2017年7月13日 (木)

Cisco Meraki 新しいファームウェア管理

続けてMerakiネタです。

7/11のブログで発表がありました。FBやLinkedInなどでもお知らせが出ていますが・・・
A NEW APPROACH TO MERAKI FIRMWARE MANAGEMENT

いあー、これはスゴイ。Meraki利用者にとって「ファームウェアバージョン」が知る事ができるというのは大きいですね。
世間からするとなんのこっちゃなんですが、Merakiはファームアップデートが結構便利なんですが、バージョンがつかめなくて、何かあった場合の問い合わせも難しい局面があったりします。それはなにかというと、何か不具合があっても「最新のファームにアップデートしてから様子を見る」というプロセスが出てきてしまう為です。

SIer達もユーザーから問い合わせがあっても一部のリリースノートを頼りにしてやっていたんではないでしょうか。
症例やナレッジを充てにくく、兎に角アップデートで様子をみなければならないジレンマがあったかと。結果論として結局アップデートしなくちゃジャン?というのはあると思いますが、Bugfixを追いかけられるかどうかの違いは大きいと思います。

Merakifirmware01
そしてなにより、安定化バージョンが何なのかを知れる事も良い。

いあ、普通の事なんですけどね・・・でもMerakiではこれは革新的ですhappy02
同一の管理画面から全て確認が行えるので、例えば、各メーカーの専用サイトで確認して~という行為は必要なく・・・

Merakifirmware02
そして、管理している規模が大きければ大きいほど、この恩恵は大きい。
今までも各ネットワーク別に色々見ることはできましたが、ネットワークの全てを網羅しての管理面については、特定の操作しかなく、いちいち各ネットワーク内に切り替えてファームウェアの状況を確認する必要がありました。

また私の環境ではアップグレードをあえて止めている環境もあったりでこの機能追加はSIer並みに待ち焦がれていましたcoldsweats01

しかしビックリするのは安定化バージョンからかなり先のバージョンが出ている事ですね。
基本的にはStableバージョンがあたる事になっているハズなのです。

Merakifirmware03
それとロールバックが出来る様になったことですね。何時のタイミングからの情報を持つようになったのかはちょっと調べ切れていないですが、最近おこなった記録が出ていました。

Merakifirmware04
何故ロールバックをするのか訳をシステム上で聞いてくるあたりもMerakiらしい。
彼らは常に最善への努力をシンプルに正しく理解しようとしています。
私が扱う製品で、直接システム上でダイレクトに文句を言える製品はMerakiぐらいですかね。あとの製品はSIerやら代理店を経由したりとかしないと声を届ける事が出来ません。
しかし彼らは常にユーザーの目線を(合理的に)大事にしていることが分かります。

MerakiのUIは実はまだ3つも選べるんですよね。新しいUIを作っても古いUIが使える様になっているという事はスゴイですよね。ただ古いUIに新機能の情報が表示されているかは別ですが・・・。システムの作り方がほんとに上手だとおもいます。
ただクラウドサーバーのバージョン管理があるようで、客によって機能対応があったりなかったりはあるようなんですが、一般的にはそのサーバーバージョンでUIも含んだシステムだったりしますからね。そういった設計にせずちゃんとフレームワークが組めているアーキテクチャと開発力はスゴイと思います。

相変わらず飽きない製品です。

Cisco Meraki MRでSMS認証を組む

久々のMerakiネタです。日本ではあんまり需要がないかなぁ・・・と思っていたんだけど、気が付いたら、結構SMSを使った認証コードでの簡易本人確認が流行っているようなんで。
LINEとかスマフォで、その本人が認証応答している前提の仕組みってよくありますね。

携帯番号を使うので本人の確率は上がるには上がりますが、アプリで電話番号を買えてしまう時代なんで、どこまで本人と捌けますかね。。。抜け道もあるようで?

