カテゴリ:13.実際にやってみる > 13.4 実際の設定

#### 1.GNS3の概要
GNS3( Graphical Network Simulator)は、ネットワークのエミュレータ(シミュレーターより本格的)であり、たとえばCiscoルータを仮想上で動作させることができる。ただし、CiscoのソフトであるIOSは自分で用意する。
ライセンスはGNU GPL(General Public License)なので、商用利用が可能だと思っている(要確認。詳細は以下などの文献を確認すべき
https://www.gnu.org/licenses/gpl-faq.html#GPLRequireSourcePostedPublic

#### 2.インストール手順
今回はAWSにインストール
1)インスタンスの選択
AMI:Ubuntu Server 20.04 LTS (HVM), SSD Volume Type - ami-0f2dd5fc989207c82 (64 ビット x86) 
インスタンスタイプ:t2.micro ※インストールするだけならこれで十分だが、動作させるにはもう少し大きいのが必要と思われる。

2)セキュリティグループ
デフォルトの22に加えて、3389(RDP)を追加した。

3)ubuntuに入って設定
・ubuntuにログインするにはユーザはubuntuを使う(ec2-userではない)
sudo -i
#Update
apt-get -y update


#LXDEをインストール
apt-get -y install lxde-core
#Configuring lightdmというダイアログ表示が出るので、デフォルトのgdm3を選択

#xrdpをイストール
apt-get -y install xrdp

#リモートデスクトップ用にパスワードを設定
passwd ubuntu
#任意のパスワードを設定。流し込むなら以下でもOK
echo "ubuntu:user_pass" | sudo chpasswd

#起動オプションを固定してxinitにする
update-alternatives --config x-session-manager
#4番のstartlxdeを選択しEnter

#再起動
reboot

#### 3.インストール手順(2)RDPで接続
1)先ほど設定したubuntuに対するパスワードでログイン
このとき、 SessionはデフォルトとXorg

2)設定の続き
ここからはGUI上で、行う。スタートらしきボタンから、「System Tools」>「LXTerminal」で起動

#リポジトリ登録
sudo -i
add-apt-repository ppa:gns3/ppa
#エンターキーを押す

#GNS3インストール
apt -y install gns3-gui gns3-server
configuring ubridgeというダイアログが表示
・スーパーユーザー以外もNS3使えるようにする→「Yes」
・  〃    キャプチャ取れるようにする→「Yes」

#### 4.GNS3の起動
1) 起動
画面の左下メニュー>Education>GNS3が起動

・Setup Wizard
デフォルトのRun appliances on my local computer
Local server configuration
デフォルトの設定
そのままNextで進んでFinish

2)ルータの追加
GNS3の画面から
・File>New blank projectで名前を付けて保存
・PCを入れる ディスプレイのマークから
・ルータの追加
まず、IOSをUploadしておく Edit>Preferences>Dynamips>IOS routersでNewを選択
※ルータは限られており、Cisco891はダメのようだ。2600シリーズなどが使える

3)操作方法
左上のカメレオンのメニューを開き、三角ボタンでスタート
NW機器を選択して右クリック、WebコンソールでConfigを入力できる

一度操作した環境だと、ip fowarding でルーティングをONにする(ip routingと同じだと思う)

・PCの設定
IPアドレス、サブネット、GWで設定する
ip 10.0.1.1 255.255.255.0 10.0.1.254
save

カメレオンのマークからGo to projectsでもとの画面にいき、終了する。

#### 6.参考になるドキュメント
https://docs.gns3.com/docs/getting-started/installation/linux
https://zassoul.blogspot.com/2018/04/ubuntu-1710-gns3.html

メモ
ブラウザを起動するとエラーになった。以下のようなきれいなGUIにしたい。まあ、今後の課題かな。
https://qiita.com/osugizmo/items/21578272ae2db05ab001

(1)Burp Suiteのインストールと設定
Ubuntuに入れたので、以下を参照
https://tutorialsoverflow.com/how-to-install-and-configure-burp-suite-on-ubuntu-18-04/
入れ方は2つあり、私は2つめの.shを落としてきて(180Mくらいあり、かなり時間がかかった)、シェルを実行
・GUIのウィザードが上がってくるので、基本はNext →インストールが完了する
・アプリケーションで、Burp Suiteを検索
・いくつか質問が聞かれれるが、デフォルト(一番上)のままで次への進む。
・Burp Suiteが起動する。

(2)使い方
https://persol-tech-s.co.jp/corporate/security/article.html?id=10

⓪起動すると、軽いウィザードが上がるかもしれない
・Temprary Projectを選択
・Use Burp defalults 
①Burp Suiteによる中継のON/OFF
「Proxy」>「Intercept」 「Intercept is on」(またはOFF)で切替
※デフォルトはONになっていると思う。つまり、何もしなくても中継する

②ネットワークの設定
「Proxy」>「Options」で設定する。デフォルトだとループバック「127.0.0.1:8080」になっている。IFで実際のIPのものも設定できるが、同じ端末上でやっているならこのままで問題なかった。→別端末からやる場合には調査がいるだろうし、UbuntuのFW設定も変える必要があるだろう。

あと、ip a でIPアドレスを見ておこう

③UbuntsのPCでProxyの設定を入れる。先でみた、ProxyのIPアドレスに対して8080で接続する。

④ProxyのIntercept is onになっていると、止めてくれる。HTTP historyで接続履歴が見える。★このHTTP historyが非常に見やすい。また、リスエスト(Request)とレスポンス(Response)がタブで切り替えらえれる。特にResponseが重要になることが多いのではないか。
「Intercept」タブで
・Forward:転送する →PCはページが表示される
・Drop:ページを落とす。→PCにはBurpSuiteのメッセージが出る

また、「Raw」は生データ。
HTTPリクエストなので、たいした情報はない。
一番上がGET としてURLが記載されていると思う。接続先のURLである。
「Params」や「Headers」の情報を変えることができる。変えて「Forward」を押すと、変更したものが送られる。たとえば、User-Agentを変えてみると、表示されるページが変わることもある。
以下、iPhoneのUserAgent情報を入れると、Webサイトがスマホ版の画面が表示された。
Mozilla/5.0 (iPhone; CPU iPhone OS 12_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

(3)その他
・文字の検索は、一番左の「Raw」だけ?
一番下に検索文字を入れる欄がある。
・SSLでも証明書を復号することで、中身を見ることができる(はず)

①パケットが大量に出る
Interceptは、目的のサイト以外にも、実際に通信しているサイトがすべてInterceptされる。これは仕方がない。Targetでフィルタを絞ったとしても、これはなんともならない。TargetでScopeを絞ると、Historyによる履歴が絞られる。
※ちなみに、Targetでは、urlによる指定(example.com)という指定が可能

②過去の動きから再度実施
HTTP historyから、該当するものを右クリックで「Sendto Repeater」を押すと、上の方のタブの「Repeater」の色が変わる。ここでは、直接Requestを変更できる。たとえば、GETを勝手に123などの変な文字列にしたりである。
ただ、実際に通信をするわけではないようで、BurpSuiteが記憶している状態でResponseを表示する。

■コマンドプロンプト
一般ユーザ→ $
スーパユーザ→ #

・入力文字変換は 「Ctrl」+「スペース」
・bashと打つと、bash上で処理されるので、TABキーによる文字の補完などが行われて便利。

■インストール
・最小メモリはx86で256M、SPARCでは128M
・インストール時のソフトウェアクラスタ
SUNWCrnet(XX Reduced network) 限定的なネットワーク
SUNWCrnet < Core < EndUser <

■コマンド 
・大文字と小文字は区別されるので注意。一般的には小文字で。
・コマンドを並べて実行させるには、;を使う
・wcはWord Countで、行数などをカウントする

■パッチ
・http://sunsolve.sun.comから取得できる
・patchadd パッチの追加や確認(-pオプション)
・patchrm
・showrev -p パッチの適用状況の確認。patchadd -pでも可能。

■uname
uname -r リビジョンだけ
uname -a バージョン情報などすべてを表示

■パッケージ管理
・pkgadd:rpm -iと同じ
・pkgrm:rpm -eと同じ
・pkginfo:rpm -qaと同じ
・pkgchk
・pkgtrans フォーマット変換

■起動/終了関連
・起動時にはPOST(power on self test)というハードウェアのテストを行う。
・ブート時にSTOP+Aで停止し、boot -s でシングルユーザモードに入れる。または b -s
※Stop+Aを禁止するには kbd -a disable kdbはキーボードだと思う。または、/etc/default/kbdにてKEYBOARD_ABORT=disable

・Boot PROMコマンド
ok set-defaults  ブートパラメータの初期化
ok setenv auto-boot?false ブートをしない。
ok show-devs デバイスリストの表示
ok banner バナーを表示
ok .version Boot PROMのバージョンを表示。
nvalias 恒久的なエイリアスの設定

