encrypted: ログインパスワードを設定します
設定されたパスワードは暗号化して保存されます
login timer: ログインタイマを設定します
login user: このコマンドにはユーザ名とパスワードの入力が必要です
ルータにログインするためのユーザ名とパスワードを設定します
lua: Luaスクリプトを実行します
lua use: Luaスクリプト機能を使用するか否かを設定します
luac: Luaスクリプトをコンパイルします
mail notify: メール通知用トリガーを設定します
mail notify status exec: 状態情報をメールで送信します
mail server name: メールサーバ設定の識別名を設定します
mail server pop: POPサーバを設定します
mail server smtp: SMTPサーバを設定します
mail server timeout: メールサーバの通信タイムアウト値を設定します
mail template: メール送信用のテンプレートを設定します
make directory: ディレクトリを作成します
mobile access limit connection length: 選択されている相手に対して、送受信データ長の上限値を設定します
mobile access limit connection time: 選択されている相手に対して、接続時間の上限値を設定します
mobile access limit duration: 選択されている相手に対して、累積管理する期間を設定します
mobile access limit length: 選択されている相手に対して、累積送受信データ長の上限値を設定します
mobile access limit time: 選択されている相手に対して、累積通信時間の上限値を設定します
mobile access-point name: アクセスポイント名とCID(Context Identifier)番号を設定します
mobile auto connect: 選択されている相手に対して、モバイルインターネット接続を自動で接続するか否かを選択します
mobile call prohibit auth-error count: 選択されている相手に対し、認証が失敗できる最大回数を設定します。最大回数を越えると'pp auth'コマンドで再設定し直さないと同じ相手には発呼できません
mobile dial number: 選択されている相手について、携帯端末にATDに続いて発行する発信先を設定します
mobile disconnect input time: 選択されている相手に対して、パケット無入力時に回線を切断する時間を設定します
mobile disconnect output time: 選択されている相手に対して、パケット無送出時に回線を切断する時間を設定します
mobile disconnect time: 選択されている相手に対して、タイムアウトにより自動切断する時間を設定します
mobile display caller id: 選択されている相手に対して、発信時に発信者番号を通知するか否かを設定します
mobile pin code usb1: PINロック解除コードを設定します。
mobile signal-strength: 電波の受信レベル取得機能の設定を行います
mobile signal-strength go: 携帯電話端末などの電波の受信レベルを取得します
mobile syslog: モバイルインターネット接続の詳細なsyslogを出力するか否かを設定します
mobile use: モバイルインターネット接続機能を使用するか否かを設定します
nat descriptor address inner: NATの内側で使うIPアドレスを設定します
nat descriptor address outer: NATの外側で使うIPアドレスを設定します
nat descriptor ftp port: FTPのポート番号を設定します
nat descriptor log: NATのアドレス割当をログに記録するか否か選択します
nat descriptor masquerade incoming: IPマスカレードテーブルに該当しない内向きのパケットの処理方法を設定します
nat descriptor masquerade port range: IPマスカレードに利用するポート番号の範囲を指定します
nat descriptor masquerade remove df-bit: IPマスカレード変換時にDFビットを取り除くか否か選択します
nat descriptor masquerade rlogin: IP Masquerade上でrlogin/rcp/sshを使用するか否かを選択します
nat descriptor masquerade session limit: ホスト毎のIPマスカレード同時セッション数の最大値を設定します
nat descriptor masquerade static: 静的なIP Masqueradeテーブルを定義します
nat descriptor masquerade unconvertible port: IP Masqueradeで変換してはいけないポート番号を設定します
nat descriptor sip: NATでSIPパケットの中身を書き換えるかどうかの設定をします
nat descriptor static: 静的NATを登録します
nat descriptor timer: 動的なNATの組を消去するためのタイマを設定します
nat descriptor type: NATの機能を選択します
netvolante-dns auto hostname pp: ネットボランチDNSのホスト名を自動生成するか否かを選択します
netvolante-dns auto hostname wan1: ネットボランチDNSのホスト名を自動生成するか否かを選択します
netvolante-dns auto hostname LAN-INTERFACE: ネットボランチDNSのホスト名を自動生成するか否かを選択します
netvolante-dns auto save: ネットボランチDNSの初期登録が完了した時の、自動的に設定内容を保存するファイルを指定します。'OFF'に設定すると自動保存を禁止します。'AUTO'に設定すると運用中の設定ファイルに保
存します。
netvolante-dns delete go pp: ネットボランチDNSサーバから設定を削除します
netvolante-dns delete go wan1: ネットボランチDNSサーバから設定を削除します
netvolante-dns delete go LAN-INTERFACE: ネットボランチDNSサーバから設定を削除します
netvolante-dns get hostname list: ネットボランチDNSサーバに登録されているホスト名の一覧を取得します
netvolante-dns go pp: ネットボランチDNSサーバに登録/更新します
netvolante-dns go wan1: ネットボランチDNSサーバに登録/更新します
netvolante-dns go LAN-INTERFACE: ネットボランチDNSサーバに登録/更新します
netvolante-dns hostname host pp: 選択したインタフェースで使用するネットボランチDNSのホスト名を指定します
netvolante-dns hostname host wan1: 選択したインタフェースで使用するネットボランチDNSのホスト名を指定します
netvolante-dns hostname host LAN-INTERFACE: 選択したインタフェースで使用するネットボランチDNSのホスト名を指定します
netvolante-dns port: ネットボランチDNS接続で使用するポート番号を設定します
netvolante-dns register timer: ネットボランチDNS登録の更新間隔を秒単位で設定します
netvolante-dns retry interval pp: ネットボランチDNS接続で自動更新に失敗したときのリトライするまでの時間とリトライ回数を設定します
netvolante-dns retry interval wan1: ネットボランチDNS接続で自動更新に失敗したときのリトライするまでの時間とリトライ回数を設定します
netvolante-dns retry interval LAN-INTERFACE: ネットボランチDNS接続で自動更新に失敗したときのリトライするまでの時間とリトライ回数を設定します
netvolante-dns server: ネットボランチDNSサーバのIPアドレスまたはドメイン名、サーバ名、パスワードを指定します
netvolante-dns server update address port: ネットボランチDNSサーバーのIPアドレス更新通知の待ち受けポート番号を設定します
netvolante-dns server update address use: ネットボランチDNSサーバーのIPアドレス変更通知を受け取り、設定を自動更新するか否かを選択します
netvolante-dns set hostname pp: ネットボランチDNSのホスト名をシリアル番号が含まれた形で設定します
netvolante-dns set hostname wan1: ネットボランチDNSのホスト名をシリアル番号が含まれた形で設定します
netvolante-dns set hostname LAN-INTERFACE: ネットボランチDNSのホスト名をシリアル番号が含まれた形で設定します
netvolante-dns timeout pp: ネットボランチDNS接続でタイムアウトするまでの時間を設定します
netvolante-dns timeout wan1: ネットボランチDNS接続でタイムアウトするまでの時間を設定します