電話番号にSMSをとばす仕組みは、日本の電話番号だとSMSが扱えないので、アメリカとかの電話番号が必要になったり、1回あたりのSMS送信で8円程度お値段がかかるのが悩ましいんですが、電話番号を担保に許可するような仕組みです。

そんでもってMerakiのWifiでスプラッシュログインにSMSでの認証があります。今更ながら試しておこうかなと。

Merakismstwilio01
んでMerakiでSMSを使うには、Twilioというサービスを使います。日本ではKDDIさんがサポートしているようですね。

では早速どんな感じか。Twilioは有償サービスなんですが、500円分の初回トライアルが行えます。アカウントを作成後に、アメリカの電話番号を取得しておいてください。
Merakismstwilio02
使いたいのは、赤枠内のSIDとAUTHトークンです。アカウント作成後にログインすれば割り当てられます。

Merakismstwilio03
私はロサンゼルスの電話番号を取得しました。今回はSMSが使いたいので、SMSに対応しているかどうか必ず確認です。

Twilioのサイトはゴチャゴチャしているのですが、Merakiに使う時は、ここまで出来れば大丈夫です。

Merakismstwilio04
SMS認証を試したいSSIDでSMS認証を選択します。そーいえば、Merakiのダッシュボードは日本語対応になったのですが、私は英語に慣れてしまった故に日本語だと逆に分からないという状況で・・・英語のまま使っていますcoldsweats01(英語が出来るわけではないw)

Merakismstwilio05
利用するSSIDをSMS認証に設定したら、今度はスプラッシュログインページの設定です。こちらも基本的にはデフォルトで大丈夫です。

Merakismstwilio06
で、最後になりますが、Network-wideのGeneralの中にTwilioのSIDとトークンを入力する欄があるので入力するとすぐにベリフィケーションが動いて取得している番号が表示されます。番号が表示されない場合は、番号の取得が上手く行ってないかSMS対応していないかです。

これでSMS認証の準備は完了です。説明は長いですが、要はSIDをセットしてSMS認証にセットすれば動いちゃうのでとても簡単です。

Merakismstwilio07
端末からSMS認証SSIDをセットするとスプラッシュログインが表示されます。
アメリカのSMS機構を使うのとMerakiがワールドワイド育ちなので、電話番号には国番号から入れてあげる必要があります。

Merakismstwilio09_2
寂しくコードだけ届きました。このメッセージは加工出来るのかな・・・。そこまでは調べてません。

Merakismstwilio08
届いたコードを入力したら認証完了です。

Merakismstwilio10
Login確認ページから・・・私がログインした記録を確認出来ました。電話番号がユーザー名になっていますね。

Merakismstwilio11
バッチリ記録が残りました。

CiscoMeraki MRでSMS認証を使うとなると利用想定はゲスト向けWifiの提供になると思いますが、電話番号から個人特定は正直厳しいです。よっぽどの事件性をもつ通信をおこなったとなれば有用な証拠にはなるかもしれないですね。

もう一つMerakiにはFacebookアカウントを利用したチェッイン機能にて提供する認証方法もあります。これは店舗等での利用が便利かとおもいます。

私、個人的にはFacebookだけでなく色々なOpenID系の認証が使えるといいのになっておもうんですが、実はMerakiのスプラッシュログインは3rdパーティー系の認証に引き継ぐことが出来ます。認証モードとしては「Click-through」にしてカスタムスプラッシュURLをいれて引き継ぐことも出来るのでOpenIDへの対応も出来るのですが、標準であるとイイな~って。

てことでSMS認証はあっけなく動いちゃったんですが、SMS認証1回あたり8円です。
色々なサービスで見かけるSMS認証やっていますが、1億人いたら8億も認証代が掛かるんすよcoldsweats02これぞ10円ビジネスの真骨頂ですね。IoTなんかが今後流行るのも、人口以上のデバイスが小パケットですが怒涛の端末数となるビジネスをやる訳なんでオイシイですね。

で、私はというと、ゲスト用Wifiの利用されるたびに8円取られると取られ貧乏になっちゃうので、せめて広告はしたいっすよね。ちょっとした広告と認証機構で8円は高いっすね~gawk

Merakismstwilio12
でも、せめて認証後は何かしらハンドリング出来るページを作って飛ばせれば何かしらチャンスがあるかも・・・で・・・よいかな・・とcoldsweats01
うーん、もうちょっとなんとかしたいすね。

まぁなんといっても今回のネタとしては、Wifiの標準機能でお手軽にSMS認証が出来てしまうって言う所がMerakiってことで。。。wink

2017年7月 3日 (月)

WAN冗長?

