BIG-IP での SNMP アクセス範囲の設定例
BIG-IP で SNMP アクセス許可範囲を設定する際、「どの IPv4 アドレスからでも許可する」つもりで設定しても、実際には上手く SNMP アクセス出来ないことがあります。今回は SNMP 設定(allowed-addresses 設定)の注意点について記載します。今回は TMOS 12.x 系で試してみます。
Blog¶
Cisco VIRL に PaloAlto を登録する
実際に「どの程度、使い物になるのか?」は別にして CIsco VIRL に PaloAlto を追加する為の手順は Adding the Palo Alto virtual machine to VIRL にまとめてくださった方がいます(感謝)。VIRL 1.0.0 の場合、UWM(User Workspace Manager)にログイン後、Node resources > Images から以下の JSON をインポートします。
RouterOS をアップグレード/ダウングレードする
RouterOS は比較的頻繁に更新されており、誰でも MikroTik の公式ダウンロードページ からダウンロードすることが可能です。今回は RouterOS と Firmware のアップグレード&ダウングレード手順をメモしておきます。具体的には以下の手順をメモしておきます。
- RouterOS
- RouterOS を最新 OS にアップグレードする(WebFig / CLI)
- RouterOS を指定 OS にアップグレードする(WebFig / CLI)
- RouterOS を指定 OS にダウングレードする(WebFig / CLI)
- Firmware
- Firmware をアップグレードする(WebFig / CLI)
OS X で Wireshark を複数ウインドウ開くには
何か問題が発生した時、Wireshark / tcpdump / tshark 等でパケットをキャプチャし、解析したい場合があります。しかし、OS X 版の Wireshark は通常だとウインドウがひとつしか開かない為、「複数のパケットキャプチャ結果を並べて表示し、比較する」ということが出来ません。こういった場合は以下のコマンドを実行することで Wireshark のウインドウを複数、開くことが出来ます。
1 | |
これで複数のキャプチャ結果を並べて表示し、比較&解析出来ます。
OpenWrt 化した RouterBoard を RouterOS に戻す
MikroTik の RouterBoard シリーズは OpenWrt に入れ替えることが出来ます。OpenWrt は機能も豊富で遊び甲斐がありますが、RouterOS に戻したくなる時もあります… そういった時は MikroTik が公式に配布している「Netinstall」というツールを使うことで簡単に RouterOS へ戻すことが可能です。尚、「OpenWrt 化 / RouterOS への戻し」作業に不慣れなうちは、コンソール付きの機種で試すことをオススメします。
スクリプト中で実行しているコマンドを表示する
普通にシェルスクリプトを書くと実行結果のみが表示され、『実行しているコマンドそのもの』は表示されません。「試験結果のエビデンスとして、結果と共にコマンドも残したい」「スクリプトをデバッグしたい」といった場合は実行結果だけでなく、実行したコマンドも表示されると便利です。今回は「スクリプト中で実行しているコマンドも表示する方法」をメモします。
Cisco APIC-EM をインストールする
Cisco の公式サイトにある APIC-EM のページで APIC-EM が一般公開されました。今回は APIC-EM のインストール手順をメモしておきます。
RouterOS での基本的な MPLS 設定
MikroTik 製品は全般的に安価です。しかしながら、MikroTik 製品に搭載されている RouterOS は 豊富な機能 を持っています。ローエンドモデルであれば家電店の店頭に並んでいるルータと大差無い価格で手に入りますが、RouterOS が搭載されているので(一部の機能はライセンスレベルに依存しますが)動的ルーティング、VPN、ファイアウォール、MPLS 等の比較的高度な機能も利用することが出来ます。今回は RouterOS を使って基本的な MPLS(L3 VPN)を設定してみます。具体的には「OSPF、BGP(Route Reflection)、MPLS(LDP)、VRF」等を設定していきます。
RADIUS をテストするには
RADIUS サーバの構築後にテストを実施する際、「実際に RADIUS クライアントとして設定したネットワーク機器やサーバへ SSH ログインし、RADIUS サーバで上手く認証されるか?を確認する」ことは、もちろん可能です。しかし、他にも(実際のログイン処理では無く)『テストコマンドで RADIUS 認証の挙動を確認する』方法があります。まずはテストコマンドで動作を確認し、上手くいったら実際のログインテストを試す… というのが最もスマートだと思います。メジャーなところでは以下のような方法があります。
- FreeRADIUS 付属の radtest を使う
- Cisco IOS の test aaa を使う
今回はこれらの RADIUS のテスト方法について記載してみます。RADIUS サーバには MikroTik の RouterOS を使いました。
RouterOS を簡易 RADIUS サーバとして設定する
検証で RADIUS サーバを用意したい場合、以下のような方法があります。もちろん、フリーウェアを探してみる… と言った手段もあると思います。
- Linux で FreeRADIUS を使う
- Windows Server 2012 以降の NPS(Network Policy Server)を使う
- NetAttest EPS、NetWyvern RADIUS、Account@Adapter+ のようなアプライアンス(の、評価版)を使う
他の手段として、MikroTik の RouterOS を使うと手軽に RADIUS サーバを作ることが出来ます。今回は CHR(Cloud Hosted Router)を RADIUS サーバとして設定し、Cisco IOS へのログイン認証を処理させます。