WLC5520以降ではWLC5508シリーズと違いライセンス追加手順が大きく変更になっています。WLC5508ではライセンスファイル(.lic) をTFTP サーバ等でWLCにインストールしていたの対して、WLC5520以降ではRTUライセンスを適用します。 WLC5520以降のライセンス適…
FortigateでHA構成を組んだ場合、Slave系のntpについて注意する必要があります。 NTPサーバとの接続性に問題ない場合、Master機では時刻同期について特に悩むことはないと思われますが、Master機で時刻同期できるNTPサーバに対して、Slave機では以下のように…
Cisco機器のdefault interfaceコマンドは該当インターフェースの設定値を初期化してくれるため、特定のインターフェースの設定をクリーニングするのに便利なコマンドです。 Test(config)#default interface x/x しかし、このコマンドを実施する際には注意が…
HA構成を組んだFortigateではMasterからSlaveにログインすることが可能です。この手法を使えば、仮にSlave系の管理IPを間違えて設定しまい、Slave系に直接ログインできない状態であってもMaster系からログインが可能です。 # execute ha manage [?] [?] キ…
Static Routeのnext-hopについて、Vlan Interfaceを入れる理由の1つを教えてもらったので備忘録として残しておきます。 Static Routeを設定する際に、以下のようにVlanを設定してもしなくても、結果としては同じようにルーティング設定は実現できます。 (1) …
icmp redirect機能とはL3デバイスがパケットの送信元ホストに、特定の宛先ネットワークに対する最適なゲートウェイアドレスを通知する事が出来る機能です。 一般的にはセキュリティ上も有効化されることは珍しい機能ですが、デフォルトで有効になってしまっ…
昨年10月に実施されず延期していたKSKロールオーバー作業が10月12日午前1時(日本時間)に決定しました。 www.soumu.go.jp 以前も当ブログで記載しましたが、以下に当てはまる場合は注意が必要です。 DNSSECによる署名の検証機能を有効にしたキャッシュDNSサ…
HSRPによる冗長構成を実施する際に、障害検知と切り替わりを迅速にするためにHSRPのTimerをデフォルト値から変更することはよくあることだと思います。 しかし、Catalyst3850シリーズにおいてShort TimerにすることでMacFlappingが起こり両Actになる場合があ…
PaloAltのPAN-OS 7.1以降ではバージョンアップに伴い特定のポリシーの動作が変更されるため、既存のポリシーが該当しているか確認が必要です。 live.paloaltonetworks.com この変更により、サービス設定 に「application-default」が設定されている場合はア…
以前から話題となっている旧シマンテック社のSSLサーバ証明書について、ついに特定のブラウザにおいて無効化される期間が近づいてきました。 Google Chrome70 (2018/09/13頃ベータ版リリース予定) Mozilla Firefox 63 (2018年10月23日頃にリリース予定 ブラ…
昨今では当たり前のようになってきたAlways SSL(常時SSL/TLS化)について、メリットだけでなくデメリット(弊害)がないか考えてみました。 SSL/TLSによる通信はデータ傍受の危険から身を守ってくれる手段としてとても有用です。しかし、以前と比べてhttps化…
WLC5508シリーズは2018年5月4日にEOLの計画が発表されました。今後リプレイスにあたって、後継機にあたるWLC5520シリーズへの移行計画を検討する必要があります。個人的にCiscoのWLCシリーズは(Arubaなどと違って)更改時にコンフィグのコンバートが非常に…
米国時間の6/25にWPA3が正式発表されました。WPA3でもWPA2以前と同様に家庭向けの「WPA3-Personal」と、企業・組織向けの「WPA3-Enterprise」が存在します。 WPA3-Personalはパスワードベースの認証のため、おそらくPSK相当のものであると思われます。WPA3-E…
Cisco Prime Infrastructureのバックアップとリストアの手順を記載します。注意点としてPrime InfrastructureはOracleを搭載しているため、システムやサービスの再起動には時間を要します。バージョンアップ等の作業を実施する際は、作業時間を多めに見積も…
HA(SSO)構成を組んだ状態でバージョンアップ作業を行ったので、作業の備忘録を残しておきます。 基本的なバージョンアップ手順はシングル構成と変わらず、プライマリ機にアップロードすると自動的にセカンダリ機に転送されます。 GUIの場合、「Download File…