現在ベルギーに居ます。と言いながら、これを投稿したらイタリアに移動します・・・。

何年も海外環境のインフラを見てきましたが、最近変わった構成をWANのキャリアが組んできたので、ちょっとご紹介。
Dualwanrack
現地ITエンジニアからヒアリングして図にした感じが以下のような感じ。
Dualwan
ONUにあたる部分に障害がでても、2つの回線はONUが1つになっても供給できるのだとか。
確かに、そのような動きを想定できる接続図にはなっている。
でもこれって同一キャリアだからできるんだろうなぁ・・・。
でも結局ファイバーからパッチケーブルにする左の機器が単一ポイントになっちゃっているから、何の効果があるのかな・・・。私の求めている可用性ではないですね・・・。
ただ、私は日本でこのような構成の経験がないので少しだけ新鮮でした。

2017年6月11日 (日)

週末セットアッパー

気が付けば週末の過ごし方が「何かの検証」か「何かのセットアップ」しかやっていない気がしますshock

残業代休色々とウルサイ世の中ですが、私の場合はパワハラされている訳ではないし、時間配分はマイペースなので、疲れているけど適度に飲みに行っているし機械をいぢっているのは幸せな事なので、疲れは溜まっていてもストレスは程々です。最近もっぱらのストレスはちゃんと説明しているのに理解せずに暴走されたり大事な情報を直前に言って来られる時はストレスです。
配分が狂うんでクソーって叫んでますw
引っ掻き回したり要件が曖昧な人は疲れます。。。わからんのだったら直ぐに聞けっての〜。

てことで2ヶ月ぐらい寝かせてしまっていたサーバーのセットアップなんぞでストレス発散です。もう発言が変態じみてますね。自分でもヤバいと思います。

なんか人より機械がスキって言っているみたいcoldsweats02



久々のサーバー機っす。DL380Gen9でっす。何時も自分で組み立てるんだけど今回は完成品。ちょっとツマンナイ。
DL360と380の違いを拡張性以外で説明でける人居ますか?!って私如きがサーバーわかっている訳じゃないんで教えて欲しいだけなんですが、排熱効率とかでCPU性能が380の方がつよいんじゃないかなーとか勝手に思って居ますが(spec.orgをみると380の方が性能が何故か出てるんすよね)。

さて、でかくなったSPPはどうやって充てればいいのかなー。DVDに入りきらなくなったんだよね。今回はOSインストール先にして後からSPPにしよう。
まずはBIOSでフルパワーにチェンジ。バランスモードなんてクソ喰らえですw
iLOは後でという感じでインテリジェント・プロビジョニングでWindows2012r2を突っ込みます。
最近2012r2や2016はDVDに収まらんしUSBにしてもNTFSじゃないと入らない。だけどUEFIはFATせないといけない。。。なのでUEFIは諦めてインテリジェントプロビジョニングでUSB内のISOを読み出す方向で。
その前にSPPオンラインで出来そうなので試してみるも?上手くいかないshock



なーんかこれは打開に時間掛かりそうなんで次って感じで進めます。
しかしインテリジェントプロビジョニングは楽だね。
OS入れている最中にSPPであてるんだろーなぁていうプログラムがいくつかインストールされているような。

