読者です 読者をやめる 読者になる 読者になる

らくがきちょう

なんとなく

CCR 1009 にフルルートを持たせてみる(失敗)

MikroTik の CCR1009 に BGP のフルルートを持たせるテストを実施してみました。対向側は GoBGP を使いました。残念ながら、結果は以下の通りです。 Peer Up から 30 秒程で約 11.5 万経路を受信する。ここまでは順調 それ以降、なぜか 1 経路も受信しなくな…

show コマンド実行時の VRF 指定を省略する(※ IOS-XR 限定)

VRF を設定している環境で show コマンド実行する場合、都度、VRF を指定するのは煩わしいものです。IOS や IOS-XE には実装されていないようなのですが、ASR9000 で使われている IOS-XR では「明示的に指定しなかった場合の VRF」を set default-vrf で指定…

CoreLinux で OvS をビルド・インストールする

CoreLinux 環境で Open vSwitch(以下、OvS)を使えるようにビルドしてみました。手間を考慮し、スクリプト化してあります。

CoreLinux 6.3 を VIRL に登録する

Tiny Core Linux はフットプリントが非常に小さい Linux ディストリビューションで、Cisco VIRL のような仮想化された検証環境内で複数インスタンスを立ち上げても軽快に動作する、という特徴があります。用途に応じて幾つかの種類があります。参考として記…

Juniper vMX を Cisco VIRL に登録する

Juniper vMX を使うと x86 上で JUNOS を動作させることが出来ます。vSRX も JUNOS の学習に使えますが、KVM / QEMU 上で使うとなぜか commit 出来ません… Cisco VIRL に vMX を登録するとひとつの環境で Cisco や Juniper、その他の OS との相互接続を検証…

Ryu&OvS 入り OpenWrt イメージを作成し Cisco VIRL で利用する

OpenWrt はフットプリントが小さく、VIRL 上での検証時に便利です。今回は OpenWrt に Open vSwitch(以下、OvS)と Ryu を追加し、VIRL に登録します。但し、現状では Ryu は起動するものの、Open vSwitch は Segmentation Fault を起こして利用出来ません…

4 バイト AS な BGP パケットをキャプチャしてみる

4 バイト AS 設定されたルータ間で BGP のパケットをキャプチャしてみました。

Extra Packages を追加した MikroTik CHR を Cisco VIRL に登録する

RouterOS 6.31 current の公開に伴って CHR(Cloud Hosted Router)6.31 のバイナリも公開されています。ただし、公式ダウンロードページでは無く、フォーラムにダウンロードリンクがあります。 http://www.mikrotik.com/download/share/chr_6_31.img http:/…

Mikrotik を PPPoE サーバとしてコンフィグする

検証時、手軽に使える PPPoE サーバがあると便利な場合があります。今回は Mikrotik を PPPoE サーバとしてコンフィグしてみます。

VyOS のインストール&初期セットアップ

VyOS を vSphere6 ESXi 上の仮想マシンにインストールした際のメモです。

Cisco で VRF + BGP を設定しつつ、RouteLeak で特定 VRF 間の経路だけ許可する

VRF を設定すると一台のルータのルーティングテーブルを論理的に分割して利用出来ます。これは「顧客ごとにルーティングテーブルを独立・分割して保持したい」という場合に便利です。別の表現をすると「異なる VRF 間では通信出来ない」とも言えます。しかし…

Mikrotik と Cisco ASA 間で Site-to-Site な IPsec を設定してみる

VIRL 上の Mikrotik(RouterOS)と Cisco ASAv 間で Site-to-Site な IPsec を設定してみます。

RR が経路を伝搬する時は属性を変更しない

ある程度の規模になれば、RR(Route Reflector)の導入はほぼ必須かと思います。RFC2796 BGP Route Reflection - An Alternative to Full Mesh IBGP によると「ルーティングループを避ける為に RR は iBGP ピアで学習した経路を別の iBGP ピアへ広報する際に…

Mikrotik で VRF を設定してみる

MikroTik での VRF 設定をメモしておきます。 /ip address add address=192.168.1.254/24 interface=ether2 network=192.168.1.0 add address=192.168.2.254/24 interface=ether3 network=192.168.2.0 add address=192.168.1.254/24 interface=ether4 networ…

