Network

はじめに 我が家には Azure Arc や Azure Migrate を評価するための仮想化環境があります。色々あって Minisforum EliteMini HX90 と VMware ESXi の構成から、DESKMEET X300 と Proxmox の環境に変えました。8コア 16 スレッド、128GB メモリ、4TB SSD の環境なので、普通に使う分には十分です。 ...

はじめに Azure のドキュメントの差分を確認していたところ、Configure NAT Rules for your Virtual WAN VPN gateway - Preview というドキュメントを見つけました。「Virtual WAN が NAT をサポートした」というリリースは更新情報に流れていないはずです。アナウンスを探してみたところ、Ignite に合わせて Video Hub に公開された次の動画の中で発表されていました。Route Server と同じくらい凄い機能なのだから、更新情報に流してくれたらいいのに・・・ ...

Azure Route Server がパブリックプレビューになりました。Azure Route Server とは BGP を利用して VNet と経路交換できるサービスです。Azure 上で NVA を利用したことがある人であれば「VNet と BGP で経路交換できたらいいのに・・・」と思ったことがあるはずです。その要望を実現するサービスがリリースされました。 ...

はじめに PaloAlto が 9.0 で Azure での Active/Passive 方式の冗長化をサポートしました。実装は仮想マシンのIPアドレスを付け替える方式です。 参考：Set up Active/Passive HA on Azure Active/Passive 方式で冗長化された NVA は、オンプレミスのネットワークエンジニアが慣れ親しんだ構成です。これまで IP アドレス付け替え方式で冗長化された NVA を組んだことがなかったので、実際に試してみました ...

はじめに 過去に社内で複数回「パブリッククラウドと仮想アプライアンス型ファイアウォール」の話をしてきたので、自分の頭の整理もかねて改めてまとめました。 ...

　イマイチ使いどころが見つけられないAWS上のUTM製品について、オンデマンド版（ライセンスこみで使えるAMI）の費用を比較しました。 なお、AWS上には、Barracuda NG FirewallやPaloalto VM-Seriesもあるのですが、これらはオンデマンド版が存在せずBYOL版のみのため、記載していません。オンデマンド版があれば、評価しやすいのに。。。 ...

　オンプレミスに設置されているサーバをAWSに移行する場合、サーバの通信経路上の存在するファイアウォールのポリシーもAWSへ移行する必要があります。多くの場合、ポリシーの移行先はセキュリティグループになると思います。セキュリティグループはオンプレのFWと実装方法が違いますので、そのまま移行するのは難しいです。 ...

はじめに ShellShockに関して、私の業務と関わりのあるネットワーク機器ベンダのSecurity Advisoryが揃ってきたので、現時点での情報を簡単にまとめます。 ...

　UTM製品は、SSLによって暗号化されている通信の中身を見てUTM処理を行うものがあります。イマイチ振る舞いが分からなかったので、いろいろと調べました。きっとこんな感じだろレベルであり、あってるかどうかは不明です。なお、絵を描く気力はなかったです。 ...

　onePKでトラフィック量を取得できたのでメモ。 onePKには、インターフェースの統計情報が格納されているonep.interfaces.InterfaceStatistics.InterfaceStatisticsというクラスがあります。このクラスにはshow int の出力結果とほぼ同レベルの情報が格納されています。そこで、以下のクラス変数を利用してトラフィックのグラフを描画してみました。 ...

　週明けからの対応に向けて、自分に影響のありそうなベンダのアナウンスを調べたのでメモ。（6/7 21:30現在です） CVE-2010-5298がCVE-2014-5298になっていたので、修正しました（6/9）　...

　キャッシュポイズニングに関するJPRSのアナウンスを踏まえて、ネットワーク機器のNAT機能の実装を調べました。 ファイアーウォールやルーターなど、ネットワーク機器におけるネットワークアドレス変換（NAT）機能の不適切な実装により、キャッシュDNSサーバーで実施したソースポートランダマイゼーションが無効にされてしまう場合があることが判明しています。 ...

　上司と同僚に送信元アドレス検証の必要性を説明するための下調べです。 送信元アドレス検証とは 非トランジットASな弊社においては、インターネット接続サービスを利用している顧客から転送されるパケットが、適切なものかを検証すること。 ...

昔ながらの変更作業 SIerの中で、ネットワーク機器の運用受託業務をやっておりまして、毎日毎日、色々なお客様のスイッチやルータ、ファイアウォールの設定変更をしています。 ...

　仕事でVPC DXに関わっています。その際に、VPCからオンプレ側へのトラフィック設計で不明点があったので、VPC IPSecを利用して自腹で試してみました。 ...

　勢いだけで、FortiGateのsyslogをパースするためのFluentdプラグインを作りました。fluent-plugin-fortigate-traffic-logです。（命名センスなし） 「ファイアウォールの通信ログを気軽に分析できれば、ユーザへの提案に繋がる何かが生まれそうだなー」と思い、FortiGateのsyslogをFluentd+Elastic Search+kibana3の組み合わせに乗せるべく試行錯誤した結果です。当初は普通のTailインプットプラグインでサポートされている正規表現で頑張るつもりでしたが、FortiGateのsyslogのフォーマットが一定でなかったため、カスタムパーサを作った次第です。 ...

　ZABBIXが発報するエラーメールの通知先にGmailを設定したところ、ZABBIXが利用するMTAのIPv6逆引きが存在しなかったため、以下のメッセージとともにメールを拒否されました。 ...

　15.3(2)TからHSRPのVIPとしてGUAがサポートされたようなので試してみました。 CISCO892-K9 IOS 15.3(1)Tの場合 Router(config)#interface vlan 15 Router(config-if)#standby ? Router(config-if)#standby ipv6 ? X:X:X:X::X IPv6 link-local address autoconfig Obtain address using autoconfiguration CISCO892-K9 IOS 15.3(2)Tの場合 Router(config)#interface vlan 15 Router(config-if)#standby 0 ipv6 ? X:X:X:X::X IPv6 link-local address X:X:X:X::X/<0-128> IPv6 prefix autoconfig Obtain address using autoconfiguration Router(config-if)#standby 0 ipv6 2001:db8::1/64 Router(config-if)#end Router#show standby brief all Load for five secs: 49%/0%; one minute: 24%; five minutes: 10% Time source is NTP, 23:23:14.015 JST Mon May 13 2013 P indicates configured to preempt. | Interface Grp Pri P State Active Standby Virtual IP Vl15 0 100 Init unknown unknown FE80::5:73FF:FEA0:0 (impl auto EUI64) Vl15 0 100 Init unknown unknown 2001:DB8::1/64 Router#

事の発端 [tweet https://twitter.com/ttkzw/status/306913213272977408 lang=’ja’] とりあえずやってみた 何事もやってみるのが大事。 ソースをダウンロードして、適当なディレクトリに展開します。INSTALLというファイルにインストール方法が記載されています。インストール方法を流し読みして、いざインストール！ ...

　前回（CiscoルータのConfigをHTTPを使ってバックアップする）の続きです。ルータのCLIから世代管理システムにcommitできないなら、設定変更したタイミングで世代管理システムが勝手にcommitしてくれないかなーというズボラを実現しました。楽をする為の努力は大事です。 構成図 Ciscoルータと世代管理システムの間に、rsyslogとlogsurfer、RANSIDを挟みます。設定変更を示すログがsyslogで飛んできたら、RANSIDが対象機器のリポジトリを自動更新します。あとは、ViewVCでリポジトリにアクセスして作業による差分を確認するだけ！ ...