netvolante-dns timeout LAN-INTERFACE: ネットボランチDNS接続でタイムアウトするまでの時間を設定します
netvolante-dns use pp: 選択されている相手に対して、ネットボランチDNSサービスを使用するか否かを選択します
netvolante-dns use wan1: 選択されている相手に対して、ネットボランチDNSサービスを使用するか否かを選択します
netvolante-dns use LAN-INTERFACE: 選択されている相手に対して、ネットボランチDNSサービスを使用するか否かを選択します
ngn type LAN-INTERFACE: NGNを使用するLANインタフェースの種類を指定します
nslookup: DNSを解決します
ntp local address: NTPパケットの始点アドレスを設定します
ntpdate: NTPサーバより日付を設定します
operation button function download: DOWNLOADボタン押下時の機能を設定します
operation execute batch permit: DOWNLOADボタンによるバッチファイル実行を許可するか否かを設定します
operation external-memory download permit: 外部メモリボタンとDOWNLOADボタンの同時押下による設定ファイル、ファームウェアファイルのコピー操作を許可するか否かを設定します
operation http revision-up permit: DOWNLOADボタンによるリビジョンアップ操作を許可するか否かを設定します
ospf area: OSPFエリアを定義します
ospf area network: 経路を他のエリアに広告する時に、指定したネットワークの経路は集約して広告します。'restrict'が指定された時には集約された経路も含めて何も広告しません
ospf area stubhost: 指定したホストがスタブホストであると設定します
ospf configure refresh: OSPFの設定を動作に反映させます
ospf export filter: OSPFから導入する経路のフィルタを設定します
ospf export from: OSPFから他のプロトコルへ導入する経路を制限します
ospf import filter: OSPFへの経路導入フィルタを設定します
ospf import from: OSPFに指定したプロトコルの経路を導入します
ospf log: OSPFのログの種類を設定します
ospf merge equal cost stub: コストの等しい重複したスタブを許すか否かを設定します
ospf preference: OSPFにより得られた経路のプリファレンス値を設定します
ospf router id: OSPFのルータIDを設定します
ospf use: OSPF機能を使うか否かを設定します
ospf virtual-link: OSPFバックボーンエリアで用いるバーチャルリンクを設定します
packetdump pp: インタフェースのパケットをダンプします
packetdump wan1: インタフェースのパケットをダンプします
packetdump LAN-INTERFACE: インタフェースのパケットをダンプします
ping: 指定した宛先にpingコマンドを実行します
ping6: 指定した宛先にping6コマンドを実行します
pki certificate file: 証明書ファイルを設定します
pki crl file: CRLファイルを設定します
pp always-on: 常時接続機能を使用するか否か選択します
pp auth accept: 受け入れ可能な認証方式を設定します
pp auth multi connect prohibit: 同じユーザから複数同時に接続するのを禁止するかどうか選択します
pp auth myname: 認証のための自分の名前とパスワードを設定します
pp auth request: 要求する認証方式を設定します
pp auth username: 認証のためのユーザネームとパスワードを設定します。PP_Anonymous選択時にはISDNアドレスとIPアドレスが設定できます
pp backup: PPとの接続がダウンした時にバックアップするインタフェースを指定します
pp backup recovery time: 接続が復旧してからバックアップを止めるまでの時間を設定します
pp bind: 選択されている相手先情報番号にバインドされるインタフェースを指定します
pp disable: パラメータで指定した相手に対する発着信を無効にします
pp enable: パラメータで指定した相手に対する発着信を有効にします
pp encapsulation: パケットをカプセル化するタイプを選択します
pp keepalive interval: キープアライブを出すインターバルとダウン検出用のカウントを設定します
pp keepalive log: キープアライブをログに取るかどうか選択します
pp keepalive use: キープアライブの種類を選択します
pp name: 接続相手名を設定します
pp select: 相手先情報番号を選択します
ppp bacp maxconfigure: [PPP_BACP] パラメータbacp-max-configureを設定します
ppp bacp maxfailure: [PPP_BACP] パラメータbacp-max-failureを設定します
ppp bacp maxterminate: [PPP_BACP] パラメータbacp-max-terminateを設定します
ppp bacp restart: [PPP_BACP] パラメータbacp-restartを設定します
ppp bap maxretry: [PPP_BAP] パラメータbap-max-retryを設定します
ppp bap restart: [PPP_BAP] パラメータbap-restartを設定します
ppp ccp maxconfigure: [PPP_CCP] パラメータccp-max-configureを設定します
ppp ccp maxfailure: [PPP_CCP] パラメータccp-max-failureを設定します
ppp ccp maxterminate: [PPP_CCP] パラメータccp-max-terminateを設定します
ppp ccp no-encryption: 暗号化なしの接続を許可するか否かを設定します
ppp ccp restart: [PPP_CCP] パラメータccp-restartを設定します
ppp ccp type: [PPP_CCP] 圧縮方法または暗号方法を選択します
ppp chap maxchallenge: [PPP_CHAP] パラメータchap-max-challengeを設定します
ppp chap restart: [PPP_CHAP] パラメータchap-restartを設定します
ppp ipcp ipaddress: [PPP_IPCP] IPアドレスのネゴシエーションを行なうか否か選択します
ppp ipcp maxconfigure: [PPP_IPCP] パラメータipcp-max-configureを設定します
ppp ipcp maxfailure: [PPP_IPCP] パラメータipcp-max-failureを設定します
ppp ipcp maxterminate: [PPP_IPCP] パラメータipcp-max-terminateを設定します
ppp ipcp msext: [PPP_IPCP] MS拡張IPCPオプションを使用するか否か選択します
ppp ipcp remote address check: [PPP_IPCP] リモートIPアドレスのチェックを行なうか否か選択します
ppp ipcp restart: [PPP_IPCP] パラメータipcp-restartを設定します
ppp ipcp vjc: [PPP_IPCP] Van Jacobson Compressed TCP/IP を使用するか否か選択します
ppp ipv6cp use: IPV6CPを交渉するか否かを設定します
ppp lcp accm: [PPP_LCP] Async-Control-Character-Mapオプションを使用するか否か選択します
ppp lcp acfc: [PPP_LCP] Address-and-Control-Field-Compression オプションを使用するか否か選択します
ppp lcp magicnumber: [PPP_LCP] Magic-Numberオプションを使用するか否か選択します
ppp lcp maxconfigure: [PPP_LCP] パラメータlcp-max-configureを設定します
ppp lcp maxfailure: [PPP_LCP] パラメータlcp-max-failureを設定します
ppp lcp maxterminate: [PPP_LCP] パラメータlcp-max-terminateを設定します
ppp lcp mru: [PPP_LCP] Maximum-Receive-Unitオプションを使用するか否か選択します
ppp lcp pfc: [PPP_LCP] Protocol-Field-Compression オプションを使用するか否か選択します
ppp lcp restart: [PPP_LCP] パラメータlcp-restartを設定します
ppp lcp silent: [PPP_LCP] 相手から受信するまでLCP Configure-Requestの送信を待つかどうか選択します
ppp mp control: MP を制御する側を選択します
