ネットワークエンジニアの備忘録

トラブルや気になった点をメモしておきます。

Cisco

Cisco製品におけるicmp redirectとCoPP機能の有効化時の制約

icmp redirect機能とはL3デバイスがパケットの送信元ホストに、特定の宛先ネットワークに対する最適なゲートウェイアドレスを通知する事が出来る機能です。 一般的にはセキュリティ上も有効化されることは珍しい機能ですが、デフォルトで有効になってしまっ…

Catalyst3850におけるHSRPのTimerについて

HSRPによる冗長構成を実施する際に、障害検知と切り替わりを迅速にするためにHSRPのTimerをデフォルト値から変更することはよくあることだと思います。 しかし、Catalyst3850シリーズにおいてShort TimerにすることでMacFlappingが起こり両Actになる場合があ…

WLC Config Converter

WLC5508シリーズは2018年5月4日にEOLの計画が発表されました。今後リプレイスにあたって、後継機にあたるWLC5520シリーズへの移行計画を検討する必要があります。個人的にCiscoのWLCシリーズは(Arubaなどと違って)更改時にコンフィグのコンバートが非常に…

Cisco PIのバックアップとリストア

Cisco Prime Infrastructureのバックアップとリストアの手順を記載します。注意点としてPrime InfrastructureはOracleを搭載しているため、システムやサービスの再起動には時間を要します。バージョンアップ等の作業を実施する際は、作業時間を多めに見積も…

WLC HA構成(SSO)のバージョンアップ手順

HA(SSO)構成を組んだ状態でバージョンアップ作業を行ったので、作業の備忘録を残しておきます。 基本的なバージョンアップ手順はシングル構成と変わらず、プライマリ機にアップロードすると自動的にセカンダリ機に転送されます。 GUIの場合、「Download File…

CiscoASAに深刻な脆弱性( CSCvg35618) 18/2/7 追加のセキュリティアップデートが公開

2018/1/29に非常に深刻な脆弱性が発表されました。本脆弱性の回避策は存在せず、迅速なアップデートを呼び掛けています。本脆弱性の影響度はCisco社の影響度:Crirical に指定され、CVSSver3 深刻度評価10.0とかなり危険な評価となっています。 tools.cisco.c…

IPSecとNPAT併用時の注意点

久しぶりにIPSecとNAPTを併用した環境を作ったら動作に違和感を覚えたので書き出しておきます。 PC01(172.16.0.1)からPC02(172.16.10.1)にPing疎通時、以下のACLによってIPSecの暗号化トラフィック対象としていた場合、IPSecのセッションが形成され疎通可能…

iOS版 AnyConnectについて

現在公開されているiOS版「AnyConnect (ver.4.0.07070)」は従来の同アプリと名称が異なります。以前の同アプリは「Cisco Legacy AnyConnect」としてver.4.0.05069が配布されています。 Cisco Legacy AnyConnect Cisco Systems, Inc. ビジネス 無料 今後、同…

WPA2の脆弱性「KRACK」

2017/10/16 WPA2の脆弱性が発表されました。本脆弱性の対象はWPA/WPA2を使うほぼすべてのデバイスが対象です。適切なアップデートを適用していない場合、攻撃者にトラフィックを解析される恐れがあるため、WiFiの使用は控えたほう良いでしょう。 特に意識し…

Catalyst2960-LシリーズのBluetooth機能について

Catalyst2960-Lシリーズの15.2(5)E2以降では、Bluetoothドングルを利用することで自動的にipアドレスが割り当てられ、Telnet/SSH接続かGUI接続が可能になります。Bluetoothドングルを利用する際の注意点を以下に記載します。 【Bluetoothドングル利用時の注…

Ciscoの便利コマンド一覧

Cisco製品を使用するうえで、使用頻度の高い便利コマンドを記載します。 ・<文字列>が含まれる行とそれに続くインデント行が表示されます。 Router#show xxx | section <文字列> ・出力内容をファイルに保存(上書き)します。 Router#show xxx | redirect <…

