らくがきちょう

なんとなく

Network

MikroTik へ HTTPS で管理アクセス出来るように設定するには

RouterOS の管理はデフォルトで SSH や HTTP を利用出来ますが、HTTPS は無効になっています。よりセキュアに RouterOS へアクセス出来るよう、HTTPS を有効化してみます。WebUI と CLI のどちらでも設定出来ますが、今回は CLI から設定します。

MikroTik で不要なサービスを無効にするには

MikroTik 製品はデフォルトで幾つかのサービスが有効になっています。ファイアウォール(ACL)でフィルタしても良いのですが、そもそも不要なのであれば無効にしてしまうべきです。

BIG-IP を初期化する=工場出荷状態に戻すには

BIG-IP を工場出荷時の状態に戻す方法は SOL13127 に記載されています。 SOL13127: Restoring the BIG-IP configuration to factory default settings (11.x - 12.x) 今回は TMOS 12.0.0(0.0.606) 環境で実際に初期化手順を試してみます。TMOS 11.x 系でも手…

MikroTik で NTP サーバと同期させるには

いずれのメーカー製品であっても、サーバ / ネットワーク製品であっても、管理の都合上、正確に時刻同期されていることは重要です。今回は RouterOS で NTP を用いた時刻同期の設定方法について記載します。

トランザクションを使い、エラー時は「全て無かったこと」にする

BIG-IP は非常に優れた Web GUI を持つ製品です。しかし、同時に洗練されたシェル「tmsh」も備えています。例えば「設定量が少ない場合は Web GUI」「設定量が多い場合は tmsh」といった具合に使い分けると便利です。しかし、tmsh(CLI)とは言え、大量に設…

acitoolkit を使って Cisco ACI から Subnet 情報一覧を取得する

Cisco ACI 標準の Web 管理画面では Bridge Domain ごとに設定した Subnet 情報を一覧で見ることが出来ません。同一 Tenant 内であれば下図のように Bridge Domain 配下の Subnet をひとつひとつ展開し、アドレスを表示させる… ということも不可能ではありま…

CCR 1009 にフルルートを持たせてみる(失敗)

MikroTik の CCR1009 に BGP のフルルートを持たせるテストを実施してみました。対向側は GoBGP を使いました。残念ながら、結果は以下の通りです。 Peer Up から 30 秒程で約 11.5 万経路を受信する。ここまでは順調 それ以降、なぜか 1 経路も受信しなくな…

show コマンド実行時の VRF 指定を省略する(※ IOS-XR 限定)

VRF を設定している環境で show コマンド実行する場合、都度、VRF を指定するのは煩わしいものです。IOS や IOS-XE には実装されていないようなのですが、ASR9000 で使われている IOS-XR では「明示的に指定しなかった場合の VRF」を set default-vrf で指定…

CoreLinux で OvS をビルド・インストールする

CoreLinux 環境で Open vSwitch(以下、OvS)を使えるようにビルドしてみました。手間を考慮し、スクリプト化してあります。

CoreLinux 6.3 を VIRL に登録する

Tiny Core Linux はフットプリントが非常に小さい Linux ディストリビューションで、Cisco VIRL のような仮想化された検証環境内で複数インスタンスを立ち上げても軽快に動作する、という特徴があります。用途に応じて幾つかの種類があります。参考として記…

Juniper vMX を Cisco VIRL に登録する

Juniper vMX を使うと x86 上で JUNOS を動作させることが出来ます。vSRX も JUNOS の学習に使えますが、KVM / QEMU 上で使うとなぜか commit 出来ません… Cisco VIRL に vMX を登録するとひとつの環境で Cisco や Juniper、その他の OS との相互接続を検証…

Ryu&OvS 入り OpenWrt イメージを作成し Cisco VIRL で利用する

OpenWrt はフットプリントが小さく、VIRL 上での検証時に便利です。今回は OpenWrt に Open vSwitch(以下、OvS)と Ryu を追加し、VIRL に登録します。但し、現状では Ryu は起動するものの、Open vSwitch は Segmentation Fault を起こして利用出来ません…