ppp mp divide: MP パケットを分割して送信するか否かを選択します
ppp mp interleave: MPインタリーブ機能を使うか否か設定します
ppp mp load threshold: MP の発信／切断のための負荷の閾値を設定します
ppp mp maxlink: MP の最大リンク数を設定します
ppp mp minlink: MP の最小リンク数を設定します
ppp mp timer: MP のための負荷計測の間隔を設定します
ppp mp use: MP を使用するか否か選択します
ppp mscbcp maxretry: [PPP_MSCBCP] パラメータmscbcp-max-retryを設定します
ppp mscbcp restart: [PPP_MSCBCP] パラメータmscbcp-restartを設定します
ppp pap maxauthreq: [PPP_PAP] パラメータpap-max-authreqを設定します
ppp pap restart: [PPP_PAP] パラメータpap-restartを設定します
pppoe access concentrator: 選択されている相手についてPPPoEで接続するアクセスコンセントレータ名を指定します
pppoe auto connect: 選択されている相手に対して、PPPoEセッションを自動で接続するか否かを選択します
pppoe auto disconnect: 選択されている相手に対して、PPPoEセッションを自動で切断するか否かを選択します
pppoe disconnect time: 選択されている相手に対して、タイムアウトによりPPPoEセッションを自動切断する時間を設定します
pppoe invalid-session forced close: 強制的に不正なPPPoEセッションを終了するか否かを設定します
pppoe padi maxretry: PADIパケットの最大再送回数を指定します
pppoe padi restart: PADIパケットの再送時間を指定します
pppoe padr maxretry: PADRパケットの最大再送回数を指定します
pppoe padr restart: PADRパケットの再送時間を指定します
pppoe service-name: 選択されている相手についてPPPoEで要求するサービス名を指定します
pppoe tcp mss limit: PPPoEセッション上でTCPパケットのMSSを制限するかどうかを設定します
pppoe use: 選択されている相手に対して、PPPoEにバインドするLANインタフェースを指定します
pptp hostname: PPTPホスト名を設定します
pptp keepalive interval: PPTPキープアライブを出すインターバルとダウン検出用のカウントを設定します
pptp keepalive log: PPTPキープアライブをログに取るかどうか選択します
pptp keepalive use: PPTPキープアライブを使用するか否か選択します
pptp service: PPTPサーバ機能を動作させるか否かを設定します
pptp service type: PPTPサーバとして動作するか、PPTPクライアントとして動作するかを設定します
pptp syslog: PPTPのコネクション制御のsyslogを出力するか否かを設定します
pptp tunnel disconnect time: 選択されている相手に対して、タイムアウトによりPPTPトンネルを自動切断する時間を設定します
pptp window size: PPTPウィンドウサイズを設定します
queue class filter: キューのクラス分けのためのフィルタを定義します
queue pp class filter list: キューイングのために適用するフィルタを設定します
queue pp class property: キューイングクラスの属性を設定します
queue pp default class: キューイングのデフォルトクラスを設定します
queue pp length: 送信キューの長さを設定します
queue pp type: キューイングの方式を選択します
queue tunnel class filter list: キューイングのために適用するフィルタを設定します
queue wan1 class control: Dynamic Class Control機能の設定をします
queue wan1 class filter list: キューイングのために適用するフィルタを設定します
queue wan1 class property: キューイングクラスの属性を設定します
queue wan1 default class: キューイングのデフォルトクラスを設定します
queue wan1 length: 送信キューの長さを設定します
queue wan1 type: キューイングの方式を選択します
queue LAN-INTERFACE class control: Dynamic Class Control機能の設定をします
queue LAN-INTERFACE class filter list: キューイングのために適用するフィルタを設定します
queue LAN-INTERFACE class property: キューイングクラスの属性を設定します
queue LAN-INTERFACE default class: キューイングのデフォルトクラスを設定します
queue LAN-INTERFACE length: 送信キューの長さを設定します
queue LAN-INTERFACE type: キューイングの方式を選択します
quit: ログアウトします
radius account: RADIUSのアカウント機能を使用するか否かを選択します
radius account port: RADIUSアカウントサーバのポート番号を設定します
radius account server: RADIUSアカウントサーバのIPアドレスを設定します
radius auth: RADIUSの認証機能を使用するか否かを選択します
radius auth port: RADIUS認証サーバのポート番号を設定します
radius auth server: RADIUS認証サーバのIPアドレスを設定します
radius retry: リトライする回数と待つ時間を設定します
radius secret: RADIUSシークレットの設定をします
radius server: RADIUSサーバのIPアドレスを設定します
rdate: リモートホストより日付を設定します
remote setup: 遠隔地のルータの設定を行ないます
remote setup accept: このルータに遠隔設定を許可するルータを設定します
rename: ファイル名まはたディレクトリ名を変更します
restart: 不揮発性メモリの内容に従ってルータを再起動します
rip filter rule: RIPフィルターの規則を設定します
rip preference: RIPのプリファレンス値を設定します
rip timer: RIPのタイマーを設定します
rip use: RIP機能を使うか否かを設定します
rtfs format: フラッシュROMのRTFS領域をフォーマットします
rtfs garbage-collect: フラッシュROMのRTFS領域をガベージコレクトします
save: 管理ユーザにログインしてから変更した設定内容を不揮発性メモリに書き込みます
schedule at: 指定した日時にコマンドを実行します
sd use: microSDカードを使用するか否かを設定します
security class: セキュリティクラスを設定します
set: 環境変数を設定します
set-default-config: 起動時のデフォルト設定ファイル名を設定します
set-default-exec: 起動時のデフォルト実行ファイル名を設定します
sftpd host: SFTPでアクセスできるホストを設定します
show account: 発着信回数と課金情報を表示します
show account pp: PPの発着信回数と課金情報を表示します
show arp: ARPテーブルを表示します
show command: コマンド一覧を表示します
show config: 設定情報を表示します
show config list: 設定情報を表示します
show config pp: 設定情報を表示します
show config tunnel: 設定情報を表示します
show diagnosis config port access: ポートへ到達可能なアクセス範囲の診断結果を表示します
show diagnosis config port map: ポートの開閉状態の診断結果を表示します
show dlci: 選択されている相手に対するDLCIテーブルの内容を表示します
show environment: システムのセットアップに関する情報を表示します
show exec list: 実行形式ファームウェアファイルの情報を表示します
show file list: ファイル情報を表示します
show ip connection: 動的フィルタで観測しているIPコネクションを表示します
show ip intrusion detection: 侵入検知の情報を表示します
show ip rip table: IPのRIPテーブルを表示します
show ip route: パラメータで指定した終点IPアドレスか、すべてのIPの経路情報を表示します
show ip secure filter loopback1: IPフィルタの設定情報を表示します
show ip secure filter loopback2: IPフィルタの設定情報を表示します
show ip secure filter loopback3: IPフィルタの設定情報を表示します
