Quantcast
Channel: NETWORK ENGINEER BLOG
Viewing all 266 articles
Browse latest View live

分散スイッチで Netflow を有効化する

February 23, 2015, 6:46 pm
$
0
0

Netflow は Cisco 社が開発した、ネットワークのトラフィックを収集・分析するための技術です。VMware 社の分散スイッチでは、NetFlow をサポートしており、ポートグループに流れるトラフィックを、コレクターに出力する事が可能です。

分散スイッチの設定

対象の分散スイッチを右クリックし「Manage Distributed Port Groups」をクリックします。
f:id:FriendsNow:20150202131608p:plain

「Monitoring」を選択し「Next」をクリックします。
f:id:FriendsNow:20150202131618p:plain

対象のポートグループを選択し「Next」をクリックします。
f:id:FriendsNow:20150202131625p:plain

Netflow を「Enabled」に設定し「Next」をクリックします。
f:id:FriendsNow:20150202131633p:plain

内容を確認し「Finish」をクリックします。
f:id:FriendsNow:20150202131642p:plain

分散スイッチを選択し「Manage」タブの NetFlow で、コレクターの設定等を行います。
f:id:FriendsNow:20150202131649p:plain

Netflow コレクタ(PRTG)の設定

「Sensors」タブから「Add Sensor」をクリックします。
f:id:FriendsNow:20150202131658p:plain

「Create a new Device」を選択し「Continue」をクリックします。
f:id:FriendsNow:20150202131705p:plain

Group を選択し「Continue」をクリックします。
f:id:FriendsNow:20150202131711p:plain

「Device Name」「IP Address」を設定し「Continue」をクリックします。
f:id:FriendsNow:20150202131723p:plain

「UDP port」「Active Flow Timeout」を設定し「Continue」をクリックします。
f:id:FriendsNow:20150202131734p:plain

ポートグループ間のトラフィック状況をモニターする事が可能となります。
f:id:FriendsNow:20150202131746p:plain

Search

Ontap シミュレーターで Flash Pool を試す

March 24, 2015, 3:28 am
$
0
0

Flash Pool とは

HDD と SSD が混在したアグリゲートを構成し、使用頻度の高いデータを SSD のキャッシュへ集めることで、HDD へのアクセスを低減する機能になります。データを移動させるわけではなく、アクセス頻度の高いデータを ONTAP が自動で判別し、キャッシュされる事から、運用稼動は発生しません。
下記は、ユーザ数の増加に伴うスループットの傾向です。(出典:Tech OnTap

f:id:FriendsNow:20150311205706p:plain
HDD のみで構成した場合、100ユーザの時点で HDD がボトルネックになり、スループットが頭打ちになっています。これに対して、Flash Pool を使用した場合は、ユーザの増加に伴い、スループットが向上しています。

Flash Pool の設定方法

ONTAP シミュレータで SSD Disk を擬似的に作成し、Flash Pool をを設定する際の手順になります。

SSD Disk の作成
  • Unlock the Diag user(7-Mode)
> priv set diag
*> useradmin diaguser unlock
*> useradmin diaguser password
  • Unlock the Diag user(Clustered Mode)
> set diag
*> security login unlock -username diag -vserver cluster1
*> security login password -username diag -vserver cluster1
  • Enter system shell(7-Mode)
*> systemshell
login: diag
Password:
%
  • Enter system shell(Clustered Mode)
*> systemshell -node cluster1-01
login: diag
Password:
%
  • Create SSD Disks(7-Mode/Clustered Mode)
% setenv PATH /sim/bin:$PATH
% cd /sim/dev
% sudo vsim_makedisks -t 35 -a 2 -n 14
% exit
  • Vefify the Disks(7-Mode)
*> disk show -n
*> sysconfig -r
  • Vefify the Disks(Clustered Mode)
*> disk show -container-type unassigned
*> system node run -node cluster1-01 sysconfig -r
  • Assign the Disks(7-Mode)
> disk assign  v6.16
  • Assign the Disks(Clustered Mode)
> disk assign -disk v6.16 -owner cluster1-01
Flash Pool の有効化
  • Enable the Flash Pool(7-Mode)
> aggr options aggr1 hybrid_enabled on
> aggr add aggr1 -T SSD 14
  • Enable the Flash Pool(Clustered Mode)
> storage aggregate modify -aggregate aggr1 -hybrid-enabled true
> aggregate add-disks -aggregate aggr1 -disktype SSD -diskcount 14
  • Use the Flash Pool(7-Mode)
> vol create myvol aggr1 1g
  • Use the Flash Pool(Clustered Mode)
> volume create -vserver svm-01 -aggregate aggr1 -volume myvol -size 1g

ESXi の証明書入れ替え

July 19, 2015, 8:49 am
$
0
0

こちらを参考にさせて頂きました。

ESXi の証明書は以下のフォルダに配置されています。

~ # cd /etc/vmware/ssl
/etc/vmware/ssl # ls -l
total 8
-rw-r--r--    1 root     root          1428 Jan 13 06:55 rui.crt
-r--------    1 root     root          1708 Jan 13 06:55 rui.key

既存証明書のファイル名を変更します。

/etc/vmware/ssl # mv rui.crt rui.crt.old
/etc/vmware/ssl # mv rui.key rui.key.old
/etc/vmware/ssl # ls -l
total 8
-rw-r--r--    1 root     root          1428 Jan 13 06:55 rui.crt.old
-r--------    1 root     root          1708 Jan 13 06:55 rui.key.old

新しい証明書を同フォルダに配置します。

/etc/vmware/ssl # ls -l
total 16
-rw-r--r--    1 root     root          1428 Jan 13 06:55 rui.crt
-rw-r--r--    1 root     root          1428 Jan 13 06:55 rui.crt.old
-r--------    1 root     root          1708 Jan 13 06:55 rui.key
-r--------    1 root     root          1708 Jan 13 06:55 rui.key.old

Manegement Agents を再起動します。

/etc/vmware/ssl # /etc/init.d/hostd restart
/etc/vmware/ssl # /etc/init.d/vpxa restart

証明書が更新されると、vCenterからホストが切断されますので、再接続が必要です。

SSL サーバー証明書について

July 20, 2015, 7:13 am
$
0
0

SSL サーバー証明書には以下の2つの機能があります。

サイトの実在証明
  • ウェブサイトを運営する組織が実在する事を確認する機能
    • SSL 通信では、まずサーバーが「SSLサーバ証明書」をクライアントに送信します。
    • クライアントは証明書について、次のことを確認します。
      • 証明書が信頼できる認証機関*1によって署名されているか。
      • 通信中のサーバーが、証明書に記載されているサーバーと一致しているか。
SSL暗号化通信
  • ウェブサイトで入力する情報を暗号化する機能
    • SSL サーバ証明書には「公開鍵」と「秘密鍵」が含まれ、クライアントは「公開鍵」を利用して入力情報を暗号化し、サーバは「秘密鍵」を使って解読します。
自己(オレオレ)証明書とは

通常、ウェブブラウザは、自分の知らない認証機関が署名したサーバ証明書が送られてくると、「信頼性を検証できない」という警告を出します。このような証明書が「オレオレ証明書」と呼ばれています。
利用者が限られている社内システムにおいては、問題ないかもしれませんが、不特定多数の利用者者がアクセスするサーバーにおいては、推奨されません。

