ネットワークエンジニアの備忘録

トラブルや気になった点をメモしておきます。

default interfaceコマンドを実施する際の注意点

Cisco機器のdefault interfaceコマンドは該当インターフェースの設定値を初期化してくれるため、特定のインターフェースの設定をクリーニングするのに便利なコマンドです。 Test(config)#default interface x/x しかし、このコマンドを実施する際には注意が…

Fortigate HA構成 Slave系へのログイン

HA構成を組んだFortigateではMasterからSlaveにログインすることが可能です。この手法を使えば、仮にSlave系の管理IPを間違えて設定しまい、Slave系に直接ログインできない状態であってもMaster系からログインが可能です。 # execute ha manage [?] [?] キ…

Static Routeのnext-hopにVlan Interface(SVI)を入れる理由

Static Routeのnext-hopについて、Vlan Interfaceを入れる理由の1つを教えてもらったので備忘録として残しておきます。 Static Routeを設定する際に、以下のようにVlanを設定してもしなくても、結果としては同じようにルーティング設定は実現できます。 (1) …

Cisco製品におけるicmp redirectとCoPP機能の有効化時の制約

icmp redirect機能とはL3デバイスがパケットの送信元ホストに、特定の宛先ネットワークに対する最適なゲートウェイアドレスを通知する事が出来る機能です。 一般的にはセキュリティ上も有効化されることは珍しい機能ですが、デフォルトで有効になってしまっ…

DNS KSKロールオーバーの実施日が確定

dns

昨年10月に実施されず延期していたKSKロールオーバー作業が10月12日午前1時(日本時間)に決定しました。 www.soumu.go.jp 以前も当ブログで記載しましたが、以下に当てはまる場合は注意が必要です。 DNSSECによる署名の検証機能を有効にしたキャッシュDNSサ…

Catalyst3850におけるHSRPのTimerについて

HSRPによる冗長構成を実施する際に、障害検知と切り替わりを迅速にするためにHSRPのTimerをデフォルト値から変更することはよくあることだと思います。 しかし、Catalyst3850シリーズにおいてShort TimerにすることでMacFlappingが起こり両Actになる場合があ…

PaloAlt 7.1以降へのバージョンアップ時の注意

PaloAltのPAN-OS 7.1以降ではバージョンアップに伴い特定のポリシーの動作が変更されるため、既存のポリシーが該当しているか確認が必要です。 live.paloaltonetworks.com この変更により、サービス設定 に「application-default」が設定されている場合はア…

旧シマンテック社のSSLサーバ証明書移行について

以前から話題となっている旧シマンテック社のSSLサーバ証明書について、ついに特定のブラウザにおいて無効化される期間が近づいてきました。 Google Chrome70 (2018/09/13頃ベータ版リリース予定) Mozilla Firefox 63 (2018年10月23日頃にリリース予定 ブラ…

Always SSL(常時SSL化/AOSSL)について

昨今では当たり前のようになってきたAlways SSL(常時SSL/TLS化)について、メリットだけでなくデメリット(弊害)がないか考えてみました。 SSL/TLSによる通信はデータ傍受の危険から身を守ってくれる手段としてとても有用です。しかし、以前と比べてhttps化…

WLC Config Converter

WLC5508シリーズは2018年5月4日にEOLの計画が発表されました。今後リプレイスにあたって、後継機にあたるWLC5520シリーズへの移行計画を検討する必要があります。個人的にCiscoのWLCシリーズは(Arubaなどと違って)更改時にコンフィグのコンバートが非常に…

WPA3(Wi-Fi Protected Access 3)が正式発表

米国時間の6/25にWPA3が正式発表されました。WPA3でもWPA2以前と同様に家庭向けの「WPA3-Personal」と、企業・組織向けの「WPA3-Enterprise」が存在します。 WPA3-Personalはパスワードベースの認証のため、おそらくPSK相当のものであると思われます。WPA3-E…

Cisco PIのバックアップとリストア

Cisco Prime Infrastructureのバックアップとリストアの手順を記載します。注意点としてPrime InfrastructureはOracleを搭載しているため、システムやサービスの再起動には時間を要します。バージョンアップ等の作業を実施する際は、作業時間を多めに見積も…

WLC HA構成(SSO)のバージョンアップ手順

HA(SSO)構成を組んだ状態でバージョンアップ作業を行ったので、作業の備忘録を残しておきます。 基本的なバージョンアップ手順はシングル構成と変わらず、プライマリ機にアップロードすると自動的にセカンダリ機に転送されます。 GUIの場合、「Download File…

マルチエリアOSPF環境の通信迂回時の注意点

先日マルチエリアOSPF環境のルータでモジュール故障被疑が発覚したため、コストアップで経路迂回しようとしたら失敗したので備忘録として残しておきます。環境イメージは以下のとおりです、故障被疑はRT#01です。 通常のトラフィックフローは以下となります…

ロードバランサーのTLS1.3対応状況

ちょっと前にA10やF5のエンジニアのかたとお話しする機会があったため、TLS1.3の対応状況を伺ってみました。 基本的に両社とも同様の回答で、現在ラインナップしている機器はファームウェアアップグレードで対応予定であるとのことでした。 しかし、注意点と…