・ブートの流れ
1)PROMのブート: POSTによるセルフテスト、bootblkの読み込み
2)プログラムのブート:セカンダリブートプログラムのufsbootの読み込み
3)カーネルの初期化 :カーネルを初期化する。
4)initフェーズ : /etc/inittabの内容を実行
5)svc.startdが開始 : ファイルシステムのマウントなど。起動に関する情報は次のDB(/etc/svc/repository.db)に記載

・who -r
ランレベルを調べる。 数字で表示されるが、シングルモードの場合はSと表示される。

・run levelごとに/etc/rc1.d(この場合はrun lever1)ディレクトリにスクリプトが入れられている。実際にはシンボリックリンクであるが

・init X 0はシャットダウン
・reboot リブート
・shutdown
 shutdown -i5 -g0 -y ランレベル5に0秒後に移行し、すべてyesで答える。init 5が楽だと思う。※type any key to continue でキーを押してしまうとリブートしてしまうので、ここで電源をOFFにする。
・reboot poweroffなども使えるはず

・ハングアップしたとき
 stop+A そして halt -d
 
■SMF(service management Facilty)によるサービス管理
Solaris10からかも
・svcadm
 enable
 disable
  restart 再起動
 clear 

・svccfg 
 import 設定情報の読み込み(xmlファイル)
 export 設定情報をxmlで出力

・svcs 状態の表示
 -a すべて
 -D 依存しているサービスの表示
 -p プロセス情報を含めて表示

■ユーザ管理
・/etc/passwd ユーザ名のほかにUIDも記される。rootのUIDは0
・/etc/shadow パスワード
・/etc/group グループ情報
ユーザ名は2~8文字

・useradd
 -d (ホーム)ディレクトリの指定
 -m ホームディレクトリの自動作成
 -s シェルの指定
・usermod
・userdel
  -r フォルダごと

groupadd
groupmod

SMC(Solaris Management Console)によるGUIにて操作も可能
/usr/sbin/smc & にて起動する

・who 現在のログインユーザの表示
 ※who -r はランレベルの表示

■ファイルシステム
・ファイルシステムはUFS(Unix File System)である。
・fsckによってファイルシステムのチェックを行える
・ファイルの容量確認コマンドには、df,du,quotなどがある
・quotはWindowsにもあるクウォータで、ユーザごとの使用率を表示
・dfはファイルシステム毎、duはファイル毎の使用率を表示する。
・du に-sをつけると、合計表示できる。よってdu -sh /export/home/*とすれば、ユーザ毎の使用量の合計が分かる。hはhuman
・UDF ・・・ DVD用
 HSFS ・・・ CD-ROM用
 UFS ・・・ Unix File System 通常のハードディスク
 PCFS ・・・ PC用。フロッピー

■リンク関連
・リンク作成 ln -s
sはシンボリックリンクで、ショートカット。-sを指定しないとハードリンク
ハードリンクは実体と同じなので、ショートカットを削除しても実体は削除されないが、ハードリンクを削除すると実体も削除される。
※ただし、ハードリンクは該当するものをすべて消さないと消えない。
※リンク削除はファイル削除と同じくrmで。

■mount
マウントされている情報を見るには/etc/mnttab

mount
umount にてマウントポイントを指定する。-f(force)で強制的
mountall
umountall
※CD-ROMを取り出すのはeject

・CDのマウント 
mount -F hsfs -r ro /dev/dskc0t6d0s0 /cdrom/cdrom0
roはRead Only、hsfsはISO9600のfilesystemをさす
※デバイスがどれか難しい。
※最初にデバイスを指定し、次にマウントポイントを指定する。

r />このプロセスを一度消して、再起動するとマウントされることがある。
/usr/sbin/vold & ←&を入れることで、バックグラウンドで処理。そうしないとプロンプトが返ってこない可能性があり、コマンドが入力できなくなる。
※volcheckでもできるかもしれない。
※/etc/init.d/volmgt stopとstartがSCSA的に出題されている様子。

■unzip
zipファイルの展開
unzip ファイル名
-d で展開するディレクトリを指定できる

Telnet
デフォルトでインストールされている(と思う)
サービスの起動はSMF(Service Management Facility)から
svcadm enable telnet
停止は svcadm disable telnet
Linuxなどと同様に、rootユーザからはtelnetできないので、ユーザを作る必要がある。

ftpのアクセス制御
/etc/ftpd/ftpusers ここに記載されたユーザは、FTP利用できない。(面白い。逆だよね。)
/etc/ftpd/ftphosts
/etc/shells

chgrp グループの変更。chmodのグループ版

ps プロセスの表示 -fはすべてのプロセスを表示。
pgrep psのあとにgrepするようなもの。条件を指定することで、条件にあったプロセス状態を表示する。

■KILL
SIGHUP 1 ハングアップ(再起動)
SIGINT 2 initializeではなくinterupt(割り込み)
SIGKILL 9 強制終了
SIGTERM 15 通常の終了(Terminate)

kill プロセスID
pkill プロセス名

■crontab
-e 編集
-l リスト
-r 削除(remove)

アクセス制御
・/etc/cron.d/cron.allow  ここに記載されているユーザのみがcrontabの制御を行える。
・/etc/cron.d/cron.deny  上記のcron.allowファイルが存在しない場合、ここに記載されたユーザ以外が制御できる。 REDHATでは/etc/cron.deny

■at
1回だけ実行する。

■アクセス制御
setfacl
 ファイルへのACL(アクセスリスト)を制御する
 -m オプションはModify(変更)   -x(削除)
 ;で複数の変更を並べることができる。

■プリンタ関連
・svcadmにてサービスの開始と終了を行う。
・lpadm プリンタの追加など
・lpstat LPサービスの確認
・lpmove ぷりんたのジョブを移動

■システム管理系
・kdmconfig 構成変更

・fomatコマンド
ディスクのフォーマットだけでなく、ラベル表示(Verify)、スライスサイズの変更(Partition)などが行える。
※従来のVTOCラベルに変わり、EFIラベルが用いられるようになった。

・newfs
新しいファイルシステムとの言葉通り、新しいファイルシステムを作る。
-i  iノードの指定をする。

・inode
ls -i により、各ファイルのiノード番号が表示される。
ハードリンクの場合は、iノード番号が同じで、ファイル名が異なる。

・/etc/hosts.equiv
rloginやrcpなどのリモートログインに対する制御を行う。ホスト名とユーザを管理できる。基本はノンパスでログインできるようになるはず。
ただし、このファイルよりも強いのが/.rhosts 
このファイルによって/etc/hosts.equivは上書きされると思ってよい。

・/etc/default/login
rootのログインを管理するのは、CONSOLE=部分(/dev/consoleデフォルトで、ローカルログオンのみ許可。=の後ろを空白にすると、rootからも入れない。)
SYSLOG_FAILED_LOGINS=3とすると、ログインに3回失敗した記録を残す。

・prstat
プロセスステータスという名のとおり、プロセスのステータス表示

■デバイス
・/etc/path_to_inst
物理デバイスとドライバの関連が記載されている。

・/devices/は物理デバイスで、/dev/は論理デバイス。ただ、/devは/devicesのリンク。

■バックアップ、リストア
・バックアップするには、通常であれば稼働中のものは難しい。fssnapを使うとマウント中のファイルシステムのスナップショットがとれる。それをtarやufsdumpなどでバックアップすればよい。

・fssnap -d スナップショットの削除
・スナップショットのリストアにはufsrestoreを使う。-iをつけると対話的。

■ネットワークの設定 
※設定が無い場合にはファイル自体が存在しないことが多い。
・ネットワーク設定の根本的な変更
sys-unconfig

ドメイン名の設定・・・DNSサーバの設定ではない。
/etc/defaultdomainに記載
このファイルがなかったら、ドメインが設定されていないということ
結果はdomainnameコマンドで表示される。

IPアドレスの表示
ifconfig -a

IPアドレスの設定
/etc/inet/hosts  ホスト名とIPアドレスを記載。
または、/etc/hostname.IF名 に記載。ただし、こっちの場合はHost名だけの場合もある。

サブネットマスク
/etc/inet/netmasks

・デフォルトGW
/etc/defaultrouter

DNSサーバ
/etc/resolv.conf

・名前解決の方法の決定
/etc/nsswitch.confに記載する。DNSを使う場合はnsswitch.dnsがサンプルとして置かれてある。

・ルーティング
route add 10.0.0.0 1.1.1.1 2←この値はMetric

■snoop
snoop -d ネットワークIF名 ホスト名
-o filename ファイルとして保存
-f filename ファイルを読み込む
-v    詳細表示  大文字(-V)の場合は要約
-ta 時刻を記入
port  ポート番号
host  ホスト名(またはIPアドレス)  

dumpadm クラッシュダンプ情報の管理
coreadm コアファイルの管理
metadb メタデータベースの作成

NFS
/etc/dfs/dfstab 共有するshareコマンドを並べる
/etc/vfstab
クライアントからはnfsdを使う。設定ファイルは/etc/default/nfs
rpcinfoでサーバ状態のテスト

