2017年3月15日 (水)

L2TPなVPNにLACPするという検証

今日からシンガポールに居ます。帰りは土曜日ですのでちょっとだけ国外逃亡中になります。

ちょっと慌ただしく?検証しただけだし、何を今更?みたいな内容かもしれませんが・・・。
L2のVPNの専用線型ってちょっとお高いじゃないですか。。。
でも冗長化しておきたいじゃないですか。。。
同一専用線型を2本引いても意味なしじゃないですか。。。耐障害性として。。。
で、バックアップにあたる回線はInternetの回線で何とかできないかなとか思うじゃないですか。。。
てことで今更ながら、WAN越えの異相環境でも上手く行かねーかな?と考えたわけっす。
L2vpn01
でで、これが上手く行くなら良いな~なんて考えて・・・。
L2vpn02
こんなことして・・・。
とりあえず上手く行ったんですけど・・・ね。
需要あんのかな・・・(汗)Configいります?
基本的には「L2TPv3を用いたL2VPN」の記事の「L2TPv3/IPsecの設定例」と「L2TPv3とタグVLANの併用」を参考に・・・Configを起こしてEX2200のLACP activeの設定をしている感じです。LAGは上手く行きませんでした。

2017年3月 7日 (火)

当たりを引いた?RTX1210の不具合[追記あり]

3月6日にお知り合いからメッセージが飛んできてビツクリしました。
「RTX1210 不具合対策のご案内」

マヂっすか・・・coldsweats02

詳しくはリンク先を見てもらうとして、期間的に購入している節がある・・・coldsweats01
運が良いのか悪いのか・・・ファームアップをしていなかった対象機と、予備保管していた対象機の2台が対象ですみました。coldsweats01
私の場合はYAMAHA製品の調達先はほぼ限定していて調達元がしっかりシリアル管理していたので良かったです。
ファームアップはほんとに無意識にやっている事もあるのすが・・・今回は軽い検証だということで、端折っていたのが良かったです(?!)。

さて、対策にはSDカードを使うケースとネットワークを使ってツールを使うケースがあるようです。
私はTFTPによるメンテナンスが慣れているのと、VPNを張っているので、TFTPを使うことにあまり躊躇しませんw

では、提供されている「RTX1210対策ツール(rtx1210_fixtool.exe)」を使ってみましょ。
Rtx1210fix01
対象のIPアドレスを入力して「開始」っと。
(3/8追記:別のIPを入力して、pingは通るのに発見できないケース(不具合?)があるみたいです。私の場合は、別のアドレスを入れた後に、192.168.100.1の履歴を使っても何故か見つからないというケースでした。その場合は、「rtx1210_fixtool.dat」ファイルを1度削除すると治ります。細かい発生条件までは調べていません。)
Rtx1210fix02
どうやら発見したっぽい。

Rtx1210fix03
発見後にパスワード情報を入力する感じ。

Rtx1210fix04
最初は何かを診断しているようです。

(3/8追記:どうやら該当範囲シリアルの中から更に不正値が入っているかを調べているそうです。)

Rtx1210fix05
問題は検出されなかったようです。ほー良かった…。。。え”っっ?!coldsweats02

いあいあ、対象機でしたって。もしかしてこれは対策ソフトウェアを充てる準備として問題はなかったって事かな?!

(3/8追記:ということで、シリアルの対象範囲の中でもすべてが該当する訳ではない様です。Twitterからコメントを頂きました。なので対象範囲でも上記のように対象機ではないケースもあるという事で。まぁここまで来たら念の為に修正パッチ充てちゃっても良いと思います。対象機であった場合はメッセージが異なると思います。)

Rtx1210fix06
とりあえず、対象機の対策前の状況。

Rtx1210fix07_2
実施すると、すぐに書き込みが終わりました。コンソールで動きを見ていますが、すぐに再起動が掛かりました。

Rtx1210fix08
ちゃんとブートが1.03から1.04になっていますね。

Rtx1210fix09
ついでなんでファームウェアを最新にしておきましょう。(これがまた早合点に。。。?!)