SRX ポリシー変更時のセッション断について

SRXでFWポリシーを変更する場合、許可しなければいけないポリシーを消してしまうことや、ポリシーの順番を変更する際に、許可したい通信がDenyポリシーにヒットしないか注意する必要があります。その他にも、以下のポリシー操作をすることでセッション断が発…

MTUの設計

mtu

最近MTUの設計方法をド忘れしていたので、備忘録を残しておきます。 MTUとは1フレームで送信できるデータの最大値を示す伝送単位であり、一般的に使われるイーサネットであればイーサネットフレームの最大値である1518byteからEthernetヘッダ ( 14byte ) と …

新たな公開DNSサーバ「1.1.1.1」

dns

APNICとCloudflareが無料の公開DNSサーバの提供を始めました。 このサービスのメリットとしてユーザーのIPアドレスを記録せず、これを証明するためにKPMGによる監査を毎年行うことを名言しています。これは昨今のセキュリティを重視する流れに沿っていて良い…

SRX ClustrerIDの変更方法

SRXでHA構成を組む場合、以下のコマンドでClusterIDを指定する必要があります。 root> set chassis cluster cluster-id 1 node 0 reboot root> set chassis cluster cluster-id 1 node 1 reboot ClusterIDはHAを組む機器同士で同一の値である必要があり、仮…

複数セグメントでのVRID重複問題

VRRPの標準仕様では仮想IPアドレスに対する仮想MACアドレスを使用します。この仮想MACアドレスはVRIDから作られるため、VRIDが同一だとセグメントが違っていても同じMacアドレスが生成されてしまいます。この仕様は下記のようにL2SW等がVLAN毎にMacアドレス…

SRX HA構成時に片系のみHAランプがオレンジ点灯

SRX340のHA構成でドはまりしたので備忘録として残しておきます。。。 以下のような構成でSRXでHAを組んだ際に、HAステータスが不安定になりました。具体的には片系のみHAのLEDランプがオレンジ点灯(Amber)となっています。この状態で系切り替えを起こすと通…

ipv6パケットを阻害するL2SW

ipv6 IPoE環境ではPPPoEのように認証を行う必要がないため、フレッツ・v6オプションとISPのv6サービスを契約すれば接続するだけでipv6アドレスが払い出されます。 なぜ認証していないのに特定のipv6アドレスを取得できるか?というと、v6サービスを契約する…

SRX340でのHA構成構築

初めてSRX340でHA構成を組んだので、備忘録として残しておきます。SRXシリーズでHA構成を組む場合、機器同士でコントロールリンク(fxp1)とファブリックリンク(fab0/1)の最低2本の接続が必要です。ここで注意する必要があるのがコントロールリンクで使用する…

CiscoASAに深刻な脆弱性( CSCvg35618) 18/2/7 追加のセキュリティアップデートが公開

2018/1/29に非常に深刻な脆弱性が発表されました。本脆弱性の回避策は存在せず、迅速なアップデートを呼び掛けています。本脆弱性の影響度はCisco社の影響度:Crirical に指定され、CVSSver3 深刻度評価10.0とかなり危険な評価となっています。 tools.cisco.c…

Proxyサーバを利用したURLフィルタ

ProxyサーバとHTTPSデコードの関係について、ちょっと触らないとすぐ忘れるので書き出しておきます。 現在の通信はHTTPSが殆どであり、HTTPの通信はあまり見受けられません。これは2014年にGoogleがHTTPS対応サイトを優遇する(検索上位にする)といった常時…

アクセス数が高いシステムへのリアルタイムスキャンについて

Webサーバなど高頻度のファイルアクセスがあるシステムへのリアルタイムスキャンは設計が非常に難しいです。理由としては頻繁にロードアベレージ高騰などの高負荷状態に陥り、最悪の場合ハングアップする事も想定されるからです。 一般的にウィルススキャン…

Stack構成のメリットとデメリット

ネットワーク機器のStack構成は2台以上のスイッチを論理的に1台に束ねる技術です。個人的にStack構成の最も優れていると思うところは、Stack構成を組むことで論理的に1台に出来るため、ループフリー構成となりSTPを使用しなくて良くなるところです。また、管…

セキュリティインシデント向けのテレワーク保険

東京海上日動火災保険及び日本マイクロソフトがテレワーク保険というものを発表しました。本サービスは2月から開始予定で、Windows 10 搭載 PC に商品付帯する販売方式を採用するため、保険契約等は不要のようです。 モバイルPCの利用時に発生する各種損害に…

ipv6 source address selection

ipv6には送信元アドレスの選択に優先順位が存在します。本記事で記載するものは一時期話題となったipv4とipv6の優先順位ではなく、ipv6のみに限ったものとします。 まずipv6の自動アドレス設定には大きく2つの方法が存在します。 ステートフル自動設定 ステ…

ipv6化による速度向上

利用ユーザの急激な増加に伴い、フレッツ回線の遅延が目立ってきました。この問題はipv6化することで解消できる可能性があります。ただし、勘違いしがちなのですが、決してipv6自体が高速な訳ではないです。また、必ず速度が早くなるわけではないです。 まず…