■syslog

・syslog.conf
@loghost loghostサーバへログを転送

*.err err以上のログという意味
.none 除外する場合はnone

・logadm :Linuxでいるlogrotate
 logadmによって /var/adm/messageはローテーションされる。

LDAPクライアント
(1)設定ファイル
ldap_client_cred 認証関連
ldap_client_file LDAPの構成情報
 
(2)設定
ldapclientコマンド

NIS
NISは昔Yellow Pageと言われていた。そこで、NIS関連のコマンドにはypがつく。 ypcat、ypstartなど

■RBAC
プロファイル
/etc/user_attrの内容→/etc/security/policy.confの内容を順に検索

LDAP
1)検索
ldapsearch -h 10.1.1.1 -b 'dc=test,dc=com' uid=use1
※-hはhostを差す

2)Solarisの起動
/usr/sbin/directoryserver start
/usr/sbin/directoryserver start-admin

3)GUI
/usr/iplanet/consoleXX/startcosole


DHCPクライアントの設定
びっくりするほど簡単で、以下のコマンドにて該当するIFの空ファイルをつくる。
# touch /etc/dhcp.hme0


DHCPサーバの設定
LinuxだとISCのDHCPであるが、Solarisは独自のDHCPサーバ。この辺はLDAPなども同じ。
・dhcpmgrというGUIツールがある。これは非常に便利
CUIはdhcpconfig
・pntadm -C スコープ作成
・pntadm -p /var/dhcp -A 10.1.1.101 10.1.1.200 払い出すIPアドレスの付与

■IPMP
Solaris版のチーミング。(Redhatではボンディングかな?)
Solaris8からはリンクベースでIPが1つでよくなった。
旧バージョンでは検査ベースであり、IPが実と仮想とそれぞれが必要で、ICMPによる検出を行っていた。

■ルーティング
・routeadm
IP転送やルーティングの設定を行う。
-u すぐに反映
-e Enable
-d Disable
・RDSIC(Route Discovery)
・デフォルトルート
 route add default 10.1.1.1
  または、 /etc/defaultrouterに記述
・route monitorルーティングテーブルをリアルタイムに見る
・in.routedが動いている。設定は/etc/gateways

■NTP
1)NTPサーバ
 /etc/inet/ntp.confを設定
 svcadmにてntpをEnableに
2)NTPクライアント
・ntptrace
・ntpdate NTPの同期

■ndd
ネットワーク関連の状態表示や設定

■IPフィルター
・Linuxでいうiptable
・Acitiveなフィルタリングルールを見るには ipfstat -io
・ipf -Fa フィルタリングルールの再読み込み
・ipf -f /etc/ipf/ipf.conf フィルタリングルールの読み込み
・pass in quick from ・・・ ※quickがあると、そこでおしまい。通常のFirewallと同じ。quickがなければ最後のルールまで読まれ、おそらくもっとも厳しいルールが適用される

・管理者Colsoleへ
> administrator
#

・Configを見る
#show config

・セッションの表示
#show status pp1

・初期化
#cold start

・保存
#save

・再起動
#restart

・ホスト名を設定する(単なる表示だけだと思うが)
#console prompt hostA
hostA#

■機材
tp-linkのRE205を使います。
https://www.tp-link.com/jp/home-networking/range-extender/re205/
※11acに対応しているのかとか、5Gと2.4Gの両方使えるとか、スピードなどによっていろいろなモデルがあります。
■設定
①まずは初期化しておきましょう。
電源を入れて、裏のRESETボタンを1秒以上長押しします。

②TP-LINKに接続
WiFiでTP-Link_extender_xxという電波に接続してもいいですが、私は有線LANで接続しました。
PCをDHCPでIPアドレスを取得する設定にし、TP-LINKに接続すると、192.168.0.xのIPアドレスをもらってきます。
ブラウザでhttps://192.168.0.254にアクセスします。


③管理者PWを設定します。

④設定から「ワイヤレス」「ネットワークに接続」を選択。
「ワイヤレススキャナー」で、WiFiを探します。
セキュリティ設定などが自動で入るので、パスワードを入れます。
2.4Gと5Gで、必要な設定を入れ、保存します。

⑤この時点で、設定は完了しているはずです。TP-LINKはただの中継器になっているので、おおもとのWiFiからのIPアドレスをDHCPで取得し、インターネットに接続できる状態になっていることでしょう。


パロアルトネットワークスな日々 というサイトに、設定が記載されている。どうやらメーカのSEが書いたような気がする。
https://pansetech.net

■ログイン
(1)接続方法
MGT(管理)ポートに接続後、https://192.168.1.1/にアクセス。
デフォルトでは192.168.1.1/24のIPアドレスが割り振られている。DHCPでは割り当ててくれなかったので、設定用PCには固定IPを設定して接続する。
ブラウザにて、証明書のエラーが出るが、継続して接続。

(2)ログイン画面
ユーザID:admin
password:admin

でログイン

全般的に、以下のサイトにもいろいろ書いてある。
https://www.my-technote.com/palo-loginout/

■CLIからの設定
(1)2つの設定モード
CiscoなどのNW機器と同様に、モードがある
①>
・operational mode(オペレーショナルモード)
・状態を見たりする
 
②#
・設定モード(コンフィグレーションモード)
・設定変更をする
・以下のコマンドでコンフィグレーションモードに

> configure 
#

(2)CLIでのコマンド
以下の本家サイトも、意外に(と言っては失礼だが)わかりやすい
https://docs.paloaltonetworks.com/pan-os/7-1/pan-os-cli-quick-start/get-started-with-the-cli/change-cli-modes

・set や show などを使う
・たとえば、show deviceconfig system でMGTポートのIPアドレスなどの状態を確認できる。
・pingを実行するには
> ping host 8.8.8.8

送信元を指定する(たとえば、送信元を10.1.1.1)には、
> ping source 10.1.1.1 host 8.8.8.8

※MGTポートからは、デフォルトでは外部への通信などができないような設定になっている 
→設定変更の方法は後半に記載

・IPアドレスの設定
# set deviceconfig system ip-address 10.1.1.21 netm…

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClN7CAK

※設定を確定するにはcommitが必要。これをしないと設定が反映されない。

■初期化
(1)PWがわかる場合
初期化コマンド
request system private-data-reset

admin@PA-xxx>request system private-data-reset
ここで、以下が問われるのでyを押すと初期化される
Are you sure you want to continue? (y/n) (y or n)

→ランセンスも消えてしまうが、ライセンスはインターネットに接続して取得できる。
 ※機器情報とリンクしているので、何かを入力する必要はない。

(2)PWがわからない場合
コンソールから接続し、途中でmaintと入力できる場面がある。
そこで、FactoryResetを選択する。

■ライセンスの取得
初期化すると、ライセンスが消えてしまう。
Device>ライセンス
「ライセンスサーバからライセンスキーを取得」をクリックして、ライセンスを取得
→そのままだとエラーになる可能性がある。
それは、MGTポートからはインターネットにアクセスできないから。設定を変更する(後述)

+ソフトの最新化をしましょう。
ダイナミック更新から実行する

■初期設定
・デフォルトだと、ethernet1、2はVirtual wireに設定されている。(スイッチのポートの役割)
 不要な場合はこれを消しましょう。NETWORK>バーチャルワイヤーから、デフォルトのvireをチェックして「削除」 
 ※もちろん、COMMITが必要
・言語の設定は、画面右下の欄外にある
・一般設定
上メニュの「Device」>左メニューの「セットアップ」>管理>一般設定
 -タイムゾーンをAsia/Tokyoにする。
・管理ポートの設定
 Device>セットアップ>インターフェースにて、「インターフェース名」が「Mangaement」で設定。
 MGTポートのIPアドレスなどの設定ができる
 管理ポートにアクセスできる送信元IPアドレスは制限しておいたほうがセキュリティ面でいいだろう。
・Device>セットアップ>サービスから、NTPやDNSの設定を行う
・管理者(admin)のパスワード設定
 Device>管理者 から設定する。
 
■設定の保存
commitをする必要がある。忘れずにね。
以下が画面つきで説明がわかりやすい。
https://www.my-technote.com/palo-config-mgt/

■設定ファイルのバックアップ(エクスポート)とインポート
(1)外部のファイルへ保存
デバイス>セットアップ>操作から
・外部へ保存(エクスポート)
 もちろんcommitした上で
 エクスポート:名前付き設定のエクスポート
 「running-config.xml」を選択して「OK」。※保存したxmlファイルは別の名前にリネームしておこう。 
・逆にインポート
 インポート:名前付き設定スナップショットのインポート
 先ほどどのxmlファイルを指定する。 
※running-config.xmlの名前だと、うまくいかない。今動いているConfigなので。名前を変えれば成功
※インポートしたら、ロードが必要だと思う。そしてCommitも。

