【Catalyst 9300L】初期コンフィグを確認する

対象環境
no service pad
service timestamps
no platform punt-keepalive disable-kernel-core
call-home
vrf definition Mgmt-vrf
no aaa new-model
login on-success log
no device-tracking logging theft
license boot level
diagnostic bootup level
memory free low-watermark processor
redundancy
transceiver type all
class-map match-any …
control-plane
crypto pki trustpoint
参考資料

対象環境

型番：C9300L-24T-4G
バージョン：16.12.1

工場出荷時から入っているコンフィグの意味を確認しておきます。

no service pad

no service pad

X.25 で使用する Packet Assembler/Disassembler (PAD) を無効化しています。

service timestamps

service timestamps debug datetime msec
service timestamps log datetime msec

service timestamps debug datetime msec
- デバッグ出力時のタイムスタンプ設定をしています
service timestamps log datetime msec
- ログ出力時のタイムスタンプ設定をしています

datetime：日時を追加
msec：ミリ秒単位で出力

no platform punt-keepalive disable-kernel-core

no platform punt-keepalive disable-kernel-core

platformpunt-keepalivedisable-kernel-core だとカーネルコアの生成を無効にします。これに no が付いているので、カーネルコアの生成を有効にしています。機器障害発生時のデバッグ用の設定のようです。

参考資料：

What does the "no platform punt-keepalive disable-kernel-core" command mean?

I'm just trying to get some clarification on what the command "no platform punt-keepalive disable-kernel-core" means? I have a brand new 4331 router and "no pla...

call-home

service call-home

call-home
 ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
 ! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
 contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"
  active
  destination transport-method http
  no destination transport-method email

Call Home は、電子メールベースおよび http/https ベースの通知を提供します。

service call-home でサービスを有効化していて、call-home の設定では宛先プロファイルを設定しています。デフォルトで Cisco TAC へアラートを送信するためのプロファイルが定義されています。

スマートライセンス認証で Call Home を使用します。

スマートライセンスについて詳しくは以下記事参照：

vrf definition Mgmt-vrf

vrf definition Mgmt-vrf
 !
 address-family ipv4
 exit-address-family
 !
 address-family ipv6
 exit-address-family
.
.
.
interface GigabitEthernet0/0
 vrf forwarding Mgmt-vrf
 no ip address
 shutdown
 negotiation auto

Mgmt-vrf という管理用の VRF が定義されていて、GigabitEthernet0/0 を VRF Mgmt-vrf に所属させる設定になっています。GigabitEthernet0/0 を管理ポートとして使用する前提の設定です。

no aaa new-model

no aaa new-model

aaa は RADIUS サーバのデータベースにあるユーザ名とパスワード情報を利用してログインする等のために使用されますが、デフォルトでは aaa が無効化されています。

login on-success log

login on-success log

機器へのログインが成功したときのログ出力を有効化しています。

no device-tracking logging theft

no device-tracking logging theft

IP device tracking を利用する際に取得するログ内容に関する設定です。

参考資料：

device-tracking logging theft について

Catalyst6807-XL Supervisor 6T環境 IOS-XE 15.5(1)SY3の環境でConfig上に device-tracking logging theft という設定が入っています。(明示的に設定した覚えは無い) このコマンド、マニュアル等を探してもどこにもなく一体有効なのか表示のみの設定な...

license boot level

license boot level network-advantage addon dna-advantage

ライセンスレベルの設定です。基本ライセンスとして network-advantage、アドオンとして dna-advantage が設定されています。

diagnostic bootup level

diagnostic bootup level minimal

機器起動時に実行されるブートアップ診断のレベルの設定です。minimal が設定されています。

参考資料：

Cisco IOS XE Everest 16.6.x（Catalyst 9300 スイッチ）システム管理コンフィギュレーションガイド - オンライン診断の設定 [サポート]

