arashi1977さんの投稿一覧
返信にしないと書式が適用されないので、コメントではなく返信にさせていただきますね。
初期状態がこれとして
Router#show run | section line
line con 0
line aux 0
line vty 0 4
login
transport input none
Router#show run | i authentication
Router#show run | i username
Router#show run | i enable
Router#
まず enable 系と、PASS1 に関するパスワード設定だけしてみます。
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line console 0
Router(config-line)#password PASS1
Router(config-line)#exit
Router(config)#enable password PASS3
Router(config)#enable secret PASS4
Router(config)#end
Router#
で、抜けて入ろうとすると、パスワード聞かれません。
Router#exit
Router con0 is now available
Press RETURN to get started.
Router>
そうかそうか、line console 0 配下で login 設定してなかったですね。
Router>en
Password: ←ここでは「PASS4」が必要
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line con 0
Router(config-line)#login
Router(config-line)#end
Router#exit
これでパスワード聞かれます。
User Access Verification
Password: ←ここは「PASS1」
Router>
じゃああえて飛ばしたaaa authentication login / login authentication / username も入れますか。
Router>en
Password:
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#aaa new-model
Router(config)#aaa authentication login LIST1 local
Router(config)#line console 0
Router(config-line)#login authentication LIST1
Router(config-line)#exit
Router(config)#username ccna password PASS2
Router(config)#end
Router#
もう一度抜けます。
Router#exit
Router con0 is now available
Press RETURN to get started.
User Access Verification
Username: ←あれ?
さっきは Password: だったところが Username: になってますね。
解説にもありますが、login authentication に指定された LIST1 は「local」を使用する設定なので、ローカルデータベース認証になります。これは表の method 種類「local」に書いてあるとおり
「ユーザ名」と「パスワード」で認証を行う
という挙動にするということです。なので、local が指定されている時点で、問題に記載がなくても「ユーザー名とパスワードのどちらも要求される」ことが確実になるのです。
ちなみに、login authentication ではなく login local ってしても同じ挙動になります(aaa new-model する前)。
正しい説明か?と言われるとどう答えていいのかわかりませんが、少なくとも Cisco の公式ドキュメントには解説の通りのことが書いてありますね。
https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst9400/software/release/16-12/command_reference/b_1612_9400_cr/b_1612_9400_cr_chapter_01101.html#wp2613836001
algorithm-type
(任意)ユーザのプレーンテキストのシークレットをハッシュするために使用するアルゴリズムを指定します。
md5 :MD5 アルゴリズムを使用してパスワードをエンコードします。
scrypt :SCRYPT ハッシュアルゴリズムを使用してパスワードをエンコードします。
sha256 :PBKDF2 ハッシュアルゴリズムを使用してパスワードをエンコードします。
RBはそのパケットを破棄するという認識でよろしいでしょうか。
そうですね、RB がその宛先ネットワークを知らないということであれば、破棄するかと思います。
どういった状況で役に立つのでしょうか。
細かい経路情報を全て RC が知る必要がなくなる、ということですね。
例えばメモリや CPU に余裕がないルータにたくさん経路情報を持たせるとルーティングテーブルが溢れてしまったりするので、RB が単一のゲートウェイとなることが確実なのであればデフォルトルートを広報することで RC の保持する情報が少なくて済みます。
例えばこれはヤマハのルータの場合ですが、センター側に使うような大きいルータ RTX5000 では、仕様として以下のような記載があります。
https://network.yamaha.com/products/routers/rtx5000/spec#tab
- 経路エントリー数 60,000(※4)
- OSPF経路数 10ネイバー以下の接続時の合計:30,000、100ネイバー接続時の合計:5,000
逆に小さいルータ RTX830 では
https://network.yamaha.com/products/routers/rtx830/spec#tab
- 経路エントリー数 10,000(※4)
- OSPF経路数 10ネイバー以下の接続時の合計:10,000、30ネイバー接続時の合計:8,000
と、保持できる経路数に差があることがわかります。必要ない場合は経路数をあえて少なく広報することで小さいルータ側の負荷を減らしてあげることには意味がある、ということがお分かりいただけるかと思います。