(2)PaloAltoに設定を保存し、インポートする
・保存
Device>操作>保存>「名前付き スナップショットの保存」で名前をつける。たとえば、2020.xml このようにxmlをつけておく
・ロード
同じところで、ロード の「名前付き 設定スナップショットのロード」で、該当するxmlファイルを選択する。→Commitしたら反映されると思う。

■ログや設定履歴などを消去
DEVICE>ログ設定>(下の方にある)ログの管理
ここで、トラフィックログや、脅威のログのクリア、設定ログのクリアなどが行える。
→COMMIT無しで、リアルタイムに消せる。 

■再起動
DEVICEから「デバイスの操作」「デバイスの再起動」

■NW設定
Networkタブから設定する。 例を紹介します。
①ゾーンの設定
・名前:LAN、タイプ:レイヤ3、インターフェース:e4  
・名前:WAN、タイプ:レイヤ3、インターフェース:e3
※ゾーンのIFはIFの設定で自動で入るので、ここでは指定しなくていい。
②IFの設定
・e4 タイプ:レイヤ3、仮想ルータ:default、セキュリティゾーン:LAN IPv4:10.1.1.254/24 ※その先の設定は入れない
・e3 タイプ:レイヤ3、仮想ルータ:default、セキュリティゾーン:WAN IPv4:PPPoE

③仮想ルータ default に設定したIFを入れる。e1、e2
・仮想ルータで、スタティックルート
  0.0.0.0/0をWANのIFに向ける。ネクストホップのルータのIPアドレスも入れた。(入れる必要あり?)

⑤LAN側にDHCPで割り当て
NETWORK>DHCP DHCPサーバーを欄外下の「追加」ボタンで追加
インターフェースを選択(LAN側)、モードはauto、
リースにIPプールとして、払い出すIPのセグメントを記載する
172.16.1.0/24
オプションとして、継承ソースを選ぶWANがPPPoEの場合は、DNSなどを持ってくるはず(★取れてなかった気が)。→DNSはinheritedを入れたら取得できた。
・デフォルトゲートウェイのIPアドレスとサブネットは設定する必要がある

⑥LANからMGTさせるには?
・NETWORK>ネットワークプロファイル>インターフェース管理
 追加で、利用させたいサービスを選ぶ。
・NETWORK>インターフェース>該当のIFを選択
「詳細」の管理プロファイルで、作成したプロファイルを選択する。

⑦ポリシーの設定
Policies>セキュリティ で追加
LANのゾーンからWANのゾーンを許可する
・アプリケーションではDNSやSSH、ping、web-browsingなどを選べる。
・サービスはapplication-defalultがメーカ推奨。anyでも通信は可能だが、application-defalultであれば、dnsなどのアプリケーションに応じて中身をチェックすることができる。
・application-defaultの内容はObjectのアプリケーションで(たてとえばDNSなら)dnsで検索すると、許可するプロトコルやポートが表示される。
・サービスには、プロトコルとポート番号を指定することもできる。たとえばUDP53番。ただし、DNSなのかどうかは判断せずに、単純にUDPと53であれば通す。
・アプリケーションをweb-browsingにして、サービスでhttpやhttpsを選ぶこともできる。ただ、多少クセがある。お勧めの方法は、アプリケーションをanyにしてサービスをservice-http service-httpsにすること。こうしないと、web-browsingにしてapplication-defalultにすると、httpsが通信できないなどの問題が発生した。
・アプリケーションとサービスはAND条件

⑧NATの設定
Policies>NAT 追加
・全般で名前をつける
・「元のパケット」 送信元ゾーンを指定(LAN)
宛先ゾーンも指定(WAN)、宛先IF(を指定すると思う)。サービスはANY
「変換済みパケット」変換タイプが「ダイナミックIPおよびポート」
アドレスタイプが「インターフェースアドレス」
インターフェースをインターネットに出るIF(WAN)

以下も参照
https://pansetech.net/network-config/#toc4
https://hirotanoblog.com/paloalto-basic-config/3980/#toc6

■MGTポートの設定
このままだと、インターネットに出れず、ライセンスUPdateやソフトウェアのUpdateも失敗する可能性がある。
→①デバイス>SETUP>サービス タグ
DNSを設定する。
②サービス機能のサービスルートの設定
「カスタマイズ」を選択して
「DNS」と「PaloAltoNetworkサービス」を
外部に出られるIFにする(PPPoEのWANは選べない)

■ソフトウェア(OS)のアップデート
DEVICE>ソフトウェア
ダウンロードしてから、インストール

■その他
・複数のポートを同一LANのポートにするには?
→VLANをまずは作成する。同一LANのポートにしたいIFをL2モードに設定し、VLANに入れる。このとき、VLAN用の専用のセキュリティゾーンを作成する必要ある。

・Commitは1つずつできないのか?
→一つずつCommitすればいいが、設定をあちこち変更して、Commitすると、一つでもエラーになると途中終了する。

・複数の設定をしてCommitしたが、何がエラーかわからない。
→Device>セットアップ>操作
「戻す」>「実行中の 設定に戻します」を実行すれば、元に戻せる。

・ライセンスの自動更新
→MGTポートからはインターネットに出られない。設定を調整する必要がある。

・DHCPサーバを設定したとき、継承のIFからDNSなどは持ってこないの?
→inheritedは継承するという意味で、PPPoEから取得したものを継承する。

・IFはPingが応答しない?
→設定にて、管理サービスを有効にするかを決める。インターフェース管理プロファイルを作成する。
たとえば、LAN側のPaloのIFにログインしたりPingを打てるようにする方法は以下
Network>該当のIF(たとえばethernet1/1)を選び、「詳細」タブから、「その他の情報」の「管理プロファイル」を新規作成する。ここで、許可したいHTTPSやSSHなどを設定する。
そして、設定を変更する場合は、Network>ネットワークプロファイル>インターフェース管理 から編集する。

・同じ名前で複数ユーザで同時ログインができるか?
→できる。

■脅威防御の設定
(1)適用方法
・ポリシーのところの「プロファイル」で、デフォルトは「none」になっているところをクリック。または、指定されていても、AVなどのアイコンをダブルクリック
※古いOSの場合は以下かも。Policies>セキュリティ>各ルールの「アクション」「プロファイル設定」で割り当てる。
・アンチウイルスや脅威防御やURLフィルタリングなどのプロファイルを選択していく。
デフォルトを使わずに、新規で作った方がいい。

❶AVの場合
名前を付ける。そして、デフォルトで、「default」となっていて
AVが有効になっている。それを、不要なところをallow(許可)にしたり、
alert(ログを出力)、drop(拒否)にしたりする。

❷URLフィルタ
AVと同様。デフォルトは全て許可になっているので、たとえばMalwareを禁止したければ、malwareで検索して、サイトアクセスをblockまたはAlertにする。
・Objects>セキュリティプロフィアル>URLフィルタリング
「追加」から設定を行う。
・基本はカテゴリで制御をする。
→Malware、phishing、C&C(Command & Control)のカテゴリはブロックしましょう。
・オーバーライドで、ホワイトリスト、ブラックリストの設定が可能。
・URLフィルタリング
ログの容量が多すぎるので、「コンテナページにのみロギング」がデフォルトになっている。
・URLフィルタリングのヘッダのロギングで、必要なものを取得するようにしましょう。チェックできるのは、ユーザーエージェント、Referer、X-Forwarded-For

■SSLインスペクション
①証明書を作成
DEVICE>証明書の管理>証明書

■AV
オブジェクトで作成して、それをプロファイルに割り当てる

■HA
「Device」>「高可用性」から設定する。
HAといっても、すべてが同期されるわけではない。もちろん通信セッションは同期される、管理系の設定は個別に入れる必要あり。
HAのリンクが2つ必要(物理ポートが2つ)
①HA1:Control Link、HeatBeatの交換 →IPアドレスを割り当てる。相手のPeerを登録する。
②HA2:Data Link、セッション情報の交換 →直結していればIPアドレスの割り当て不要。HA1経由でやってくれるのかも。
※HA1やHA2のポートがダウンしたときように、通常のポートをバックアップとして設定することも可能

ダイナミック更新は、SSL復号をしているとエラーになる可能性がある。→復号を除外すべき。

■ユーザの作成
管理者ユーザ以外に、権限を制限したユーザの作成も可能
・Device>管理者ロール 「追加」にて権限を設定する。大カテゴリは読み取り専用は選べないので注意
・次に「管理者」で「追加」にて、「ロールベース」を先ほど作成した管理者ロールを選択。それ以外の認証プロファイルやパスワードプロファイルはNoneのままで設定。
・または、ロールを選択せずに、スーパーユーザー(読取専用)を選ぶこともできる。
・また、SSHで接続してCLIを使って操作をさせる点に関しては、「コマンドライン」タブで設定する。noneだと接続すらできない。superreaderにてすれば、とりあえず接続はできた。