show ip secure filter loopback4: IPフィルタの設定情報を表示します
show ip secure filter loopback5: IPフィルタの設定情報を表示します
show ip secure filter loopback6: IPフィルタの設定情報を表示します
show ip secure filter loopback7: IPフィルタの設定情報を表示します
show ip secure filter loopback8: IPフィルタの設定情報を表示します
show ip secure filter loopback9: IPフィルタの設定情報を表示します
show ip secure filter pp: IPフィルタの設定情報を表示します
show ip secure filter tunnel: IPフィルタの設定情報を表示します
show ip secure filter wan1: IPフィルタの設定情報を表示します
show ip secure filter LAN-INTERFACE: IPフィルタの設定情報を表示します
show ipsec sa: 現在管理しているSAを表示します
show ipv6 address: IPv6のアドレス情報を表示します
show ipv6 connection: 動的フィルタで観測しているIPv6コネクションを表示します
show ipv6 mroute fib: IPv6マルチキャストの経路情報を表示します
show ipv6 neighbor cache: IPv6の近隣情報を表示します
show ipv6 rip table: IPv6のRIPテーブルを表示します
show ipv6 route: IPv6の経路情報を表示します
show log: システム及び通信のログを表示します
show nat descriptor address: NATのアドレスの状態を表示します
show nat descriptor interface address pp: インタフェースのNATのアドレスの状態を表示します
show nat descriptor interface address tunnel: インタフェースのNATのアドレスの状態を表示します
show nat descriptor interface address wan1: インタフェースのNATのアドレスの状態を表示します
show nat descriptor interface address LAN-INTERFACE: インタフェースのNATのアドレスの状態を表示します
show nat descriptor interface bind pp: NATディスクリプタとインタフェースのバインド情報を表示します
show nat descriptor interface bind tunnel: NATディスクリプタとインタフェースのバインド情報を表示します
show nat descriptor interface bind wan1: NATディスクリプタとインタフェースのバインド情報を表示します
show nat descriptor interface bind LAN-INTERFACE: NATディスクリプタとインタフェースのバインド情報を表示します
show nat descriptor masquerade port: IPマスカレードで使用しているポートの個数を表示します
show pki certificate summary: 証明書の情報を表示します
show pki crl: CRLの情報を表示します
show sshd public key: SSHサーバの公開鍵を表示します
show status backup: バックアップの情報を表示します
show status bgp: BGPの情報を表示します
show status boot: 起動の情報を表示します
show status boot all: 起動の情報を表示します
show status boot list: 起動の情報の履歴を表示します
show status bri1: インタフェースの情報を表示します
show status cooperation: 連携動作の状態を表示します
show status dhcp: DHCPの情報を表示します
show status dhcpc: DHCPクライアントの情報を表示します
show status ethernet: イーサネットフィルタの情報を表示します
show status external-memory: 外部メモリの動作状態を表示します
show status heartbeat: 生存通知の受信情報を表示します
show status heartbeat2: 生存通知(リリース2)の受信情報を表示します
show status ip keepalive: IPキープアライブの情報を表示します
show status ipv6 dhcp: DHCPv6の情報を表示します
show status ipv6 mld: MLDの情報を表示します
show status l2tp: L2TPの情報を表示します
show status lua: Luaスクリプト機能の情報を表示します
show status mail service: メールサービスの情報を表示します
show status mobile signal-strength: 定期実行で取得した電波の受信レベルを表示します
show status netvolante-dns pp: ネットボランチDNSの情報を表示します
show status netvolante-dns wan1: ネットボランチDNSの情報を表示します
show status netvolante-dns LAN-INTERFACE: ネットボランチDNSの情報を表示します
show status ngn: NGNインタフェースの情報を表示します
show status ospf: OSPFの情報を表示します
show status packet-buffer: パケットバッファの情報を表示します
show status pp: 相手先の情報を表示します
show status pptp: PPTPの情報を表示します
show status qos: QoSの情報を表示します
show status remote setup: リモートセットアップ機能の情報を表示します
show status rtfs: RTFSの情報を表示します
show status sd: SDメモリの動作状態を表示します
show status switch control: スイッチ制御機能の情報を表示します
show status switching-hub macaddress: スイッチングハブのMACアドレステーブルを表示します
show status tunnel: トンネルインタフェースの情報を表示します
show status upnp: UPnPの情報を表示します
show status usbhost: USBホスト機能の動作状態を表示します
show status usbhost modem: USB接続されたモデムの通信状態を表示します
show status user: ログインユーザの情報を表示します
show status vlan: VLANインタフェースの情報を表示します
show status vrrp: VRRPの情報を表示します
show status wan1: WANインタフェースの情報を表示します
show status LAN-INTERFACE: インタフェースの情報を表示します
show techinfo: 技術サポート情報を表示します
show url filter: URLフィルタの情報を表示します
show url filter external-database: 外部データベース参照型URLフィルタの情報を表示します
sip arrive address check: SIP着信時にuser名を検証するか否かを設定します
sip arrive session timer method: SIPの着信時にsip-session-timer機能で使用するメソッドを設定します
sip arrive session timer refresher: SIPの着信時にsip-session-timerが設定されていて、refresherが指定されていない場合に、200 OKレスポンスで指定するrefresherを設定します
sip log: SIPの詳細なログを出力するか否か選択します
sip response code busy: SIP着信時に着信できるポートがない場合に返すレスポンスコードを指定します
sip use: SIPによるVoIP機能を使用するか否かを選択します
sip user agent: 送信するSIPパケットにUser-Agentヘッダを設定するかどうかを設定します
snmp community read-only: SNMPv1によるアクセスモードが読み出し専用であるコミュニティの名称を設定します
snmp community read-write: SNMPv1によるアクセスモードが読み書き可能なコミュニティの名称を設定します
snmp display ipcp force: IPCPで得られたIPアドレスをSNMPのインタフェースアドレスとして表示することを強制します
snmp host: SNMPv1によるアクセスを許可するホストを設定します
snmp ifindex switch static index: スイッチのifIndexを静的に登録します
snmp local address: SNMPパケットの始点アドレスを設定します
snmp syscontact: MIB変数sysContactを設定します
snmp syslocation: MIB変数sysLocationを設定します
snmp sysname: MIB変数sysNameを設定します