オレオレ認証局の構築

Windows2012R2 を使用した構築例になります。AD インストール済みを前提とします。

Active Directory 証明書サービスをインストールします。
f:id:FriendsNow:20150720011826p:plain

役割サービスの選択で「認証機関」と「認証 Web 登録」をチェックします。
f:id:FriendsNow:20150720011910p:plain

インストール完了後、認証サービスを構成します。
f:id:FriendsNow:20150720011926p:plain

役割サービスの選択で「認証機関」と「認証 Web 登録」をチェックします。
f:id:FriendsNow:20150720011955p:plain

その他は、本例ではデフォルト値を使用します。

証明書を使用するサーバの構築

Microsoft 管理コンソール (MMC)から、署名要求(CSR)を作成します。
f:id:FriendsNow:20150720012018p:plain

「登録ポリシーなしで続行する」を選択します。
f:id:FriendsNow:20150720012049p:plain

テンプレートは「レガシキー」とし、要求形式は「PKCS」とします。
f:id:FriendsNow:20150720012109p:plain

詳細のプロパティをクリックします。
f:id:FriendsNow:20150720012136p:plain

サブジェクトを設定します。
f:id:FriendsNow:20150720012151p:plain

拡張機能のキー使用方法に「データの暗号化」と「サーバ認証」を指定します。
f:id:FriendsNow:20150720012218p:plain

秘密キーのサイズを「2048」とし、種類を「Exchange」とします。
f:id:FriendsNow:20150720012226p:plain

ファイル形式は「Base 64」とします。
f:id:FriendsNow:20150720012239p:plain

AD-CA*2にアクセスし「認証を要求する」をクリックします。
f:id:FriendsNow:20150720012248p:plain

「証明書の要求の詳細設定を送信する」をクリックします。
f:id:FriendsNow:20150720012257p:plain

「Base 64エンコード CMC・・」をクリックします。
f:id:FriendsNow:20150720012306p:plain

先の手順で生成した CSR の内容を貼付し、テンプレートに「Web サーバー」を指定します。
f:id:FriendsNow:20150720012318p:plain

Base 64 エンコードで「証明書」及び「証明書チェーン」をダウンロードします。
f:id:FriendsNow:20150720012329p:plain

MMC を使用して、「証明書」及び「証明書チェーン」をインポートします。
f:id:FriendsNow:20150720012341p:plain

証明書を適用する Web サイトを選択し「バインド」を実行します。
f:id:FriendsNow:20150720230830p:plain

サイトバインドの追加で、SSL 証明書を選択します。
f:id:FriendsNow:20150720230839p:plain

クライアント接続確認

証明書をインストールしていない場合、警告が表示されます。
f:id:FriendsNow:20150720231237p:plain

MMC を使用して、「証明書」及び「証明書チェーン」を「信頼されたルート証明機関」へインポートします。
※注意点として「ユーザー」ではなく「ローカルコンピュータに」インポートします。f:id:FriendsNow:20150720231249p:plain

警告が表示されず、アクセス可能となります。
f:id:FriendsNow:20150720231255p:plain

*1:通常は、ブラウザの製造元が信頼している認証機関

*2:http://AD-CAサーバのアドレス/certsrv

VMware Mirage について

July 26, 2015, 7:13 am
$
0
0

VMware Mirage の概要

管理は集中、アプリケーションはローカルで実行

  • 単一の PC イメージを IT 部門とエンドユーザー管理する論理レイヤに分離
  • VDI のように共通のマスターイメージを物理 PC に配信可能
  • ユーザーのデータやアプリケーションはマスターイメージで上書きされない
  • ユーザーが誤って削除したファイルもユーザー自身でリストア可能

f:id:FriendsNow:20150726122221p:plain:w600

VMware Mirage の構築

検証環境
  • VMware Mirage 5.4 を使用します。
  • Mirage Server の OS 及び DB 領域として、ローカルドライブ(C:\)を使用します。
  • Mirage Server はドメイン(example.com)に所属します。
  • Mirage Gateway Server はドメインに所属しません。
  • AD サーバに証明書サービスをインストールし、各サーバーへ証明書を発行します。
  • データーベースとして、SQL2012 Express を使用します。
検証構成

f:id:FriendsNow:20150727092520p:plain:w600

Mirage Server の構築

.NET インストール

Mirage Server は .NET Framework を必要としますのでインストールします。
f:id:FriendsNow:20150726230710p:plain

CSR 作成と証明書のインポート

「SSL サーバー証明書について」を参考に CSR 作成及び、証明書のインポートを行います。

SQL2012 Express インストール

以下の機能をインストールします。
f:id:FriendsNow:20150726230742p:plain

インスタンス ID は「MRGDB」とします。
f:id:FriendsNow:20150726230758p:plain

認証は「混合モード」を選択します。
f:id:FriendsNow:20150726230819p:plain

Mirage Management Server インストール

先の手順で作成したインスタンス「MRGDB」を指定してインストールします。
f:id:FriendsNow:20150726230901p:plain

Mirage Server インストール

先の手順で作成したインスタンス「MRGDB」を指定してインストールします。
f:id:FriendsNow:20150726230919p:plain

IIS のインストール

「Mware Mirage インストールガイド」を参考に必要な機能をインストールします。

WebManagemnet インストール

デフォルトの内容(HTTP:7080、HTTPS:7443)でインストールします。
f:id:FriendsNow:20150726230954p:plain

WebAccess インストール

デフォルトの内容(HTTP:6080、HTTPS:6443)でインストールします。
f:id:FriendsNow:20150726231014p:plain

IIS 証明書バインド

「SSL サーバー証明書について」を参考に バインドの設定を行います。

Management Console インストール

インストール後、Management Console を起動します。
f:id:FriendsNow:20150726231034p:plain

フォルダを右クリックし、「Add System on localhost」を選択します。
f:id:FriendsNow:20150726231045p:plain

Mirage Server 及び Mirage Gateway を管理します。
f:id:FriendsNow:20150726231056p:plain

Mirage Gateway の構築

CSR 作成

「SSL サーバー証明書について」を参考に CSR 作成及び、証明書(PFX 形式)のダウンロードを行います。

Mirage Gateway インストール

OVA をデプロイして起動後、以下のコマンドから基本設定を行います。

> sudo su -
# /opt/vmware/share/vami/vami_config_net

resolv.conf で nameserver を設定します。

# vi /etc/resolv.conf
nameserver 192.168.1.99
Mirage Gateway 設定

https://[MirageGatewayIP]:8443/WebConsole へアクセスします。

LDAP(本例では AD)を指定します。
f:id:FriendsNow:20150726231131p:plain

Mirage Server を指定します。
f:id:FriendsNow:20150726232816p:plain

先の手順でダウンロードした証明書をアップロードします。
f:id:FriendsNow:20150726231151p:plain

Mirage Client のインストール

Mirage Client のインストール

本例では、Mirage Gateway の FQDN を指定してインストールします。
f:id:FriendsNow:20150726231215p:plain

必要に応じて、Wanova.Desktop.Configurator.exe*1で設定を行います。
f:id:FriendsNow:20150726231234p:plain

「Service」タブの「Detailed log」で、サーバとの接続ステータスを確認可能です。
f:id:FriendsNow:20150726231249p:plain

一例として、サーバと接続が失敗した際のエラー内容と対処方法を以下に記載します。

  • 接続が失敗し、下記メッセージが出力されている場合は、証明書の問題である可能性があります。例えば、ローカル PC の「信頼されたルート証明機関」に証明書がインポートされていない等が考えられます。
SslPolicyErrors: RemoteCertificateChainErrors
ERROR Wanova.Net.Transport.GenericSocketWrapper Exception caught during socket creation: The remote certificate is invalid according to the validation procedure
  • 下記メッセージが出力されている場合は、証明書の内容と Mirage Client が指定したサーバ名に齟齬がある可能性があります。例えば、Mirage Gateway の FQDN ではなく、IP アドレスを指定している等が考えられます。
SslPolicyErrors: RemoteCertificateNameMismatch
ERROR Wanova.Net.Transport.GenericSocketWrapper Exception caught during socket creation: The remote certificate is invalid according to the validation procedure

*1:C:\Program Files\Wanova\Mirage Service\Wanova.Desktop.Configurator.exe

VMwareMirageの基本操作について

August 15, 2015, 6:20 am
$
0
0

はじめに

VMware Mirage は、PC を以下の6つの論理レイヤーに分離し、管理します。

  • ユーザーデータ設定レイヤー
    • レジストリに対する構成の変更等、ユーザーが設定した状態が含まれます。
  • ユーザーアプリケーションレイヤー
    • ユーザーがインストールしたアプリケーションが含まれます。
  • マシン ID レイヤー
    • 一意の識別子、ホスト名等が含まれます。
  • アプリケーションレイヤー
    • 1つ以上の部署、または業務部門アプリケーションのセットが含まれます。
  • ベースレイヤー
    • OS、アンチウイルス、ファイアウォール及び、Office 等の主要アプリケーションが含まれます。
  • ドライバライブラリレイヤー
    • 固有のハードウェアで使用するためのドライバのグループが含まれます。