---------------------------
AWSの仮想VMでの設定
---------------------------続きを読む

■Windows系
・Windowsサーチサービスが入っていると、Officeなどの起動が遅くなる場合がある。ただ、これがあるとクイック検索ができるので、結構便利。Windowsアップデートをすると自動で入るので要注意だ。
・2003サーバにて、IEのセキュリティの設定が変えられないのは、プログラムと追加と削除にて、インターネットエクスプローラのセキュリティ強化のオプションが入っているから。
・DNSではルートヒントを消し、信頼できるサイトにフォワーダをしたほうがよい。ルートヒントから名前解決をする場合、途中のサーバにてDNS情報が汚染されている可能性があるから。

■AD
・GPMCは使った方がいいだろう。
・Default Group Policyをデフォルトに戻すのは困難(戻せるようだけど、完全には戻らない)なので、OUを作ってその中のGroupPolicyを変更したほうがよいだろう。ただ、新規でOUを作った場合、そこで作成されるGroupPolicyはデフォルト(初期状態)のポリシーのようだ。

■ASP
windows2003でASPによるスクリプトで動的HPを作るのであれば、「プログラムの追加と削除」「IIS」「WWWサービス」「AcitiveServerPage」をインストールする必要がある。
そうすれば、<% %>で囲んで、簡単にプログラムが書ける。

■Office PPT
・PPTの表の中の字がずれる場合
Wordにコピーして再度PPTにコピーすると治ることがある。

・PPTで図をペーストすると自動で配置がされる場合
2003の場合、「ツール」「オートコレクトのオプション」から
「入力オートフォーマット」「作業中に自動で書式設定する項目」「挿入したオブジェクトの自動レイアウト」のチェックをはずす

■EXCEL
文字の分割するには「データ」「区切り位置」
MIDを使うと、文字の指定した位置から指定した文字を切り取れる。
置換する場合 改行コードは Ctrl+J

■Wordに限らないが、PDFで保存するとき
そのまま保存すると、PDFの表示される名前が「1」になったりする。

→ファイル>情報 からプロパティの「タイトル」に適切な文字を入れると、PDFの表示で「1」とかにならずにタイトル名が表示される。

■ブラウザの「ツール」「インターネットオプション」「詳細設定」「ブラウズ」「HTTPエラーメッセージを簡易表示する」のチェックをはずすと、ASPなどのプログラムの詳細なエラーが表示される。

■ブラウザでCtrl+F5で、キャッシュではなくして最新の情報を表示

◆POWERSHELL
WINDOWSでファイル名を指定して実行から、POWERSHELLと入力する。
コマンドプロンプトからPOWERSHELLと打ってもいいが、画面が違うよねー

Windows10の場合、PowershellでSSHクライアントが起動できる。
TeraTermなどを入れる必要がないので、便利である。
PS C:\Users\user1> ssh user12@203.0.113.123

■Gmail
IMAPを有効にして、Thunderbirdなどの他のメールソフトから利用する
https://support.google.com/mail/answer/7126229?hl=ja
まず、Gmailの設定で、IMAPを有効にする
そして、メールクライアント側でアカウントを作る

■Windows11
Windows11でMSのアカウントを作らずにローカルユーザでセットアップする方法。
Windows10とは方法が異なります。
以下にあるように、一度WiFiを接続したあと、
https://fkc-door.com/windows/windows-helpful/1819/
デバイスに名前をつけましょうのところで、Shift + F10にてコマンドプロンプトを起動する。
以下のコマンドで、Wi-Fiを無効にする。
netsh interface set interface name="Wi-Fi" admin=DISABLED


■Visual Studio Code
・コマンドパレット
F1でもいいし、表示 > コマンドパレット でも

1)日本語化
view> command palette > configure display language
で日本語をインストールする

2)Font
ファイル>ユーザ設定 > 設定 > フォント

3)背景色
表示 > コマンドパレット で 配色と入れる
Lightを選ぶと、白になる

または、ファイル>ユーザ設定>配色テーマ からがやりやすいだろう

4)印刷
・「表示」>「拡張機能」 printcode 印刷機能をインストール
・印刷するときは、F1で printcode

5)文字化けする 
→デフォルトがUTF-8になっているので、日本語が文字化けする。自動判定してもらうようにする。
ファイル>ユーザ設定>設定で、以下を探してチェックを入れる
Files:Auto Guess Encording

6)改行
ファイル > ユーザ設定 > 設定 editor.wordWrap をonにする。

7)ファイル比較
F1でコマンドパレット、 compareと入力

8)Grepの実行
複数ファイルから文字列を検索する。
ファイル>フォルダを開く ここで、Ctrl+Shift+Fを押してキーワードを入れる
https://obenkyolab.com/?p=2666

9)デフォルトのファイル拡張子を変更
ファイル>ユーザ設定>を教えて「設定」と入力
settings.jsonを開く
以下を入れるといいと思う。

    "files.defaultLanguage": "Plain Text"


◆BitLockerによるディスク暗号

Windows10だとデフォルトでBitLockerによるディスク暗号がかかっている。
Proだと暗号の解除などがGUIでできるが、Homeだとそれができない。
ただ、コマンドでは実施できるようだ。
https://thdy.hatenablog.jp/entry/2018/10/27/021145

【やり方】
・コマンドプロンプト実行する際、右クリックの「管理者として実行」にして管理者で実行する
cd C:\WINDOWS\system32
manage-bde -status

→ロック状態などが見える

・以下で、暗号化の解除ができる。今回はDドライブを指定した。※ただし、少し時間がかかる

C:\windows\system32>manage-bde -off D:
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

暗号化の解除は現在実行中です。

・しばらくしてステータスを見よう すると、暗号化が解除されていることがわかる

C:\windows\system32>manage-bde.exe -status
BitLocker ドライブ暗号化: 構成ツール Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.


    サイズ:                 931.39 GB
    BitLocker のバージョン: なし
    変換状態:               暗号化は完全に解除されています
    暗号化された割合:       0.0%
    暗号化の方法:           なし
    保護状態:               保護はオフです
    ロック状態:             ロック解除
    識別子フィールド:       なし
    自動ロック解除:         無効
    キーの保護機能:         見つかりません


C:\windows\system32>

■Windows Defender for Endpoint(旧ATP)
1)PC側の設定 
事前設定として、「職場または学校にアクセスする」
Windowsで設定>アカウント>「職場または学校にアクセスする」
ここで、職場または学校アカウントを追加、として、紐づけされたMSのIDとPWを入れる

※Win2019Srvだと、この設定をせずに出来た。(というか、設定そのものはできなかったはず)

2)MSの管理サーバにアクセス
Microsoft セキュリティ ポータルと管理センター
https://security.microsoft.com/

エンドポイント > 構成管理
オンボーディング 設定に移動
エンドポイント

デバイス管理 オンボーディングで オンボードパッケージのダウンロード

・ADのデータベースの修復-1
 別のADから自動でAD情報がレプリケートされる。
 
・ADのデータベースの復元-2
 ディレクトリ復元モードで起動する。※セーフモードではADのサービスが起動してしまう。
 ADのバックアップファイルを復元する。

・ADのデータベースの復元-3
 ADの情報を削除してしまった場合には、上記の方法を実施してバックアップしても、削除されたものがバックアップされる場合がある。ntdsutilコマンドを利用して権威ある復元をすれば、復元する内容を指定できる。
 
・セーフモードで起動

・前回正常起動時の構成

・ASR(自動システム修復)による修復
 OSを部分的に再インストールする。

◆マクロを使うには
WordやExcelでマクロを使う場合のやり方です。
・Alt+F11を押すと、Visual Basicが立ち上がります。
・「ファイル」⇒「オプション」「リボンのユーザー設定」で「開発」のチェックを入れる方がいいでしょう。
・たとえば、開発タブの「挿入」「フォームコントロール」で「ボタン」を作ります。「新規作成」を押すと、Visual Basicの画面になるので、スクリプトを書きます。
・または、マクロを押して、行動を記録すると、自動でスクリプトを書いてくれます。
・ファイルの拡張子はxlsmにする

マクロの基本的な使い方は以下
https://udemy.benesse.co.jp/office-enhance/excel-macro.html

(1)まずはやってみよう
・たとえば、開発タブの「挿入」「フォームコントロール」で「ボタン」を作ります。「新規作成」を押すと、Visual Basicの画面になるので、スクリプトを書きます。

------
Sub ボタン1_Click()
    Shell "C:\Windows\Notepad.exe"
End Sub
--------

・上書き保存して完成。このとき、ファイルの拡張子はxlsmにする

とても簡単ですね。

(2)もう少し丁寧に書く
VBAの構文は、以下です。
Dim 変数 as データ型

①変数に入れてみる
Sub test()
 Dim i As Long
    i = Shell("C:\Windows\Notepad.exe")
End Sub

※test()としているが、クリック時に実行する場合は、以下でよい。
Sub ボタン1_Click()

