2017年5月10日 (水)

そろそろ〇〇だす。

Setupaging

最近、AWSとAzureばっかり相手していたら・・・セットアップしなくちゃならないのが溜まってきました・・・gawk
写真には写っていないネットワーク機器やサーバー機器も実は待機しているものが・・・coldsweats02
あとはファームアップデート待ちの機器が山ほど・・・gawk
アプリ設計にも手を出す始末・・・
ネットワーク自動化はまだまだ遠い存在。
実は先日、15kセッション/secを扱うFWが調子悪いなーって思ってリブートしたんですけどね・・・帰ってこないんですよね・・・。フェイルオーバーはなんとかしてくれたんでよかったんすけど・・・。
も”~っておもって、保守機に入れ替えたんですけどね・・・プリエンプトの仕様の影響で2回ドカンと通信が切れると言われて再投入のタイミングを失ったんすね・・・とほほ。
可用性って難しいですよね・・・。。。はぁ・・・。
1個障害対応していたはずが、その時は3次被害まで広がって・・・1週間無駄にしましたよ。
言い訳っすhappy02
「そろそろ本気だす」なのか「そろそろ限界だす」なのか・・・wobbly

Cisco Meraki vMX100 ( Virtual MX for AWS )

と・・・GW明け・・・久々にMerakiネタです。

AWSってVPN張ろうとすると結構大変なんすよね。私は慣れてしまいましたが…BGPの設定とかムキャーってなります(慣れてないん)。
そしたらMerakiのお知らせでvMX100が出るんで宜しくねってのが・・・来ました・・・んで、
取りあえずどんなもんかみてみるか・・・って速攻で特攻してみました。coldsweats01
Vmx10001
AWSコンソールのEC2のインスタンス作成でマーケットプレイスでMerakiで検索すると出てきます。m4.largeを使うのね・・・。
んー・・・もしかして通常のMX100のライセンスと違うのかな・・・ソフトウェア費用が・・・0円になっちゃってますね・・・。これってハードウェアが仮想アプライアンスの時に幾らになる・・・ていう価格設定の場所のはずですが・・・。と調べたら毎時AWSライセンス無しってなってますね。だいぶ思い切ってますね。クラウド利用ライセンスもMX100と同じ価格ってことみたいですね・・・ほほぉ。
実はライセンスの相談をせずにセットアップに突入したんで、まだ幾らなのかしらないんすcoldsweats01 MX100は扱っているので調べればわかるんだけどね・・・。
まーとりあえずデプロイしてしまえー(本来のセットアップ手順ではありません)。
Vmx10002
とりあえず動作させたった。でもMerakiのシリアルもってない~。
Merakiダッシュボード側からアプローチかけてみればいいんかな・・。
新しいネットワークをクリエイトしてセキュリティアプライアンスでとにかく作る。
Vmx10003
お~。書いてありました。「先にライセンス入手しろやタコ。ライセンス投入してから来やがれこんちくしょう。」と書かれていますね。
多分、ライセンスを投入すると、[add vMX]というボタンが現れるんだと思います。
まだ想像だけど・・・AWSで可用性で構築する場合どうするんだろうね。
通常だと、MXを2台購入してもライセンスは冗長化の場合は1つで済むんです。
AWSはAZの考えがあるので、出来ればAZ-aとAZ-cに配置してHA組みたいですよね。
うーん・・・流れはわかったけど(先にインストレーションガイド見ろ)
冗長化出来るのかなぁ…。
5月16日(17日だそうです)にMXやらMVやらMSやらの新機能とか新モデル発表のウェビナーがAM9:00からあるようなので、興味のある方は申し込みしてみると良いかも。
私は・・・予定が詰まってて参加できない・・・orz...。
この仮想アプライアンスとなったvMX100による最大メリットはAutoVPN環境にAWSが加わるってことですね。
AWS標準のVPN機能は結構マゴマゴするのですが、これならイージーになるね。
うーん、どんな感じに動くのか見たーいっbearing

2017年4月24日 (月)

Azureの情報は何が本当なのか・・・マヂギレしそう

久々に『イラっannoy』っときました。

AWSだけじゃなくてAzureもちゃんと理解しておかないとなと取り掛かり始めたのは良かったんですが・・・。
どうにも何時頃かわかりませんが、UIやら機能が大変身を遂げたようで・・・。
世の中の情報がどれが新しいのかが…サッパシわかんない。。。
MSの人に教えてもらったチュートリアルのような資料もですね・・・もう情報古いし。UIがちゃうし・・・。

