- 対象環境
- no service pad
- service timestamps
- no platform punt-keepalive disable-kernel-core
- call-home
- vrf definition Mgmt-vrf
- no aaa new-model
- login on-success log
- no device-tracking logging theft
- license boot level
- diagnostic bootup level
- memory free low-watermark processor
- redundancy
- transceiver type all
- class-map match-any …
- control-plane
- crypto pki trustpoint
- 参考資料
対象環境
- 型番:C9300L-24T-4G
- バージョン:16.12.1
工場出荷時から入っているコンフィグの意味を確認しておきます。
no service pad
no service pad
X.25 で使用する Packet Assembler/Disassembler (PAD) を無効化しています。
service timestamps
service timestamps debug datetime msec
service timestamps log datetime msec
- service timestamps debug datetime msec
- デバッグ出力時のタイムスタンプ設定をしています
- service timestamps log datetime msec
- ログ出力時のタイムスタンプ設定をしています
- datetime:日時を追加
- msec:ミリ秒単位で出力
no platform punt-keepalive disable-kernel-core
no platform punt-keepalive disable-kernel-core
platformpunt-keepalivedisable-kernel-core
だとカーネルコアの生成を無効にします。これに no
が付いているので、カーネルコアの生成を有効にしています。機器障害発生時のデバッグ用の設定のようです。
参考資料:

call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
Call Home は、電子メールベースおよび http/https ベースの通知を提供します。
service call-home
でサービスを有効化していて、call-home
の設定では宛先プロファイルを設定しています。デフォルトで Cisco TAC へアラートを送信するためのプロファイルが定義されています。
スマートライセンス認証で Call Home を使用します。
スマートライセンスについて詳しくは以下記事参照:
vrf definition Mgmt-vrf
vrf definition Mgmt-vrf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
.
.
.
interface GigabitEthernet0/0
vrf forwarding Mgmt-vrf
no ip address
shutdown
negotiation auto
Mgmt-vrf
という管理用の VRF が定義されていて、GigabitEthernet0/0 を VRF Mgmt-vrf
に所属させる設定になっています。GigabitEthernet0/0 を管理ポートとして使用する前提の設定です。
no aaa new-model
no aaa new-model
aaa は RADIUS サーバのデータベースにあるユーザ名とパスワード情報を利用してログインする等のために使用されますが、デフォルトでは aaa が無効化されています。
login on-success log
login on-success log
機器へのログインが成功したときのログ出力を有効化しています。
no device-tracking logging theft
no device-tracking logging theft
IP device tracking を利用する際に取得するログ内容に関する設定です。
参考資料:

license boot level
license boot level network-advantage addon dna-advantage
ライセンスレベルの設定です。基本ライセンスとして network-advantage、アドオンとして dna-advantage が設定されています。
diagnostic bootup level
diagnostic bootup level minimal
機器起動時に実行されるブートアップ診断のレベルの設定です。minimal が設定されています。
参考資料:
memory free low-watermark processor
memory free low-watermark processor 134432
デバイス上の空きメモリ量が設定されたしきい値を下回った場合にログ出力する設定をしています。しきい値として 134432 [KB] と設定しています。
参考資料:
redundancy
redundancy
mode sso
冗長コンフィギュレーションモードをステートフルスイッチオーバ―(SSO)に設定しています。スーパバイザが冗長化されているときに意味を成す設定のようです。
参考資料:
transceiver type all
transceiver type all
monitoring
すべてのトランシーバーについて、デジタル・オプティカル・モニタリング(DOM)を有効にしています。
参考資料:
class-map match-any …
class-map match-any system-cpp-police-ewlc-control
description EWLC Control
class-map match-any system-cpp-police-topology-control
description Topology control
class-map match-any system-cpp-police-sw-forward
description Sw forwarding, L2 LVX data packets, LOGGING, Transit Traffic
.
.
.
多数のクラスマップが設定されていますが、すべて description のみが設定されています。
control-plane
policy-map system-cpp-policy
control-plane
service-policy input system-cpp-policy
CoPP(コントロールプレーン・ポリシング)の設定をしています。system-cpp-policy
というポリシーマップを定義して、CoPP 設定で使用していますが、system-cpp-policy
では対象トラフィックが定義されていない状態になっています。
参考資料:
crypto pki trustpoint
以下の様に、crypto pki trustpoint ...
と crypto pki certificate chain ...
という設定があります。
crypto pki trustpoint TP-self-signed-xxxxxxxxxx
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-xxxxxxxxxx
revocation-check none
rsakeypair TP-self-signed-xxxxxxxxxx
crypto pki certificate chain TP-self-signed-4098379099
certificate self-signed 01
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D34 30393833
34335A17 0D333030 31303130 30303030 305A3031 312F302D 06035504 03132649
.
.
.
1CD1374F E9250A3E B3A3B568 8CD65E9D ED014B98 649208C8 BF9C1102 226324BC
5F78E2A1 994C3F20 27EEE0A6 7321FBC9 0377E417
quit
これは、自動で生成された自己署名証明書であり、HTTPS サーバが有効化されている場合に自動生成されます。
ここでコンフィグを確認すると、HTTPS サーバを有効化する以下設定を確認できます。
ip http secure-server
crypto pki trustpoint ...
と crypto pki certificate chain ...
の設定は no
コマンドで手動削除できるようなので、HTTPS サーバを無効化した上で自己署名証明書の設定を手動削除することでコンフィグから削除することができるようです。
参考資料:
参考資料
―――――――――――――