②起動方法を変える。
最小化するのか、最大化するのか、前回の配置に置くのか。
以下にそれぞれの書き方がありますが、今回は、前回閉じた
状態にするためvbNormalFocusを指定
https://www.tipsfound.com/vba/05shell

Sub ボタン1_Click()
 Dim i As Long
    i = Shell("C:\Windows\Notepad.exe",vbNormalFocus)
End Sub

③iの変数って何か
なぜiを宣言するのか。先のように宣言しなくてもいいであるが、まずは、iに何が入っているかを確認しましょう。
以下を追加して、iの値を調べます。
 MsgBox "i=" & i

Sub ボタン1_Click()
    Dim i As Long
    i = Shell("C:\Windows\Notepad.exe", vbNormalFocus)
    MsgBox "i=" & i
End Sub
 
すると、13888と出たり、15400と出たり、毎回違う値が出ます。
ただ、失敗すると0になります。
iを0以外の場合、つまり成功した場合にはSuccess!と表示しましょう。
 
Sub ボタン2_Click()
    Dim i As Long
    i = Shell("C:\Windows\Notepad.exe", vbNormalFocus)
    If i <> 0 Then MsgBox "Success!"
End Sub

(3)セキュリティ警告
・マクロは危険です。利用者にとっても便利ですが、攻撃者にとっても便利。
・マクロの自動起動もできるし、一つのボタンで、複数の処理を走らせることも可能。攻撃者がいるとすると、利用者が目を引くような処理をさせておいて、裏で違うことをするなどもできそうだ。
・2003まではxlsで共通だったが、2007以降は、マクロ無しは拡張子がxlsx、有りはxlsm。
・また、ファイルを開くとセキュリティ警告が出る。「コンテンツの有効化」のボタンを押す。

(3)その他
①自動実行は以下
Sub AutoOpen()

End Sub

例としては、以下
Sub autoopen()

    Dim ret As Long
    ret = Shell("C:\WINDOWS\SYSTEM32\CALC.EXE")

End Sub


②コメントアウトは '
   ' Shell "Notepad.exe"

netstat
オプションなしは、Acitveなセッションのみを表示
-a UDPやListeningのセッションも含めて表示
-e イーサネットの統計情報。実際にはパケットの送受信の総数
-r ルーティングテーブル
-s Summary(統計情報)※このあたりはLinuxと同じだね。

■ntdsutil
ADの管理。FISMOの移動、ディレクトリ復元サービスのAuthorative Restoreなど

■fsutil
ハードリンクの設定、ディスクの管理など

■MTUサイズを確かめる
経路上の最適なMTUサイズを確かめるには、以下のように-fでDFビットをONにし、-l
でパケットの長さ(Length)を決めて通信をする。

ping 10.1.1.1 -f -l 1473

以下のようにフラグメントが必要と出れば、MTUは1473より小さいことがわかる。
Packet needs to be fragmented but DF set.

1473の値を順に小さくしていき、このメッセージが出なくなったところが最適MTUに
なる。(はず)

◆Tera Termなどで、表示件数の変更
ter len 0  ←0にすると全件表示
ter def len  ←lengthをDefaultに変更

◆PPPoEのセッションが張れているか
show pppoe session
「UP」が表示されていれば張れている。

◆ip unnumbered
インターフェースにIPを割り当てないので、IPアドレス空間を節約できる。

ルータのWAN(S0)とLAN(E0)で設定する場合
int E0
 ip address 192.168.1.1 255.255.255.0
int S0
 ip unnumbered E0 ←E0のIPを利用しますよという意味

◆STP
BPDUのやりとり
ブリッジID、ルートポート、代表ポート
ブリッジIDが最も小さいもの
MST,RSTP

■OSPFのNeighbor
Ciscoの場合show ip ospf neighborコマンドで、Neighborの状態を確認できる。
OSPFの正常状態には以下の2つがある。2-wayだからといって、異常なわけではない。どちらかであれば正常と考えていいだろう。
①2-Way DROTHER同士のNeighbor
②Full DRやBDRとのNeighbor

■SW
IPアドレスの設定
L2Switchの場合も、VlanにIPアドレスを割り当てる。

■リモートログインで、以下を設定すると、Non-Passでしかも特権モードで入れる。(ちょっと怪しい)
line vty 0 4
privilege level 15
no login

■Ciscoにてデバッグ方法
IPパケット全般を見るには
debug ip packet

止めるには
no debug all

■Ciscoルータの初期化
①Teratermでコンソールに接続し、電源をONにしてルータを起動させる
②teratermの「コントロール」タブの「ブレーク送信」を実行
③以下のような画面になる。
*** System received an abort due to Break Key ***
signal= 0x3, code= 0x500, context= 0x87d71120
rommon 1 >
④ここで、以下のコマンドを実行
rommon 1 > confreg 0x2142
⑤以下が表示
You must reset or power cycle for new config to take effect
rommon 2 > reload
⑥以下のコマンドを実行
rommon 2 > reset
※場合によってはreloadかもしれない。
⑦再起動が走り、初期化される。

■IOSのバックアップ
USBメモリを使う
・まずはフォーマット
Router#format usbflash0:
・2回ほど、Confirmが聞かれるのでEnter

・USBが認識されていることを確認
Router#show file systems

以下のような感じで表示されるはず
usbflash     rw   usbflash0:

・IOSがFLASHに入っているが、その名前を確認する。
Router#show flash:
-#- --length-- -----date/time------ path
1     40879824 Feb 5 2013 06:50:50 +00:00 c890-universalk9-mz.151-4.M5.bin
2         3559 Feb 5 2013 06:50:54 +00:00 cpconfig-89x.cfg

・IOSをUSBメモリにコピー
Router#copy flash:c890-universalk9-mz.151-4.M5.bin usbflash0:   

・コピーが完了したら、念のため確認
Router#show usbflash0:
-#- --length-- -----date/time------ path
1     40879824 Feb 11 2021 08:18:44 +00:00 c890-universalk9-mz.151-4.M5.bin


■ログイン
login:manager
password:friend
※ログオフはlogoff

■Config関連
・保存
create config=ファイル名.cfg ※saveではなくcreateというところに違和感があるが、これでよい。
上書き保存の場合も面倒であるが、ファイル名を指定する。
・現在のメモリ上のConfigを表示
sh config dynamic
・現在保存されているConfigファイルを表示する
 sh file
・configファイルの設定情報を表示
 sh config
これにより、Boot時と現在ののconfigファイルが分かる。
というのも、アライドではConfigファイルを複数持つことができる。
どのファイルを使っているかを確認するのに必要なコマンド
・configファイルの指定
 set config
起動時にどのConfigファイルを読み込むかを指定する。

set configが正しくセットされていると、sh configに表示される。
再起動すると、setされたConfigが読み込まれる
■ホスト名の設定
SET SYSTEM NAME="ARrouter1"

■IFの設定
Manager> set switch port=1 speed=100mfull

■VLANの設定
create vlan="VLAN10" vid=10 ←VLAN10の作成
add vlan=VLAN10 port=1-4 ←ポートにVLANを割り当て
※タグ付けの場合はadd vlan=VLAN10 port=1-4 frame=tagged

■L3として利用
add ip interface=VLAN10 ipaddress 192.168.1.1 mask=255.255.255.0←IPアドレスの設定
enable ip ←ciscoでいうip routing

■その他
・再起動 restart reboot
・パスワード変更 set password
・設定の削除は delete

■設定を消す
設定を消すのは、基本はdeleteであるが、癖がある。
設定の該当部分を丸ごと消すにはdestroyを使う。
例えば、destroy vrrp

#### 1.デザイン系
## (1) テーマ
テーマは
「インストールしたテーマ」のBrooklynを使っている。
Minimalismだと、文字間隔が広くなっていた。
また、レスポンシブデザインモードのテーマであり、デザイン>スマホマーク>詳細設定で「レスポンシブデザイン」にチェックを入れると、スマホで見たときと同じデザインになる。
そうしないと、スマホ版ではカテゴリが表示されず、自分で一つ一つHTMLで書かなければいけない。

## (1)記事の順番を変える
日付だけだと見た目はかわるが、管理上の表示順は変わらない。→下書きして公開するのも手だ。
https://u-ff.com/hatena-blog-sort-entry/

※下書きにするには、「更新する」ボタンの右の・・・から。

##(2)カテゴリ
❶順番を変える
https://hateblo2018.hatenablog.com/entry/2018/10/13/%E3%82%AB%E3%83%86%E3%82%B4%E3%83%AA%E3%83%BC%E3%81%AE%E9%A0%86%E7%95%AA%E3%82%92%E5%A4%89%E3%81%88%E3%82%8B

❷カテゴリを英文字にしたURLにする
https://www.grayblack.net/entry/hatenablog-categoryname-replace