レイヤ管理の手順

エンドポイントの登録

左ペインの[Pending Devices]から対象の仮想マシンを選択し[Centralize Endpoint]をクリックします。
f:id:FriendsNow:20150813234220p:plain

本例では[VMware Mirage Default CVD policy]を選択し[Next]をクリックします。
f:id:FriendsNow:20150813234240p:plain

その他の設定は全てデフォルトを指定し[Finish]をクリックします。
f:id:FriendsNow:20150813234304p:plain

左ペインの[CVD Inventory]から進捗を確認できます。
f:id:FriendsNow:20150813234323p:plain

ベースレイヤの作成

左ペインの[Pending Devices]から対象の仮想マシンを選択し[Create Reference CVD]をクリックします。
f:id:FriendsNow:20150813234414p:plain

[Base Layer]をクリックします。
f:id:FriendsNow:20150813234424p:plain

その他の設定は全てデフォルトを指定し[Finish]をクリックします。
f:id:FriendsNow:20150813234434p:plain

左ペインの[CVD Inventory]から進捗を確認できます。
f:id:FriendsNow:20150813234441p:plain

アップロード処理が完了後、[Capture Base Layer]をクリックし、Base Layer の作成処理を開始します。
f:id:FriendsNow:20150814104435p:plain

[Name]に Base Layer の名称を入力し[Next]をクリックします。
f:id:FriendsNow:20150814104511p:plain

その他の設定は全てデフォルトを指定し[Finish]をクリックします。
f:id:FriendsNow:20150814104528p:plain

左ペインの[CVD Inventory]から進捗を確認できます。
f:id:FriendsNow:20150814104537p:plain

アップロード処理が完了後、左ペインの[Layers]からレイヤの詳細情報が確認できます。
f:id:FriendsNow:20150814104545p:plain

OS マイグレーション

事前準備として、USMT を Mirage Server へインストールします。
Windows Automated Installation Kit for Windows 7から[KB3AIK_EN.iso]をダウンロードします。
ダウンロードしたイメージをマウントし、インストールします。
デフォルトでは、以下のフォルダにインストールされます。

C:\Program Files\Windows AIK\Tools\USMT

次に USMT 4.0 updateから HotFix をダウンロードします。

[Windows6.1-KB2023591-x64]を解凍後、4つのファイルを USMT のフォルダへ上書きコピーします。
f:id:FriendsNow:20150814160706p:plain

Mirage Console を起動し左ペインの[System Configuration]から[USMT]タブをクリックします。
[Import USMT Folder]をクリックし、USMT をインストールしたフォルダを指定します。
f:id:FriendsNow:20150814160745p:plain

以上で、Windows7 へマイグレートするために必要な USMT4.0 のインストールが完了しました。
f:id:FriendsNow:20150814160802p:plain

Windows8/8.1 へマイグレートするためには、USMT6.3 をインストールする必要があります。
Windows ADK for Windows 8.1 Updateから[adksetup.exe]をダウンロードします。
ダウンロードしたファイルを実行し、インストールします。
デフォルトでは、以下のフォルダにインストールされます。

C:\Program Files (x86)\Windows Kits\8.1\Assessment and Deployment Kit\User State Migration Tool

先の手順と同様に[Import USMT Folder]をクリックし、USMT をインストールしたフォルダを指定します。
f:id:FriendsNow:20150814160837p:plain

以上で、Windows8/8.1 へマイグレートするために必要な USMT6.3 のインストールが完了しました。
f:id:FriendsNow:20150814160845p:plain

左ペインの[CVD Inventory]から対象の仮想マシンを選択し[Migrate Windows OS]をクリックします。
f:id:FriendsNow:20150814161004p:plain

[Download and Apply Base Layer]を指定し[Next]をクリックします。
f:id:FriendsNow:20150814161011p:plain

ドメインの情報を設定します。本例では WORKGROUP を指定します。
f:id:FriendsNow:20150814161035p:plain

その他の設定は全てデフォルトを指定し[Finish]をクリックします。
f:id:FriendsNow:20150814161101p:plain

なお、USMT をインストールしていない場合、以下のエラーが出力されます。

USMT has not been imported to the server. VMware Mirage requires Microsoft USMT 6.3 for this operation.

f:id:FriendsNow:20150814161111p:plain

マイグレーション実行後、クライアント側で再起動が必要です。
f:id:FriendsNow:20150814161127p:plain

再起動後、Mirage により、Windows7→8.1のマイグレーションが実行されます。
f:id:FriendsNow:20150814161142p:plain

マイグレート及び、ベースレイヤが適用が完了します。
f:id:FriendsNow:20150814161150p:plain

ベースレイヤの適用

左ペインの[CVD Inventory]から対象の仮想マシンを選択し[Assign Base Layer]をクリックします。
f:id:FriendsNow:20150814200110p:plain

適用するベースレイヤをリストから選択し[Next]をクリックします。
f:id:FriendsNow:20150814200119p:plain

その他の設定は全てデフォルトを指定し[Finish]をクリックします。
f:id:FriendsNow:20150814203226p:plain

なお、適用先とベースレイヤの OS が異なる場合は、下記のとおりエラーとなります。

OS Mismatch. Windows operating system mismatch between layer and CVD.

f:id:FriendsNow:20150814203245p:plain

アップデートが完了し、クライアントで再起動した後、ベースレイヤが適用されます。
f:id:FriendsNow:20150814204020p:plain

対象のエンドポイントに、適用したベースレイヤが表示されます。
f:id:FriendsNow:20150814204317p:plain

アップレイヤの作成

左ペインの[Pending Devices]から対象の仮想マシンを選択し[Create Reference CVD]をクリックします。
f:id:FriendsNow:20150815221402p:plain

[App Layer]をクリックします。
f:id:FriendsNow:20150815221414p:plain

本例では[VMware Mirage Default CVD policy]を選択し[Next]をクリックします。
f:id:FriendsNow:20150815221425p:plain

その他の設定は全てデフォルトを指定し[Finish]をクリックします。
f:id:FriendsNow:20150815221459p:plain

左ペインの[CVD Inventory]から進捗を確認できます。
f:id:FriendsNow:20150815221516p:plain

クライアント側でレコーディングアプリレイヤが起動します。
f:id:FriendsNow:20150815221554p:plain

テストで、Tera Term/LogMeTT/TTLEditor をインストールします。
f:id:FriendsNow:20150815221656p:plain

[Finalize App Layer Capture]をクリックし、レコード処理を完了します。
f:id:FriendsNow:20150815221722p:plain

アプリケーションの内容を確認し[Next]をクリックします。
f:id:FriendsNow:20150815221730p:plain

[Name]に App Layer の名称を入力し[Next]をクリックします。
f:id:FriendsNow:20150815221739p:plain

その他の設定は全てデフォルトを指定し[Finish]をクリックします。
f:id:FriendsNow:20150815221757p:plain

左ペインの[CVD Inventory]から進捗を確認できます。
f:id:FriendsNow:20150815221804p:plain

アップロード処理が完了後、左ペインの[Layers]からレイヤの詳細情報が確認できます。
f:id:FriendsNow:20150815221815p:plain

アップレイヤの適用

左ペインの[CVD Inventory]から対象の仮想マシンを選択し[Assign App Layer]をクリックします。
f:id:FriendsNow:20150815221923p:plain