でも失敗してそうなんで、SPPを入手。こいつもデカイ容量になっちまったんだよなぁ。約7ギガ。

これはWin2012r2であればどこかでネットワーク上でマウントしちゃえば楽チン。しっかりアップデートされた事が確認でけたhappy01

そしてサーバーをセットアップしている時は待ち時間が結構あるんでその間に別件のAWSとVPNを再度張り直しの設定作業に。

結局ハマったようで、そうでないようで。。。

良い子のみんなは週末ちゃんと休みましょうwink

2017年6月 4日 (日)

インターネットの速度体感を可視化するには

ふー。今日は自宅から会社に入り込んで沢山のルーターのフィルター変更しましたcoldsweats01
生きた環境を変更するのは慣れがあっても疲れます。
過去にやらかしてですね・・・始発で部下を出張させたこともありましたcoldsweats01

さて、そんな遠隔作業での話なのですが、インターネットVPNをやっているエンジニアだったら体験していると思いますが、TELNETでコマンド叩いたり、設定を投入したりするときにですね・・・拠点によって「(タイム)ラグ」を感じるんですね。

今日は日頃よりも負荷の低い土曜日(執筆は日曜日)。

東京から各地の拠点のルーターの設定を弄っている訳なんですが・・・まぁ大抵の拠点は、少しモッサリみたいな感じで、稀にサクサクな拠点があります。

Response02
このレスポンスグラフでは、だいたいAve10msぐらいで少し起伏しているのは社員が仕事しているんかと(休めっての)。んで私は20時頃作業していました。なので殆ど無負荷時間帯ですね。

Response03
この拠点はAve30msぐらいですね。さっきの10msの拠点よりもコマンドがサクサク流れたんです。んー?!coldsweats02

Response04
この拠点のAve26msはモッサリでした。。。

ゆらぎかな?なんだろう?

前にSmokePingみたいなものを作ったんですよ。要はレイテンシが低いだけじゃなくてゆらぎも大事で、揺らぎが大きいとかえってレスポンスが悪いと。
Response01
このグラフは海外拠点なんで参考としては極端ですが・・・。

気になってpingを打っていたんですが、無負荷時間帯の国内拠点はやはり揺らぎは殆ど出ていませんでした。

じゃぁなんでサクサクとモッサリに分かれちゃうの?それも遠い拠点・・・北九州の方が名古屋の拠点よりもサクサクってなんなんだ?!回線は同じ品種なんですが。。。

多分、サクサクやモッサリを例えるとすると・・・100行のコマンドを流し込む時間差。
これが、たかだか10msの違いで極端に発生する?いあ違う・・・遠い方がサクサクだったんだ。

これってパケット解析しても、単純に応答差がでてくるだけだろうしね。
機器の負荷も殆ど差異ないし。

インターネット網内でルートによって何かされている?地域IP網の影響?

あと、これに似た内容としてですね。。。
シンガポールから東京まで国際IP-VPNを4M程度の帯域ですがひいてみたんです。
インターネットVPNもやっていたんですけどね。こちらは整備したら500kぐらいの帯域が3Mぐらい出る様になって。IP-VPNいるのか?なんて思ったりもしたんですけどね。
シンガポールからうちの公開用回線のシステムを利用する場合と、イントラ内で同じシステムへアクセスする場合で、結構体感差も出るし、実際のファイルアップダウンでも差が出たんですよ。ちなみに、IP-VPNを使ったルートとインターネットでのルートでpingの応答値は誤差レベルでした。
面白いよねぇ。世の中インターネットに繋がっていればいいと思っている人が多いもので、中々インフラ屋さんの苦労をしらないんすgawk
誰に責任があるのか分からないインターネット網を生命線にするご時世なのですが・・・もうちっと分かるようにしたいなぁ・・・。

やっぱある程度の容量をアップダウンして何秒って感じでの評価がいいのかなぁ・・・。なんか私のもやっとした部分の本質じゃない気がする…weep



2017年5月31日 (水)

Fortigate200D v5.4.4 NATで混乱(主に私が)