Cisco(IOSv / CSR1000V / XRv / NX-OSv / ASAv)、Mikrotik、VyOS で eBGP 接続してみる

Cisco、Mikrotik、VyOS を eBGP 接続し、各々のコンフィグを比較してみました。具体的には以下の機器を用いました。 Cisco IOSv Cisco CSR1000V Cisco XRv Cisco NX-OSv Cisco ASAv Mikrotik VyOS

Cisco VIRL で VyOS を使えるようにするには

Cisco VIRL 上に VyOS も登録すると検証時に便利です。今回は VIRL に VyOS を登録してみます。大まかな手順は以前に書いた「VIRL に RouterOS を登録してシミュレーション環境を作るには」と同じ流れになります。

Failover 構成の ASAv で BGP を動作させる

ASA Border Gateway Protocol Configuration Example によると Cisco ASA の OS バージョン 9.2.1 以降では BGP をサポートしたそうです。 This document describes the steps required to enable Border Gateway Protocol (BGP) (eBGP/iBGP) routing, estab…

BGP テーブルと ROUTE-REFRESH について

BGP は他のルーティングプロトコルと異なり、「BGP で学習した経路」だけを保持する「BGP テーブル」を持ちます。BGP では複数の Peer から同じ経路を学習した場合、既定のアルゴリズムに従って最善と思われる経路(ベストパス)を選出します。このアルゴリ…

RouterOS へ鍵交換方式で SSH ログインするには(DSA / RSA 両対応)

従来の RouterOS は鍵交換方式での SSH ログインをサポートしているものの、DSA 鍵にしか対応しておらず、RSA 鍵には対応していませんでした。しかし、まだ RC 版(Release Candidate = リリース候補版)ではあるものの、最新の RouterOS 6.31 からは RSA …

Windows ファイアウォール有効状態だと WireShark で ICMP Request をキャプチャ出来るか?

先日、某所で「Windows ファイアウォールが有効(ICMP を拒否)な状態で Ping すると ICMP Request はキャプチャ出来るのか?」という話題が出たので試してみました。

MikroTik を BGP の Route Reflector に設定してみる

iBGP ではルーティングループの発生を抑える為にスプリットホライズン動作をします。具体的には「ある iBGP Peer で学習した経路を別の iBGP Peer には広告しない」という振る舞いをします。下図はスプリットホライズン動作を図示したものです。ルータ A、B…

BGP advertise best external で意図的にループ構成を作ってみる

前回は BGP Advertise Best External による BGP のバックアップパスを設定してみました。通常であれば BGP はスプリットホラインズン動作によりループが出来ないように振る舞います。しかし、BGP Advertise Best External を使うとループが発生してしまうこ…

BGP Advertise Best External によるバックアップパスを試してみる

通常、BGP スピーカが他の BGP スピーカに広告する経路は最善の経路と選定されたものだけであり、全く同じ複数の経路を広告することは出来ません。つまり、BGP において「ベストパスは常にひとつだけ」であり、「バックアップパス(代替パス)は存在しない」…

Cisco ASAv に REST API でアクセスするには

前回は Cisco CSR 1000V へ REST API でアクセスしてみました。今回は ASAv へ REST API でアクセスしてみます。必要最低限しか設定していませんので、商用環境で利用する際はセキュリティへの配慮が必要です。

Cisco CSR 1000V に REST API でアクセスするには

Cisco CSR 1000V に REST API でアクセスする為の設定をまとめておきます。商用環境で利用する際はセキュリティへの配慮が必要です。

VIRL に RouterOS を登録してシミュレーション環境を作るには

VIRL に RouterOS を追加するとルーティングの挙動確認等、論理的な検証は非常に楽になります。そこで今回は VIRL 上で動作する RouterOS の動作イメージを作成し、それを VIRL へ登録してみます。VIRL をお持ちで無い方は GNS3 でも近い手順で似たような検…