Rtx1210fix10
これでバッチリでしょう?!しかし公式のファームサイトには.14までになってますね。。。(?-? もしかして.16はあかんのかな。。。ってありゃ。。。本不具合で.16が公開停止になってる。。。(汗)

さてと。。。このパターンはどうっぺかな。。。w

(3/8追記:Rev.14.01.14が公開バージョンで14.01.16は公開禁止になっていますが、本不具合で不具合の誘発を抑える為の暫定対応のようです。暫くは14.01.16は公開されないと思いますが、手持ちで14.01.16を持っている人は、該当機器でも対策後であれば14.01.16へファームアップグレードしても問題がないとコメントを頂きました。)

先日はCiscoのCPUクロックの時限的不具合がありましたが、今回の件は大規模に当たりを引いた方は可哀想な事件ですね。ただハードウェア側は問題はなかったという事で、多少救われるとは思いますが・・・。

AWSもS3で不具合があったし(人為的ミス)、ここの所ちょっと不具合ネタが多いですね。

私は一般商流からの購入はしていないのですが、これ一般の商流にのっているもので不具合がでたものってどういった対応になるんでしょうかね。
私は結局当たりを引いてない事になりますね・・・あともう1台チェックしないとですが・・・。

約15000台の当たりの皆さま・地雷を踏み切った皆さま・・・乙です!

2017年2月15日 (水)

帰国後を待てない男。

今週末から海外出張なのですが、色々と手一杯なのに。。。


こんなものを買いました。
小さい電子部品ですが、Arduinoで使うWifiモジュールです。

最近ろくすっぽArduinoを弄れてないのですが、モチベーションを回復させる為にちょっと先行投資です。

とはいっても最初は3GSIMモジュールを買おうとしたんです。処が。。。高い。。。(^_^; モジュールだけで3万近い価格。ちょっと小さな趣味の価格にはそぐわないので、Wifiから始めようかと。

あとはリードスイッチも買いました(マグネットの力で接点がひっつく例のアレです)。

察しの良い方はもう何をやろうとしているか分かるかも。みんなトイレが使用中だとピンチな時はほんっとキツイよね。そう、そんなかんじの時に助かるモノですw何番煎じかわからんですねwでも私は初心者なので人通った道を一応経験しておこかなと。
でもまだ最終的にどうアウトプットするか着地はしてないので、想いをはせておきます。

帰国後じゃないと取り組む時間がないのですが、こーいうパーツって男心的に我慢できないのでし。。。
ま、安かったしね(^_^;

ちなみに海外出張の準備は。。。今日、1カートンのタバコを買って準備しただけです(^_^)
慣れって怖いもんす。

2017年2月12日 (日)

Open-source Ticket Request System(OTRS)ってご存知ですか。

って誰に聞いているのか分からないですが・・・。ここ最近ITILとかインシデント管理・変更管理・ヘルプデスクなど色々調べていたらたどり着いたツールなのです・・・が、これがとっつき難いcoldsweats01
Otrs01
インストールもソコソコ面倒でした。ITIL関係に関わるモジュールが最初は入っていなくてどうしたら入れられるのか悩みながらなんとかかんとか。

「日本OTRSユーザー会」ってのはあるんだけど、ここのWikiが死んでいる様子。
バージョンによってインストールの雰囲気が若干違う様で、本当はWikiの資料みたかったんだけど、他のサイトでなんとかしました・・・。

Otrs02
久々に動かしておなか一杯な感じです。掴みどころがまだ見えない・・・coldsweats01

もとより例えばインシデント管理とかヘルプデスク管理をRedmineとかでムリクリ運用するのは嫌だなぁ…って思ってて、何か良いものはないかなという感じで探してただけなんですが、「インシデント管理 オープンソース」で探すとこのOTRSぐらいしかヒットしないんす。

やっぱり有償版を探さないと駄目かなぁ・・・。

とりあえず、直観的に・・・触れないもどかしさを感じますcoldsweats01

http://www.slideshare.net/sfunai/cmdb-40856217?next_slideshow=1
CMDBuild構成管理・・・これも調べてみるかな・・・。

