F5 BIG-IPによるロードバランスの中で、Pool Memberダウン・コネクションリミット・レートリミット超過の際にSorry応答するPoolに振り分ける。 内容としては、以下のDev Central Forumで議論されている通り。 Dev Central - Multiple strategies for mainten…

Cisco AnyConnectは基本的にひとつの接続先にのみVPN接続できる。複数の環境にVPN接続する必要がある場合は、都度VPN接続先を切り替えなければならいない。 しかし、Ciscoから提供されるAnyConnect Secure Mobility Clientに加え、Microsoft Storeで提供され…

WebミーティングツールのZoomで、音声が途切れる・遅れる、画面共有が遅い、「インターネット接続が不安定です」になることが多く、原因を調査した。原因は環境によるので一概に言えないが、基本的にネットワークの輻輳を回避して、QoSによる優先制御と帯域…

Webサーバの負荷分散をするBIG-IPで、同一Virtual Server (VIP)で受けるHTTPリクエストを、Refererヘッダによって分散先のPoolを切り替えられるようにする。 モチベーション 動作確認環境 Virtual Server・Pool設定 iRule Referer振り分け Cookie Insert Coo…

F5 BIG-IP iRuleで LB::status によりSorryページへの振り分け等を実装する際の、Pool, Node状態と LB::status の対応メモ。 検証バージョン Pool, Node状態と LB::status の対応 session_enabled は割愛 show ltm pool <pool> の結果 参考 LB::statusの公式情報 B</pool>…

サーバ運用では一般的なSSH公開鍵認証をCisco ASAで実装する。これにより、よりセキュア、かつ効率的に運用が可能になる。 オフィシャル情報 Cisco ASAのSSH関連設定ガイドはこちら www.cisco.com 本記事ではSSH公開鍵認証に特化して設定方法を記載する。 環…

こちらの記事でDockerコンテナを外部ネットワークと802.1Q VLAN Tag接続した。 designetwork.hatenablog.com 今回はDocker-Composeファイルで定義して運用しやすくする。さらに作り込めば、ネットワークテスト自動化が実現できると考えている。 参考情報 Doc…

ネットワークの疎通確認・経路確認などのテストにDockerコンテナを活用する方式を検討している。テストの際に大量のPCを用意するのは非効率なため、軽量・スピーディなDockerコンテナを活用していきたい。 イメージしている構成は以下の通り。802.1Q VLANタ…

こちらの記事でZOOT NATIVE & CentOSでのDS-Liteインターネットアクセスを実装した。 designetwork.hatenablog.com しかし、CentOS (Linux) をルータとして運用していくのは面倒(慣れの問題)なので、VyOSで同等のDS-Lite環境を構築する。本当はフレッツ光PPP…

自宅フレッツ光インターネットの速度が遅く不満が大きくなってきたため、改善を狙ってIPv6を導入してみる。プロバイダの変更も検討したが、取り急ぎIPv6の追加を試す。Cisco ASAを継続利用するため制約事項はあるが、最低限のIPv6環境を構築することができた…

BIG-IPを通常のルータとしても使用するためにOSPFの設定をする。BIG-IP はVE評価版を使用する。 VyOSなどの仮想ルータを使用してもいいのだが、管理する機器を増やしたくないので、導入済みのBIG-IP VEをシンプルな仮想ルータとして兼用する。 前提構成 Rout…

F5 BIG-IPでHTTP/Sの負荷分散をする際に、S-NATした上でX-Forwarded-Proto, X-Forawarded-ForのHTTPヘッダを付与する設定をする。 なお、今回の設定方法はこちらのディスカッションの情報を元にしている。 https://devcentral.f5.com/questions/x-forwarded-…

評価版使用のためにF5 BIG-IP VE(Virtual Edition)をVMware ESXi6.5にデプロイしようとしたがエラーが発生してデプロイに失敗した。結果として、ALL, LTMのOVAイメージはデプロイできず、1SLOTのモデルでデプロイに成功した。 発生事象 前提環境 F5 BIG-IP V…

Cisco ASAはセキュリティデバイスであるため、隣接NW機器の情報を収集するCDP/LLDPをサポートしていない。 Ciscoサポートコミュニティの情報 ASAのCDP/LLDPの対応状況に関する質問がいくつかされている。質問はASA5505についてだが、ASAシリーズ全般で同仕様…

自宅ラボの無線AP Cisco Aironet AIR1131AGで、停電から復旧後にDot11Radioインタフェースのステータスがresetになるトラブルが発生した。 停電の原因は単純な家の電源容量超過で、すべてのNW機器で突然の電源断となってしまった。configの保存はしてあった…

Cisco ASA5505で自宅ラボにDMZを構築している。単純なinside-outside設定の場合はセキュリティレベルをinside:100, outside:0とし、必要な外からの通信をFWとNATで許可すればよい。 しかし、DMZを含めるとセキュリティレベルだけでは制御しきれなくなる。一…

自宅ラボのASA5505でDMZを構築していたら、DMZからinsideへの通信ができない事象が発生したので対応メモ。 前提構成 Cisco ASA5505(基本ライセンス・BASE License, Ver.9.2(3)) Cisco Catalyst2960 VMware ESXi ASA5505はセキュリティライセンスがないとVLAN…

(2017/4/15 ValueSSLではマルチドメインかつワイルドカードの証明書を発行可能) (2018/4/7 GeoTrustでもマルチドメインかつワイルドカードの証明書を発行可能) HTTPS(SSL)を実装する際には証明書の検討も必要となる。多くのサイトを公開する場合にはFQDNが多…

Cisco ASA5505は基本ライセンスでは3つまでVLANを設定できる。ただし、普通に設定をしようとすると、3つ目のVLANにnameifを設定する際にエラーとなる。エラーを解消して、3つ目のVLANにnameifを設定する方法を記載する。 Cisco ASA5505の中古価格が下がって…

内部的なドメイン(Internal Domain Name)として使用される.local。 test.local, test.internalといったローカルドメインを使用しているケースが多い。 ローカルドメインを使用している中で発生する問題のひとつである「SSL証明書をどうするか？」という問題…

Proxy環境、NAPT環境でのHTTP通信で重要になるX-Forwarded-For (XFF) ヘッダ。NAPTルータとして使用されることが多いCisco ASAでXFFヘッダの付与について記載する。 確認結果 2016年7月時点ではCisco ASAではX-Forwarded-Forヘッダを付与することはできない…

Cisco ASAをNATルータとして使用している環境でtracerouteを正常に動作させるためにはいくつかの設定が必要となる。 インターネット接続部分でNAPT、inspect、ACL、policy-mapといった各種設定を見直したためメモ。 Cisco, Linuxのtracerouteの仕組み、違い…

ネットワークの疎通確認で使用するtracerouteをFWで許可し通過させるには一手間必要になる。 traceroute(トレースルート)： TTL expiredを利用してネットワーク経路を確認するコマンド tracerouteの仕様 Windows tracert UNIX/Linux traceroute FWでtracerou…

ASA5505で自宅のWebサーバをインターネットに公開するよう設定する。 前提条件 追加設定 NAT設定 FW設定 トラブルシューティング まとめ 前提条件 ASA5505 OS Ver.9.2(3) ASA5505をインターネット接続ブロードバンドルータとして使用 固定IPなしでPPPoE自動…