4 バイト AS な BGP パケットをキャプチャしてみる

4 バイト AS 設定されたルータ間で BGP のパケットをキャプチャしてみました。

Extra Packages を追加した MikroTik CHR を Cisco VIRL に登録する

RouterOS 6.31 current の公開に伴って CHR(Cloud Hosted Router)6.31 のバイナリも公開されています。ただし、公式ダウンロードページでは無く、フォーラムにダウンロードリンクがあります。 http://www.mikrotik.com/download/share/chr_6_31.img http:/…

Mikrotik を PPPoE サーバとしてコンフィグする

検証時、手軽に使える PPPoE サーバがあると便利な場合があります。今回は Mikrotik を PPPoE サーバとしてコンフィグしてみます。

VyOS のインストール&初期セットアップ

VyOS を vSphere6 ESXi 上の仮想マシンにインストールした際のメモです。

Cisco で VRF + BGP を設定しつつ、RouteLeak で特定 VRF 間の経路だけ許可する

VRF を設定すると一台のルータのルーティングテーブルを論理的に分割して利用出来ます。これは「顧客ごとにルーティングテーブルを独立・分割して保持したい」という場合に便利です。別の表現をすると「異なる VRF 間では通信出来ない」とも言えます。しかし…

Mikrotik と Cisco ASA 間で Site-to-Site な IPsec を設定してみる

VIRL 上の Mikrotik(RouterOS)と Cisco ASAv 間で Site-to-Site な IPsec を設定してみます。

RR が経路を伝搬する時は属性を変更しない

ある程度の規模になれば、RR(Route Reflector)の導入はほぼ必須かと思います。RFC2796 BGP Route Reflection - An Alternative to Full Mesh IBGP によると「ルーティングループを避ける為に RR は iBGP ピアで学習した経路を別の iBGP ピアへ広報する際に…

Mikrotik で VRF を設定してみる

MikroTik での VRF 設定をメモしておきます。 /ip address add address=192.168.1.254/24 interface=ether2 network=192.168.1.0 add address=192.168.2.254/24 interface=ether3 network=192.168.2.0 add address=192.168.1.254/24 interface=ether4 networ…

Cisco(IOSv / CSR1000V / XRv / NX-OSv / ASAv)、Mikrotik、VyOS で eBGP 接続してみる

Cisco、Mikrotik、VyOS を eBGP 接続し、各々のコンフィグを比較してみました。具体的には以下の機器を用いました。 Cisco IOSv Cisco CSR1000V Cisco XRv Cisco NX-OSv Cisco ASAv Mikrotik VyOS

Cisco VIRL で VyOS を使えるようにするには

Cisco VIRL 上に VyOS も登録すると検証時に便利です。今回は VIRL に VyOS を登録してみます。大まかな手順は以前に書いた「VIRL に RouterOS を登録してシミュレーション環境を作るには」と同じ流れになります。

Failover 構成の ASAv で BGP を動作させる

ASA Border Gateway Protocol Configuration Example によると Cisco ASA の OS バージョン 9.2.1 以降では BGP をサポートしたそうです。 This document describes the steps required to enable Border Gateway Protocol (BGP) (eBGP/iBGP) routing, estab…

BGP テーブルと ROUTE-REFRESH について

BGP は他のルーティングプロトコルと異なり、「BGP で学習した経路」だけを保持する「BGP テーブル」を持ちます。BGP では複数の Peer から同じ経路を学習した場合、既定のアルゴリズムに従って最善と思われる経路(ベストパス)を選出します。このアルゴリ…

RouterOS へ鍵交換方式で SSH ログインするには(DSA / RSA 両対応)

従来の RouterOS は鍵交換方式での SSH ログインをサポートしているものの、DSA 鍵にしか対応しておらず、RSA 鍵には対応していませんでした。しかし、まだ RC 版(Release Candidate = リリース候補版)ではあるものの、最新の RouterOS 6.31 からは RSA …

Windows ファイアウォール有効状態だと WireShark で ICMP Request をキャプチャ出来るか?