FortiGateお試し中~その4

本日の勉強ラスト~って所で少し面白くなってきたんで「出川はじめてのおつかい」を見ながらFortigateを弄ってます…gawk

気になってたVDOM(バーチャルドメイン)は予想通り!いあ予想以上に扱いやすい!
Fortigate0400
Fortigateって見やすいポイントと、全然見たいものが見えないモノが極端だよなぁ・・・。
VDOMってのは仮想ルーターが作れるっていうんだけど、もちろん仮想ルーターといえば「vr-trust」とかいう表現でおなじみのJuniperさんで散々見ているのですが、JuniperのScreenOSにしてもJunOSにしても仮想ルーターの考え方はどちらかというとセキュリティ面を配慮した考え方でゾーンとの兼ね合いがつよい。そして、1つの管理で複数の仮想ルーターを扱わなければならない(はず?)。

今回、なんでFortiGateに触る気になったかの一つとして、FortiGateの仮想ルーターは仮想ルーター単位で管理できそうだって所までは分かっていたんだけど、どの様にコントロールするんだろうって思ってたら、画像の様に仮想ルーター毎にCPUとメモリが表示されやがるっ!happy02

Fortigate0401_2
今回は物理インターフェースにしているけど、VLAN化も出来る。仮想ルーター毎に管理できるとなれば、基本的な接続経路だけ設定して、FWを利用したいユーザーに委ねる事が出来ますね。私、社内でも結構FWのポリシー変更の請負をやっていまして・・・けっこーめんどくさいんすよcoldsweats01

まぁハードウェア性能の課題をちゃんと考慮するという前提にはなりますが、VLAN駆使すればインターナルFWも楽に組めそうですね。また、VDOMの間構成も簡単だったので(ルーティングは混乱しそうだけど)、このVDOM機能は気軽にFW組めていいな。

実際に集中を切らせながら2日間さわってきて、基本的な部分はだいたい触れたので、おもったよりもイージーに中高度な事が出来るのかもしれない・・・。
ただ、やはりというか・・・統合された製品というだけあって、どの機能も中途半端な部分は感じられる。ただ、それぞれの機能に求めるレベルを落とせば許せるレベルかな・・・。肝心な部分の作り込みがされていても、ビューやレポートが弱かったり、カスタム出来る様でカスタムの範囲が狭かったり、専用製品を触った後だと見劣りする部分が多々あるけど・・・色々な機能・要素を兎に角経験したい、実施したい、コスト抑えたいという場合にははまりそうですね。
間違いなく言える事は・・・JuniperやPaloaltoよりはとっつきやすいとおもう。これは重要な事で、いくら性能がよくてもちゃんと使いこなせるかどうかという部分で、とっつきやすい製品はイージーに高度な事が出来るようになるのでとても良いと思いますね。
ディープなエンジニアしか扱えないとなるとたとえば障害時でも対応難度があがってしまうしね。
低価格で”色々試せる”のは良いなと。そして昔から注意しなければならないのはパフォーマンスだね。負荷が掛かっていなくても動きが微妙なものもあるので、これはハードウェア性能もちゃんと見定めないと駄目ってことだよね。

とりまVDOMは気に入ったぞ。




FortiGateお試し中~その3

今日も引き続きです。
そういえば、検証構成をだしていませんでした。
Fortigatenetwork
高負荷評価まではたぶん出来まいと思って、結構手抜きな構成にしてしまいましたcoldsweats01
セグメントはダミーで実際のアドレスとは違います。機器構成間はだいたいこんな感じで、一部抜けてますが・・・こんなもんです。
構成の通り、試験環境ではなく実環境に投入しています。インターネット回線を廻すのがめんどくなっちゃって・・・coldsweats01 あとMyPCを舞台に繰り広げるとなるとこうするしかなかった・・・。

その為、Fortigate100DのDefaultGWはwan側ではなくlan側になってます。
昔社内の0.0.0.0/0の行先を完全に殺していたのですが、現在はPaloaltoで受け止める様にしています。基本やり場のないデータが向かうので破棄される前提としてます。
今回の為に、Fortigateの通信はスルーの扱いにしました。
そして、FortigateのPROXY機能を確認する為、私のPCのPROXY設定をForti側にセット。

え~、抜け道工作ではないです・・・検証です・・・coldsweats02
人にはセキュリティだのあーだのこーだの言うくせにね・・・。
だって、Fortigateがインターネットと通信したいってうるさいから・・・(汗

