- 対象環境
- no service pad
- service timestamps
- no platform punt-keepalive disable-kernel-core
- call-home
- vrf definition Mgmt-vrf
- no aaa new-model
- ip arp entry learn
- login on-success log
- crypto pki trustpoint
- license boot level
- license smart reservation
- diagnostic bootup level
- redundancy
- class-map match-any …
- control-plane
- 参考資料
対象環境
- 型番:C9200L-24T-4G
- バージョン:16.9.4
工場出荷時から入っているコンフィグの意味を確認しておきます。
no service pad
no service pad
X.25 で使用する Packet Assembler/Disassembler (PAD) を無効化しています。
service timestamps
service timestamps debug datetime msec
service timestamps log datetime msec
- service timestamps debug datetime msec
- デバッグ出力時のタイムスタンプ設定をしています
- service timestamps log datetime msec
- ログ出力時のタイムスタンプ設定をしています
- datetime:日時を追加
- msec:ミリ秒単位で出力
no platform punt-keepalive disable-kernel-core
no platform punt-keepalive disable-kernel-core
platformpunt-keepalivedisable-kernel-core
だとカーネルコアの生成を無効にします。これに no
が付いているので、カーネルコアの生成を有効にしています。機器障害発生時のデバッグ用の設定のようです。
参考資料:

call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
Call Home は、電子メールベースおよび http/https ベースの通知を提供します。
service call-home
でサービスを有効化していて、call-home
の設定では宛先プロファイルを設定しています。デフォルトで Cisco TAC へアラートを送信するためのプロファイルが定義されています。
スマートライセンス認証で Call Home を使用します。
スマートライセンスについて詳しくは以下記事参照:
vrf definition Mgmt-vrf
vrf definition Mgmt-vrf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
.
.
.
interface GigabitEthernet0/0
vrf forwarding Mgmt-vrf
no ip address
shutdown
negotiation auto
Mgmt-vrf
という管理用の VRF が定義されていて、GigabitEthernet0/0 を VRF Mgmt-vrf
に所属させる設定になっています。GigabitEthernet0/0 を管理ポートとして使用する前提の設定です。
no aaa new-model
no aaa new-model
aaa は RADIUS サーバのデータベースにあるユーザ名とパスワード情報を利用してログインする等のために使用されますが、デフォルトでは aaa が無効化されています。
ip arp entry learn
ip arp entry learn 10240
arp エントリの最大数を 10240 と設定しています。
参考資料:
login on-success log
login on-success log
機器へのログインが成功したときのログ出力を有効化しています。
crypto pki trustpoint
以下の様に、crypto pki trustpoint ...
と crypto pki certificate chain ...
という設定があります。
crypto pki trustpoint TP-self-signed-xxxxxxxxxx
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-xxxxxxxxxx
revocation-check none
rsakeypair TP-self-signed-xxxxxxxxxx
crypto pki certificate chain TP-self-signed-4098379099
certificate self-signed 01
61C45672 5751C1A3 67A97195 D2FC6399 6DD27AB2 AE7FE378 BFF16F93 6A0CFE35
985FA225 C2E4DFBB 5DA33861 20B2DBC5 1055FE45 B12DBA7A 8CE5FB87 59674A16
.
.
.
37B39D0C 546A92D5 E7052C45 6A19A227 BB0BC8CB 18ECCD65 787AAD95 45678297
37353336 32308201 22300D06 092A8648 86F70D01
quit
これは、自動で生成された自己署名証明書であり、HTTPS サーバが有効化されている場合に自動生成されます。
ここでコンフィグを確認すると、HTTPS サーバを有効化する以下設定を確認できます。
ip http secure-server
crypto pki trustpoint ...
と crypto pki certificate chain ...
の設定は no
コマンドで手動削除できるようなので、HTTPS サーバを無効化した上で自己署名証明書の設定を手動削除することでコンフィグから削除することができるようです。
参考資料:
license boot level
license boot level network-essentials addon dna-essentials
ライセンスレベルの設定です。基本ライセンスとして network-essentials、アドオンとして dna-essentials が設定されています。
license smart reservation
license smart reservation
スマートライセンス認証をライセンス予約方式(SLR)で行うための設定です。ダイレクトクラウドアクセス方式で認証する場合には不要な設定です。
参考資料:
diagnostic bootup level
diagnostic bootup level minimal
機器起動時に実行されるブートアップ診断のレベルの設定です。minimal が設定されています。
参考資料:
redundancy
redundancy
mode sso
冗長コンフィギュレーションモードをステートフルスイッチオーバ―(SSO)に設定しています。スーパバイザが冗長化されているときに意味を成す設定のようです。
参考資料:
class-map match-any …
class-map match-any system-cpp-police-topology-control
description Topology control
class-map match-any system-cpp-police-sw-forward
description Sw forwarding, L2 LVX data, LOGGING
class-map match-any system-cpp-default
description Inter FED, EWLC control, EWLC data
.
.
.
多数のクラスマップが設定されていますが、すべて description のみが設定されています。
control-plane
policy-map system-cpp-policy
control-plane
service-policy input system-cpp-policy
CoPP(コントロールプレーン・ポリシング)の設定をしています。system-cpp-policy
というポリシーマップを定義して、CoPP 設定で使用していますが、system-cpp-policy
では対象トラフィックが定義されていない状態になっています。
参考資料:
参考資料
―――――――――――――