適用するアップレイヤを追加し[Next]をクリックします。
f:id:FriendsNow:20150815221929p:plain

その他の設定は全てデフォルトを指定し[Finish]をクリックします。
f:id:FriendsNow:20150815221956p:plain

アップデートが完了し、クライアントで再起動した後、アップレイヤが適用されます。
f:id:FriendsNow:20150815222016p:plain

VMware Mirage の File Portal について

August 16, 2015, 7:04 am
$
0
0

留意事項として、事前にベースラインを適用している必要があります。
また、ベースライン適用時に、Mirage Gateway にログインしているユーザーが、File Portal ユーザーになります。例として、下記 CVD(Name:WIN-K9VEUG0NIUT)の File Portal User は「User01」になります。
f:id:FriendsNow:20150816225805p:plain

File Portal ユーザーは、以下の URL にアクセスし、自分のファイルをダウンロードする事ができます。

https://Mirage Server IP:6443/Exploer

また、管理者は、以下の URL から全ユーザーのファイルをダウンロードする事ができます。

https://Mirage Server IP:6443/AdminExploer

注意点として、アクセス時に「HTTP 500 エラー」が出力される場合があります。
この場合、Mirage Server に「ASP.NET」をインストールします。詳細については、以下を参照ください。
HTTP error 500 or 403 when accessing VMware Horizon Mirage File Portal or Web Manager

C:\Windows\Microsoft.NET\Framework64\v2.0.50727\aspnet_regiis.exe -i
File Poral ログイン例

以下の URL でログインします。

https://192.168.1.10:6443/Exploer

File Portal User でログインします。
f:id:FriendsNow:20150816230103p:plain

自分のファイルをダウンロードする事ができます。
f:id:FriendsNow:20150816230111p:plain

管理者 File Poral ログイン例

以下の URL でログインします。

https://192.168.1.10:6443/AdminExploer

管理者ユーザーでログインします。
f:id:FriendsNow:20150816230128p:plain

任意のユーザーのファイルをダウンロードする事ができます。
f:id:FriendsNow:20150816230136p:plain

管理者 File Portal のアクセス制御について

管理者 Portal は、「ローカルセキュリティポリシー」で許可されたユーザーのみアクセス可能です。*1
File Portal をインストールした IIS サーバで、[ローカルセキュリティポリシー]をクリックします。
f:id:FriendsNow:20150816230155p:plain

[ローカルポリシー]の[ユーザー権の指定]から[ローカルでログオンを許可]をクリックします。
f:id:FriendsNow:20150816230203p:plain

アクセスを許可したいユーザーを追加します。
f:id:FriendsNow:20150816230213p:plain

これで、user01 でも管理者 File Portal へアクセス可能となります。
f:id:FriendsNow:20150816230219p:plain

(参考)
Horizon Mirage 4.4 Documentation Center

*1:デフォルトでは、Mirage をインストール後に追加したユーザー「user01」では、アクセスできませんでした。

ESXi で CDP を有効化

September 3, 2015, 4:09 am
$
0
0

ESXi で CDP を有効化し、Cisco のスイッチで認識させる設定です。

シェルで以下のコマンドを実行し、vSwitch0 で CDP を有効化します。

~ #  esxcfg-vswitch -B both vSwitch0

以下のコマンドで設定状態を確認します。「both」となっていれば有効です。

~ # esxcfg-vswitch -b vSwitch0
both

参考
VMware KB: Configuring the Cisco Discovery Protocol (CDP) with ESX/ESXi

Search

VMware Mirage の CVD Policy について

September 23, 2015, 3:46 am
$
0
0

例えば、複数のディスクドライブ*1を持つ PC からベースレイヤを作成し、それを単一のディスクドライブを持つエンドポイントに配布しようとすると、下記のようなエラーとなります。

Drive Letter Mismatch. Base Layer: 'c,e',Device:'c'

f:id:FriendsNow:20150923194201p:plain

これを回避するには、エンドポイントをベースレイヤと同様のディスク構成にするか、ベースレイヤのディスク構成をエンドポイントにあわせる必要があります。
「CVD Policy」では、保護対象とするディスクを明示的に設定できるため、これを使用してベースレイヤのディスク構成をエンドポイントにあわせることが可能です。

CVD Policy の作成

左ペインの[Polices]で[Add]をクリックします。
f:id:FriendsNow:20150923194254p:plain

[Protected volumes]で、保護対象のボリュームを「C:」のみに指定します。*2
f:id:FriendsNow:20150923194308p:plain

[Policies]に Policy(Name:Protect Only C volume)が作成されます。
f:id:FriendsNow:20150923194400p:plain

CVD Policy の適用

[Pending Devices]から対象の仮想マシンを選択し[Create Reference CVD(Base Layer)]をクリックします。
f:id:FriendsNow:20150923194415p:plain

作成した CVD Policy を選択し[Next]をクリックします。
f:id:FriendsNow:20150923194424p:plain

その他の設定は全てデフォルトを指定し[Finish]をクリックします。
f:id:FriendsNow:20150923194433p:plain

アップロード処理が完了後、[Capture Base Layer]をクリックし、Base Layer の作成処理を開始します。
f:id:FriendsNow:20150923194448p:plain

[Name]に Base Layer の名称を入力し[Next]をクリックします。
f:id:FriendsNow:20150923194457p:plain

その他の設定は全てデフォルトを指定し[Finish]をクリックします。
f:id:FriendsNow:20150923194505p:plain

上記で作成したベースレイヤは、単一のディスクドライブを持つエンドポイントに配布可能となります。

*1:e.g. ドライブレターC:とE:等

*2:対象の PC は、C:とE:のディスクドライブを持つ想定です。

Fortigate の HA 設定について

October 30, 2015, 7:34 pm
$
0
0
マスター選択プロセスについて

HA のマスターは、以下に基づいて選定されます。

  • 自動切り戻しが無効の場合(set override disable)
    1. モニタポートの接続(up)数が多いノード
    2. スレーブ側の age time(稼働時間)が設定値(デフォルト5分)より長い場合は現状維持、短い場合は3へ
    3. デバイスのプライオリティが大きいノード
    4. シリアル番号が大きいノード
  • 自動切り戻しが有効の場合(set override enable)
    1. モニタポートの接続(up)数が多いノード
    2. デバイスのプライオリティが大きいノード
    3. スレーブ側の age time(稼働時間)が設定値(デフォルト5分)より長い場合は現状維持、短い場合は4へ
    4. シリアル番号が大きいノード
※age time について
・マスター側の age time は常に0、スレーブ側がカウントされる。
・age time の設定は、"config system ha"の"ha-uptime-diff-margin"で行う。
・age time の設定値との差分は、"diagnose sys ha dump-by all-vcluster"で確認できる。
HA 設定例

アクティブ系の設定

config system ha
set group-name "fw-ha"		
set mode a-p			Active-Standby モード
set hbdev "wan2" 0 		HeartBeat のインターフェースとしてwan2を指定する
set override disable		自動切戻しなし
set priority 200		数値が高い方がアクティブ系
set monitor "internal1" "wan1" 	監視ポートの指定、対象ポートで故障発生時、切り替わる
set ha-mgmt-status enable	HA 管理設定を有効化
set ha-mgmt-interface "mgmt"	HA 構成時に各ノードを管理するインターフェースを指定
end

スタンバイ系の設定

config system ha
set group-name "fw-ha"
set mode a-p
set hbdev "wan2" 0
set override disable
set priority 100
set monitor "internal1" "wan1" 
set ha-mgmt-status enable
set ha-mgmt-interface "mgmt"
end

設定内容の確認

show system ha

HA 状態の確認

get system ha status

Fortigate の VDOM について

October 31, 2015, 7:52 am
$
0
0

FortiGateでは VDOM(Virtual Domain)によって、1台の Forti Gate 状に複数の仮想 Fortigate を構築することが可能です。また、複数の VDOM は、複数の物理インターフェースを束ねた LAG(Link Aggregation)インターフェースを共通で使用することが可能です。
例えば、以下のように VDOM-A と VDOM-B 上で PPPoE/NAT/IPsec を動作させ、これらのトラフィックを共通の LAG インターフェース上を流すといったことが可能です。