snmp trap community: SNMPv1トラップのコミュニティ名称を設定します
snmp trap enable snmp: 送信するSNMPトラップを設定します
snmp trap enable switch: 送信するスイッチのSNMPトラップを設定します
snmp trap enable switch common: 送信する共通のスイッチのSNMPトラップを設定します
snmp trap host: SNMPv1トラップの受信ホストを設定します
snmp trap link-updown separate-l2switch-port lan1: 各ポートのLink Up/Down毎にTrapを送信するか設定します
snmp trap mobile signal-strength: モバイル端末の電波強度トラップを送信するかを設定します
snmp trap send linkdown bri1: LinkDownトラップを送信するかを設定します
snmp trap send linkdown pp: LinkDownトラップを送信するかを設定します
snmp trap send linkdown tunnel: LinkDownトラップを送信するかを設定します
snmp trap send linkdown wan1: LinkDownトラップを送信するかを設定します
snmp trap send linkdown LAN-INTERFACE: LinkDownトラップを送信するかを設定します
snmp yrifppdisplayatmib2: MIB変数yrIfPpDisplayAtMib2を設定します
snmp yrifswitchdisplayatmib2: MIB変数yrIfSwitchDisplayAtMib2を設定します
snmp yriftunneldisplayatmib2: MIB変数yrIfTunnelDisplayAtMib2を設定します
snmp yrswindex switch static index: yrswindexを静的に登録します
snmpv2c community read-only: SNMPv2cによるアクセスモードが読み出し専用であるコミュニティの名称を設定します
snmpv2c community read-write: SNMPv2cによるアクセスモードが読み書き可能なコミュニティの名称を設定します
snmpv2c host: SNMPv2cによるアクセスを許可するホストを設定します
snmpv2c trap community: SNMPv2cトラップのコミュニティ名称を設定します
snmpv2c trap host: SNMPv2cトラップの受信ホストを設定します
snmpv3 context name: SNMPv3で使用するSNMPコンテキスト名を設定します
snmpv3 engine id: SNMPv3で使用するSNMPエンジンIDを設定します
snmpv3 host: SNMPv3によるアクセスを許可するホストを設定します
snmpv3 trap host: SNMPv3トラップの受信ホストを設定します
snmpv3 usm user: SNMPv3で使用するUSMユーザ情報を定義します
snmpv3 vacm access: SNMPv3で使用するVACMユーザグループのアクセス権を定義します
snmpv3 vacm view: SNMPv3で使用するVACMビューファミリを定義します
sntpd host: SNTPサーバーへのアクセスを許可するホストを設定します
sntpd service: SNTPサーバー機能を有効にするか否かを設定します
speed pp: インタフェースの速度をbit/s単位で設定します
speed wan1: インタフェースの速度をbit/s単位で設定します
speed LAN-INTERFACE: インタフェースの速度をbit/s単位で設定します
sshd client alive: SSHでクライアント生存確認を行うか否かを設定します
sshd encrypt algorithm: SSHサーバで使用する暗号アルゴリズムを設定します
sshd host: SSHでアクセスできるホストを設定します
sshd host key generate: SSHサーバのホスト鍵を生成します
sshd listen: SSHサーバのポート番号を設定します
sshd service: SSHDサーバ機能を動作させるか否かを設定します
sshd session: SSHで同時に接続できるユーザ数を設定します
statistics: 統計機能の動作を設定します
switch control firmware upload go: スイッチにファームウェアを転送します
switch control function default: スイッチのすべての設定を初期値に戻します
switch control function execute clear-counter: カウンタをクリアします
switch control function execute clear-macaddress-table: MACアドレステーブルを消去します
switch control function execute reset-loopdetect: ループ検出の状態をリセットします
switch control function execute restart: スイッチを再起動します
switch control function get boot-rom-version: BootROMバージョンを取得します
switch control function get counter-frame-rx-type: counter-frame-rx-typeの設定値を取得します
switch control function get counter-frame-tx-type: counter-frame-tx-typeの設定値を取得します
switch control function get energy-saving: energy-savingの設定値を取得します
switch control function get firmware-revision: ファームウェアリビジョンを取得します
switch control function get led-brightness: led-brightnessの設定値を取得します
switch control function get loopdetect-count: loopdetect-countの設定値を取得します
switch control function get loopdetect-linkdown: loopdetect-linkdownの設定値を取得します
switch control function get loopdetect-port-use: loopdetect-port-useの設定値を取得します
switch control function get loopdetect-recovery-timer: loopdetect-recovery-timerの設定値を取得します
switch control function get loopdetect-time: loopdetect-timeの設定値を取得します
switch control function get macaddress-aging: macaddress-agingの設定値を取得します
switch control function get macaddress-aging-timer: macaddress-aging-timerの設定値を取得します
switch control function get mirroring-dest: mirroing-destの設定値を取得します
switch control function get mirroring-src-rx: mirroring-src-rxの設定値を取得します
switch control function get mirroring-src-tx: mirroring-src-txの設定値を取得します
switch control function get mirroring-use: mirroing-useの設定値を取得します
switch control function get model-name: 機器の品番を取得します
switch control function get port-auto-crossover: port-auto-crossoverの設定値を取得します
switch control function get port-flow-control: port-flow-controlの設定値を取得します
switch control function get port-speed: port-speedの設定値を取得します
switch control function get port-speed-downshift: port-speed-downshiftの設定値を取得します
switch control function get port-use: port-useの設定値を取得します
switch control function get qos-dscp-remark-class: qos-dscp-remark-classの設定値を取得します
switch control function get qos-dscp-remark-type: qos-dscp-remark-typeの設定値を取得します
switch control function get qos-policing-speed: qos-policing-speedの設定値を取得します
switch control function get qos-policing-use: qos-policing-useの設定値を取得します
