前回の続きです。Multipathを使うことで2本のリンクをDualActiveに使うことができそうです。ですがDualActiveにはちょっと問題があります。2本の合計トラフィックが1本を超えた時点で、別の代替経路に切り替えなければいけない事です。 よくある?マルチホーミングの構成です。ASαと100M×2で接続している状態で2本合計のトラフィックが120Mになった場合を想定します。この状態で100Mが1本が死んだ場合、障害に伴う経路の変更は発生しない為、引き続きASαに120Mbpsが流れてしまいます。そうするとASα向けの通信で輻輳が発生してしまいます。 ...
BGP Multipathの動作確認をしました。構成は下記の通りです。トランジットと2本の専用線で接続し、BGPを2セッション貼るイメージです。 通常の場合 ### configuration of Left ### router bgp 65001 bgp router-id 10.0.0.1 bgp log-neighbor-changes network 192.168.1.0 network 192.168.2.0 neighbor 10.0.1.254 remote-as 65002 neighbor 10.0.2.254 remote-as 65002 ! ip route 192.168.1.0 255.255.255.0 Null0 ip route 192.168.2.0 255.255.255.0 Null0 ### configuration of Right### router bgp 65002 bgp router-id 10.0.0.254 bgp log-neighbor-changes neighbor 10.0.1.1 remote-as 65001 neighbor 10.0.2.1 remote-as 65001 ! address-family ipv4 neighbor 10.0.1.1 activate neighbor 10.0.2.1 activate exit-address-family ! Rightは各セッションでLeftが広告した2経路を受信していますが、ルーティングテーブルにはベストパスを1つしか乗せません。おそらくベストパス選択アルゴリズムの最後「最小の隣接ルータ アドレスから送られたパスが優先されます。」で選択したものだと思います。 ...
JANOGのMLで話題になっているGeoIPがFortigateでも使えるよーというお話です。弄ってたら気付きました。 設定方法 アドレスオブジェクトのタイプを「地域」を選択して、国を選択します。今回は日本にしてみました。 ...
いつか仕事でやることもあるだろうという事で、FortigateのSSL-VPNでの二要素認証のやり方をメモします。FortiOSはv4 MR3 Patch 6です。仕組みとしてはハードウェアトークン(FortiToken)、Email、SMSの3種類ありますが、今回はEmailになります。 ...
configの差分チェック 運用において変更前のconfigと変更後のconfigを比較する作業は欠かせません。私の周りだと「diff」か「WinMerge」でやってる人が多いです。これがIOS単体で出来るというので試してみました。 ...
「Cisco892Jを15.2(4)Mにしてみた」の続きです。 VRRPv3の設定方法が不明だったので、思い切ってCisco TACにSRしました。その結果「ドキュメントの公開が遅れててごめーん。さっき公開したよ(意訳)」との回答とともに下記リンクをご教示頂きました。 ...
いつの間にかIOS15.2(4)Mがリリースされていました。「OSPFv3 VRF-Lite/PE-CE」と「VRRPv3 Protocol Support」が気になったので早速アップデートしました。 ...
現在自宅では、Cisco892JとFortigate-50Bが24時間稼働しています。導入後初めての夏を迎え「エアコンなしの部屋でどうなるかなー」と思っていたのですが、Fortigateの表面がやや熱い。 ...
勢いで勉強会を開催したので諸々アウトプットします。これ以外にも反省点だらけでorz 言い出しっぺの法則 Twitterで言ったからにはやらないとね。 [tweet https://twitter.com/kongou_ae/status/208906343912968192 lang=’ja’] ...
仕事が打ち合わせばかりで、JANOGにUSTREAM参加すら出来ていません。。。さて、JANOG30のネットワークにはLISPが使われているみたいです。今までLISPなサイトと通信したことがなかったので、これはいい機会だと思い色々試してみました。 ...
「Peeringする度にコマンドを手で打つのもあれだなー。やる事は同じだし」ということで、rubyで自動化しました。実行すると対話形式で必要な情報の入力を求められ、答えると自動的にCiscoルータに我が家のテンプレconfigが投入されます。本番テストはまだですが・・・ ...
そのうち仕事でやるだろうということで、自宅で試した手順をメモしておきます。環境は、Fortigate-50B+FortiOS4.0 MR3 Patch 6です。 ...
素人が試行錯誤した結果です。そのまま文字列として比較すると上手くいかなかったので、IPv6アドレスから:を除去して10進数数値に変換する形でソートしたら上手く行きました。 ...
ついにWorld IPv6 Launch Dayがはじまったわけですが、ブイロクマのモニタリング範囲では、それほど劇的な変化が見られませんでした。 World IPv6 Launch Day記念と言う事で、通常時は毎日22:30のみのAAAAチェックを臨時で2回(0:00と10:00)実施しましたが、下記ドメインにAAAAがついた事を観測出来ただけで、それ以外のドメインに変化はありませんでした。もう少しドメインを増やせば楽しくなりますか・・・ ...
これまで、WS-C3750XシリーズでIP Servicesが標準搭載されている型番は、WS-C3750X-12S-EとWS-C3750X-24S-Eしかありませんでした。その為、RJ45のダウンリンク+IP Servicesを実現する為には、IP Base搭載のモデルとライセンスを別々に発注しなければならず少々面倒でした。 ...
いつもブイロクマをfollowして頂き、有難うございます。 今年の1月に実装致しましたAAAAチェック機能のコードを修正しました。修正内容は下記の通りです。「やってからリリースしろよ!」という物ばかりですが。。。 ...
さくらVPS 512で動いている弊ブログですが、本日早朝にメモリが1Gに増設されたみたいです。Cactiのグラフを見たら、天井がぐいっと伸びていました。 ...
「LookingGrassを作ったし、あとは経路数のモニタリングだよなー」という事で、Cactiを使ってモニタリングを始めました。ゆくゆくはブログのサイドバーに仕込みたいです。 ...
ruby on rails + apache2 + passengerで、AS64585のLookingGrassを作りました。LookingGrass(AS64585) 当初は他ASさんが運営しているLookingGrassと同様、インターネット上に全公開する予定でした。しかし、neighborさんのIPアドレスを全公開するのもあれだなと思い、eBGPルータが受け取っている経路とLISP-Betaで利用されている経路でアクセス制御を掛けました。現在106経路ほどBGPテーブルに乗っているので、IHANet上の方々であればみられるのかなと思います。 ...
GWの課題ということで、自宅のISP回線を冗長化しました。GMOの固定IPを契約した際にOCNを解約していなかったので、それを有効活用します。また、お仕事で「メインDCとDRサイト間でのISP冗長」ってのを提案しないといけない事もあり、その技術検証も兼ねてます。機器が足りないので縮小構成ですが・・ ...