##(3)パン屑リスト
以下で付与できる
https://www.atoka.xyz/entry/2020/01/25/211447
ただ、カテゴリもそもそも表示され、2重になるので、一旦、無しにしておいた。

##(4)余分なものを消す
❶余分な広告やトップバーを消す
有料版(pro)のみ。
設定>詳細設定>ヘッダとフッタ でチェックを入れる

❷記事の最後にあるIDや日付を消す
デザイン>スパナマーク>デザインCSS

以下のCSSを張り付ける

/* ブログ記事のIDと日付を消す */
.fn {
    display: none;
}
.entry-footer-time {
    display: none;
}

❸記事の最後にあるソーシャルボタンを消す
デザイン>スパナマーク>記事> ソーシャルパーツ にて、チェックボックスを外す。

❹コメントのボタンを表示しない
基本設定>コメント設定 から、「なし」に設定する。

❺記事の日付を削除
デザイン>スパナマーク>デザインCSS

/*記事の日付を削除*/
.date {
display: none;
}

❻スマホ
・スマホでもIDやらを非表示
https://iroiromemo.hatenadiary.jp/entry/2017/06/14/102728

・フッタの「Powered byー」を消す
/* フッターを非表示*/
#footer {
display: none;
}


❼タイトル下の説明文

デフォルトは500pxなので、不自然に狭い

/*タイトルの下に表示される説明文の幅の制限を無し*/
#blog-description{
max-width:none;
font-size:90%;
}

/*タイトルの下に表示される説明文の幅を750に広げる*/
#blog-description{
max-width:750px;
font-size:90%;
}

❽サイドバーの見出しをシンプルに
以下を基本的にはコピペ
https://www.hiromaki.net/entry/brooklyn-customize

/*  サイドバー見出し吹き出しを消す
------------------------*/
.hatena-module-title:before {
    border-style: none;
    display: none;
}
.hatena-module-title:after {
    border-style: none;
    display: none;
}

/*  サイドバー見出しの色を黒などに
------------------------*/
.hatena-module-title {
    position: relative;
    text-align: center;
    background-color: black;
    color: #fff;
    font-weight: bold;
    margin-bottom: 15px;
    padding: 6px;
    border: 0px;
    font-size: 120%;
}

.hatena-module-title a {
    color: #fff;
}


#### 2.SEO系
## (1) 当然の事項
❶SSL
SSLにしても安全でないと出る場合がある。→httpなどのサイトがある
https://www.atmarkit.co.jp/ait/articles/1609/23/news023.html

❷プライバシーポリシー
固定ページを作成して、それをサイドバーに表示するといいだろう。

❸コピーライト
https://www.tomfamilyworld.com/entry/copyright
ブログ下に入れ、なおかつ、CSSも設定する

## (2) SEO対策
SEO対策 Google analystなど
https://blog-support.jp/hatenablog-setup/

## (3) 独自ドメイン
cnameをhatenablog.com.
設定>詳細設定でドメインを入力する

以下にあるように、変更がうまくできなかった。一度消して、もう一度設定したらうまくいった。不思議だ。
https://www.estomolla.com/entry/subdomain-change-error
❶バリュードメイン側に、DNSの設定として以下を設定
https://help.hatenablog.com/entry/customdomain?_ga=2.29272636.168628014.1608030574-2029151048.1606700723
@はwww無しで接続できるようにするため
cname @ hatenablog.com.
cname www hatenablog.com.
a www 13.230.115.161
a www 3.115.18.61
a @ 13.230.115.161
a @ 3.115.18.61

❷はてなブログ側
設定>詳細設定>独自ドメイン でドメインを入れる。
www無しの場合は、example.com と入れる。このとき、www.example.comと入れるべきかは調査中。リダイレクトしてほしいが、うまくいっていない。

#### 3.記事を書く
## (1) 固定ページ
短いURLでentryもないものを固定で作れる。
作り方は、固定ページから。
プライバシーポリシーはここでつくるといいだろう。

## (2) 改行
<p>タグが入るのがデフォルト。
shift+Enterで改行コードが入らない普通の改行になる。

## (3) ブログ記事のURL
entryが必ず入り、これは変更できない。記事の名は英語にする。単語は-でつなげる。
→固定ページならentryは入らないと思う。また、移行するときに変えれたような。

## (4) 見やすくする
・はてなブログアイコンの入れ方
<span class="blogicon-good"> </span>いいね!

https://simplelifenavigation.com/entry/icon-customize

■やりたいこと
SEO対策 →Google系
もう少し整えたい。目次とか、文字間隔とか、ちょっとイマイチな気がする。
また、カテゴリが整ったらスマホ用にカテゴリを作り直す
カテゴリを英語のURLにする


■広告
(1)amazonアソシエイト
http://gyakutenn.hatenablog.com/entry/how_to_put_amazon_associate

■SEO対策
(1)Meta description
書けという人と、書かなくていいという人がいる
https://blog.adregion.jp/entry/seo-hatenablog

→・MetaDescriptionも関係ない →ただ、利用者の目を引くのでクリックしてくれる?
・クリック率は関係ない→ 50位にいても、みんながたくさんクリックすれば、順位が上がるわけではない
というわけで、ちゃんと書いた方がいいだろう。
書かなくても該当部分が表示される。共通語検索をしておくと、検索したときにその部分に該当するのかなあ。このあたり、調査が必要。
https://contentsearch.jp/cooccur-terms.php
→関連するキーワードをちりばめて、Metaディスクリプションに記載する

ネットワークスペシャリストなら 合格 資格取得 試験 傾向、勉強法などかな

(2)Google search console
DNSやファイルではなく、Metaタグ設定がお薦め。というか、これ以外は失敗した。
やり方は以下。
https://mailordermail.hatenablog.com/entry/Google_Search_Console%E3%82%92%E5%B0%8E%E5%85%A5#2%E3%81%8A%E3%81%99%E3%81%99%E3%82%81%E3%81%AE%E6%96%B9%E6%B3%95%E3%81%A7%E3%81%AF%E3%81%AA%E3%81%8F%E5%88%A5%E3%81%AE%E6%96%B9%E6%B3%95%E3%82%92%E9%81%B8%E6%8A%9E

→そんなことはなかった。
ログインするには、サイトの所有者である確認が取られます。
DNSに指示された情報をTXTレコードに記載します。はじめはサブドメインで書いたのが失敗で、
「seeeko.com」でやったら成功。ただ、やり方が間違っていなければ、おそらくサブドメインでも成功すると思う。
私は、以下のように@を付けて書いた。

txt @ google-site-verification=5g7E_fmjixxxxx

・サイトマップはすでに存在する。試しに、以下のURLを付加してみると、見える。
以下(特に上が優先→下という噂も)を登録する。
sitemap_index.xml 
sitemap.xml
すぐには反映されない可能性がある。最初はエラーだが、しばらくすると有効になったりする。

・Googleからのペナルティ
Google Searchコンソールにて、セキュリティの手動による対策>手動による対策 で確認できる。
「問題は検出されませんでした」と出ればOK
https://webss.jp/google-penalty-seo/

■デザイン
今はスマホがアクセス数の半分以上を占めるので、レスポンシブ対応を選ぶべき。そうすれば、スマホとPCでHTMLを変更しなくてもいい
・横のバーに注目記事は入れておいた方がいいようだ。

■有料版は独自ドメインが使えたり、拡張機能もある
広告が出ないも大きな魅力

■やりたいこと
カテゴリを出したい。
カテゴリをクリックしたとき、どう表示されるか。カテゴリの一覧だろうね。全文一覧はできないので、カテゴリ一覧で利用しやすいようにする。
1つの記事で目次を含めて複数の記事を見せる
記事のURLも気になるところだ
スマホを意識したい。
目次は綺麗なものにしたい。

日付は新しくする
LivedoorBlogから移行→画像も含めて可能
目次は作れる? →ハンバーガーメニューだが、手動で設定するしかなさそう。

■リンクを消す
はてなブログのときに、変なリンクがつかないようにすべき
→有料版でやらないといけないみたいだ。
http://pea-nut.hatenablog.com/entry/hatena-keywordlink#%E3%82%AD%E3%83%BC%E3%83%AF%E3%83%BC%E3%83%89%E3%83%AA%E3%83%B3%E3%82%AF%E3%82%92%E6%B6%88%E3%81%99%E6%96%B9%E6%B3%95

■引っ越し
https://help.hatenablog.com/entry/import-mt

ライブドアブログから、はてなに移行するときに、ドメインを引き継げるのであるが、途中のサブフォルダ(archive→entory)などが違うので、リンクエラーになることがあった。
それは解消されている。だが、最後に「.html」の拡張子がつかない。
これは、手動で一つ一つ入れていくしかない。記事を開き、歯車の編集オプションからカスタムURLで「.html」を付加していく。面倒だけど、これしかなさそうだ。