SM-Xモジュール搭載時のコマンドについて

Ciscoルータに搭載できるL2/L3モジュールであるSM-X-ES3-16-P、SM-X-ES3-24-P、SM-X-ES3D-48-Pは搭載するルータの型番によってコマンドが変更になっているため、注意して下さい。以下にそれぞれのシリーズ搭載時のコマンドを記載します。 Use Platform Comma…

Catalyst3650/3850シリーズのWLC機能について

Catalyst3650/3850シリーズはWLC機能をサポートしています。 L3SWにWLC機能を追加できるため、既存のL3SWにモジュール追加のみで無線LANのシステムを導入でき、APの集中管理が出来ますが注意点があります。 【注意点】 ・IP BASE以上のライセンスが必要です…

Cisco WLC冗長の懸念点

一般的なコントローラ型APはすべてのWLC障害時に無線サービスが停止します。無線サービス停止時間はざっくり以下のようになります。 項番 内容 時間 1 優先度の1番高いWLCへ接続確認 30秒毎のポーリング、数秒の再確認 2 次に優先度の高いWLCへ接続確認 数…

Multi-Gigabit Ethernet

技術の進歩により無線lanは非常に高速化されてきました。ここで問題となるのは有線側 です。802.11ac Wave2の理論値は6.8Gに対し、一般的なAPのアップリンクは1Gです。 LAGを組むことで2Gに出来る機種もありますが、それでも1/3以下です。 また、仮に10G対応…

Cisco4000 ISRシリーズのパフォーマンス制限について

Cisco4000 ISRシリーズではこれまでのルータとは違い、CPU負荷や回線帯域に余裕があってもパフォーマンス制限値を超えたパケットをドロップしてしまいます。パフォーマンス制限値はインターフェース出力量の総和です。 各型番のパフォーマンス値を以下に記載…

リンクアグリケーションについて

リンクアグリケーションとは複数の物理リンクを束ねて1つの論理リンクとして扱う ことが出来ます。 複数のリンクを同時に使用出来るため、帯域の理論値は×n(束ねる本数)となります。 使用できるチャネルグループ数は機種によって違うため、要件と拡張性を考…

Cisco EEMについて

CiscoのEEM(Embedded Event Manager)機能を使うことで、特定のイベント発生時に設定したアクションを実行してくれます。この機能を使うことで、TeraTermマクロ等で定期的にログ取得等を行っていた作業をNW機器で完結できます。本機能はipbaseから実行できる…

udldについて

UDLDとは単一リンク障害を検出することができるL2プロトコルです。 単一リンクとは送信(TX)と受信(RX)の片系障害を検知できます。特にケーブルで送受信がピンポイントで分かれている光ファイバーケーブルの障害検知に有効です。 UDLDで単一方向リンクを検知…

EPCを使用したパケットキャプチャ

IOS12.4(20)T以降からEPC(Embedded Packet Capture)機能を使うことで、 Ciscoルータ単体で 102400Kbytesまでのパケットキャプチャを実行し、Wiresharkで 取得したパケットを確認できます。 本機能はキャプチャ用のPCを別途用意できないような場合に有効です…

STPのBLKポートについて

【STPのポート選出】 BridgePriorityはRootBridge選出のために利用される値です。 BLKポートが選出されるスイッチは、RootBridgeまでのコスト比較で選出され、 BridgePriorityは基本的に関係ありません。 BLKポートは選出されたスイッチの最大コストインター…

Catalyst2960-Lシリーズの給電問題について

【問題の概要】 Catalyst2960-Lシリーズの15.2(5)E2以前のOSでは、802.3at/PoE+対応の機器を接続し ても802.3af/PoE給電になる問題が存在します。 【問題の回避策】 versionを変更しない場合はCDPを無効にし、LLDPを有効にすることで回避できます。 Switch(c…

Cisco IOS 15.2(1)T 以降のNAT問題について

【問題の概要】 Cisco IOS 15.2(1)T からNAT処理方式が変更になりました。 15.2(1)T以降のOSではNAT outside local addressがLocal route として学習され、 Router がこのアドレスに応答します。(Pingを打てば、Ping応答します。) 【問題の回避策】 “no-alia…