switch control function get qos-shaping-speed: qos-shaping-speedの設定値を取得します
switch control function get qos-shaping-use: qos-shaping-useの設定値を取得します
switch control function get qos-speed-unit: qos-speed-unitの設定値を取得します
switch control function get serial-number: シリアル番号を取得します
switch control function get status-counter-frame-rx: 受信フレームカウンタの値を取得します
switch control function get status-counter-frame-tx: 送信フレームカウンタの値を取得します
switch control function get status-counter-octet-rx: 受信オクテットカウンタの値を取得します
switch control function get status-counter-octet-tx: 送信オクテットカウンタの値を取得します
switch control function get status-fan: 冷却用ファンの動作状態を取得します
switch control function get status-led-mode: LED表示モードの動作状態を取得します
switch control function get status-loopdetect-port: ポートのループ検出状態を取得します
switch control function get status-loopdetect-recovery-timer: ループ検出によリンクダウンされたポートの再リンクアップまでの時間を取得します
switch control function get status-macaddress-addr: MACアドレステーブルに学習したポート番号を表示します
switch control function get status-macaddress-port: ポート毎のMACアドレステーブルを表示します
switch control function get status-port-speed: ポートの通信速度および動作モードを取得します
switch control function get system-macaddress: 機器のMACアドレスを取得します
switch control function get system-name: system-nameの設定値を取得します
switch control function get system-uptime: 起動してからの時間を取得します
switch control function get vlan-access: vlan-accessの設定値を取得します
switch control function get vlan-id: vlan-idの設定値を取得します
switch control function get vlan-multiple: vlan-multipleの設定値を取得します
switch control function get vlan-multiple-use: vlan-multiple-useの設定値を取得します
switch control function get vlan-port-mode: vlan-port-modeの設定値を取得します
switch control function get vlan-trunk: vlan-trunkの設定値を取得します
switch control function set counter-frame-rx-type: カウントする受信フレームのタイプを設定します
switch control function set counter-frame-tx-type: カウントする送信フレームのタイプを設定します
switch control function set energy-saving: 省電力機能を使用するか否か選択します
switch control function set led-brightness: LEDの輝度を設定します
switch control function set loopdetect-count: ループ検出のMACアドレス移動回数閾値を設定します
switch control function set loopdetect-linkdown: ループが検出された時の動作を設定します
switch control function set loopdetect-port-use: ポートのループ検出機能を使用するか否かを設定します
switch control function set loopdetect-recovery-timer: ループ検出によるリンクダウンの自動復帰時間を設定します
switch control function set loopdetect-time: ループ検出のMACアドレス移動連続時間閾値を設定します
switch control function set macaddress-aging: MACアドレステーブルのエージングを行うか否かを設定します
switch control function set macaddress-aging-timer: MACアドレステーブルのエージング間隔を設定します
switch control function set mirroring-dest: スニファポートを設定します
switch control function set mirroring-src-rx: 受信トラフィックをミラーリングするか否かを設定します
switch control function set mirroring-src-tx: 送信トラフィックをミラーリングするか否かを設定します
switch control function set mirroring-use: ポートミラーリング機能を使用するか否か選択します
switch control function set port-auto-crossover: ポートのオートクロスオーバー機能を使用するか否かを設定します
switch control function set port-flow-control: ポートのフロー制御を行うかどうかを設定します
switch control function set port-speed: ポートの通信速度および動作モードを設定します
switch control function set port-speed-downshift: ポートの速度ダウンシフト機能を使用するか否かを設定します
switch control function set port-use: ポートを使用するか否かを設定します
switch control function set qos-dscp-remark-class: DSCPリマーキングのクラスを設定します
switch control function set qos-dscp-remark-type: DSCPリマーキングの種類を設定します
switch control function set qos-policing-speed: 受信トラフィックポリシング速度を設定します
switch control function set qos-policing-use: 受信トラフィックポリシングを行うか否か選択します
switch control function set qos-shaping-speed: 送信トラフィックシェーピング速度を設定します
switch control function set qos-shaping-use: 送信トラフィックシェーピングを行うか否か選択します
switch control function set qos-speed-unit: QoSで使う単位速度を設定します
switch control function set system-name: 機器の名前を設定します
switch control function set vlan-access: ポートベースVLANが参加するVLAN登録番号を設定します
switch control function set vlan-id: VLAN登録番号にVLAN IDを設定します
switch control function set vlan-multiple: マルチプルVLANのグループ番号を設定します
switch control function set vlan-multiple-use: マルチプルVLANを使用するか否かを設定します
switch control function set vlan-port-mode: ポートのVLAN動作モードを設定します
switch control function set vlan-trunk: タグVLANが参加するVLAN登録番号を設定します
switch control use LAN-INTERFACE: スイッチ制御機能を使用するか否かを設定します
switch control watch interval: スイッチの監視時間間隔とダウン検出用のカウントを設定します
switch select: スイッチを選択します
syslog debug: DEBUGレベルのSYSLOGを出力するか否か選択します
syslog execute command: 実行されたコマンドをログに残すか否か選択します
syslog facility: SYSLOGのファシリティを設定します
syslog host: SYSYLOGを送信するホストを設定します
syslog info: INFOレベルのSYSLOGを出力するか否か選択します
