2017年1月18日 (水)

RackTablesのプラグインご紹介3[Topology]

今日もRacktablesです。最近ゴリゴリ触りだしています。

プラグインでイマイチ上手く動かせていなかった「python-graph-topology」がようやく動くようになってきたのでご紹介です。

Topology01
ちょっと私のデバックな感じがでてしまっているのですが、こんな感じで。
ぶっちゃけ、SFPを使っているとまだエラーが出たり、環境によってはプログラムのパスを考慮しなければいけなかったりとちょっと厄介な状態なんですが、部分的なトポロジー図だけでも自動生成できないもんかと奮闘中です。

画像では主にスイッチとルーターだけの表示なので、ここにサーバーとか表示出来たり、スイッチのポートにVLANのアサインを表示出来たりするといいな~なんて思いながら解析中です。
プログラム的には、Racktablesのバージョンにこだわらない様な作りになっているように感じますが・・・クセとしては、Tag-treeを軸に生成するので、タグの管理がキモになっています。あとタグに日本語を使っていると駄目っぽいです。

まだN/Aになっている項目が何の変数なのか見きれていないので、取り敢えず動いたけど・・・程度なんですがcoldsweats01

あともう一息なんですけどねぇ・・・プログラマではないもんで、解析に暇掛かりそうですdespair

一応他にも表示サンプル出しときます。
Topology02
Topology03
Topology04
こんな感じっすね。これだけ見ているとループしてんのかって思っちゃいますね。

てことで~。

2017年1月15日 (日)

RackTablesのプラグインご紹介2[Passwords]

2017年もよろしくお願いいたします。
気が付いたら15日でした。まだエンジン掛かりませんね・・・ちょっと休み過ぎました。

新年1発目はRackTablesからです。
Racktablesのメーリングリストを見ていて、あぁこれならすぐに動くなって思ったんで取り込んでみただけなんですが、ちょっとした事には重宝しそうです。
Racktable/Pluginsの中にあったものではないのですが、多分、これがスマートな気がします。
説明通りにインストールするだけで簡単に出来ます。
Racktablespassword
各オブジェクトにパスワードの情報が登録できるようになります。
パスワードの確認に証跡が必要とかいう場合には不向きです。その場合は「Teampass」とかを試してみてください。
中小企業だったら、これで事が足りそうです。心配な方はPermissionの設定をしてください。
MYSQLの中はどうなるかというと・・・
Racktablespassword2
こんなかんじで、ちゃんとmcryptされています。
私はMYSQLのコマンドを忘れがちなので、イントラではphpMyAdminをよく使っています。
なので、今回もCREATEしたテーブルは、phpMyAdminで投入してます(^^;
最近ものすごーく悩んでいることがあるのですが、AD/LDAP/RADIUS認証基盤であればあまり深く悩まないかと思うのですが、ネットワーク機器のパスワード管理と更新管理って皆さんどうしているのでしょうか。
多分、パスワードの更新管理に悲鳴を上げている人が多いかと思ったりしているんですが、今まではですね・・・重要な機器については、なんとなく厳しいアクセス制限を設けています。簡単に言うと接続元規制です。特定の接続元からでないと接続を受け付けない様にしている感じっすね。これが結構自分の首を絞めたりすることがありましてcoldsweats01
なんていうか、もしも自分が辞めた場合にどうやってもアクセスできない様にする設計をしておく・・・ってのがメンドクサイったらありゃしない。パスワードの悩みは尽きません・・・。
あと、Racktablesのメーリングリストで素敵なトポロジー自動生成の話が出ていてやってみたいと思ったんですが、また今度。

2016年12月11日 (日)