先日、某所で「Windows ファイアウォールが有効(ICMP を拒否)な状態で Ping すると ICMP Request はキャプチャ出来るのか?」という話題が出たので試してみました。

MikroTik を BGP の Route Reflector に設定してみる

iBGP ではルーティングループの発生を抑える為にスプリットホライズン動作をします。具体的には「ある iBGP Peer で学習した経路を別の iBGP Peer には広告しない」という振る舞いをします。下図はスプリットホライズン動作を図示したものです。ルータ A、B…

BGP advertise best external で意図的にループ構成を作ってみる

前回は BGP Advertise Best External による BGP のバックアップパスを設定してみました。通常であれば BGP はスプリットホラインズン動作によりループが出来ないように振る舞います。しかし、BGP Advertise Best External を使うとループが発生してしまうこ…

BGP Advertise Best External によるバックアップパスを試してみる

通常、BGP スピーカが他の BGP スピーカに広告する経路は最善の経路と選定されたものだけであり、全く同じ複数の経路を広告することは出来ません。つまり、BGP において「ベストパスは常にひとつだけ」であり、「バックアップパス(代替パス)は存在しない」…

Cisco ASAv に REST API でアクセスするには

前回は Cisco CSR 1000V へ REST API でアクセスしてみました。今回は ASAv へ REST API でアクセスしてみます。必要最低限しか設定していませんので、商用環境で利用する際はセキュリティへの配慮が必要です。

Cisco CSR 1000V に REST API でアクセスするには

Cisco CSR 1000V に REST API でアクセスする為の設定をまとめておきます。商用環境で利用する際はセキュリティへの配慮が必要です。

VIRL に RouterOS を登録してシミュレーション環境を作るには

VIRL に RouterOS を追加するとルーティングの挙動確認等、論理的な検証は非常に楽になります。そこで今回は VIRL 上で動作する RouterOS の動作イメージを作成し、それを VIRL へ登録してみます。VIRL をお持ちで無い方は GNS3 でも近い手順で似たような検…

Paspberry Pi をワイヤレスなコンソールサーバにする

Lantronix 社の xDirect シリーズはイーサネット経由でシリアルポート(RS232)にアクセス出来る製品だそうです。「簡易コンソールサーバ」とも表現出来ると思います。 xDirect 232 PoE 非対応。$99.95。 xDirect PoE PoE 対応。$129.95。 ただ、Amazon.co.j…

Mikrotik を秒殺で DDNS クライアントにするには

Mikrotik を DDNS クライアントにするのは極めて簡単です。一般的なルータでは「別途、DDNS サービスを登録(場合によっては契約)し、その設定情報をルータに投入」というケースが殆どです。しかし、Mikrotik の場合は特に何の事前準備も無く、すぐに DDNS …

Cisco へ SSH ログイン出来るようにするには(IOSv / XRv / CSR1000v / NX-OSv / ASAv)

VIRL 上の Cisco プラットフォームへ SSH ログイン出来るように設定してみます。検証環境での利用を想定しています。商用環境で利用する場合は、よりセキュリティに配慮する必要があります。

MikroTik のルータを L2TP over IPsec のクライアントとして設定するには

前回の記事「CentOS 6.x で StrongSwan を使った L2TP over IPsec 環境を作る」では、さくら VPS の CentOS 6.6 上に L2TP over IPsec サーバを作りました。この環境と常時、L2TP over IPsec を接続したままにする為、ゲートウェイルータになっている Mikrot…

CentOS 6.x で StrongSwan を使った L2TP over IPsec 環境を作る

Openswan(IPSec VPN)がiPhoneから繋がらなくなった!等に記載がありますが、CentOS 6.x 系では OpenSwan に問題があり、iPhone や OS X から IPsec 出来なくなっているそうです(出来なくなっていました)。そこで、今回は OpenSwan では無く、StrongSwan で…

ダイナミックルーティングプロトコルの一覧

一般的なダイナミックルーティングプロトコルの特徴を一覧にしてみました。IS-IS が特に苦手です… 名称 種別 プロトコル ポート 通信方式 アルゴリズム VLSM 備考 RIP v1 IGPs UDP (17) 520 ブロードキャスト ディスタンスベクタ 非対応 RFC 1058 RIP v2 IGP…