Paspberry Pi をワイヤレスなコンソールサーバにする

Lantronix 社の xDirect シリーズはイーサネット経由でシリアルポート(RS232)にアクセス出来る製品だそうです。「簡易コンソールサーバ」とも表現出来ると思います。 xDirect 232 PoE 非対応。$99.95。 xDirect PoE PoE 対応。$129.95。 ただ、Amazon.co.j…

Mikrotik を秒殺で DDNS クライアントにするには

Mikrotik を DDNS クライアントにするのは極めて簡単です。一般的なルータでは「別途、DDNS サービスを登録(場合によっては契約)し、その設定情報をルータに投入」というケースが殆どです。しかし、Mikrotik の場合は特に何の事前準備も無く、すぐに DDNS …

Cisco へ SSH ログイン出来るようにするには(IOSv / XRv / CSR1000v / NX-OSv / ASAv)

VIRL 上の Cisco プラットフォームへ SSH ログイン出来るように設定してみます。検証環境での利用を想定しています。商用環境で利用する場合は、よりセキュリティに配慮する必要があります。

MikroTik のルータを L2TP over IPsec のクライアントとして設定するには

前回の記事「CentOS 6.x で StrongSwan を使った L2TP over IPsec 環境を作る」では、さくら VPS の CentOS 6.6 上に L2TP over IPsec サーバを作りました。この環境と常時、L2TP over IPsec を接続したままにする為、ゲートウェイルータになっている Mikrot…

CentOS 6.x で StrongSwan を使った L2TP over IPsec 環境を作る

Openswan(IPSec VPN)がiPhoneから繋がらなくなった!等に記載がありますが、CentOS 6.x 系では OpenSwan に問題があり、iPhone や OS X から IPsec 出来なくなっているそうです(出来なくなっていました)。そこで、今回は OpenSwan では無く、StrongSwan で…

ダイナミックルーティングプロトコルの一覧

一般的なダイナミックルーティングプロトコルの特徴を一覧にしてみました。IS-IS が特に苦手です… 名称 種別 プロトコル ポート 通信方式 アルゴリズム VLSM 備考 RIP v1 IGPs UDP (17) 520 ブロードキャスト ディスタンスベクタ 非対応 RFC 1058 RIP v2 IGP…

TeraTerm から MikroTik へ SSH した際の文字化けを解消するには

Mikrotik 製品に SSH ログインすると、以下のように文字化けしてしまいました。これはエスケープシーケンスの不一致によるもの、のようです。TeraTerm のターミナル種別はデフォルトで「VT100」になっていますが、これを「VT282」に変更します。変更は「Setu…

MikroTik で BGP の属性(MED / LOCAL_PREF)を検証してみる

前回は Mikrotik 製品で BGP の Peering だけ、設定してみました。今回は属性(Attribute)のうち、非常にメジャーな MED(Multi-Exit Discriminator)と LP(Local Preference)を設定してみました。

MikroTik(CCR / RouterBoard)で BGP を動かしてみる

Mikrotik 製品で基本的な BGP 機能を設定してみました。詳細は後述しますが、以下パターンで xBGP 接続しました。 No. xBGP 概要 起点 終点 1 eBGP Cisco と Mikrotik Catalyst 3750 CCR(Tile) 2 iBGP Mikrotik 同士 CCR(Tile) RB951(mips) 3 iBGP Mik…

CentOS 7 で sshd の待ち受けポートを変更するには

sshd は標準で 22/TCP を Listen(待ち受け)します。しかし、標準設定のままにしておくとあちこちからアクセスされ、セキュリティ強度が高いとは言えません。そこで、今回は CentOS7 で sshd が Listen するポートを 22222/TCP に変更してみます。

WinPcap / Win10Pcap で VLAN フレームをキャプチャしてみる

Win10Pcap は WinPcap をベースに開発された Windows 用のパケットキャプチャライブラリ(NPF ドライバ)です。公式ページに詳しいですが、従来の WinPcap が NDIS 5.x 系ベースだったのに対して Win10Pcap は NDIS 6.x ベースに変更されつつ、幾つかの機能…

net-tools と ip コマンドの対比

RHEL7 や CentOS7 以降は最小構成で net-tools がインストールされない為、ifconfig や netstat 等のコマンドが利用出来ません。これらのコマンドは今後、iproute2 に含まれる ip や ss 等のコマンドに置換されます(ss は「Socket Statistics」の略だと思わ…