そしてMyNotePCからは仮想外部アドレスとしてFortigateにアタックしたり、サービスアクセスしたりする用にしています。サービスアクセスにはMyPCにサービス起動して待ち受けてやります。実環境といえど、なるべく周りに影響を与えない様に?してます。
まぁあとは、SystemAnswerG2でSNMP取得したかったのもあるし(あ、図にプロットするの忘れた)。
ちなみのちなみにMyPCからMyNotePCまではRDP使ってアクセスもできるようにしてます。

特権ぽいレベルであれこれやっていますが・・・社内で勝手にこれに近い環境をやられたら・・・この図の場合で言うとMyNotePCの存在消えるからなぁ・・・厄介よねぇ。

と、そんなところでFortigateの話題にもどりますと、触り慣れてくるとNetscreenを彷彿するような感覚がありました。ポリシー廻りの操作やインターフェースの操作とか似ているかな?!うーん。それいっちゃうとPaloにも似てなくもないとなるけど・・・。
そういえば、今回触っていて、「ああっ、これはイイなぁ」というのがやっとありました!

Fortigate0301
オブジェクトの登録は必要なのですが、オブジェクト内にですね「地域」ってのがあります。これが国を選べるようになっているんですよ。
そしてその中に「anonymousPROXY」という地域があるのですが、これは地域というよりもPROXYに対してというオブジェクトになるんですかね。
Fortigate0302
こんなかんじで、送信元に地域(国)を選ぶことが出来るので、そもそも日本向けにしかサービスしないよっていうのに便利ですね。それ以外の国からは全てDropみたいにしちゃえばいいんだもんね。
Paloaltoでも国の識別はできるけど、オブジェクト定義出来たっけかなぁ…やったことないだけかな・・・。
実際に地域(国)の保有IP情報ってネットを探せばわかるっちゃわかるんだけど、とてもじゃないけど自分でコントロールするのは大変です。この地域IPの情報がFortigateが常に更新されていると考えたらよいですね・・・。それともバージョンアップのタイミングじゃないと更新されないかな?今度聞いてみましょう(GeoIPはちゃんと随時アップデートされるらしい)。

最近はIoTとかいうバズワードのお蔭で、色々な国からのアタックが多くてさ。なんでも無防備でインターネットに接続したら4秒でヤられる時代だそうです。
(大昔ですが、社内LANも無防備で10秒つなぐと感染するという暗黒期がありました・・・Pen3程度の1台のマシンに社内ネットワークをかなり虐められた思い出があります。)

さて、Fortigate完全攻略をチラ見しながら、基本的には野生の感でいじってきましたが・・・全くどうでもいいんですが、記事中に「2009年の新型インフルエンザの流行以降にリモートアクセスVPNとして主流になった」みたいに書かれているのですが、私の記憶では2002年頃にNeoterisなんていう会社が出てきて、2003年頃SARSがあった頃にSSL-VPNの話題が出てきて2009年頃は既にオマケな存在だったような・・・。BYODが騒がれたのは2012年頃だしなぁ・・・。個人的にはConfickerワームに苦しめられた年だったように覚えているのでインフルエンザどころではなかったかもだけど(汗)
てかタイトルと内容がズレ過ぎ脱線しすぎね(苦笑)

てことで、今回の構成はここぐらいまでで、あとはVDOM化してみまっす?(この扱いやすさがどうかが知りたかっただけなんだけど・・・やっとここまできた)。

2017年2月11日 (土)

FortiGateお試し中~その2

今日はのんびり自宅でFortiGateの勉強です。
いあ~まだ触って間もないですが、昔味わった記憶が蘇る事態になりつつあります。

今回いじっているのは「FortiGate100D」というモノなのですが、1Uタイプのミッドレンジの中で一番下のものです。
1Uタイプなのですが、100DだけASICが搭載されていないようです?