結局NATとVRRPにハマって更にFTPSに悩む。

くそー。あんだけ検証したのになぁ・・・。とは言え不安があったのも確かでした・・・。
マスカレードの処理をはずしただけでこうも色々と影響するとは・・・とほほ。

仕方ないので、全て遠隔でVRRP記述の解除を行ってスタンドアロン化してバックアップ機は待機にもならないただのルーターに・・・。VIPから実IPに変更するのに全て遠隔操作だったんでちょっとドキドキしましたcoldsweats01
結局ですね、VRRPとNATの戦いは・・・
ここでの、「VRRPとNATとの連携」の記事の通りとなってですね・・・。
やっぱりARPがどっかすっ飛んじまうようです。
NECのIXシリーズだとなんとか出来そうなんですけど・・・ふーむ。
うーん。Juniper機器でなんも気にせずやってた事だったもんで盲点でした。
機器構成変更しよ・・・。
あとね、同時にハマったのがFTPSです。
通常はtcp/990を使うらしいのですが、今回はtcp/21とFTPと同じ。。。
ImplicitモードかExplicitモードかで動きがちゃうとのこと・・・。
そもそもYAMAHA RTXでFTPSを解釈出来るのか?tcp/990だったらYAMAHA標準のニーモニックではないので、パススルーしそうなんですが、特に文献がなさそう。。。
で、多分tcp/21を使うと強制的にYAMAHAのFTPニーモニック処理がはいっちゃうんじゃないかと推測。
そして、別の環境でも同様の通信障害報告があり・・・そちらはJuniper SRX。ポリシーログを見ている限りでは通信しているように見えるのに・・・何故だ。
そして、FTPSの通信が問題なく成功しているルートはPaloalto3020を使ったルート。
ここで仮説による整理
・Juniper SRXについてはALGの問題が絡んでいると推測。
・YAMAHA RTXについてはtcp/21を避けるために標準ポートでやってみる感じ
Juniperの方はKBで解決出来そうだった。
>The FTPS implicit mode is currently not supported.
わーぉcoldsweats02
ただ、Explicitであれば対応できそう。つまりは最初にALGが判断するための情報が必要という事なんだろうな・・・。
#set security alg ftp ftps-extension
コマンドでしか出来ないっぽいね・・・。適用した所、通信が出来るようになったと連絡有り。
あとは、YAMAHAではどうなるのか・・・結果次第では・・・despair
しかし、RFCからなくなった手法はほんとにもうやめて欲しいっすbearing

2016年12月 8日 (木)

Amazon Dash

早速の早速Amazon Dashを試してみました。
今回はちょっとハーミーっす。



設定は至ってシンプルでした。Amazonアプリから「新しい端末をセットアップ」で始めて、最初にBTによるSyncしたら、iPhoneに使っているWifiの設定を傍受(!?!?)して、その後に商品を選択して完了。coldsweats02

BTのSyncは分かるが、Wifiの設定はどうやって取得しているのん(?-? iPhone自体がWifiのプロファイルを何かしらAPI化されていてアプリが読み取れるようになっているの・・・?!
いあそれだと不正アプリ屋に何でもやられちゃうやん・・・うーん🤔

取り敢えずセットアップは1分程度。前提条件はBTをONにしておくのとWifi接続環境下という所かな。

で、早速ボタン押してみたら、ホワイトLEDが何回か点滅した後に緑LEDが点灯した。どうやら発注完了らしい。ほんの数秒でした。

アプリから注文履歴をみると確かに注文された記録が。

ハード的な話でいうとBT通信は電池消費量を抑えられるかなとは思うんだけど、Wifiとの通信なんだよねぇ。

Wifi通信はそこそこエネルギーを使うはずなんだよなぁ。。。起動しっぱなしって訳じゃないとおもうんだよねぇ。。。

ちょっと自宅環境ですぐにパケットキャプチャが出来る環境ではなかったり、段取り組む前にボタン押したくてwおしちゃったんで、今度はちゃんとパケットキャプチャしてみるっす。

でもやっぱりWifiの設定をデバイスに持っていけちゃうのはすごいなぁ。。。アカウント情報とデバイスのキーコードでのリンクだろうから紐付けしかみとらんと思うんでいいんだけど。。。

