【Catalyst 9200L】初期コンフィグを確認する

対象環境
no service pad
service timestamps
no platform punt-keepalive disable-kernel-core
call-home
vrf definition Mgmt-vrf
no aaa new-model
ip arp entry learn
login on-success log
crypto pki trustpoint
license boot level
license smart reservation
diagnostic bootup level
redundancy
class-map match-any …
control-plane
参考資料

対象環境

型番：C9200L-24T-4G
バージョン：16.9.4

工場出荷時から入っているコンフィグの意味を確認しておきます。

no service pad

no service pad

X.25 で使用する Packet Assembler/Disassembler (PAD) を無効化しています。

service timestamps

service timestamps debug datetime msec
service timestamps log datetime msec

service timestamps debug datetime msec
- デバッグ出力時のタイムスタンプ設定をしています
service timestamps log datetime msec
- ログ出力時のタイムスタンプ設定をしています

datetime：日時を追加
msec：ミリ秒単位で出力

no platform punt-keepalive disable-kernel-core

no platform punt-keepalive disable-kernel-core

platformpunt-keepalivedisable-kernel-core だとカーネルコアの生成を無効にします。これに no が付いているので、カーネルコアの生成を有効にしています。機器障害発生時のデバッグ用の設定のようです。

参考資料：

What does the "no platform punt-keepalive disable-kernel-core" command mean?

I'm just trying to get some clarification on what the command "no platform punt-keepalive disable-kernel-core" means? I have a brand new 4331 router and "no pla...

call-home

service call-home

call-home
 ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
 ! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
 contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"
  active
  destination transport-method http
  no destination transport-method email

Call Home は、電子メールベースおよび http/https ベースの通知を提供します。

service call-home でサービスを有効化していて、call-home の設定では宛先プロファイルを設定しています。デフォルトで Cisco TAC へアラートを送信するためのプロファイルが定義されています。

スマートライセンス認証で Call Home を使用します。

スマートライセンスについて詳しくは以下記事参照：

vrf definition Mgmt-vrf

vrf definition Mgmt-vrf
 !
 address-family ipv4
 exit-address-family
 !
 address-family ipv6
 exit-address-family
.
.
.
interface GigabitEthernet0/0
 vrf forwarding Mgmt-vrf
 no ip address
 shutdown
 negotiation auto

Mgmt-vrf という管理用の VRF が定義されていて、GigabitEthernet0/0 を VRF Mgmt-vrf に所属させる設定になっています。GigabitEthernet0/0 を管理ポートとして使用する前提の設定です。

no aaa new-model

no aaa new-model

aaa は RADIUS サーバのデータベースにあるユーザ名とパスワード情報を利用してログインする等のために使用されますが、デフォルトでは aaa が無効化されています。

ip arp entry learn

ip arp entry learn 10240

arp エントリの最大数を 10240 と設定しています。

参考資料：

Cisco IOS IP アドレッシングサービスコンフィギュレーションガイドリリース 15.1S - ARP 情報のモニタリングおよびメンテナンス [Cisco IOS 15.1S]

ARP 情報のモニタリングおよびメンテナンス

login on-success log

login on-success log

機器へのログインが成功したときのログ出力を有効化しています。

crypto pki trustpoint

以下の様に、crypto pki trustpoint ... と crypto pki certificate chain ... という設定があります。

crypto pki trustpoint TP-self-signed-xxxxxxxxxx
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-xxxxxxxxxx
 revocation-check none
 rsakeypair TP-self-signed-xxxxxxxxxx

crypto pki certificate chain TP-self-signed-4098379099
 certificate self-signed 01
  61C45672 5751C1A3 67A97195 D2FC6399 6DD27AB2 AE7FE378 BFF16F93 6A0CFE35 
  985FA225 C2E4DFBB 5DA33861 20B2DBC5 1055FE45 B12DBA7A 8CE5FB87 59674A16
.
.
.
  37B39D0C 546A92D5 E7052C45 6A19A227 BB0BC8CB 18ECCD65 787AAD95 45678297 
  37353336 32308201 22300D06 092A8648 86F70D01
  	quit