(例)VDOM-A と VDOM-B を1つの共通の LAG へ紐づけ

f:id:FriendsNow:20151031233541p:plain:w400

VDOM の設定

VDOM の有効化

config system global
set vdom-admin enable
end

VDOMの作成

config vdom
edit VDOM-A
next
edit VDOM-B
end
LAG(LACP)の設定*1
config vdom
edit root
config system interface
edit wan-lag
set vdom "root"
set type aggregate
set member "port1" "port2"
set lacp-mode active
next
edit lan-lag
set vdom "root"
set type aggregate
set member "port3" "port4"
set lacp-mode active
end

LAG 状態の確認

config vdom
edit root
config system  interface
get
VDOM のインターフェース設定と LAG への紐づけ

VDOM-A、VLAN100を適用したインターフェース"lan-lag-v100"を作成し、LAG を関連付け

config system interface
edit "lan-lag-v100"
set vdom "VDOM-A"
set ip 192.168.1.254 255.255.255.0
set interface "lan-lag"
set vlanid 100
end

VDOM-B、VLAN200を適用したインターフェース"lan-lag-v200"を作成し、LAG を関連付け

config system interface
edit "lan-lag-v200"
set vdom "VDOM-B"
set ip 192.168.2.254 255.255.255.0
set interface "lan-lag"
set vlanid 200
end

VDOM-A、VLAN10を適用したインターフェース"wan-lag-v10"を作成し、LAG を関連付け*2

config vdom
edit VDOM-A
config system interface
edit wan-lag-v10
set mode pppoe
set username "aaa@example.com"
set password ****
set interface "wan-lag"
set vlanid 10
set vdom VDOM-A
end

VDOM-B、VLAN20を適用したインターフェース"wan-lag-v20"を作成し、LAG を関連付け*3

config vdom
edit VDOM-B
config system interface
edit wan-lag-v20
set mode pppoe
set username "bbb@example.com"
set password ****
set interface "wan-lag"
set vlanid 20
set vdom VDOM-B
end

*1:LAG インターフェースは、root VDOM に所属する必要があります。

*2:同時にインターフェースで PPPoE を有効化

*3:同時にインターフェースで PPPoE を有効化

Fortigate の IPsec 設定方法

October 31, 2015, 8:10 am
$
0
0

Fortigate で VDOM を有効化し、VDOM 上で IPsec を設定する場合の例を紹介します。Hub-and-Spoke ネットワークトポロジーで、Hub 側が「固定IP」、Spoke 側が「不定IP」を想定した IPsec-VPN の設定例になります。

Hub 側 Phase1 の設定

config vdom
edit VDOM-A
config vpn ipsec phase1-interface
edit VDOM-A-IPsec
set interface wan-lag-v10
set mode aggressive
set type dynamic
set psksecret ****
end

Hub 側 Phase2 の設定

config vpn ipsec phase2-interface
edit VDOM-A-IPsec
set phase1name VDOM-A-IPsec
set src-subnet 192.168.100.0 255.255.255.0
set dst-subnet 192.168.200.0 255.255.255.0
end

Hub 側ポリシー設定

config vdom
edit VDOM-A
config firewall policy
edit 1
set srcintf "VDOM-A-IPsec"
set dstintf "any"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next
edit 2
set srcintf "any"
set dstintf "VDOM-A-IPsec"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next
edit 3
set srcintf "lan-lag-v100"
set dstintf "wan-lag-v10"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
end

Spoke 側 Phase1 の設定

config vpn ipsec phase1-interface
edit VDOM-A-IPsec
set interface "wan1"
set mode aggressive
set remote-gw 10.1.1.1
set psksecret ****
end

Spoke 側 Phase2 の設定

config vpn ipsec phase2-interface
edit "VDOM-A-IPsec"
set phase1name "VDOM-A-IPsec"
set src-subnet 192.168.200.0 255.255.255.0
set dst-subnet 192.168.100.0 255.255.255.0
end

Spoke 側ルート設定

config router static
edit 1
set dst 192.168.100.0 255.255.255.0
set device "VDOM-A-IPsec"
end

Cisco ASA のポータルページ無効化

November 25, 2015, 5:20 am
$
0
0

Cisco ASA で WebVPN を使用時、ブラウザで ASA のアドレスにアクセスすると以下のようなポータルサイトが表示されます。

f:id:FriendsNow:20151125222538g:plain

このポータルサイトを無効化するには、以下のコマンドを実行します。

ciscoasa# conf t
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# portal-access-rule 1 deny code 403 any
ciscoasa(config-webvpn)# end
ciscoasa# sh run web

VMware Photon Linux について

January 4, 2016, 2:49 am
$
0
0

2015.4 VMwareから、コンテナ向けに最適化された軽量 LinuxOS「Photon Linux」が公開されました。
これまで仮想化ハイパーバイザを中心とした製品を開発し、OS とは一定の距離を保っていた VMwareにとって大きな変化といえます。出典:Publickey

今回、vSphere ESXi5.5 の基盤上に Photon Linuxをインストールし、基本的な動作を確認してみました。

Photon Linuxのインストール

VMware Githubから[Photon OS, Tech Preview 2 Full ISO]をダウンロードします。
f:id:FriendsNow:20160104193639p:plain

次のサイトを参考に仮想マシンを作成し、ダウンロードしたイメージをマウントし起動します。
f:id:FriendsNow:20160104193726p:plain

今回は、Photon Full OS (All) を選択します。
f:id:FriendsNow:20160104194004p:plain

再起動後、インストール完了です。
f:id:FriendsNow:20160104194019p:plain

Photon Linuxの環境確認

今回インストールした Photon Linuxカーネルバージョンは、以下のとおりです。

# uname -a
Linux photon 4.0.9 #1-photon SMP Thu Aug 20 19:57:53 UTC 2015 x86_64 GNU/Linux

Photon Linuxディストリビューションバージョンは、以下のとおりです。

# cat /etc/lsb-release
DISTRIB_ID="VMware Photon"
DISTRIB_RELEASE="1.0 TP2"
DISTRIB_CODENAME=Photon
DISTRIB_DESCRIPTION="VMware Photon 1.0 TP2"

Docker のバージョンは、以下のとおりです。

> rpm -q docker
docker-1.8.1-1.ph1tp2.x86_64

Photon への SSHログイン

root ユーザでの SSHログインを許可します。*1

# vi /etc/ssh/sshd_config
# 134 行目あたりにある、「PermitRootLogin」を「yes」に変更します。
> PermitRootLogin yes

sshdを再起動します。

# systemctl restart sshd.service

Docker の起動

以下のコマンドで、Docker のサービスを開始します。

# systemctl start docker
# systemctl enable docker

Docker イメージのダウンロード

Docker イメージは、コンテナを実行するために必要なアーカイブ*2と、コンテナのメタ情報を持ちます。
多くのベースイメージは Docker Hub Registry で公開されているので、そこからダウンロードするのが一般的です。イメージのダウンロードは、docker pull コマンドを実行します。

(書式)
# docker pull {イメージ名}:{タグ名}

初期設定では、Docker レジストリとして「Docker Hub Registry」にアクセスするようになっています。

今回の例では、Ubuntu Linux Dockerイメージの最新版をダウンロードします。*3

# docker pull ubuntu

以下のコマンドで、ダウンロードした Docker イメージの一覧を確認します。

# docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
ubuntu              latest              d55e68e6cc9c        3 weeks ago         187.9 MB

Docker コンテナの作成・実行

docker run コマンドで、コンテナの新規作成と実行の両方を行います。

(書式)
# docker run [オプション] [--name {コンテナ名}] {イメージ名}[:{タグ名}] [コンテナで実行するコマンド] [引数]
主なオプション
  • 「-d」:バックグラウンドで実行する。(Web サーバー等、常時実行するコンテナで指定)
  • 「-i」:コンテナの標準入力を開く。(/bin/bashなどでコンテナを操作する際に指定)
  • 「-t」:tty(端末デバイス)を確保する。(/bin/bashなどでコンテナを操作する際に指定)
  • 「-p{ホストのポート番号}:{コンテナのポート番号}」:Docker のホストとポートマッピングを構成