まぁショートパケットだとファストパスだのASICの話が出るのはファイアウォール性能での話なんで、まだそこら辺はゴリゴリみていないしとりあえず置いておきます・・・・が。

早速Proxy機能を使ってみたんですよ。
Fortigate0201
今もこの書き込みはFortiGateのProxy経由なんですが・・・、1台の端末だけにもかかわらず・・・なーんかモッサリしています。。。despair

もしかして色々機能を有効にしていたから?かな?と思って機能もカットしてWEBプロキシだけに専念させてみたのですが、ど~にも新しいアクセス先のファーストコネクションがモッサリします・・・。
Fortigate0202
ちょっとまだ見方が分かっていないけど、Proxyを使ったデータのトラフィックも見れています。このトラフィックだけ見ていると、どんだけアメリカへ通信してんだよっていうぐらいアメリカばっかりでした・・・coldsweats01

うーん・・・テスト利用でこのモッサリは・・・ちょっとどれだけ持ちこたえるのか不安ですね。
相変わらずスペックを読むのが難しい製品の様です。
ただ、拾った値を見る限りでは・・・昔経験したCPUが悲鳴になるという傾向でもなさそうですね・・・。CPUの瞬間パワーが足りないかディスクアクセスのディレイか・・・そんな感じでしょうか・・・。もうちょっと深く見てみないとなんともです。
Fortigate0203
Fortigate0204
Fortigate0205
Fortigate0206
FortiGateのMIBを見ても居ないので、取り敢えずの間に合わせでSystemAnswerG2の対応MIBで取得しました。対応機種があるとこういった時にイチイチOIDを調べなくてよいのでラクチンっす。

しかし全体的な波形とは違うセッション垂れ流しはなんだろうなぁ・・・私の端末のブラウザのタブが開きすぎなのかな・・・。
Fortigate0207
これでみると少しは見やすいのかな・・・すこーしがんばっただけで1500セッション超えちゃうんですねぇ・・・私のPC何か変なのかな・・・coldsweats01

とりあえず、細かいチューニングに関しては月曜日に廻して、今日明日であらかたの理解を先行させてしまいたいと思いますです。
まだ憶測ですが、CPUの性能やメモリ・ディスクなどの条件で向き不向きはあるんだろうね。でもそうなってくると100D以下の製品で統合UTMとした場合は・・・色々やっぱりありそうだな~と感じてしまう動きでした。
スペックによってとか機能によって他の機能をEnableに出来なくするような工夫が欲しいと感じるね。まぁこれはFortiGateに限らずかもしれないけどさ。

今日のFortiGateはここらへんで。次の勉強に移りまーす。

2017年2月 7日 (火)

FortiGateお試し中~その1

ついにというかいよいよというか・・・避けていたんだけど・・・触る日が来てしまいました。

過去にあんまりよい記憶がなかったもので、食わず嫌いでしたが・・・なんだかんだと市場に出回っている機器で、UTM&オマケ機能としてなんだかんだ頑張ってる機器のようですので、苦手克服?というわけでもないのですが、トライしてみることにしました。
Fortigate100d01_2
GUIはサクサク動きますね。今までFW系のゴテゴテしたGUIの中では一番レスポンスが良いかもしれない。しかし、いきなり目に飛び込んでくるのは機能の多さ?ですかね。
Juniperさんが見習うべきところですな・・・。あと、GUIの中にCLIコンソールがある!!
これは・・・少し便利かもw Juniperでも私はGUIとCLIとConfigダイレクトと3通りやるんですが・・・まぁCLIがあるってことはGUIでは処理出来ないことがあるんだべなぁ・・・。
全体的感触的にPaloaltoの感覚でいくべか・・・とメニューを触ったところ・・・どちらかというとF5とかCoyoteのノリに近いのかな・・・。
最近のFW製品はクイックマニュアルが必ずあるので、それさえ見ればまずここまでは誰でもアクセスできます。
さて、私は・・・ここから何にも考えずに冗長構成のセットアップに入りますw
こちらは、早々にプチハマりです。HAの設定をした所・・・
Please disable switch-controller first」って怒られました・・・。
スイッチコントローラーってナンダロ・・・。
まぁ軽くググって調べて早速CLIの出番です(いちいちSSHやTelnetしないでいいのは新鮮w)。
#config system global
(global)#set switch-controller disable
こんな感じで2台の100DのスイッチコントローラをDisableにして、HAのConfigはとりあえずActive-Passiveで。
Fortigate100d02
でけたでけた。すげーHA楽だな・・・coldsweats02(今まで一番楽なHAはMeraki MX)
ま、まだ他の設定をしていないし全体は分かっちゃいないけど、今の所心象は悪くないです。ただ気になるのはグレードによってHAインターフェースじゃなくてマルチなインターフェースを使うようなので気をつけんとイケんですね。
ローカライズも日本語があるようなんですが、とりあえず英語でやってみてつまずいたら日本語にしてみます。Paloaltoなんかは英語で慣れていたら日本語に切り替えた途端に逆にワカランくなった経験があります。coldsweats01
全体的に見て・・・仮想システム(VDOM)ってのはなんじゃらほいってのはあるんだけど・・・一応手元に参考書もあるのでなんとかなるでしょう・・・。
私の記憶では色々な機能を搭載した統合FWだったけどパワーを食い過ぎて結局使いたい機能を制限せざる得ない状況に陥っている環境が多かったのもあって心象が悪いし、その頃にフォローしたときになんて説明したらよいのやら…と思い、結局ごった煮にするとその機能が中途半端だったりして極めた製品には敵わないっていう見立てでした。
果たしてどこまでその偏見な私の気持ちを逆に裏切ってくれるのか楽しみです。
ちょっと評価時間が限られているのもあるので、ある程度期待値があれば購入を考えていますが・・・どうなるかな。smile
残念ながら完全に初心者インプレッションとなるのでお試しでは面白いネタは弱いと思います・・・スンマセン。