Fortigate初心者なので嘘言っていたらご容赦を・・・ではなくてご指摘をcoldsweats01

少しずつですが、Fortigate製品と打ち解けあってきたような?気がしています。
更に今回経験していたおかげな事も起きました。やっぱし色々やっておくのは大事だな。
Fortigatepolicytest
今回はNATの挙動を色々とテストしてみたっちゃよ・・・という内容です。
目隠しが多いけど、雰囲気で悟ってね。赤はWANで、緑がLANで、橙がAWSとのVPNって感じになっています。
AWSはBGP接続で2本のトンネルを張るのでポリシーに2つ乗っけています。デフォルトでは複数のインターフェースが指定出来ないので、指定できるように変更しておきました。
このポリシーをSSGやSRX,Paloalto的に眺めるとちょっと違和感があるんですが、心のどこかでこーいう仕様なのだと言い聞かせる必要があります。多分?ルーティングベース時のポリシーだから?という事なんですかね。
その割に、LANからWANへ通信させる場合はポリシーでNATを定義するという感じなんで混乱しますcoldsweats01。項番2がそれにあたるのですが、DENYを設定するとNATの項目も消されてしまうので、更にイミフな感覚になります。
項番1についてはWANからLANへのアクセスを禁止しています。これは普通ですね。
項番3と7についてはAWSとのVPNでの通信をDENYにしています。ただ、VPNを禁止しているのではなくて、VPNが成立した後のトンネル内のトラフィックをDENYしているという意味になるみたいですね。なのでVPNトンネルは接続したままです。

項番4,5についてはStaticNATをしています。それもLAN側でバーチャルIPというのを持たせてマップしているアドレスはAWS側のEC2サーバーをターゲットにしています。StaticNATというぐらいなので、ポリシーにNATのフラグをEnableにしたい信条になるのですが、どうやらStaticNATは内部で勝手にNAT処理をするらしく、ポリシー側でNAT設定を入れてしまうと上手く通信しませんcoldsweats02。最初このノリが判らなかった。偶々ディーラーのエンジニアからのメールメッセージがヒントになって分かりました。
項番6については、AWSのEC2側からNATしてLAN側へ通信するというのをやっています。

項番4で設定したマップ先のEC2サーバーのIPから項番6の処理をすると、VIPで割り当てたアドレスでNATマスカレードされて通信するので、この動きは楽ですね。SRXだと面倒な設定を入れなくちゃなんですが…。しかし言葉にすると大変だなこりゃ・・・。
とりあえず、StaticNATするときのお約束を覚えなくちゃならないのが今回ハマったところでした。
やはりNATをどのようにしたいのかと考えたときに、明示的にやらなければならない部分と勝手にやる部分とかあるので、Fortigateのお作法というか挙動を理解しておかないと、このポリシーは書きにくいなと思いました。
ただ、SSGもルーティングベースは同様な考え方だったような気がしたので、SSGに似ていると言われるのかもしれないですね。SSG時代はポリシーベースをメインで設計してたので、ルーティングベースのSSGの構築は結構嫌いwでした。
ただ、SSGのルーティングベースでVPN構築をするよりはFortigateのほうがとっつきやすかったかな?
ただ、今回Site to Site VPNでBGPを使う構成でしたが、一部CLIで挑まなければならず、更にGUIにその設定範囲が確認できないのがちょっとな~と思いました。
SRXもGUIから確認できない領域がないわけではないのですが、確認する方法はあるにはあるので・・・。
何が言いたいかというと、結局隠れた設定が出てきちゃうという事は、CLIを基本としてConfigを見ておかないと痛い目見るぜって事なんだよね・・・。
ただ、救いはConfig構造が思ったよりもシンプルなんでSRXの難しいコマンドを覚えるよりは楽なのかもな~と思いました。
てことで、あと少し頑張って初心者卒業するぜっw

2017年5月28日 (日)

Juniper EX series 15.xから何か変わったポイ?

参りました・・・急な仕様変更は勘弁してほしいっすね。
Ex2200newjweb00
なんか色合い変わったなぁ・・・と、思ったらですよ?