今回の例では、Ubuntuイメージからコンテナ「web01」を作成、端末を開き bashを実行します。

# docker run -it --name web01 ubuntu /bin/bash
root@ef408ef16c7a:/#
コンテナで bash が実行され、プロンプトが表示されます。
一瞬で新規作成~起動まで完了し、コンテナ内で任意の操作ができます。

Web サーバーの「nginx」をコンテナにインストールします。

# apt-get install -y nginx

curlを使用して確認します。

# curl localhost
<!DOCTYPE html>
<html>
<head>
<...snip...>

確認が完了したら[Ctrl]+[d]キーで bashプロセスを終了します。
プロセスの終了とコンテナの停止は連動するため、この時点でコンテナ「web01」は停止状態になります。
端末を再度開く場合は、プロセスを起動し docker attach コマンドを使用します。

# docker start web01
# docker attach web01

Docker コンテナの確認

Docker コンテナの一覧は、docker ps コマンドで確認します。

(書式)
# docker ps [-a]

docker ps コマンドでは実行中のコンテナのみ表示されますが、「-a」オプションを付加すると、停止中のコンテナも表示されます。

# docker ps -a
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS                      PORTS               NAMES
ef408ef16c7a        ubuntu              "/bin/bash"              10 hours ago        Exited (0) 7 minutes ago                        web01
STATUS で「Up」は実行中、「Exit」は停止を示します。

Docker イメージの作成

上記で作成したコンテナ(web01)から、新しいイメージ(ubuntu_template)を作成してみます。

(書式)
# docker commit {コンテナ名}|{コンテナID} [{ユーザー名}/]{イメージ名}
# docker commit web01 user01/ubuntu_template

以下のコマンドで、作成した Docker イメージの一覧を確認します。

# docker images
REPOSITORY               TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
user01/ubuntu_template   latest              e1f421fdefaf        5 seconds ago       216.5 MB
ubuntu                   latest              d55e68e6cc9c        3 weeks ago         187.9 MB

Docker コンテナのバックグラウンド実行

作成したイメージには、nginx が含まれているので、こちらからコンテナを作成、実行してみます。

# docker run -d -p 80:80 --name web02 user01/ubuntu_template /usr/sbin/nginx -g 'daemon off;' -c /etc/nginx/nginx.conf
7f5b4a545ba47c356148b78898d74342bd56249bc4d71938648a79279c50c10f
80番ポートを Listen しバックグラウンドで実行するようにオプションを指定します。

バックグラウンドで実行しているため、docker ps コマンドの-aオプションなしでも表示されます。

# docker ps
CONTAINER ID        IMAGE                    COMMAND                  CREATED              STATUS              PORTS                NAMES
7f5b4a545ba4        user01/ubuntu_template   "/usr/sbin/nginx -g '"   About a minute ago   Up About a minute   0.0.0.0:80->80/tcp   web02

Docker コンテナのの停止

実行中の Docker コンテナは、docker stop で停止します。

(書式)
# docker stop {コンテナ名}|{コンテナID}

停止後、docker ps を実行すると表示されなくなります。

# docker stop web02
web02
# docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES

Docker コンテナのの削除

Docker コンテナは docker rm、Docker イメージは docker rmiで削除します。

(書式)
# docker rm {コンテナ名}|{コンテナID}
# docker rmi {イメージ名}|{イメージID}

今回作成した Docker コンテナを削除します。

# docker rm web01
# docker rm web02

次に Docker イメージを削除します。

# docker rmi user01/ubuntu_template
Untagged: user01/ubuntu_template:latest
Deleted: e1f421fdefaf4c60018ccd3fbec43483ec8c6d07d3232d8c67293878e5422e6f

*1:Photon では、デフォルトで SSHが有効化されていますが、root ユーザでのログインは禁止されています。

*2:全てのディレクトリ/ファイルを含む

*3:タグ名を指定しない場合、多くのイメージには最新版(Latest)が指定されます。

windows 2012 R2 のリモートデスクトップ同時接続数について

January 16, 2016, 5:56 am
$
0
0

Windows Server のリモートデスクトップについて、デフォルトで接続できるのは「2ユーザー」までとなっています。3ユーザー以上の接続に対応するためには、サーバーにリモートデスクトップサービスをインストールし、RDS CAL ライセンスの購入及び、アクティベーションをする必要があります。
以下、Windows Server 2012 R2での手順になります。

デフォルトでは、以下のとおり2ユーザーまでとなっています。
f:id:FriendsNow:20160116225333p:plain

「役割と機能の追加ウィザード」で「リモートデスクトップサービス」を選択し「次へ」をクリックします。
f:id:FriendsNow:20160116225344p:plain

リモートデスクトップセッションホスト」と「リモートデスクトップライセンス」を選択します。
f:id:FriendsNow:20160116225407p:plain

「インストールオプション」を確認し「インストール」をクリックします。
f:id:FriendsNow:20160116225429p:plain

インストール後、再起動をします。
f:id:FriendsNow:20160116225443p:plain

再起動後、「管理ツール」から「リモートデスクトップライセンスマネージャー」を実行します。
f:id:FriendsNow:20160116225455p:plain

対象のサーバーを選択し、「サーバーのアクティブ化」をクリックします。
f:id:FriendsNow:20160116225507p:plain

サーバーのアクティブ化ウィザードが起動しますので、ライセンスキーの追加等を行います。
f:id:FriendsNow:20160116225517p:plain

状態が「アクティブ化」となれば、完了です。
f:id:FriendsNow:20160116225525p:plain

Search

SSL-VPN について

February 20, 2016, 8:47 am
$
0
0

VPNはインターネットのようなセキュリティが担保されていないネットワーク上で、認証・暗号化技術を用いて、利用者間で安全に通信可能にする技術です。代表的なものとして、SSL-VPNIPsec-VPNありますが、今回は SSL-VPNについて整理します。

SSL-VPNとは

その名のとおり、暗号化の手法として SSLを使用します。SSLについては、こちらをご参照ください。
SSL-VPNには、リバースプロキシポートフォワーディングL2フォワーディングの3方式があります。

リバースプロキシ

クライアントは、Web ブラウザのみで利用可能です。
端末から HTTPSSSL-VPN装置へ接続し、SSL-VPN装置は LAN 内のサーバのアドレスに変換して、サーバにアクセスします。Web ブラウザ上で動作するアプリケーションしか使用できない点に注意が必要です。

f:id:FriendsNow:20160221014619p:plain:w600

ポートフォワーディング

クライアントは、Web ブラウザのみで利用可能です。
端末から HTTPSSSL-VPN装置へ接続し、SSL-VPN装置から専用モジュール(java)を自動でダウンロードします。端末で実行したアプリケーションのデータは Javaによって、SSL-VPN装置に転送されます。
SSL-VPN装置は、事前に定義したポート番号とアプリケーションのマッピング情報を確認し、対応したサーバへデータを転送します。 FTP(アクティブモード)等、通信中にポート番号が変わるアプリケーションは使用できない点に注意が必要です。

f:id:FriendsNow:20160221014719p:plain:w600

L2フォワーディング

クライアントは、専用のソフトウェアをインストールする必要があります。
専用ソフトウェアは対象の通信を HTTP でカプセル化し、SSLで暗号化します。*1
全てのアプリケーションをサポートする事が特徴です。

f:id:FriendsNow:20160221014733p:plain:w600

*1:専用ソフトウェアはクライアントに仮想 NICを追加し、これを経由する通信が対象となります。

Fortigate の IPsec + NAT について①

March 7, 2016, 4:31 am
$
0
0

Fortigate では、IPsecVPNを構築しつつ、NAT によるオリジナル IP の送信元/宛先同時変換が可能です。
基本的に、送信元 NAT は Pool を使用し、宛先 NAT は、VIP を使用します。