まぁ読み替えれば良いかと思って進めてもですね・・・違い過ぎてピンときにくい・・・gawk
最初は、「東日本」サイトでせっせこ作っていたんです。
んでとりまVPN張ってみよう・・・とYAMAHA RTX1210でトライしていたんです・・・していたんです・・・。
なんでか判らないけど、VPN設定でIKEのphase1しかつながらない…orz。phase2が起きない・・・。
色々調べてみると、どうにもYAMAHAさんは動作チェックリストから外れているではないか・・・こないだまでRTX810が居たと思ったんだけどな…ルートベースかポリシーベースか、静的か動的かと・・・色々な情報をまさぐったけど・・・どうにもいう事を聞かん。
そういや、世間の無償期間中のお試しマニュアルは西日本での例が多いな・・・東日本を一旦捨てて西日本でやれば上手く行くんかな・・・と思って、急遽東日本をつぶして西日本へ・・・。しかし、YAMAHA RTX1210は状況変わらず。先人の方々の情報にもみましたが・・・ここでYAMAHAを可愛がる時間がちょっとないもんで、仕方ない・・・
手持ちのJuniper SRX100なら行けるやもしれんと、試してみること数時間・・・。
Azurevpn01
やっとこ繋がった・・・。たった1本のVPNのバイパス組むだけでこんなに意味判らんのか・・・。AWSのほうがまだ設定Configサンプルくれるから組みやすいわ・・・。sad
おし、とりあえずやっとここまで来たら、サーバー立てて突っついてみよう。
どれどれ、とりあえずWin2012DCでも・・・ん・・・?
Azurevpn02
んんんん?!?!どゆこと~!!!annoy
世の中の教本には西日本でサーバー建ててるやんっ!!!annoy
なんでここまできて東日本っていうんだよ・・・orz...
その癖、SQLサーバーを建てようと思ってセットアップ進めて、サーバー選んでね…という所では西日本選べるんよ・・・。なんなん!?annoy
仮想ネットワークゲートウェイ用サブネットが必要なのも全然つかめんし・・・。
まったく、先日はMSDNの手続きでイラっとさせられるし、ADFSは原因不明な悲鳴上げるし・・・Microsoft関係でずっとロクなことが起きてないっっannoy
あと3日で無料枠なくなっちゃうし・・・このままAzureはサヨナラかしら・・・。
とりあえず、AzureとVPNは別件でやらなきゃいけなかったんだけど、YAMAHAのルーターじゃちょっち調子悪い事が分かった事だけは収穫なのかな・・・ポジに考えて・・・うん・・・そうだな・・・そういう事に・・・はい・・・。
はぁ。

2017年3月28日 (火)

閑話休題:これは依存じゃないアピール?

ネタがあるようでない様で。ちょっとバタバタなので・・・。

ちょっとAzureを覗いたときに簡単なビデオがありまして・・・それを眺めていた時の違和感がハンパない。
Azuremacchrome
ちょっと見づらいかもしれませんが・・・Microsoftのサイト内で、Azureのビデオなんですが・・・MACが動いていて更にChromeを利用しているという・・・。coldsweats01
Microsoftのサービスだけど・・・だけじゃないっていうアピールですかね?
はぁぁぁぁ・・・orz...
どうでもいい話でした・・・(きっと疲れているんだと思う)。
そういや、最近は目に見えてMAC利用者が増えましたね。。。
OS依存度が下がってきたという事でしょうかね・・・。
それにしても・・・クラウドって何が出来るの~ってのを調べるだけでも骨が折れます。
二兎以上追いかけていますが、追い付けません・・・weep
昔(今もだけど)、携帯3社の料金プランが良くわからないし、コロコロ変わるんでモーイヤって嘆いていましたが、クラウドサービスも超カオスです・・・。sad
DevOpsって世の中上手く行ってるんすかねぇ・・・疑問です。wobbly
てことで、ただのボヤキでした・・・。

2017年3月15日 (水)