まぁ1-Click購入が元々出来る仕組みを更にシンプルにして定期購入をしにくいニーズに対して中々すんごいアプローチよね。
多分、このDashデバイスの電池残量とかを実は見ていて、電池がなくなる前に勝手に新しいDashボタンが届くんじゃないかと勝手に思ってるんだけどw

そして1本あたり230円程度の注文に対して送料も掛からんしなぁ。。。宅配業界大丈夫なんかな(^_^;

今、日本はIoTだーって躍起になっているけど、あやうく洗脳されちゃうとこだった。もっと柔軟にIoTを考えなければ(^_^;

......1個バラしてみるかな(^_^;

2016年12月 6日 (火)

upnpは敵か味方か

今日、電話でですね・・・「はん太さんスイマセン、社内のNASが何故かグローバルIPで見えるんです!」・・・という連絡が。

はて・・・そんな高度な事出来る人、あちら様に居たっけかな?いあ、DMZ用意してあったよな・・・なんでだろ・・・gawk

とりあえず、グローバルIP叩いてみるか・・・と叩いてみた所、確かに見えます・・・coldsweats02

昨今はやたらと乗っ取られる時代なんで社内の防壁なしの環境ではすぐにやられちゃいます。

ちょっと遠隔でルーターに入らせてもらいますよ~といって、まずNATディスクリプタを確認。

Upnpuse01

わーぉcoldsweats01 確かにTTLにtemporaryで見えているじゃないの・・・。ちなみにstaticはVPNの設定ね。
natはマスカレードモードでVPN用のstatic マスカレードしか設定していないのに・・・。

てことで、すぐに犯人は検討がついたんですが、うーん・・・今回のNAS以外にも何か使われていますね・・・。てことで、upnpのトレース方法にもなっているのですが、昨今は想定外もあっちゃならないのでこういうのは撲滅っす。

「upnpの設定がアカンので切っちゃいます」

てことで、

Upnpuse02
#upnp use off

とした所、妙な通信は根絶できましたcoldsweats01

upnpは企業環境だと設定をわざわざ入れたりしないので、何で入っていたのかなぁ・・・coldsweats01

ちなみにtelnetポートをオープンにしていますが、こちらはフィルタで接続元を決め打ちしているので大丈夫です。

知らぬ間にということは無いようにしたいっすねsad

もしもupnpが切れないという方は必至にフィルタを書いてくださいませ・・・weep

次元が違う?ディープラーニング

なんていうか、悔しいと思うよりも先にスゲーって思った。

ずっと商品に何かしらタグ(RFID)をつけなきゃ・・しかしコストが・・・RFIDが貼れないものもある・・・うーんなんて思ってたけど、ベクトルが違いすぎるぞ・・・coldsweats01

商品にセンサーを求めるんじゃないのね。

一旦商品を手に取って戻しても、それを見られているってことだよなぁ。

画像解析すげーなぁ・・・。画像解析といえば自動車の衝突安全防止。これも最初は、そんな画像処理を常にやっているのかと驚いたけどさ。

そしてこの大量になるであろう解析情報のバックボーンにAWSをつかってちょっ!てことなんだろう。

これは・・・単純に言うと・・・

顧客一人にスマフォをかざした時点で個体識別情報と立体識別情報が構成されて仮想カゴをもつ付き人が付いてきて、どんな商品を手にしたかをウォッチして、代わりに仮想カゴに記録していって・・・チェックアウトする時に、ハイ宜しくっていうことをやっている・・・感じ?んで、スマフォが勝手に、過去にこれ買っていて今セール中だけどいる?とか言ってくるんだろうか。スマフォに向かってあれってどこにある?とか話したりね・・・。自宅の購入履歴管理もされて在庫状況とかも言われるような時代になっちゃうのかな。

レジの商売系からセキュリティから、色々なもんがががが・・・。

そんな私は、

アマゾンダッシュ・・・購入してみました。wobbly(なんかチッサイw)どっちもAmazonだし・・・。

ううーむ。ディープラーニング・・・やんなきゃな・・・置いていかれるわcoldsweats01

2016年12月 1日 (木)

YAMAHA RTX1210 ファームアップRev.14.01.16

新しいファームウェアが出た時に、すぐに充てる派ですか?ちょっと待ってみる派ですか?