以下、検証環境と設定例になります。
 
f:id:FriendsNow:20160307213313p:plain

FG01の設定

LAN の設定(FG01)
FG01 (port3) # show
config system interface
    edit "port3"
        set vdom "root"
        set ip 172.16.1.254 255.255.255.0
        set allowaccess ping
        set type physical
        set snmp-index 3
        set macaddr 00:0c:29:87:90:99
    next
end
WAN の設定(FG01)
FG01 (port2) # show
config system interface
    edit "port2"
        set vdom "root"
        set ip 10.1.1.1 255.255.255.0
        set allowaccess ping
        set type physical
        set snmp-index 2
        set macaddr 00:0c:29:87:90:8f
    next
end
IPsec P1の設定(FG01)
FG01 (phase1-interface) # show
config vpn ipsec phase1-interface
    edit "Site-to-Site"
        set interface "port2"
        set remote-gw 10.1.1.2
        set psksecret ENC
    next
end
IPsec P2の設定(FG01)
FG01 (phase2-interface) # show
config vpn ipsec phase2-interface
    edit "Site-to-Site"
        set phase1name "Site-to-Site"
    next
end
スタティックルートの設定(FG01)
FG01 (static) # show
config router static
    edit 1
        set dst 10.1.1.2 255.255.255.255
        set device "Site-to-Site"
    next
    edit 2
        set dst 10.1.1.102 255.255.255.255
        set device "Site-to-Site"
    next
    edit 3
        set dst 10.1.1.202 255.255.255.255
        set device "Site-to-Site"
    next
end
IP Pool(送信元 NAT)の設定(FG01)
FG01 (SNAT_Pool) # show
config firewall ippool
    edit "SNAT_Pool"
        set startip 10.1.1.1
        set endip 10.1.1.1
    next
end
VIP(宛先 NAT)の設定(FG01)
FG01 (vip) # show
config firewall vip
    edit "FG01-to-FG02_VIP01"
        set uuid 9c446d74-e3e0-51e5-23f6-655d05b2a6a7
        set extip 10.16.2.100
        set extintf "port3"
        set mappedip "10.1.1.102"
    next
    edit "FG01-to-FG02_VIP02"
        set uuid aef324ec-e3e0-51e5-689e-04209afa2da1
        set extip 10.16.2.200
        set extintf "port3"
        set mappedip "10.1.1.202"
    next
    edit "FG02-to-FG01_VIP01"
        set uuid 8ec4c5bc-e4a9-51e5-033e-de1418a24742
        set extip 10.1.1.101
        set extintf "Site-to-Site"
        set mappedip "172.16.1.100"
    next
    edit "FG02-to-FG01_VIP02"
        set uuid 9fd68fac-e4a9-51e5-7663-57222dfa5fa2
        set extip 10.1.1.201
        set extintf "Site-to-Site"
        set mappedip "172.16.1.200"
    next
end
Policy の設定(FG01)
FG01 (policy) # show
config firewall policy
    edit 1
        set name "VPN_FG01-to-FG02"
        set uuid f891e92a-e3e1-51e5-0e3b-91fa14308e4c
        set srcintf "port3"
        set dstintf "Site-to-Site"
        set srcaddr "all"
        set dstaddr "FG01-to-FG02_VIP01" "FG01-to-FG02_VIP02"
        set action accept
        set schedule "always"
        set service "ALL"
        set nat enable
        set ippool enable
        set poolname "SNAT_Pool"
    next
    edit 2
        set name "VPN_FG02-to-FG01"
        set uuid 1b781702-e3e2-51e5-4422-9f9a73aa7fed
        set srcintf "Site-to-Site"
        set dstintf "port3"
        set srcaddr "all"
        set dstaddr "FG02-to-FG01_VIP01" "FG02-to-FG01_VIP02"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end
Policy の設定(FG01)GUI

f:id:FriendsNow:20160307213020p:plain

FG02の設定

LAN の設定(FG02)
FG02 (port3) # show
config system interface
    edit "port3"
        set vdom "root"
        set ip 172.16.2.254 255.255.255.0
        set allowaccess ping
        set type physical
        set snmp-index 3
        set macaddr 00:0c:29:5c:5b:53
    next
end
WAN の設定(FG02)
FG02 (port2) # show
config system interface
    edit "port2"
        set vdom "root"
        set ip 10.1.1.2 255.255.255.0
        set allowaccess ping
        set type physical
        set snmp-index 2
        set macaddr 00:0c:29:5c:5b:49
    next
end
IPsec P1の設定(FG02)
FG02 (phase1-interface) # show
config vpn ipsec phase1-interface
    edit "Site-to-Site"
        set interface "port2"
        set remote-gw 10.1.1.1
        set psksecret ENC
    next
end
IPsec P2の設定(FG02)
FG02 (phase2-interface) # show
config vpn ipsec phase2-interface
    edit "Site-to-Site"
        set phase1name "Site-to-Site"
    next
end
スタティックルートの設定(FG02)
FG02 (static) # show
config router static
    edit 3
        set dst 10.1.1.1 255.255.255.255
        set device "Site-to-Site"
    next
    edit 2
        set dst 10.1.1.101 255.255.255.255
        set device "Site-to-Site"
    next
    edit 4
        set dst 10.1.1.201 255.255.255.255
        set device "Site-to-Site"
    next
end
IP Pool(送信元 NAT)の設定(FG02)
FG02 (SNAT_Pool) # show
config firewall ippool
    edit "SNAT_Pool"
        set startip 10.1.1.2
        set endip 10.1.1.2
    next
end
VIP(宛先 NAT)の設定(FG02)
FG02 (vip) # show
config firewall vip
    edit "FG02-to-FG01_VIP01"
        set uuid 46de5290-e3e1-51e5-9e4c-5113ad1c3275
        set extip 10.16.1.100
        set extintf "port3"
        set mappedip "10.1.1.101"
    next
    edit "FG02-to-FG01_VIP02"
        set uuid 57875fec-e3e1-51e5-d5e3-5a9b4143d7d8
        set extip 10.16.1.200
        set extintf "port3"
        set mappedip "10.1.1.201"
    next
    edit "FG01-to-FG02_VIP01"
        set uuid 64d65868-e4a1-51e5-d56c-e5c69a51fc51
        set extip 10.1.1.102
        set extintf "Site-to-Site"
        set mappedip "172.16.2.100"
    next
    edit "FG01-to-FG02_VIP02"
        set uuid 64e18602-e4a1-51e5-1796-ec44b48db451
        set extip 10.1.1.202
        set extintf "Site-to-Site"
        set mappedip "172.16.2.200"
    next
end
Policy の設定(FG02)
FG02 (policy) # show
config firewall policy
    edit 1
        set name "VPN_FG02-to-FG01"
        set uuid ec565c4e-e3e2-51e5-3259-c8c14fe0853c
        set srcintf "port3"
        set dstintf "Site-to-Site"
        set srcaddr "all"
        set dstaddr "FG02-to-FG01_VIP01" "FG02-to-FG01_VIP02"
        set action accept
        set schedule "always"
        set service "ALL"
        set nat enable
        set ippool enable
        set poolname "SNAT_Pool"
    next
    edit 2
        set name "VPN_FG01-to-FG02"
        set uuid f63b1ce0-e3e2-51e5-52fa-ef83a0b4e13b
        set srcintf "Site-to-Site"
        set dstintf "port3"
        set srcaddr "all"
        set dstaddr "FG01-to-FG02_VIP01" "FG01-to-FG02_VIP02"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end
Policy の設定(FG02)GUI

f:id:FriendsNow:20160307213054p:plain

確認

SV01(172.16.1.100)から SV02(10.16.2.100(VIP))へ Pingを実行時、172.16.1.100は、10.1.1.1に送信元NATされ、10.16.2.100は、10.1.1.102に宛先NATされています。

FG01 # diagnose debug enable
FG01 # diagnose debug flow trace start 20
id=20085 trace_id=2336 func=print_pkt_detail line=4696 msg="vd-root received a packet(proto=1, 172.16.1.100:22308->10.16.2.100:8) from port3. code=8, type=0, id=22308, seq=9."
id=20085 trace_id=2336 func=resolve_ip_tuple_fast line=4760 msg="Find an existing session, id-0002f029, original direction"
id=20085 trace_id=2336 func=ipv4_fast_cb line=53 msg="enter fast path"
id=20085 trace_id=2336 func=ip_session_run_all_tuple line=5825 msg="DNAT 10.16.2.100:8->10.1.1.102:22308"
id=20085 trace_id=2336 func=ip_session_run_all_tuple line=5813 msg="SNAT 172.16.1.100->10.1.1.1:62464"
id=20085 trace_id=2336 func=ipsecdev_hard_start_xmit line=157 msg="enter IPsec interface-Site-to-Site"
id=20085 trace_id=2336 func=esp_output4 line=846 msg="IPsec encrypt/auth"