TeraTerm から MikroTik へ SSH した際の文字化けを解消するには

Mikrotik 製品に SSH ログインすると、以下のように文字化けしてしまいました。これはエスケープシーケンスの不一致によるもの、のようです。TeraTerm のターミナル種別はデフォルトで「VT100」になっていますが、これを「VT282」に変更します。変更は「Setu…

MikroTik で BGP の属性(MED / LOCAL_PREF)を検証してみる

前回は Mikrotik 製品で BGP の Peering だけ、設定してみました。今回は属性(Attribute)のうち、非常にメジャーな MED(Multi-Exit Discriminator)と LP(Local Preference)を設定してみました。

MikroTik(CCR / RouterBoard)で BGP を動かしてみる

Mikrotik 製品で基本的な BGP 機能を設定してみました。詳細は後述しますが、以下パターンで xBGP 接続しました。 No. xBGP 概要 起点 終点 1 eBGP Cisco と Mikrotik Catalyst 3750 CCR(Tile) 2 iBGP Mikrotik 同士 CCR(Tile) RB951(mips) 3 iBGP Mik…

CentOS 7 で sshd の待ち受けポートを変更するには

sshd は標準で 22/TCP を Listen(待ち受け)します。しかし、標準設定のままにしておくとあちこちからアクセスされ、セキュリティ強度が高いとは言えません。そこで、今回は CentOS7 で sshd が Listen するポートを 22222/TCP に変更してみます。

WinPcap / Win10Pcap で VLAN フレームをキャプチャしてみる

Win10Pcap は WinPcap をベースに開発された Windows 用のパケットキャプチャライブラリ(NPF ドライバ)です。公式ページに詳しいですが、従来の WinPcap が NDIS 5.x 系ベースだったのに対して Win10Pcap は NDIS 6.x ベースに変更されつつ、幾つかの機能…

net-tools と ip コマンドの対比

RHEL7 や CentOS7 以降は最小構成で net-tools がインストールされない為、ifconfig や netstat 等のコマンドが利用出来ません。これらのコマンドは今後、iproute2 に含まれる ip や ss 等のコマンドに置換されます(ss は「Socket Statistics」の略だと思わ…

Cisco VIRL のログイン情報まとめ

Cisco の公式ネットワークシミュレータである Cisco VIRL を使うと、仮想化環境内で簡単に Cisco IOSv や CSR1000v、XRv、Nexus を検証することが出来ます。VIRL は OpenStack をベースに複数のソフトウェアを組み合わせている為、ソフトウェア毎に複数のロ…

OS X で Cisco VIRL のコンソール接続に iTerm を使うには

Cisco の VIRL は有償のネットワークシミュレータで、Cisco IOSv や CSR1000v、XRv、Nexus を簡単に検証することが出来ます。通常は $199 の製品ですが、公式サイト右下にある「GET $50 DISCOUNT」をクリックして表示される文字列を購入時に入力すると $149 …

OS X からシリアル接続(コンソール接続)するには

Cisco 等の本格的なネットワーク製品は初期アドレスや初期ユーザが無い場合が多く、SSH や TELNET で接続することが出来ません。これらの製品を設定するにはシリアル接続(コンソール接続)が必須です。今回は OS X から Cisco 機器にシリアル接続してみます…

DHCP のリース時間を確認するには

DHCP で割り当てられた IP アドレスのリース時間は OS 毎に以下の方法で確認出来ます。 Windows ipconfig /all コマンド OS X /var/db/dhcpclient/leases/ 以下のファイル Linux /var/lib/dhclient 以下のファイル

Cisco ASA を PPPoE でインターネットに接続するには

Cisco ASA を PPPoE クライアントにしてインターネット接続する場合の設定例は以下の通りです。今回は以下の環境で検証しました。 Cisco ASAv 9.3.1

Cisco IOS ルータへの Radius ログイン時、自動的に特権モードにするには

前回、「FreeRADIUS で RADIUS Proxy を設定するには」という記事を書きましたが、今回も Radius 関連の記事です。今回は以下を実装してみます。 管理者ユーザでログインすると、ログイン直後から特権モード 一般ユーザでログインすると、ログイン直後はユー…