これは、自動で生成された自己署名証明書であり、HTTPS サーバが有効化されている場合に自動生成されます。

ここでコンフィグを確認すると、HTTPS サーバを有効化する以下設定を確認できます。

ip http secure-server

crypto pki trustpoint ... と crypto pki certificate chain ... の設定は no コマンドで手動削除できるようなので、HTTPS サーバを無効化した上で自己署名証明書の設定を手動削除することでコンフィグから削除することができるようです。

参考資料：

Security Configuration Guide, Cisco IOS XE Fuji 16.9.x (Catalyst 9200 Switches) - Configuring Secure Socket Layer HTTP [Support]

Configuring Secure Socket Layer HTTP

license boot level

license boot level network-essentials addon dna-essentials

ライセンスレベルの設定です。基本ライセンスとして network-essentials、アドオンとして dna-essentials が設定されています。

license smart reservation

license smart reservation

スマートライセンス認証をライセンス予約方式（SLR）で行うための設定です。ダイレクトクラウドアクセス方式で認証する場合には不要な設定です。

参考資料：

シスコエンタープライズルーティングプラットフォーム向けシスコスマートライセンスガイド - 特定ライセンス予約の設定 [Cisco IOS XE Gibraltar 16.11.1]

特定ライセンス予約の設定

diagnostic bootup level

diagnostic bootup level minimal

機器起動時に実行されるブートアップ診断のレベルの設定です。minimal が設定されています。

参考資料：

Cisco IOS XE Everest 16.6.x（Catalyst 9300 スイッチ）システム管理コンフィギュレーションガイド - オンライン診断の設定 [サポート]

Cisco IOS XE Everest 16.6.x（Catalyst 9300 スイッチ）システム管理コンフィギュレーションガイド-オンライン診断の設定

redundancy

redundancy
 mode sso

冗長コンフィギュレーションモードをステートフルスイッチオーバ―（SSO）に設定しています。スーパバイザが冗長化されているときに意味を成す設定のようです。

参考資料：

Cisco IOS XE Gibraltar 16.12.x（Catalyst 9200 スイッチ）コマンドリファレンス - スタックマネージャおよびハイアベイラビリティコマンド [Cisco Catalyst 9200 シリーズスイッチ]

Cisco IOS XE Gibraltar 16.12.x（Catalyst 9200 スイッチ）コマンドリファレンス -スタックマネージャおよびハイアベイラビリティコマンド

【PDF】ステートフルスイッチオーバー（SSO）

class-map match-any …

class-map match-any system-cpp-police-topology-control
  description Topology control
class-map match-any system-cpp-police-sw-forward
  description Sw forwarding, L2 LVX data, LOGGING
class-map match-any system-cpp-default
  description Inter FED, EWLC control, EWLC data
.
.
.

多数のクラスマップが設定されていますが、すべて description のみが設定されています。

control-plane

policy-map system-cpp-policy

control-plane
 service-policy input system-cpp-policy

CoPP（コントロールプレーン・ポリシング）の設定をしています。system-cpp-policy というポリシーマップを定義して、CoPP 設定で使用していますが、system-cpp-policy では対象トラフィックが定義されていない状態になっています。

参考資料：

Security Configuration Guide, Cisco IOS XE Gibraltar 16.12.x (Catalyst 9300 Switches) - Configuring Control Plane Policing [Support]

Configuring Control Plane Policing

CoPP（Control plane policing）とは：Cisco設定例

参考資料

Software Configuration Guide, Cisco IOS XE Fuji 16.9.x (Catalyst 9200 Switches) - Contents [Cisco Catalyst 9200 Series Switches]

Software Configuration Guide, Cisco IOS XE Fuji 16.9.x (Catalyst 9200 Switches)-Contents

―――――――――――――