Ex2200newjweb01
んんんん?!何かが違う・・・あれ?何かが足りない・・・いあ色々足りないぞ・・・coldsweats01

なんかインターネットに繋げやコラって言われているし・・・。うーん?
セットアップ環境がそう都合よくインターネット環境じゃないっての・・・(Merakiの場合はインターネット必須だからちゃんと構えるけどさ・・・)。

Ex2200newjweb02
むむ、J-webってのが入ってねーよって出てる。「J-web Application package」って初耳だぞなもし。これがネットで検索してもJ-webの違うネタしか出てこないのよ・・・。
で、この時はネットに繋がっていなかったし、なんとかパッケージを手に入れようと・・・、
Ex2200newjweb05
MyJunipoerからめっけてダウンロードしたのよ。。。(バージョンに注目しといてね)。

んで、パッケージをインストールしたら・・・
Ex2200newjweb07_2
やっと見慣れたGUIが出てきた。JUNOS15.1R5.5だって。んで相変わらずネットに繋がらんよエラー。

んー。
Ex2200newjweb06
あ、ちゃんとインストールされてるね。17.1A1ってね・・・・・?!あれ、JUNOS15.1R5.5だったからこれって変ぢゃね?

ダウングレードってどうやるんだろcoldsweats02

とりあえず、うざいエラーをどうやって消すかというと・・・。
Ex2200newjweb08
赤枠のチェックを外せばいいだけらしい。

一応ここまできたら、ネットに繋いでみるか・・・。DNSの設定をいれて通信環境にセット(結局デフォルトゲートウェイの設定とDNSの設定を追加)。
Ex2200newjweb10
お、J-webの15.1A3をダウンロードして充てやがれと。

Ex2200newjweb11
ネットに繋がっているとこーいうメッセージがでてくるんのね。結局MyJuniperのアカウントをここで入れると。

Ex2200newjweb09
おし!上手く行ったぜ!? これで17.1Aから15.1A3へダウングレード出来たかな?!

Ex2200newjweb12_2
むーんsad

とりあえず、充てなきゃいけないのはわかったけど、最初のJUNOSが何バージョンなのか見ておかないと駄目って事ね…weep

うーん・・・推奨バージョンもまだ15.1なんだよなぁ・・・どうするかな。

しかしなんだかメンドクサイっての。今まで通りで何が気に食わなかったのかな。
ただでさえナーバスな機器なんだからもうちょっとイージーにしなさいっての。
あと、最初からインターネット接続を求めるぐらいなら、DNSの設定もデフォルトで入れておいてチョーだい!annoy SRXにはちゃんとはいってるぢゃないのっ。

で・・・目新しい部分は・・・なんだろうね?!ここまでさせておいて新機能がないってのはさみしいよ?!

相変わらずセットアップメンドクサイし、こいつは潮時かなぁ・・・。

2017年5月24日 (水)

Fortigate200D-v5.4.4 れびゅう

Fortigate54threatmap

先日?はFortigate100Dで遊んでいましたが、今回は200Dで、バージョンが5.4.4です。
前回と違ってGUIが刷新されたようなんですが・・・。
ちょっと使いにくいっすね。coldsweats01
今回は、site to site VPNの機能も試しました。Fortigateで初めてのVPNがAWSとだなんて・・・。結構悩みました。何故かって・・・AWSからもらえるConfigでどーしてもエラーが出てしまう部分が2か所あったからです・・・coldsweats01
おかげでCLIの癖が少し分かりました。ハマると色々と試すから覚えますね。やっぱりマニュアル通りにやるより最初はトライ&エラーを繰り返す方が覚えが良いですcoldsweats01
一番ビツクリしたのはCLIで「full-configuration」したときですかね・・・。どんだけ~っていうぐらい長い・・・統合しすぎじゃ・・・。
しかし、FortigateはFortiViewに力を入れているようで、通信ログは見やすいですね。
画像のThreatMapも面白いですね。常にどこからか不正な通信を受けているのが判りやすいです。