■目次
❶ドットを消す
CSSに以下を足す

/* 目次のドットを消す*/
ul.table-of-contents li{
  list-style-type: none!important;
  padding-top: 10px;
  padding-bottom: 0px;
}
ul.table-of-contents li{
  list-style-type: none!important;
  padding-top: 10px;
  padding-bottom: 0px;
}
❷タイトルをつける
/* 目次のタイトルをつける*/
.table-of-contents:before{
  content: "【 目次 】";
  font-size: 100%;
  line-height: 12px;
}

■はてなブログで、タイトルのFONTを変える。
※スタイルシートは順番が大事なので、うまくいかない場合もある。
GoogleFontを使ってみる

たとえば、以下の場合、
https://fonts.google.com/specimen/Cinzel+Decorative?sidebar.open=true&selection.family=Cinzel+Decorative:wght@700

❶Select this style を押し、右側のUse on the Webの
Linkをコピーする。
<link rel="preconnect" href="https://fonts.gstatic.com">
<link href="https://fonts.googleapis.com/css2?family=Cinzel+Decorative:wght@700;900&display=swap" rel="stylesheet">
これを、はてなブログの「カスタマイズ(スパナマーク)」>「ヘッダ」>「タイトル下」に張り付ける

❷続けて、Fontにおいて、「CSS rules to specify families」のCSSをコピーする
font-family: 'Cinzel Decorative', cursive;

はてなブログの同じところの少し下、「デザインCSS」に以下のように記載する
#title
{
font-family: 'Cinzel Decorative', cursive;
font-size: 70px;
}

おすすめは以下に掲載がある。実際に適用してみると、雰囲気が違うのが不思議だ。
https://bloglab.naenote.net/entry/cool-web-fonts-for-blog-header

■画像
成子キャラを入れるときは
画像に align="left" 
文字の最後に <br clear="left" />
を入れる

■その他
参考:表
<table border="1">
<tbody>
<tr>
<td></td>
</tr>
</tbody>
</table>

■Google AdSense
広告>広告ユニットごと

(1)広告の作成
→ディスプレイ広告がお勧めらしい。スクエア、レスポンシブを選ぶ。になっていると期待したい。

<script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
<!-- hatena_kiji -->
<ins class="adsbygoogle"
     style="display:block"
     data-ad-client="ca-pub-8711979788961675"
     data-ad-slot="7294158826"
     data-ad-format="auto"
     data-full-width-responsive="true"></ins>
<script>
     (adsbygoogle = window.adsbygoogle || []).push({});
</script>

(2)貼り付ける
①記事下
デザイン>スパナマーク 記事下

スポンサーリンクは不要という説がある。つけるなら、スポンサーリンクという名前のようだ。
https://stabucky.com/wp/archives/7681

②サイドバー
モジュールの追加から


バージョンの表示
#perl -v  

・パールモジュール(pm)
Perl用のPathをきちんと書く。
use ABC::cd; と宣言した場合、ABCフォルダのCd.pmというパールモジュールを意味する。よって、PerlのPATHが通っているところの配下に ABC/Cd.pmを配置する。

Ciscoのシミュレーションツールである。
以下が参考になる。
https://www.infraexpert.com/info/packettracer02.html

Sign up todayのEnglishをクリック →英語しかない
ユーザ登録をする
NetworkingAcademyのページから、上のバーの「リソース」>「Packet Tracerのダウンロード」
146MBほどのファイル。
使うには認証が求められる。
参考までに、GNS3というシミュレーションソフトもある。
https://www.infraexpert.com/info/gns3index.html

■使い方
以下に導入部分の解説動画がある。
https://www.youtube.com/watch?v=zQPKa_norEI
以下にあるように、全てのコマンドがサポートされているわけではない。
https://kitakantech.com/cisco-packet-tracer-bgp/
下にPCやルータ、スイッチ、ケーブル(雷)、インターネット(雲)が並んでいて、それを配置していく。
ためしに、PCとスイッチを接続してみよう。
・PCらしきアイコンを選ぶと、右に候補が出る。PCだけではなく、ServerやIphoneなどもある。
・ネットワーク機器も同様。スイッチやルータが選べる。たとえば、Catalyst2960を選ぶ。
・両者を配置して、ケーブルを接続しよう。黒い線が通常のLANケーブル(だと思う)
 このとき、どのポートに接続するかも選べる。Catalystであれば、FastEthenet0/1に接続

(2)PCの操作
①PCを選んでDesktopからコマンドプロンプトを起動。ipconfigを実行すると、IPアドレスが設定されていないことがわかる
Desktopタブから、「IP Configuration」を選択。ここで、FastEhternet0の設定をする。IPアドレスは192.168.1.101、サブネットマスク 255.255.255.0、デフォルトゲートウェイ192.168.1.254
 保存は不要
 →ipconfigで設定の確認
③Pingを打ってみよう
 ping 192.168.1.254
  もちろんエラーになります。
 
(3)L2スイッチの操作
2960を操作する。
CLIから
enable
conf t
int vlan 1
ip address 192.168.1.200 255.255.255.0
no shutdown
end
sh run
これで、PCとスイッチが相互にping疎通ができるはず。
ダメなら、Configをwrite mem でSaveしたり(基本は不要)、sh int でIFを確認したり、SWからPingを打ってみよう。

★今回のコマンドとは変わってしまっているが、こんな構成図を作ってはどうだろうか。
nw-kousei


(3)L3スイッチの動作
3560を配置
CLIで操作する。
まず、noを入力して、自分で設定できるようにする。
enable
conf t
int fa0/1
switchport mode access
switchport access vlan 10
no shutdown
end
sh run



## vlanの作成とIPアドレスの設定
conf t
int vlan 10
ip address 192.168.1.254 255.255.255.0
no shutdown
end
ping 192.168.1.101


int vlan 20
ip address 192.168.2.254 255.255.255.0
no shutdown
end

## タグVLANの設定

switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 10,20
no shut

##ルーティングの設定

ip routing
router ospf 1  
network 192.168.1.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.255 area 0

##pc3
ip address 192.168.3.101 255.255.255.0

##ルータ
conf t
int fa0/0
ip address 192.168.3.254 255.255.255.0
no shu

conf t
int fa0/1
ip address 192.168.2.253 255.255.255.0
no shu
ip routing
router ospf 1  
network 192.168.3.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.255 area 0

定期的にリロード
以下のように、contentで秒数を指定する。
<head>
    <meta http-equiv="refresh" content="5; URL=">
</head>

■HTML5での動画の配置
HTML5を使うと(といっても特になにもしないが)、動画の設定が簡単である。
以下は、動画をダウンロードさせたくないので、右クリック禁止、ダウンロード禁止にしたタグである。

<video src="img/sdn.mp4" oncontextmenu="return false;" controls controlsList="nodownload" preload="auto" width="100%" height="100%"></video>


Paypalでは、毎月引き落とされる場合は、自動支払いが設定されている。
解約したサービスなどは、その後も勝手に引き落とされたりするのが怖いので、解除しておくといいと思っています。
直接のリンクはわからないが、私は以下で実施した。

・右上の歯車から「アカウント設定」
[アカウント設定]
ページの左側の[事業情報]の下にある[資金、銀行およびカード]
[自動支払い]の横にある[自動支払いの設定]

無料のツールについて、その触りだけ。

■1.autopsyのダウンロード
以下のサイトからダウンロードする。
https://www.autopsy.com/download/
その際に、ユーザ名やメールアドレスなどを入れる。
インストールは、入れるだけ。

■2.使い方
(1)基本
以下に記載がある。わかりやすい。
基本的には適当に進んでいけば、使える。
https://www.itseclab.jp/security_info/digital_forensic/digital_forensic_implementation/autopsy_varification/
(2)見てみよう
・ビューの中に、削除されたファイルなどが見える
・生データの見方
データソース(一番上)をクリックし、今回はUSBメモリの「E」を選択、16進数を選ぶと、生データが見える。
クイックフォーマットだと、ゼロ埋めされておらず、データが残っていることがわかる。
→フォーマットをすると、今のOSだとゼロ埋めしてくれる。
また、削除されたファイルにも出てこない。

■CPUの負荷試験ツール
かなり便利でした。
Max Cpu by Kenny Kerr
以下のURLのexecutableのリンクから取得
http://weblogs.asp.net/kennykerr/archive/2005/10/22/Max-CPU_3A00_-Another-one-for-your-developer-toolbox_2E002E002E00_.aspx

■パーティションを操作するツール
GParted
Cドライブを操作できる。RAIDやSCSIにも対応しているすぐれもの。
古いバージョンなら成功することもあるので、失敗しても色々試してみましょう。

■パス見え
パスワードを見ることができる。
Outlookなどでは可能

■文字の読み上げソフト
フリーソフトです。自動で文字を読み上げてくれます。男性と女性が選べますが、デフォルトの女性が一番いいと思います。

■youtube
関連動画を表示させない
もともとのリンクが以下のようになっていたら、その下のようにリンクを変える

↑このページのトップヘ