Cisco IOS XE Everest 16.6.x（Catalyst 9300 スイッチ）システム管理コンフィギュレーションガイド-オンライン診断の設定

memory free low-watermark processor

memory free low-watermark processor 134432

デバイス上の空きメモリ量が設定されたしきい値を下回った場合にログ出力する設定をしています。しきい値として 134432 [KB] と設定しています。

参考資料：

Cisco IOS デバイスの強化ガイド

このドキュメントでは、Cisco IOS® システムデバイスのセキュリティ確保に役立つ情報について説明します。デバイスの保護は、ネットワーク全体のセキュリティの向上につながります。

redundancy

redundancy
 mode sso

冗長コンフィギュレーションモードをステートフルスイッチオーバ―（SSO）に設定しています。スーパバイザが冗長化されているときに意味を成す設定のようです。

参考資料：

Cisco IOS XE Everest 16.6.x（Catalyst 9300 スイッチ）スタックマネージャおよびハイアベイラビリティコンフィギュレーションガイド - NSF with SSO の設定 [サポート]

Cisco IOS XE Everest 16.6.x（Catalyst 9300 スイッチ）スタックマネージャおよびハイアベイラビリティコンフィギュレーションガイド-NSF with SSO の設定

【PDF】ステートフルスイッチオーバー（SSO）

transceiver type all

transceiver type all
 monitoring

すべてのトランシーバーについて、デジタル・オプティカル・モニタリング（DOM）を有効にしています。

参考資料：

Cisco IOS XE Everest 16.8.x（Catalyst 3850 スイッチ）コマンドリファレンス - インターフェイスおよびハードウェアコマンド [Cisco Catalyst 3850 シリーズスイッチ]

Cisco IOS XE Everest 16.8.x（Catalyst 3850 スイッチ）コマンドリファレンス-インターフェイスおよびハードウェアコマンド

class-map match-any …

class-map match-any system-cpp-police-ewlc-control
  description EWLC Control 
class-map match-any system-cpp-police-topology-control
  description Topology control
class-map match-any system-cpp-police-sw-forward
  description Sw forwarding, L2 LVX data packets, LOGGING, Transit Traffic
.
.
.

多数のクラスマップが設定されていますが、すべて description のみが設定されています。

control-plane

policy-map system-cpp-policy

control-plane
 service-policy input system-cpp-policy

CoPP（コントロールプレーン・ポリシング）の設定をしています。system-cpp-policy というポリシーマップを定義して、CoPP 設定で使用していますが、system-cpp-policy では対象トラフィックが定義されていない状態になっています。

参考資料：

Security Configuration Guide, Cisco IOS XE Gibraltar 16.12.x (Catalyst 9300 Switches) - Configuring Control Plane Policing [Support]

Configuring Control Plane Policing

CoPP（Control plane policing）とは：Cisco設定例

crypto pki trustpoint

以下の様に、crypto pki trustpoint ... と crypto pki certificate chain ... という設定があります。

crypto pki trustpoint TP-self-signed-xxxxxxxxxx
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-xxxxxxxxxx
 revocation-check none
 rsakeypair TP-self-signed-xxxxxxxxxx

crypto pki certificate chain TP-self-signed-4098379099
 certificate self-signed 01
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D34 30393833 
  34335A17 0D333030 31303130 30303030 305A3031 312F302D 06035504 03132649 
.
.
.
  1CD1374F E9250A3E B3A3B568 8CD65E9D ED014B98 649208C8 BF9C1102 226324BC 
  5F78E2A1 994C3F20 27EEE0A6 7321FBC9 0377E417
  	quit

これは、自動で生成された自己署名証明書であり、HTTPS サーバが有効化されている場合に自動生成されます。

ここでコンフィグを確認すると、HTTPS サーバを有効化する以下設定を確認できます。

ip http secure-server

crypto pki trustpoint ... と crypto pki certificate chain ... の設定は no コマンドで手動削除できるようなので、HTTPS サーバを無効化した上で自己署名証明書の設定を手動削除することでコンフィグから削除することができるようです。

参考資料：