L2TPなVPNにLACPするという検証

今日からシンガポールに居ます。帰りは土曜日ですのでちょっとだけ国外逃亡中になります。

ちょっと慌ただしく?検証しただけだし、何を今更?みたいな内容かもしれませんが・・・。
L2のVPNの専用線型ってちょっとお高いじゃないですか。。。
でも冗長化しておきたいじゃないですか。。。
同一専用線型を2本引いても意味なしじゃないですか。。。耐障害性として。。。
で、バックアップにあたる回線はInternetの回線で何とかできないかなとか思うじゃないですか。。。
てことで今更ながら、WAN越えの異相環境でも上手く行かねーかな?と考えたわけっす。
L2vpn01
でで、これが上手く行くなら良いな~なんて考えて・・・。
L2vpn02
こんなことして・・・。
とりあえず上手く行ったんですけど・・・ね。
需要あんのかな・・・(汗)Configいります?
基本的には「L2TPv3を用いたL2VPN」の記事の「L2TPv3/IPsecの設定例」と「L2TPv3とタグVLANの併用」を参考に・・・Configを起こしてEX2200のLACP activeの設定をしている感じです。LAGは上手く行きませんでした。

2017年3月 7日 (火)

当たりを引いた?RTX1210の不具合[追記あり]

3月6日にお知り合いからメッセージが飛んできてビツクリしました。
「RTX1210 不具合対策のご案内」

マヂっすか・・・coldsweats02

詳しくはリンク先を見てもらうとして、期間的に購入している節がある・・・coldsweats01
運が良いのか悪いのか・・・ファームアップをしていなかった対象機と、予備保管していた対象機の2台が対象ですみました。coldsweats01
私の場合はYAMAHA製品の調達先はほぼ限定していて調達元がしっかりシリアル管理していたので良かったです。
ファームアップはほんとに無意識にやっている事もあるのすが・・・今回は軽い検証だということで、端折っていたのが良かったです(?!)。

さて、対策にはSDカードを使うケースとネットワークを使ってツールを使うケースがあるようです。
私はTFTPによるメンテナンスが慣れているのと、VPNを張っているので、TFTPを使うことにあまり躊躇しませんw

では、提供されている「RTX1210対策ツール(rtx1210_fixtool.exe)」を使ってみましょ。
Rtx1210fix01
対象のIPアドレスを入力して「開始」っと。
(3/8追記:別のIPを入力して、pingは通るのに発見できないケース(不具合?)があるみたいです。私の場合は、別のアドレスを入れた後に、192.168.100.1の履歴を使っても何故か見つからないというケースでした。その場合は、「rtx1210_fixtool.dat」ファイルを1度削除すると治ります。細かい発生条件までは調べていません。)
Rtx1210fix02
どうやら発見したっぽい。

Rtx1210fix03
発見後にパスワード情報を入力する感じ。

Rtx1210fix04
最初は何かを診断しているようです。

(3/8追記:どうやら該当範囲シリアルの中から更に不正値が入っているかを調べているそうです。)

Rtx1210fix05
問題は検出されなかったようです。ほー良かった…。。。え”っっ?!coldsweats02

いあいあ、対象機でしたって。もしかしてこれは対策ソフトウェアを充てる準備として問題はなかったって事かな?!

(3/8追記:ということで、シリアルの対象範囲の中でもすべてが該当する訳ではない様です。Twitterからコメントを頂きました。なので対象範囲でも上記のように対象機ではないケースもあるという事で。まぁここまで来たら念の為に修正パッチ充てちゃっても良いと思います。対象機であった場合はメッセージが異なると思います。)

Rtx1210fix06
とりあえず、対象機の対策前の状況。

Rtx1210fix07_2
実施すると、すぐに書き込みが終わりました。コンソールで動きを見ていますが、すぐに再起動が掛かりました。

Rtx1210fix08
ちゃんとブートが1.03から1.04になっていますね。

Rtx1210fix09
ついでなんでファームウェアを最新にしておきましょう。(これがまた早合点に。。。?!)