Cisco VIRL のログイン情報まとめ

Cisco の公式ネットワークシミュレータである Cisco VIRL を使うと、仮想化環境内で簡単に Cisco IOSv や CSR1000v、XRv、Nexus を検証することが出来ます。VIRL は OpenStack をベースに複数のソフトウェアを組み合わせている為、ソフトウェア毎に複数のロ…

OS X で Cisco VIRL のコンソール接続に iTerm を使うには

Cisco の VIRL は有償のネットワークシミュレータで、Cisco IOSv や CSR1000v、XRv、Nexus を簡単に検証することが出来ます。通常は $199 の製品ですが、公式サイト右下にある「GET $50 DISCOUNT」をクリックして表示される文字列を購入時に入力すると $149 …

OS X からシリアル接続(コンソール接続)するには

Cisco 等の本格的なネットワーク製品は初期アドレスや初期ユーザが無い場合が多く、SSH や TELNET で接続することが出来ません。これらの製品を設定するにはシリアル接続(コンソール接続)が必須です。今回は OS X から Cisco 機器にシリアル接続してみます…

DHCP のリース時間を確認するには

DHCP で割り当てられた IP アドレスのリース時間は OS 毎に以下の方法で確認出来ます。 Windows ipconfig /all コマンド OS X /var/db/dhcpclient/leases/ 以下のファイル Linux /var/lib/dhclient 以下のファイル

Cisco ASA を PPPoE でインターネットに接続するには

Cisco ASA を PPPoE クライアントにしてインターネット接続する場合の設定例は以下の通りです。今回は以下の環境で検証しました。 Cisco ASAv 9.3.1

Cisco IOS ルータへの Radius ログイン時、自動的に特権モードにするには

前回、「FreeRADIUS で RADIUS Proxy を設定するには」という記事を書きましたが、今回も Radius 関連の記事です。今回は以下を実装してみます。 管理者ユーザでログインすると、ログイン直後から特権モード 一般ユーザでログインすると、ログイン直後はユー…

FreeRADIUS で RADIUS Proxy を設定するには

検証業務を行っている際、Radius 認証をテストしたい場合があります。Radius サーバの実装には以下のような選択肢があるかと思います。 Windows の NPS Linux / UNIX の FreeRADIUS 今回は FreeRADIUS を使って Radius サーバと Proxy を構築します。

OS X での VPN 時に特定経路のみ、VPN にルーティングするには

VPN 接続時のトラフィック制御は以下 2 パターンに分類することが出来ます。 全てのトラフィックを VPN 経由にするケース 主に企業ユース。本社に FW や UTM があり、全トラフィックは必ずそこを経由させる… というパターン 特定の経路のみ、VPN 経由にする…

Metarouter 機能で RouterOS 上に OpenWRT な仮想ルータを起動するには

RouterOS の Metarouter 機能を使うとルータ内で仮想ルータを起動することが出来ます。Metarouter として起動する OS は一般的に以下の二通りが存在するようです。 RouterOS 内で RouterOS を起動する(ROS on ROS) RouterOS 内で OpenWRT を起動する(Open…

RouterBoard のトラフィックジェネレータ機能を利用するには

RouterBoard のトラフィックジェネレータ機能を使うと、トラフィックの負荷試験を簡単に行うことが出来ます。RouterBoard はスペックと比較して価格が非常に安い為、安価にトラフィック試験環境を作ることが出来ます。今回は「トラフィックを印加する側」「…

OS X で NIC に複数の IP アドレスを割り当てるには

検証や作業時、NIC に複数の IP アドレスを割り当てておくと便利な場合があります。OS X で NIC に複数の IP アドレスを割り当てるには ifconfig NIC alias コマンドを使います。

VyOS でネットワーク遅延やロスを発生させるには

WAN を模したテストをしている場合、遅延や損失(パケットロス)、帯域制限等を擬似的に発生させ、意図的に品質の悪い回線を模したい場合があります。そういった場合には以下のような手段があるかと思います。 FreeBSD で DummyNet を使う Linux で tc や WA…