ネットワークエンジニアの備忘録

トラブルや気になった点をメモしておきます。

Cisco製品におけるicmp redirectとCoPP機能の有効化時の制約

icmp redirect機能とはL3デバイスがパケットの送信元ホストに、特定の宛先ネットワークに対する最適なゲートウェイアドレスを通知する事が出来る機能です。 一般的にはセキュリティ上も有効化されることは珍しい機能ですが、デフォルトで有効になってしまっ…

DNS KSKロールオーバーの実施日が確定

dns

昨年10月に実施されず延期していたKSKロールオーバー作業が10月12日午前1時(日本時間)に決定しました。 www.soumu.go.jp 以前も当ブログで記載しましたが、以下に当てはまる場合は注意が必要です。 DNSSECによる署名の検証機能を有効にしたキャッシュDNSサ…

Catalyst3850におけるHSRPのTimerについて

HSRPによる冗長構成を実施する際に、障害検知と切り替わりを迅速にするためにHSRPのTimerをデフォルト値から変更することはよくあることだと思います。 しかし、Catalyst3850シリーズにおいてShort TimerにすることでMacFlappingが起こり両Actになる場合があ…

PaloAlt 7.1以降へのバージョンアップ時の注意

PaloAltのPAN-OS 7.1以降ではバージョンアップに伴い特定のポリシーの動作が変更されるため、既存のポリシーが該当しているか確認が必要です。 live.paloaltonetworks.com この変更により、サービス設定 に「application-default」が設定されている場合はア…

旧シマンテック社のSSLサーバ証明書移行について

以前から話題となっている旧シマンテック社のSSLサーバ証明書について、ついに特定のブラウザにおいて無効化される期間が近づいてきました。 Google Chrome70 (2018/09/13頃ベータ版リリース予定) Mozilla Firefox 63 (2018年10月23日頃にリリース予定 ブラ…

Always SSL(常時SSL化/AOSSL)について

昨今では当たり前のようになってきたAlways SSL(常時SSL/TLS化)について、メリットだけでなくデメリット(弊害)がないか考えてみました。 SSL/TLSによる通信はデータ傍受の危険から身を守ってくれる手段としてとても有用です。しかし、以前と比べてhttps化…

WLC Config Converter

WLC5508シリーズは2018年5月4日にEOLの計画が発表されました。今後リプレイスにあたって、後継機にあたるWLC5520シリーズへの移行計画を検討する必要があります。個人的にCiscoのWLCシリーズは(Arubaなどと違って)更改時にコンフィグのコンバートが非常に…

WPA3(Wi-Fi Protected Access 3)が正式発表

米国時間の6/25にWPA3が正式発表されました。WPA3でもWPA2以前と同様に家庭向けの「WPA3-Personal」と、企業・組織向けの「WPA3-Enterprise」が存在します。 WPA3-Personalはパスワードベースの認証のため、おそらくPSK相当のものであると思われます。WPA3-E…

Cisco PIのバックアップとリストア

Cisco Prime Infrastructureのバックアップとリストアの手順を記載します。注意点としてPrime InfrastructureはOracleを搭載しているため、システムやサービスの再起動には時間を要します。バージョンアップ等の作業を実施する際は、作業時間を多めに見積も…

WLC HA構成(SSO)のバージョンアップ手順

HA(SSO)構成を組んだ状態でバージョンアップ作業を行ったので、作業の備忘録を残しておきます。 基本的なバージョンアップ手順はシングル構成と変わらず、プライマリ機にアップロードすると自動的にセカンダリ機に転送されます。 GUIの場合、「Download File…