私は、ケースバイケースですhappy02

さて、今回・・・初めてhttpによるファームウェアのアップグレードに挑戦するっす。
いつもはですね・・・tftpなんです。RT-Tftp Clientを使っているんすけどね。

まぁなんでかっつーと、常にインターネット環境が使える環境に投入されるとは限らん・・・からなんでやんすが。

今回はインターネットの接続がある場所なんで・・・使ったことなかったし使ってみようかなと。しかし、遠隔で赤いボタンを押せる訳ではないので、結局はコマンドなんですけどね・・・。

Rtx1210upgrade01

一応、念のために使用中のファームウェアをバックアップします。
#copy exec 0 1

んで・・・
#http revision-up go

とする訳なんすが、名前解決が必要でした。

dnsは適当に・・・8.8.8.8あたりをば。

最新のファームがあると「新しいリビジョンのファームウェアが存在します」と教えてくれます。更新の為に(Y)します。

ま・・・これだけなんですけどね。。。despair

Rtx1210upgrade02
つまらんかったんで、遠隔地のVRRP環境にあるRTX1210のマスター側のファームウェアのアップグレードをpingで監視してみました。

vrrpの切替はリブートはいったらすぐにバックアップ側になるんやけど、IPSecトンネルでのこっち側の切替にはkeepalive icmp 5 5でセットしてます。

6回タイムアウトしてVPNが切り替わった感じですね・・・が、その4秒後にはリブート後の起動が終わった様で、VRRPのマスターを奪ったらしく、1回タイムアウトしましたね。

何やかんやでYAMAHAルーターの良さは実はリブート後の起動が速い事かな?

”YAMAHA RTXあるある”

フィルターの調整中は私は最後にこの行が大抵入っています。

ip filter 20099 pass-log * * * * *

これで色々ログ見ながらフィルターを書いてるんですが、やっとフィルターの設定が終わったんで閉じようと思ってですね…

ip filter 20099 reject * * * * *

としてEnterした途端・・・TELNETがフリーズ・・・weep

久々にやっちまいました。IN側の設定やっててOUT側にも同じフィルタ使っちゃってると駄目っすね。

やっぱちゃんとIN用とOUT用って別けたほうがいいっすね。いあ私は別けていたんですが、横着しちゃったんすよ・・・coldsweats01

なので

ip filter 20098 pass * * * * *
ip filter 20099 reject * * * * *
ip filter 21098 pass * * * * *
ip filter 21099 reject * * * * *

てなかんじで、最初の2LAN2の2、その次の桁で0がOUTで1がINとして使うのがよいんじゃないかな~と思います。happy02

だがしかし別ルートで修正でけたからええけど、ほんまに気を付けな・・・gawk

使えるはダメな時代?