Rtx1210fix10
これでバッチリでしょう?!しかし公式のファームサイトには.14までになってますね。。。(?-? もしかして.16はあかんのかな。。。ってありゃ。。。本不具合で.16が公開停止になってる。。。(汗)

さてと。。。このパターンはどうっぺかな。。。w

(3/8追記:Rev.14.01.14が公開バージョンで14.01.16は公開禁止になっていますが、本不具合で不具合の誘発を抑える為の暫定対応のようです。暫くは14.01.16は公開されないと思いますが、手持ちで14.01.16を持っている人は、該当機器でも対策後であれば14.01.16へファームアップグレードしても問題がないとコメントを頂きました。)

先日はCiscoのCPUクロックの時限的不具合がありましたが、今回の件は大規模に当たりを引いた方は可哀想な事件ですね。ただハードウェア側は問題はなかったという事で、多少救われるとは思いますが・・・。

AWSもS3で不具合があったし(人為的ミス)、ここの所ちょっと不具合ネタが多いですね。

私は一般商流からの購入はしていないのですが、これ一般の商流にのっているもので不具合がでたものってどういった対応になるんでしょうかね。
私は結局当たりを引いてない事になりますね・・・あともう1台チェックしないとですが・・・。

約15000台の当たりの皆さま・地雷を踏み切った皆さま・・・乙です!

2017年2月15日 (水)

帰国後を待てない男。

今週末から海外出張なのですが、色々と手一杯なのに。。。


こんなものを買いました。
小さい電子部品ですが、Arduinoで使うWifiモジュールです。

最近ろくすっぽArduinoを弄れてないのですが、モチベーションを回復させる為にちょっと先行投資です。

とはいっても最初は3GSIMモジュールを買おうとしたんです。処が。。。高い。。。(^_^; モジュールだけで3万近い価格。ちょっと小さな趣味の価格にはそぐわないので、Wifiから始めようかと。

あとはリードスイッチも買いました(マグネットの力で接点がひっつく例のアレです)。

察しの良い方はもう何をやろうとしているか分かるかも。みんなトイレが使用中だとピンチな時はほんっとキツイよね。そう、そんなかんじの時に助かるモノですw何番煎じかわからんですねwでも私は初心者なので人通った道を一応経験しておこかなと。
でもまだ最終的にどうアウトプットするか着地はしてないので、想いをはせておきます。

帰国後じゃないと取り組む時間がないのですが、こーいうパーツって男心的に我慢できないのでし。。。
ま、安かったしね(^_^;

ちなみに海外出張の準備は。。。今日、1カートンのタバコを買って準備しただけです(^_^)
慣れって怖いもんす。

2017年2月12日 (日)

Open-source Ticket Request System(OTRS)ってご存知ですか。

って誰に聞いているのか分からないですが・・・。ここ最近ITILとかインシデント管理・変更管理・ヘルプデスクなど色々調べていたらたどり着いたツールなのです・・・が、これがとっつき難いcoldsweats01
Otrs01
インストールもソコソコ面倒でした。ITIL関係に関わるモジュールが最初は入っていなくてどうしたら入れられるのか悩みながらなんとかかんとか。

「日本OTRSユーザー会」ってのはあるんだけど、ここのWikiが死んでいる様子。
バージョンによってインストールの雰囲気が若干違う様で、本当はWikiの資料みたかったんだけど、他のサイトでなんとかしました・・・。

Otrs02
久々に動かしておなか一杯な感じです。掴みどころがまだ見えない・・・coldsweats01

もとより例えばインシデント管理とかヘルプデスク管理をRedmineとかでムリクリ運用するのは嫌だなぁ…って思ってて、何か良いものはないかなという感じで探してただけなんですが、「インシデント管理 オープンソース」で探すとこのOTRSぐらいしかヒットしないんす。

やっぱり有償版を探さないと駄目かなぁ・・・。

とりあえず、直観的に・・・触れないもどかしさを感じますcoldsweats01

http://www.slideshare.net/sfunai/cmdb-40856217?next_slideshow=1
CMDBuild構成管理・・・これも調べてみるかな・・・。

FortiGateお試し中~その4

本日の勉強ラスト~って所で少し面白くなってきたんで「出川はじめてのおつかい」を見ながらFortigateを弄ってます…gawk

気になってたVDOM(バーチャルドメイン)は予想通り!いあ予想以上に扱いやすい!
Fortigate0400
Fortigateって見やすいポイントと、全然見たいものが見えないモノが極端だよなぁ・・・。
VDOMってのは仮想ルーターが作れるっていうんだけど、もちろん仮想ルーターといえば「vr-trust」とかいう表現でおなじみのJuniperさんで散々見ているのですが、JuniperのScreenOSにしてもJunOSにしても仮想ルーターの考え方はどちらかというとセキュリティ面を配慮した考え方でゾーンとの兼ね合いがつよい。そして、1つの管理で複数の仮想ルーターを扱わなければならない(はず?)。