ネットワーク図ってどうしてますか。

私、かれこれ何十年と悩んでいます・・・。
未だかつてシックリくるネットワーク図を描けたためしがない・・・。despair

論理構成と物理構成は別けるってのは勿論の事なのですが、それでも1つのメッセージ(図面)でどこまで表現できるのかな・・・って思うじゃないですか。

大昔の話ですが・・・電気工事士だったんすね。なもんで、図面が読めないと仕事が出来ない訳なんですが、平面な図面を見るだけで建物がどうなるか立体視が出来たんですよ。
もちろん、必要な情報が的確に入っていたりという条件は必要で、読みにくい図面とかありました。そして私は職人上がりだったので、職人が何を軸に図面を読んでいるかは知っていたので図面の修正をよくしていました。

いあ、そー言う話ではなくて、言いたかったのは建物の図面から電気の図面まで、基本的には共通のルールがあるんです。電気工事士だったら誰が見ても同じように配線出来たり、必要な部分に先行工事が出来たり、スイッチコンセント・照明器具まで何を付けたらよいか、判りにくい読み取りにくい図面もありますが、基本的には誰が読んでも施工出来るんです。

「電気配線図記号」
http://eleking.net/k21/k21i/k21i-symbol.html

私が電気工事の知識を使ってネットワーク図を描くとしたら・・・LAN工事図面は描けそうですが・・・でもラック周りの図面は描きたくないなcoldsweats01
でもきっと描いている間に挫折を味わう事になると思います。。。

ただ、電気屋も大変ですよね・・・VLANって何っておもいますよね。
電気屋にとってバーチャルな事はかなり大変だとおもいます。LANの結線も意味判らないだろうな・・・。なので棲み分けとしてはパッチパネルを用意して境界を設けるしかないんだろうな・・・と思う所です。

で、本題に戻ってネットワーク図です。電気工事屋が読めなくても良いのですが、ネットワーク屋が共通して読める図面ってあるのかなぁと。実際は慣れ的に読んでいますけど、フォーマットはバラバラ、記号・アイコンもバラバラ。なんとなく共通かCiscoスタンダードか。
例えば、1Gbpsと100Mbpsの見分け方とか。FCはどういった線、太さとか。

でもITの世界にはこれといった定義がない気がするんですよねぇ・・・。
私なんかはVLANを扱う時に色分けしたりしますが、モノクロだったらどうするかとか悩みます。
なんとなくですが、エクセルが悪の状態になっているのかなと。
んで、電気も電子もCADで描けますが、ネットワークやらをどうしようかと考えた時に何になるのかな・・・Visioかな?Visio・・・うーん。