12月入りましたね。こんばんわ。今年もあと残すところは1ヶ月。私の未使用代休は・・・coldsweats02

そんな今日このごろですが、一昨日セットアップしてきたばっかりなのになぁ・・・というタイミングでRTX1210の最新ファームが昨日出ていました。。。sad
YAMAHA使いの皆様はちゃんとリリースノートみてますか?
RTX1210に限らずですが、OpenSSLから~の最近のIoT-DDoS問題まで・・・対応に死にそうですっていう人いませんかね?coldsweats01 私、かなりゲンナリしてますよ・・・とほほ。なんといってもこの手の対策は苦労が報われないwobbly
昔はっすね・・・まぁそうはいっても脆弱性があったとしても、その脆弱性の脅威に侵されるリスクが低かったり、脆弱性部分を利用していなかったりした場合は、特にファームの更新も急がず、設定もそうそう変更もないし、安定さえしていればおkと思っていました。
が・・・先日とある作業中に、自分で行ったフィルタのミスを気がついたのはいいのですが・・・これ・・・どこまで影響しているんだろ・・・結構フィルタのベースにしている部分だなぁ・・・ガクガクプルプル・・・coldsweats02・・・と、なりまして・・・。
それに気がついたのも、最近やけに変なログが多いなぁと・・・。なんでこんなログがあがるんだっけかなとConfigを調べたのがキッカケでした。
で、何が言いたいかというと、そのミスのポイントが脆弱性の部分だったらかなりアウトだなと。。。bearing
そしてなにより、例えばRTX1210現行機は良いにしても、RTX1100とかだったら・・・最終ファームが2013年ですよ。そもそもEOLなんで脆弱性情報なんてメーカーから出ない。まぁRTX1100はちょい曲者だったのでもう使っていませんが・・・参考例っす。
たとえばVPNルーターとしてみたら、どっちも同じ事出来るしね。でも後者で脆弱性対応しようもんならどうするのよってなるんすね。
ちょっと前まではまぁ、そんなリスク犯した設計にしていないし使っても大丈夫なんて思っていたけど、これからの時代はそ~とは言えなくなるっすね。私の場合は本能で機器入れ替えをしてきているので(もちろん半分ジョークです)、比較的古い機器は使っていないですが・・・実は少しだけRTX1500とか使っているんだよなぁ・・・coldsweats01
あとね・・・JuniperSSGね・・・。あ~なんか気が遠くなってきた・・・。
冗長構成環境でオンラインアップグレード出来る製品は全然楽だから比較的ぽいぽいぽいってやっているんだけどね。
やっぱ今年頑張って海外入れ替えてきてよかったなぁ・・・。気にしないで勝手にスケジューリングでアップグレードするMerakiさんは素敵だわ。某5GTなんてGUIをグローバルから扱えるようにしていたらクラッシュさせられたしね・・・coldsweats01
なんつーか、昔はセキュリティの為にICMPを切ってリスクをさげる設計をちゃんとやっていたんだけど、色々煩わしいのと世の中意外とICMP応答するのが分かって、おれも頑張ってICMP通知に耐えてやるとか思ったけど・・・またICMP切ろう・・・うん・・・そうしよう。
あれ、なんの話だっけ・・・あ、そうそうそんな訳でEOLをちゃんと管理しなくちゃねっていう事ですわ。coldsweats01 EOLというよりはライフサイクルかな?
そろそろtftpでのファームアップグレードからhttpの手法に変えようか。coldsweats01

2016年11月30日 (水)

苦労は報われず?

Kaki_2

なんか90分3000円で牡蠣食い放題があったんで行ってきました。牡蠣だけで腹を満たしたのは初めてです・・・焼き牡蠣んまかったっす・・・こんばんは。
今回はEX2200とRTX1210の本番投入でした。
最初はEX2200を他社管理のEX3300とのLAG接続・・・んんんん?!繋がらないぞ?!・・・となりましたが、EX3300からはLACP activeで飛ばしていると言われて、ありゃま・・・こっちはスタティックだぞな・・・ってことで設定変更して無事にジョイント完了。
NATで苦しんだ構成とはうって変わって、結構ルーティング重視にシンプルに作り直して接続・・・・んんんん?!何も応答ない・・・。うーん・・・何か意思疎通が上手く行っていない模様。
あとは、インターネット回線の引き込み立会後の接続試験・・・こちらは問題なく即成功。
実は設定器物を出荷してから設計仕様が変わってですね・・・ほっとんどを現地で書き換えたという・・・coldsweats01
まぁそゆこともありますよね・・・despair
無駄に頑張った結果になったようなNATとの格闘ですが・・・まぁこれはこれで日頃試さなかった事に挑戦して動きが判っただけでもヨシとしましょうhappy02
中々数台連ねた検証ってしないしね。頭で思っていても実際は器物の癖(方言)で動きが違ったりするしね。忙しい時にやりきらなきゃいけなかったんで苦しかったけど結果オーライっす。
ただ本当はっすね・・・この仕事はSIerにお願いしようと思ってたんですけど、依頼しなくてよかったですcoldsweats01