そういえば、AWSからFortigateのConfigを取るときに、CLIとGUIと2つ取れるんですが・・・ちゃんと5.0+ってやつなんですけどね・・・うーん(゜-゜)
どっちもチャレンジしてみましたが、結果で言うとCLIが楽ですねcoldsweats01
GUIの方はアプローチをテキスト記述してくれているのですが、名称がかみ合っていなかったりです。たぶん・・・バージョン5.?のどこかでGUIが刷新されたんですかね。
GUIでやっても一部CLIでやらなくちゃならん部分があって、結局なんだよっってなりますcoldsweats01
AWSから頂くConfigは読み替え必須なので、慣れていないときついスね。。。
コマッタのは、「set mtu」が指示通り入らない。IPSecのTunnelにset mtuを流し込めというのですが、流し込めない。インターフェースに対してだったらset mtuが出来ました。
あとは、BGPで使うrouter prefix-listでroute-idが入らない・・・という2か所が上手く行かなかったんですが、なんとかVPNは張れました・・・。
あとそうそう、GUIのConfig指示にはないのがCLI版にはありました。
BGPのところなのですが、「config network」ってのが出てきます。
これはAWS側のサブネット情報をぶち込む感じなんですが、こちらはroute-idが投入出来ました。
(GUI版にも指示がありました・・・)
なので?、FortigateでAWSとVPN張る場合はCLIのConfigの方が良さげです。
ただ、CLI版でもPolicyの記述でPolicyIDがIPSec Tunnel #1の設定時とIPSec Tunnel #2の設定時で、なぜか同じPolicyIDを設定してしまう内容になっているので(というか読み替えろと言われているので)、PolicyIDにはお気を付けを(とおもったらこれはこれで間違いじゃない方法が・・・17/05/28)。
IPSec Tunnel #1での参考
config firewall policy
edit 5
set srcintf "vpn-xxxxxxx-0"
set dstintf internal  #「internal」も読み替え必須。Internal用インターフェースを指定の意
set srcaddr all
set dstaddr all
set action accept
set schedule always
set service ALL
next
end
IPSec Tunnel #2での参考
config firewall policy
edit 5
set srcintf "vpn-xxxxxxx-1"
set dstintf internal
set srcaddr all
set dstaddr all
set action accept
set schedule always
set service ALL
next
end
「edit 5」ってのがPolicy番号なんで・・・。
まだFortigateの癖が判っていないけど、Policy番号って飛び番が出来なさそうなんだよね。。。出来るのかな・・・僕がやったときは上書きしやがったんでアレれって思ったんだけど。
そいあFortigateのConfigなげーなぁ・・・って思っていたら部分的にshowが使えて必要分の表示してくれるから、このshowの使い方は少しだけ気に入った。
あとはNATの扱い方の感覚というか基本的なふるまいがSSGのようでそうでないようで・・・慣れるのにちょっと暇掛かりそう。
こうちょっとトライ&エラーやらないと身体に馴染まないね。も少し頑張る。

2017年5月10日 (水)

そろそろ〇〇だす。

Setupaging

最近、AWSとAzureばっかり相手していたら・・・セットアップしなくちゃならないのが溜まってきました・・・gawk
写真には写っていないネットワーク機器やサーバー機器も実は待機しているものが・・・coldsweats02
あとはファームアップデート待ちの機器が山ほど・・・gawk
アプリ設計にも手を出す始末・・・
ネットワーク自動化はまだまだ遠い存在。
実は先日、15kセッション/secを扱うFWが調子悪いなーって思ってリブートしたんですけどね・・・帰ってこないんですよね・・・。フェイルオーバーはなんとかしてくれたんでよかったんすけど・・・。
も”~っておもって、保守機に入れ替えたんですけどね・・・プリエンプトの仕様の影響で2回ドカンと通信が切れると言われて再投入のタイミングを失ったんすね・・・とほほ。
可用性って難しいですよね・・・。。。はぁ・・・。
1個障害対応していたはずが、その時は3次被害まで広がって・・・1週間無駄にしましたよ。
言い訳っすhappy02
「そろそろ本気だす」なのか「そろそろ限界だす」なのか・・・wobbly

