ネットワークエンジニアの備忘録

トラブルや気になった点をメモしておきます。

default interfaceコマンドを実施する際の注意点

Cisco機器のdefault interfaceコマンドは該当インターフェースの設定値を初期化してくれるため、特定のインターフェースの設定をクリーニングするのに便利なコマンドです。 Test(config)#default interface x/x しかし、このコマンドを実施する際には注意が…

Fortigate HA構成 Slave系へのログイン

HA構成を組んだFortigateではMasterからSlaveにログインすることが可能です。この手法を使えば、仮にSlave系の管理IPを間違えて設定しまい、Slave系に直接ログインできない状態であってもMaster系からログインが可能です。 # execute ha manage [?] [?] キ…

Static Routeのnext-hopにVlan Interface(SVI)を入れる理由

Static Routeのnext-hopについて、Vlan Interfaceを入れる理由の1つを教えてもらったので備忘録として残しておきます。 Static Routeを設定する際に、以下のようにVlanを設定してもしなくても、結果としては同じようにルーティング設定は実現できます。 (1) …

Cisco製品におけるicmp redirectとCoPP機能の有効化時の制約

icmp redirect機能とはL3デバイスがパケットの送信元ホストに、特定の宛先ネットワークに対する最適なゲートウェイアドレスを通知する事が出来る機能です。 一般的にはセキュリティ上も有効化されることは珍しい機能ですが、デフォルトで有効になってしまっ…

DNS KSKロールオーバーの実施日が確定

dns

昨年10月に実施されず延期していたKSKロールオーバー作業が10月12日午前1時(日本時間)に決定しました。 www.soumu.go.jp 以前も当ブログで記載しましたが、以下に当てはまる場合は注意が必要です。 DNSSECによる署名の検証機能を有効にしたキャッシュDNSサ…

Catalyst3850におけるHSRPのTimerについて

HSRPによる冗長構成を実施する際に、障害検知と切り替わりを迅速にするためにHSRPのTimerをデフォルト値から変更することはよくあることだと思います。 しかし、Catalyst3850シリーズにおいてShort TimerにすることでMacFlappingが起こり両Actになる場合があ…

PaloAlt 7.1以降へのバージョンアップ時の注意

PaloAltのPAN-OS 7.1以降ではバージョンアップに伴い特定のポリシーの動作が変更されるため、既存のポリシーが該当しているか確認が必要です。 live.paloaltonetworks.com この変更により、サービス設定 に「application-default」が設定されている場合はア…

旧シマンテック社のSSLサーバ証明書移行について

以前から話題となっている旧シマンテック社のSSLサーバ証明書について、ついに特定のブラウザにおいて無効化される期間が近づいてきました。 Google Chrome70 (2018/09/13頃ベータ版リリース予定) Mozilla Firefox 63 (2018年10月23日頃にリリース予定 ブラ…

Always SSL(常時SSL化/AOSSL)について

昨今では当たり前のようになってきたAlways SSL(常時SSL/TLS化)について、メリットだけでなくデメリット(弊害)がないか考えてみました。 SSL/TLSによる通信はデータ傍受の危険から身を守ってくれる手段としてとても有用です。しかし、以前と比べてhttps化…

WLC Config Converter

WLC5508シリーズは2018年5月4日にEOLの計画が発表されました。今後リプレイスにあたって、後継機にあたるWLC5520シリーズへの移行計画を検討する必要があります。個人的にCiscoのWLCシリーズは(Arubaなどと違って)更改時にコンフィグのコンバートが非常に…