先日マルチエリアOSPF環境のルータでモジュール故障被疑が発覚したため、コストアップで経路迂回しようとしたら失敗したので備忘録として残しておきます。環境イメージは以下のとおりです、故障被疑はRT#01です。 通常のトラフィックフローは以下となります…
ちょっと前にA10やF5のエンジニアのかたとお話しする機会があったため、TLS1.3の対応状況を伺ってみました。 基本的に両社とも同様の回答で、現在ラインナップしている機器はファームウェアアップグレードで対応予定であるとのことでした。 しかし、注意点と…
SRXでFWポリシーを変更する場合、許可しなければいけないポリシーを消してしまうことや、ポリシーの順番を変更する際に、許可したい通信がDenyポリシーにヒットしないか注意する必要があります。その他にも、以下のポリシー操作をすることでセッション断が発…
最近MTUの設計方法をド忘れしていたので、備忘録を残しておきます。 MTUとは1フレームで送信できるデータの最大値を示す伝送単位であり、一般的に使われるイーサネットであればイーサネットフレームの最大値である1518byteからEthernetヘッダ ( 14byte ) と …
APNICとCloudflareが無料の公開DNSサーバの提供を始めました。 このサービスのメリットとしてユーザーのIPアドレスを記録せず、これを証明するためにKPMGによる監査を毎年行うことを名言しています。これは昨今のセキュリティを重視する流れに沿っていて良い…
SRXでHA構成を組む場合、以下のコマンドでClusterIDを指定する必要があります。 root> set chassis cluster cluster-id 1 node 0 reboot root> set chassis cluster cluster-id 1 node 1 reboot ClusterIDはHAを組む機器同士で同一の値である必要があり、仮…
VRRPの標準仕様では仮想IPアドレスに対する仮想MACアドレスを使用します。この仮想MACアドレスはVRIDから作られるため、VRIDが同一だとセグメントが違っていても同じMacアドレスが生成されてしまいます。この仕様は下記のようにL2SW等がVLAN毎にMacアドレス…
SRX340のHA構成でドはまりしたので備忘録として残しておきます。。。 以下のような構成でSRXでHAを組んだ際に、HAステータスが不安定になりました。具体的には片系のみHAのLEDランプがオレンジ点灯(Amber)となっています。この状態で系切り替えを起こすと通…
ipv6 IPoE環境ではPPPoEのように認証を行う必要がないため、フレッツ・v6オプションとISPのv6サービスを契約すれば接続するだけでipv6アドレスが払い出されます。 なぜ認証していないのに特定のipv6アドレスを取得できるか?というと、v6サービスを契約する…
初めてSRX340でHA構成を組んだので、備忘録として残しておきます。SRXシリーズでHA構成を組む場合、機器同士でコントロールリンク(fxp1)とファブリックリンク(fab0/1)の最低2本の接続が必要です。ここで注意する必要があるのがコントロールリンクで使用する…
2018/1/29に非常に深刻な脆弱性が発表されました。本脆弱性の回避策は存在せず、迅速なアップデートを呼び掛けています。本脆弱性の影響度はCisco社の影響度:Crirical に指定され、CVSSver3 深刻度評価10.0とかなり危険な評価となっています。 tools.cisco.c…
ProxyサーバとHTTPSデコードの関係について、ちょっと触らないとすぐ忘れるので書き出しておきます。 現在の通信はHTTPSが殆どであり、HTTPの通信はあまり見受けられません。これは2014年にGoogleがHTTPS対応サイトを優遇する(検索上位にする)といった常時…
Webサーバなど高頻度のファイルアクセスがあるシステムへのリアルタイムスキャンは設計が非常に難しいです。理由としては頻繁にロードアベレージ高騰などの高負荷状態に陥り、最悪の場合ハングアップする事も想定されるからです。 一般的にウィルススキャン…
ネットワーク機器のStack構成は2台以上のスイッチを論理的に1台に束ねる技術です。個人的にStack構成の最も優れていると思うところは、Stack構成を組むことで論理的に1台に出来るため、ループフリー構成となりSTPを使用しなくて良くなるところです。また、管…
東京海上日動火災保険及び日本マイクロソフトがテレワーク保険というものを発表しました。本サービスは2月から開始予定で、Windows 10 搭載 PC に商品付帯する販売方式を採用するため、保険契約等は不要のようです。 モバイルPCの利用時に発生する各種損害に…