Cisco Meraki vMX100 ( Virtual MX for AWS )

と・・・GW明け・・・久々にMerakiネタです。

AWSってVPN張ろうとすると結構大変なんすよね。私は慣れてしまいましたが…BGPの設定とかムキャーってなります(慣れてないん)。
そしたらMerakiのお知らせでvMX100が出るんで宜しくねってのが・・・来ました・・・んで、
取りあえずどんなもんかみてみるか・・・って速攻で特攻してみました。coldsweats01
Vmx10001
AWSコンソールのEC2のインスタンス作成でマーケットプレイスでMerakiで検索すると出てきます。m4.largeを使うのね・・・。
んー・・・もしかして通常のMX100のライセンスと違うのかな・・・ソフトウェア費用が・・・0円になっちゃってますね・・・。これってハードウェアが仮想アプライアンスの時に幾らになる・・・ていう価格設定の場所のはずですが・・・。と調べたら毎時AWSライセンス無しってなってますね。だいぶ思い切ってますね。クラウド利用ライセンスもMX100と同じ価格ってことみたいですね・・・ほほぉ。
実はライセンスの相談をせずにセットアップに突入したんで、まだ幾らなのかしらないんすcoldsweats01 MX100は扱っているので調べればわかるんだけどね・・・。
まーとりあえずデプロイしてしまえー(本来のセットアップ手順ではありません)。
Vmx10002
とりあえず動作させたった。でもMerakiのシリアルもってない~。
Merakiダッシュボード側からアプローチかけてみればいいんかな・・。
新しいネットワークをクリエイトしてセキュリティアプライアンスでとにかく作る。
Vmx10003
お~。書いてありました。「先にライセンス入手しろやタコ。ライセンス投入してから来やがれこんちくしょう。」と書かれていますね。
多分、ライセンスを投入すると、[add vMX]というボタンが現れるんだと思います。
まだ想像だけど・・・AWSで可用性で構築する場合どうするんだろうね。
通常だと、MXを2台購入してもライセンスは冗長化の場合は1つで済むんです。
AWSはAZの考えがあるので、出来ればAZ-aとAZ-cに配置してHA組みたいですよね。
うーん・・・流れはわかったけど(先にインストレーションガイド見ろ)
冗長化出来るのかなぁ…。
5月16日(17日だそうです)にMXやらMVやらMSやらの新機能とか新モデル発表のウェビナーがAM9:00からあるようなので、興味のある方は申し込みしてみると良いかも。
私は・・・予定が詰まってて参加できない・・・orz...。
この仮想アプライアンスとなったvMX100による最大メリットはAutoVPN環境にAWSが加わるってことですね。
AWS標準のVPN機能は結構マゴマゴするのですが、これならイージーになるね。
うーん、どんな感じに動くのか見たーいっbearing

«Azureの情報は何が本当なのか・・・マヂギレしそう

2017年7月
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          

IT

  • 小泉 耕二: 2時間でわかる 図解「IoT」ビジネス入門
  • 日経コンピュータ: すぐわかるIoTビジネス200
  • Massimo Banzi: Arduinoをはじめよう 第3版
  • みやた ひろし: インフラ/ネットワークエンジニアのためのネットワーク技術&設計入門
  • 板垣 政樹、 小坂 貴志: プレゼンを100%成功させる!! ITエンジニアの英語
  • 渡辺和彦: ネットワーク仮想化 基礎からすっきりわかる入門書

ITな機器

  • OSOYOO: B00UKXHKXC Arduinoをはじめよう 互換キット UNO R3対応互換ボード 初心者専用実験キット 基本部品セット20 in 1 Arduino sidekick basic kit
  • Juniper Networks: Juniper SRX100H
  • ヤマハ: ヤマハ スマートL2スイッチ 24ポート SWX2200-24G
  • ヤマハ(YAMAHA): ヤマハ ギガアクセスVPNルーター RTX1210

Amazon