今回、なんでFortiGateに触る気になったかの一つとして、FortiGateの仮想ルーターは仮想ルーター単位で管理できそうだって所までは分かっていたんだけど、どの様にコントロールするんだろうって思ってたら、画像の様に仮想ルーター毎にCPUとメモリが表示されやがるっ!happy02

Fortigate0401_2
今回は物理インターフェースにしているけど、VLAN化も出来る。仮想ルーター毎に管理できるとなれば、基本的な接続経路だけ設定して、FWを利用したいユーザーに委ねる事が出来ますね。私、社内でも結構FWのポリシー変更の請負をやっていまして・・・けっこーめんどくさいんすよcoldsweats01

まぁハードウェア性能の課題をちゃんと考慮するという前提にはなりますが、VLAN駆使すればインターナルFWも楽に組めそうですね。また、VDOMの間構成も簡単だったので(ルーティングは混乱しそうだけど)、このVDOM機能は気軽にFW組めていいな。

実際に集中を切らせながら2日間さわってきて、基本的な部分はだいたい触れたので、おもったよりもイージーに中高度な事が出来るのかもしれない・・・。
ただ、やはりというか・・・統合された製品というだけあって、どの機能も中途半端な部分は感じられる。ただ、それぞれの機能に求めるレベルを落とせば許せるレベルかな・・・。肝心な部分の作り込みがされていても、ビューやレポートが弱かったり、カスタム出来る様でカスタムの範囲が狭かったり、専用製品を触った後だと見劣りする部分が多々あるけど・・・色々な機能・要素を兎に角経験したい、実施したい、コスト抑えたいという場合にははまりそうですね。
間違いなく言える事は・・・JuniperやPaloaltoよりはとっつきやすいとおもう。これは重要な事で、いくら性能がよくてもちゃんと使いこなせるかどうかという部分で、とっつきやすい製品はイージーに高度な事が出来るようになるのでとても良いと思いますね。
ディープなエンジニアしか扱えないとなるとたとえば障害時でも対応難度があがってしまうしね。
低価格で”色々試せる”のは良いなと。そして昔から注意しなければならないのはパフォーマンスだね。負荷が掛かっていなくても動きが微妙なものもあるので、これはハードウェア性能もちゃんと見定めないと駄目ってことだよね。

とりまVDOMは気に入ったぞ。




FortiGateお試し中~その3

今日も引き続きです。
そういえば、検証構成をだしていませんでした。
Fortigatenetwork
高負荷評価まではたぶん出来まいと思って、結構手抜きな構成にしてしまいましたcoldsweats01
セグメントはダミーで実際のアドレスとは違います。機器構成間はだいたいこんな感じで、一部抜けてますが・・・こんなもんです。
構成の通り、試験環境ではなく実環境に投入しています。インターネット回線を廻すのがめんどくなっちゃって・・・coldsweats01 あとMyPCを舞台に繰り広げるとなるとこうするしかなかった・・・。

その為、Fortigate100DのDefaultGWはwan側ではなくlan側になってます。
昔社内の0.0.0.0/0の行先を完全に殺していたのですが、現在はPaloaltoで受け止める様にしています。基本やり場のないデータが向かうので破棄される前提としてます。
今回の為に、Fortigateの通信はスルーの扱いにしました。
そして、FortigateのPROXY機能を確認する為、私のPCのPROXY設定をForti側にセット。

え~、抜け道工作ではないです・・・検証です・・・coldsweats02
人にはセキュリティだのあーだのこーだの言うくせにね・・・。
だって、Fortigateがインターネットと通信したいってうるさいから・・・(汗

そしてMyNotePCからは仮想外部アドレスとしてFortigateにアタックしたり、サービスアクセスしたりする用にしています。サービスアクセスにはMyPCにサービス起動して待ち受けてやります。実環境といえど、なるべく周りに影響を与えない様に?してます。
まぁあとは、SystemAnswerG2でSNMP取得したかったのもあるし(あ、図にプロットするの忘れた)。
ちなみのちなみにMyPCからMyNotePCまではRDP使ってアクセスもできるようにしてます。