そんな中ですね、こないだ「DITA CCMS」という世界を知ったわけなんですが、データの再利用性をどこまで高められるかも悩みなんです。。。電気の図面と比べて可変なのがね・・・。システムが絡んでくると嫌でもエクセル管理になりますもんね。ActiveDirectoryの設計資料なんてイヤンなっちゃう。
方やプログラマが全部のフローチャートを書いていたらそれこそ大変なのは承知です。

実は情報系資格にはこういった決まりが実はあったりしたりするんでしょうかcoldsweats01
こないだJANOGの資料をみていて大規模やっている人達の図面みて~なぁ~っておもったり・・・。

まぁ発端はAWSとかのステンシルとか色々なステンシルを眺めていて、ふと愚痴りたくなっただけなんですが。。。陳腐化する情報管理ど~すりゃいいのかなと・・・。

2017年1月30日 (月)

Juniper SRX320でAWSとDirectConnect

うーん・・・AWS・・・ムズカシイネ。

そもそもBGPの書き方がアヤシイ私が、なんとか今まで、インターネットVPNで繋いできた状況で・・・DirectConnectなんて出来るのかしら・・・って思っていたんですが・・・
Awsdc
出来ましたcoldsweats01
ちなみに棚ぼたじゃないですが・・・
Srx320bgp
アクティブをDirectConnectにしてインターネットVPN経路をバックアップにする設計をしたいなぁ・・・と思っていたら・・・そうなりました・・・coldsweats02
ただ、問題はですね・・・
「flexible-vlan-tagging」が冗長化環境だと入らない・・・orz...
SRX320を冗長化してrethインターフェースで組んでいるのですが・・・どうやらrethは対応していないぽいと・・・。
いあだってさ?誰もそんな事教えてくれないんだってば・・・crying
AWS側で少し設定して機器のConfigをゲットして初めて知ったんだってば...( = =) トオイメ
flexible-vlan-taggingってのは、どうやらDualでTagVLANを解釈するモードっぽいんですが・・・そもそもそれって何?って感じっす。coldsweats01
散々VLANやってきたのに知らないVLANが出てきたよ・・・とほほ。
vlan-tags outer 0x8100.222 inner 0x8100.221;
なんじゃこれは・・・wobbly
でもね、AWSからのConfigを見る限りでは必要そうに感じないの・・・despair
でもきっと何処かで上手く行かなくなるんだろうな・・・。
とりあえず、今回で、なんとなく流れは読めたので、今度詳細を掲載します。
って、需要あるのかな。coldsweats01
しかし、仮想操作と物理操作ってなんとも不思議。
今回は先にインターネットVPNベースで苦労していた甲斐があったんでスンナリ行ったのかもねぇ・・・。ただMicrosoft Azuleでの接続時にも「flexible-vlan-tagging」って言葉が出てくるんで、rethインターフェースは諦めたほうがいいんだろうなぁ・・・。
もうちっと研究しまっす。今回は急拵えの間に合わせなんで。
つか、評価せねばならないFWががが・・・こいつもはよやっつけねば・・・bearing

«メール添付ZIPパスワード別送の怪

IT

  • 小泉 耕二: 2時間でわかる 図解「IoT」ビジネス入門
  • 日経コンピュータ: すぐわかるIoTビジネス200
  • Massimo Banzi: Arduinoをはじめよう 第3版
  • みやた ひろし: インフラ/ネットワークエンジニアのためのネットワーク技術&設計入門
  • 板垣 政樹、 小坂 貴志: プレゼンを100%成功させる!! ITエンジニアの英語
  • 渡辺和彦: ネットワーク仮想化 基礎からすっきりわかる入門書

ITな機器

  • OSOYOO: B00UKXHKXC Arduinoをはじめよう 互換キット UNO R3対応互換ボード 初心者専用実験キット 基本部品セット20 in 1 Arduino sidekick basic kit
  • Juniper Networks: Juniper SRX100H
  • ヤマハ: ヤマハ スマートL2スイッチ 24ポート SWX2200-24G
  • ヤマハ(YAMAHA): ヤマハ ギガアクセスVPNルーター RTX1210

Amazon

2017年3月
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

最近のトラックバック

無料ブログはココログ