syslog local address: SYSLOGパケットの始点アドレスを設定します
syslog notice: NOTICEレベルのSYSLOGを出力するか否か選択します
syslog srcport: SYSLOGの始点ポート番号を設定します
system led brightness: LEDの輝度を設定します
system packet-buffer: パケットバッファパラメータを設定します
system temperature threshold: 温度の閾値を設定します
tcp log: TCPコネクションのログを表示するか否かを設定します
tcp session limit: ルーターが端点となるTCPのセッション数を設定します
telnet: TELNETクライアントを実行します
telnetd host: TELNETでアクセスできるホストを設定します
telnetd listen: TELNETDサーバのポート番号を設定します
telnetd service: TELNETDサーバ機能を動作させるか否かを設定します
telnetd session: TELNETで同時に接続できるユーザ数を設定します
terminate lua: タスクID指定により、Luaスクリプトを強制終了します
terminate lua file: ファイル名指定により、Luaスクリプトを強制終了します
tftp host: TFTPによるアクセスできるホストを設定します
time: 現在時刻を設定します
timezone: タイムゾーンを設定します
traceroute: 指定した宛先までの経路を調べます
traceroute6: 指定した宛先までの経路を調べます
tunnel backup: トンネルインタフェースがダウンした時にバックアップするインタフェースを指定します
tunnel disable: 指定したトンネルインタフェースを無効にします
tunnel enable: 指定したトンネルインタフェースを有効にします
tunnel encapsulation: トンネルインタフェースの種別を選択します
tunnel endpoint address: トンネル端点のアドレスを指定します
tunnel endpoint name: トンネル端点の名前を指定します
tunnel name: トンネルインタフェースの名前を設定します
tunnel ngn arrive permit: 選択されている相手からの着信を許可するか否かを選択します
tunnel ngn bandwidth: NGN網を介したトンネルインタフェースの帯域幅を選択します
tunnel ngn call permit: 選択されている相手への発信を許可するか否かを選択します
tunnel ngn disconnect time: タイムアウトにより回線を自動切断する時間を設定します
tunnel ngn interface: NGNトンネル接続で使用するNGN用LANインタフェースを設定します
tunnel select: トンネルインタフェースを選択します
tunnel template: トンネルテンプレートを設定します。
upnp external address refer: UPnPに使用するIPアドレスを取得するインタフェースを選択します
upnp port mapping timer: UPnPのポートマッピングを消去するためのタイマを設定します
upnp port mapping timer type: UPnPのポートマッピングを消去するためのタイマのタイプを設定します
upnp syslog: UPnPのsyslogを出力するか否かを設定します
upnp use: UPnP機能を使うか否かを設定します
url filter: URLに対するフィルタを定義します
url filter external-database access failure: データベースにアクセスできない場合の動作を設定します
url filter external-database auth retry: 認証に失敗した時に再送するまでの時間と再送回数を設定します
url filter external-database category: 外部データベース参照型URLフィルタ(カテゴリ)を定義します
url filter external-database id: サーバにアクセスするためのシリアルIDを設定します
url filter external-database id activate go: URLフィルタリングサービス事業者にシリアルIDの登録を行います
url filter external-database id check go: URLフィルタリングサービス事業者との契約状況の確認を行います
url filter external-database ipaddress access: IPアドレスを直接指定したURLへのアクセスを許可するか否かの設定します
url filter external-database log: 外部データベース参照型URLフィルタのsyslogを出力するか否かを設定します
url filter external-database lookup specified extension: 特定の拡張子を持つURLについてカテゴリ確認を行うか否かを設定します
url filter external-database lookup specified extension list: カテゴリ確認しない拡張子を設定します
url filter external-database proxy server: URLフィルタで使用するProxyサーバを設定します
url filter external-database register url: シリアルIDを登録するURLを設定します
url filter external-database reject: URLフィルタで破棄するパケットの送信元に返すHTTPレスポンスを設定します
url filter external-database reputation: 外部データベース参照型URLフィルタ(Webレピュテーション)を定義します
url filter external-database server: データベースを持つサーバのアドレス、ポート番号を設定します
url filter external-database use: URLフィルタで使用する外部データベースを選択します
url filter log: 内部データベース参照型URLフィルタのsyslogを出力するか否かを設定します
url filter port: URLフィルタでチェックするポート番号を設定します
url filter reject: URLフィルタで破棄するパケットの送信元に返すHTTPレスポンスの動作を設定します
url filter use: URLフィルタを使用するか否かを設定します
url pp filter: インタフェースに対するURLのフィルタリングを設定します
url tunnel filter: インタフェースに対するURLのフィルタリングを設定します
url wan1 filter: インタフェースに対するURLのフィルタリングを設定します
url LAN-INTERFACE filter: インタフェースに対するURLのフィルタリングを設定します
usbhost modem flow control: モデムのフロー制御を行うかどうかを設定します
usbhost modem initialize: モデムの初期設定時に設定するATコマンドを設定します
usbhost overcurrent duration: 過電流として検出するまでの時間を設定します
usbhost use: USBホスト機能を使用するか否かを設定します
user attribute: ログインユーザの属性を設定します
vlan port mapping LAN-INTERFACE: スイッチのポートが所属するvlanインタフェースを設定します
vlan VLAN-INTERFACE 802.1q: VLAN Identifier を設定します
wan1 access limit connection length: 指定したWANに対して、送受信データ長の上限値を設定します
wan1 access limit connection time: 指定したWANに対して、接続時間の上限値を設定します
wan1 access limit duration: 指定したWANに対して、累積管理する期間を設定します
wan1 access limit length: 指定したWANに対して、累積送受信データ長の上限値を設定します
wan1 access limit time: 指定したWANに対して、累積通信時間の上限値を設定します
wan1 access-point name: アクセスポイント名を設定します
wan1 always-on: 常時接続機能を使用するか否か選択します
wan1 auth myname: 認証のための自分の名前とパスワードを設定します
wan1 auto connect: 指定したWANに対して、モバイルインターネット接続を自動で接続するか否かを選択します
wan1 bind: 指定したWANとインターフェースとを結びつけます
wan1 disconnect input time: 指定したWANに対して、パケット無入力時に回線を切断する時間を設定します
wan1 disconnect output time: 指定したWANに対して、パケット無送出時に回線を切断する時間を設定します
wan1 disconnect time: 指定したWANに対して、タイムアウトにより自動切断する時間を設定します
wins server: WINSサーバのIPアドレスを設定します(最大2)
wol send: Wake On LANでPCを起動するためにMagic Packetを送信します
KyotenRouter6#