特権ぽいレベルであれこれやっていますが・・・社内で勝手にこれに近い環境をやられたら・・・この図の場合で言うとMyNotePCの存在消えるからなぁ・・・厄介よねぇ。

と、そんなところでFortigateの話題にもどりますと、触り慣れてくるとNetscreenを彷彿するような感覚がありました。ポリシー廻りの操作やインターフェースの操作とか似ているかな?!うーん。それいっちゃうとPaloにも似てなくもないとなるけど・・・。
そういえば、今回触っていて、「ああっ、これはイイなぁ」というのがやっとありました!

Fortigate0301
オブジェクトの登録は必要なのですが、オブジェクト内にですね「地域」ってのがあります。これが国を選べるようになっているんですよ。
そしてその中に「anonymousPROXY」という地域があるのですが、これは地域というよりもPROXYに対してというオブジェクトになるんですかね。
Fortigate0302
こんなかんじで、送信元に地域(国)を選ぶことが出来るので、そもそも日本向けにしかサービスしないよっていうのに便利ですね。それ以外の国からは全てDropみたいにしちゃえばいいんだもんね。
Paloaltoでも国の識別はできるけど、オブジェクト定義出来たっけかなぁ…やったことないだけかな・・・。
実際に地域(国)の保有IP情報ってネットを探せばわかるっちゃわかるんだけど、とてもじゃないけど自分でコントロールするのは大変です。この地域IPの情報がFortigateが常に更新されていると考えたらよいですね・・・。それともバージョンアップのタイミングじゃないと更新されないかな?今度聞いてみましょう(GeoIPはちゃんと随時アップデートされるらしい)。

最近はIoTとかいうバズワードのお蔭で、色々な国からのアタックが多くてさ。なんでも無防備でインターネットに接続したら4秒でヤられる時代だそうです。
(大昔ですが、社内LANも無防備で10秒つなぐと感染するという暗黒期がありました・・・Pen3程度の1台のマシンに社内ネットワークをかなり虐められた思い出があります。)

さて、Fortigate完全攻略をチラ見しながら、基本的には野生の感でいじってきましたが・・・全くどうでもいいんですが、記事中に「2009年の新型インフルエンザの流行以降にリモートアクセスVPNとして主流になった」みたいに書かれているのですが、私の記憶では2002年頃にNeoterisなんていう会社が出てきて、2003年頃SARSがあった頃にSSL-VPNの話題が出てきて2009年頃は既にオマケな存在だったような・・・。BYODが騒がれたのは2012年頃だしなぁ・・・。個人的にはConfickerワームに苦しめられた年だったように覚えているのでインフルエンザどころではなかったかもだけど(汗)
てかタイトルと内容がズレ過ぎ脱線しすぎね(苦笑)

てことで、今回の構成はここぐらいまでで、あとはVDOM化してみまっす?(この扱いやすさがどうかが知りたかっただけなんだけど・・・やっとここまできた)。

«FortiGateお試し中~その2

IT

  • 小泉 耕二: 2時間でわかる 図解「IoT」ビジネス入門
  • 日経コンピュータ: すぐわかるIoTビジネス200
  • Massimo Banzi: Arduinoをはじめよう 第3版
  • みやた ひろし: インフラ/ネットワークエンジニアのためのネットワーク技術&設計入門
  • 板垣 政樹、 小坂 貴志: プレゼンを100%成功させる!! ITエンジニアの英語
  • 渡辺和彦: ネットワーク仮想化 基礎からすっきりわかる入門書

ITな機器

  • OSOYOO: B00UKXHKXC Arduinoをはじめよう 互換キット UNO R3対応互換ボード 初心者専用実験キット 基本部品セット20 in 1 Arduino sidekick basic kit
  • Juniper Networks: Juniper SRX100H
  • ヤマハ: ヤマハ スマートL2スイッチ 24ポート SWX2200-24G
  • ヤマハ(YAMAHA): ヤマハ ギガアクセスVPNルーター RTX1210

Amazon

2017年5月
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

最近のトラックバック

無料ブログはココログ