2016年11月27日 (日)

ネットワーク屋が変わらないもの

Routertool




明日から大阪出張っす。そして、今回出張に持っていくワタシの作業道具です。
どんだけクラウドがどーのこーのと言われても、私のネットワーク機器を扱う道具に変化は今の所ありません。


私が絶賛中であるCisco Meraki製品だけだったらもう少しアイテムが減ると思いますが、基本的にインフラ業でエンジニアをしている場合は、これらの道具とお別れするのは難しいかも。


昔は、上記以外に簡易LANチェッカーとか、ホテルとかで便利な超小型Wifiルーターを持っていたりとかしていましたが、最近はなんとか省力化出来ないかなと色々と見直しています。


上記の道具で、YAMAHAルーターとJuniperシリーズはOKです。最近Ciscoのコンソールに繋ぐことはないので、その分は減らしました。


YAMAHAルーターもRTX1210/3500あたりからCOMポートがRS232CではなくてRJ45タイプに変わりました。転換期ではあるので、どちらも対応出来るようにしています。ネットワーク屋のプラスドライバー・マイナスドライバーみたいなもんですね。


んで今のノートPCにはUSBポートは少ないし、COMポートもないので、手持ちの道具が増えてしまうんですよね。




更にLANインターフェースすらない時代になったので、USB-LANを2本持ち歩いています。2本あると色々と設定が捗るんですよ。どちらかはDHCP取得出来るようにして片方を固定IPにしたり、どちらも設定ぶち込んでおいたり、接続ポイントに合わせてすぐに対応したり、切り替え作業の効率化に中々重宝します。


今回はYAMAHA RTXの設定作業がメインなので、上記の写真の様な道具だけで済ませていますが、現場に合わせて道具の内容を考えています。
出張から帰ってきたら、今度はWiFiチェック環境の強化を考えています。




そーいえば、どれだけ色々な機器を触ってセットアップがある程度出来る様になったと言っても、私の経験の中で一番馴染まなかったルーターがあります。製品的には良いものだとは思うのですが・・・NEC IXシリーズがいつも苦手です。Configの書き方も好きになれないんですよ。何でですかね。完全に苦手な方言になっちゃってますcoldsweats01


Cisco屋さんがYAMAHAの方言が苦手というケースも有るから同じかな。


私もそんな一人だったんですが・・・なんでか今は一番扱っているのはYAMAHA RTXですcoldsweats01いつ覚えたのかも覚えていないのですが、2002年頃は「YAMAHAルーターなんでバグだらけで安心して使えるかよ!」なーんて思っていました。気がついたら一番触っているルーターに・・・わからんもんですcoldsweats02 でもでもYAMAHAを卒業したいっwobbly




コンソールケーブルもOTA(Over the Air)な時代にならんですかね?

あ、もちろんあるんですけどね。。。そんな無線化しちゃうような製品が。標準実装がいいっすcoldsweats01

«NATに振り回された10日間

IT

  • 小泉 耕二: 2時間でわかる 図解「IoT」ビジネス入門
  • 日経コンピュータ: すぐわかるIoTビジネス200
  • Massimo Banzi: Arduinoをはじめよう 第3版
  • みやた ひろし: インフラ/ネットワークエンジニアのためのネットワーク技術&設計入門
  • 板垣 政樹、 小坂 貴志: プレゼンを100%成功させる!! ITエンジニアの英語
  • 渡辺和彦: ネットワーク仮想化 基礎からすっきりわかる入門書

ITな機器

  • OSOYOO: B00UKXHKXC Arduinoをはじめよう 互換キット UNO R3対応互換ボード 初心者専用実験キット 基本部品セット20 in 1 Arduino sidekick basic kit
  • Juniper Networks: Juniper SRX100H
  • ヤマハ: ヤマハ スマートL2スイッチ 24ポート SWX2200-24G
  • ヤマハ(YAMAHA): ヤマハ ギガアクセスVPNルーター RTX1210

Amazon

2017年1月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

最近のトラックバック

無料ブログはココログ