【AppreciaL2 ミラーポート】
使用例:ミラーリングポートを追加するには
#config mirror port 1 add source ports 2-7 both
Command: config mirror port 1 add source ports 2-7 both
Success.
#

使用例:ミラーリングポートを削除するには
#config mirror port 1 delete source ports 2-4 both
Command: config mirror 1 delete source ports 2-4 both
Success.
#

使用例ミラーリングコンフィギュレーションを有効にするには
#enable mirror
Command: enable mirror
Success.
#

使用例:ミラーリングコンフィギュレーションを表示するには
#show mirror
Command: show mirror
Current Settings
Mirror Status : Enabled
Target Port : 1
Mirrored Port :
RX :
TX : 5-7

使用例:ミラーリングコンフィギュレーションを表示するには
#show mirror
Command: show mirror
Current Settings
Mirror Status : Enabled
Target Port : 1
Mirrored Port :
RX :
TX : 5-7

【★アプレシアL2SW ファームアップ手順】
①PCのアドレスは1.1.1.1/24にする。
②PCにて3CDeamonを立ち上げる。
③PCとL2SWをLANケーブルで接続する。
④コンソールケーブルでPCとL2SWを接続する。
⑤テラタームで機器にログイン
username adpro
password なし

⑦config ipif System ipaddress 1.1.1.2/24 を投入

⑧show ipif を投入
→アドレスが振られていることを確認。

⑨download firmware_fromTFTP 1.1.1.1 aplfmR10500.img image_id 1

⑩テラタームでtelnet 1.1.1.2 で機器にログイン、ログオープン。
　以下ファイル名にて保存
作業ログ_金庫名_機器名_日付.txt
ex.作業ログ_米沢金庫_ApresiaLightFM_20120321.txt

⑪show firmware information を投入
→以下表示されることを確認。
Image ID : 1(Boot up firmware)
　Version : 1.05.00
　Size : 3362728 Bytes

⑫show tech-suport

ログがとれたらログを閉じて確認手順に移る。

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
★アプレシアL2SW ファームアップ確認手順（ファームアップ完了確認）

①テラタームでコンソールログイン、ログオープン。
以下ファイル名にて保存
確認ログ_金庫名_機器名_PC番号_日付.txt
ex.確認ログ_福島金庫_ApresiaLightFM_20120321.txt

username adpro
password なし

②コンソールケーブルでPCとL2SWを接続
以下コマンドを投入

show firmware information
→以下表示されることを確認。
Image ID : 1(Boot up firmware)
　Version : 1.05.00
　Size : 3362728 Bytes

reset config

y

show ipif
→アドレスが削除されていることを確認。

reboot

y

③起動後コンソールにて、vesion が変わっているかを確認。
※起動時にVersionは何もしなくても表示される。

ログを閉じて作業終了。

【AppreciaL2 ミラーポート】
構文 create iproute default <ipaddr> [ <metric 1-65535> ]
使用例:メトリック値に「1」を使用して、スタティックアドレス「10.48.74.121」をルーティングテーブルに追加するには

#create iproute default 10.48.74.121 1
Command: create iproute default 10.48.74.121 1
Success.
#

【AppreciaL2 Vlanの作成、トランク/アクセスポートの作成】

使用例:VLAN「v1」、「tag 2」を作成するには
#create vlan v1 tag 2
Command: create vlan v1 tag 2
Success.
#

使用例:VLAN「v1」を削除するには
#delete vlan v1
Command: delete vlan v1
Success.

使用例:4～8 のポートをタグ付きポートとしてVLAN「v1」に追加するには
#config vlan v1 add tagged 4-8
Command: config vlan v1 add tagged 4-8
Success

使用例:VLAN からポートを削除するには
#config vlan v1 delete 6-8
Command: config vlan v1 delete 6-8
Success.

使用例:スイッチにVLAN ID を作成するには
#create vlan vlanid 5-6 advertisement
Command: create vlan vlanid 5-6 advertisement
Success

使用例:スイッチのVLAN ID を削除するには
#delete vlan vlanid 5-6
Command: delete vlan vlanid 5-6
Succe

【GR2000のPWリカバリあるいはデフォルトリスタート】
http://www.hitachi.co.jp/Prod/comp/network/manual/router/gr2k/0605/pdf4/opeguide.pdf

4 デフォルトリスタートパスワードを忘れた場合に行います。
パスワードによるセキュリティチェックを行いませんの
でデフォルトリスタートによる起動を行う場合は十分に注意してください。
なお，アカウント，構成定義情報はデフォルトリスタート前のものが使用されます。
" 装置モデルがGR2000-2S ／GR2000-4S ／ GR2000-6H ／GR2000-10H ／ GR2000-20H の場合，
本体のランプテストスイッチを押しながら，リセットスイッチを押します。
" 装置モデルがGR2000-1B ／GR2000-2B ／ GR2000-2B+ ／GR2000-BH の場合，
リセットスイッチを3 秒以上押したあとに解除します。

【AXシリーズのPWリカバリあるいはデフォルトリスタート】
ログインユーザのパスワードを忘れて本装置にログインできない場合は，次に示す方法で対応してください。
ログインできるユーザがいない場合
ログインできるユーザがいない場合，またはログインできてもenableコマンドのパスワードがわからない場合，本体のリセットスイッチを5秒以上押して，デフォルトリスタートをします。デフォルトリスタートによる起動のあと，パスワードを再設定してください。
デフォルトリスタートで起動したあとは，パスワードによるログイン認証，装置管理者モードへの変更（enableコマンド）時の認証，およびコマンド承認をしないため，十分に注意してください。
デフォルトリスタートについては，マニュアル「コンフィグレーションガイド」を参照してください。
なお，再設定したパスワードは装置を再起動したあと，有効になります。

デフォルトリスタート
パスワードを忘れてログインできない場合や，コマンド承認の設定ミスなどでコンソールからコマンドが実行できなくなった場合に行います。
パスワードによるログイン認証，装置管理者モードへの変更（enableコマンド）時の認証，およびコマンド承認を行いませんのでデフォルトリスタートによる起動を行う場合は十分に注意してください。なお，アカウント，コンフィグレーションはデフォルトリスタート前のものが使用されます。
また，ログインユーザ名を忘れると，デフォルトリスタートで起動してもログインできないので注意してください。
デフォルトリスタート中に設定したパスワードは，装置再起動後に有効になります。本体のリセットスイッチを5秒以上押します。

登録: 投稿 (Atom)

發饗する琴罵

2014年3月19日水曜日

2014年3月17日月曜日

自己紹介

ブログアーカイブ

2014年3月19日水曜日

2014年3月17日月曜日

自己紹介

ブログ アーカイブ

ブログアーカイブ