Fortigate の IPsec + NAT について②

March 7, 2016, 5:12 am
$
0
0

Fortigate は基本的に送信元 NAT は Pool を使用し、宛先 NAT は VIP を使用しますが、送信元 NAT に VIP(1対1の変換)を適用する事も可能です。
なお、VIP の設定が送信元 NATに利用されるには Inbound Policy が必要です。
Using VIP range for Source NAT (SNAT) and static 1-to-1 mapping from internal to external IP addresses
Important note :?even if no connection needs to be initiated from external to internal, the?firewall policy number 2 is required?in order to activate the VIP range. Otherwise the IP address of the physical interface is used for NAT. In this example it is set as a "DENY" firewall policy for security purpose.

以下、検証環境と設定例になります。
 
f:id:FriendsNow:20160307221800p:plain

FG01の設定

LAN の設定(FG01)
FG01 (port3) # show
config system interface
    edit "port3"
        set vdom "root"
        set ip 172.16.1.254 255.255.255.0
        set allowaccess ping
        set type physical
        set snmp-index 3
        set macaddr 00:0c:29:87:90:99
    next
end
WAN の設定(FG01)
FG01 (port2) # show
config system interface
    edit "port2"
        set vdom "root"
        set ip 10.1.1.1 255.255.255.0
        set allowaccess ping
        set type physical
        set snmp-index 2
        set macaddr 00:0c:29:87:90:8f
    next
end
IPsec P1の設定(FG01)
FG01 (phase1-interface) # show
config vpn ipsec phase1-interface
    edit "Site-to-Site"
        set interface "port2"
        set remote-gw 10.1.1.2
        set psksecret ENC
    next
end
IPsec P2の設定(FG01)
FG01 (phase2-interface) # show
config vpn ipsec phase2-interface
    edit "Site-to-Site"
        set phase1name "Site-to-Site"
    next
end
スタティックルートの設定(FG01)
FG01 (static) # show
config router static
    edit 1
        set dst 10.1.1.102 255.255.255.255
        set device "Site-to-Site"
    next
    edit 2
        set dst 10.1.1.202 255.255.255.255
        set device "Site-to-Site"
    next
end
VIP(宛先 NAT)の設定(FG01)
FG01 (vip) # show
config firewall vip
    edit "FG01-to-FG02_VIP01"
        set uuid 9c446d74-e3e0-51e5-23f6-655d05b2a6a7
        set extip 10.16.2.100
        set extintf "port3"
        set mappedip "10.1.1.102"
    next
    edit "FG01-to-FG02_VIP02"
        set uuid aef324ec-e3e0-51e5-689e-04209afa2da1
        set extip 10.16.2.200
        set extintf "port3"
        set mappedip "10.1.1.202"
    next
    edit "FG02-to-FG01_VIP01"
        set uuid 8ec4c5bc-e4a9-51e5-033e-de1418a24742
        set extip 10.1.1.101
        set extintf "Site-to-Site"
        set mappedip "172.16.1.100"
    next
    edit "FG02-to-FG01_VIP02"
        set uuid 9fd68fac-e4a9-51e5-7663-57222dfa5fa2
        set extip 10.1.1.201
        set extintf "Site-to-Site"
        set mappedip "172.16.1.200"
    next
end

Policy の設定(FG01)

FG01 (policy) # show
config firewall policy
    edit 1
        set name "VPN_FG01-to-FG02"
        set uuid f891e92a-e3e1-51e5-0e3b-91fa14308e4c
        set srcintf "port3"
        set dstintf "Site-to-Site"
        set srcaddr "all"
        set dstaddr "FG01-to-FG02_VIP01" "FG01-to-FG02_VIP02"
        set action accept
        set schedule "always"
        set service "ALL"
        set nat enable
    next
    edit 2
        set name "VPN_FG02-to-FG01"
        set uuid 1b781702-e3e2-51e5-4422-9f9a73aa7fed
        set srcintf "Site-to-Site"
        set dstintf "port3"
        set srcaddr "all"
        set dstaddr "FG02-to-FG01_VIP01" "FG02-to-FG01_VIP02"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end
Policy の設定(FG01)GUI

f:id:FriendsNow:20160307213020p:plain

FG02の設定

LAN の設定(FG02)
FG02 (port3) # show
config system interface
    edit "port3"
        set vdom "root"
        set ip 172.16.2.254 255.255.255.0
        set allowaccess ping
        set type physical
        set snmp-index 3
        set macaddr 00:0c:29:5c:5b:53
    next
end
WAN の設定(FG02)
FG02 (port2) # show
config system interface
    edit "port2"
        set vdom "root"
        set ip 10.1.1.2 255.255.255.0
        set allowaccess ping
        set type physical
        set snmp-index 2
        set macaddr 00:0c:29:5c:5b:49
    next
end
IPsec P1の設定(FG02)
FG02 (phase1-interface) # show
config vpn ipsec phase1-interface
    edit "Site-to-Site"
        set interface "port2"
        set remote-gw 10.1.1.1
        set psksecret ENC
    next
end
IPsec P2の設定(FG02)
FG02 (phase2-interface) # show
config vpn ipsec phase2-interface
    edit "Site-to-Site"
        set phase1name "Site-to-Site"
    next
end
スタティックルートの設定(FG02)
FG02 (static) # show
config router static
    edit 1
        set dst 10.1.1.101 255.255.255.255
        set device "Site-to-Site"
    next
    edit 2
        set dst 10.1.1.201 255.255.255.255
        set device "Site-to-Site"
    next
end
VIP(宛先 NAT)の設定(FG02)
FG02 (vip) # show
config firewall vip
    edit "FG02-to-FG01_VIP01"
        set uuid 46de5290-e3e1-51e5-9e4c-5113ad1c3275
        set extip 10.16.1.100
        set extintf "port3"
        set mappedip "10.1.1.101"
    next
    edit "FG02-to-FG01_VIP02"
        set uuid 57875fec-e3e1-51e5-d5e3-5a9b4143d7d8
        set extip 10.16.1.200
        set extintf "port3"
        set mappedip "10.1.1.201"
    next
    edit "FG01-to-FG02_VIP01"
        set uuid 64d65868-e4a1-51e5-d56c-e5c69a51fc51
        set extip 10.1.1.102
        set extintf "Site-to-Site"
        set mappedip "172.16.2.100"
    next
    edit "FG01-to-FG02_VIP02"
        set uuid 64e18602-e4a1-51e5-1796-ec44b48db451
        set extip 10.1.1.202
        set extintf "Site-to-Site"
        set mappedip "172.16.2.200"
    next
end
Policy の設定(FG02)
FG02 (policy) # show
config firewall policy
    edit 1
        set name "VPN_FG02-to-FG01"
        set uuid ec565c4e-e3e2-51e5-3259-c8c14fe0853c
        set srcintf "port3"
        set dstintf "Site-to-Site"
        set srcaddr "all"
        set dstaddr "FG02-to-FG01_VIP01" "FG02-to-FG01_VIP02"
        set action accept
        set schedule "always"
        set service "ALL"
        set nat enable
    next
    edit 2
        set name "VPN_FG01-to-FG02"
        set uuid f63b1ce0-e3e2-51e5-52fa-ef83a0b4e13b
        set srcintf "Site-to-Site"
        set dstintf "port3"
        set srcaddr "all"
        set dstaddr "FG01-to-FG02_VIP01" "FG01-to-FG02_VIP02"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end
Policy の設定(FG02)GUI

f:id:FriendsNow:20160307213054p:plain

確認

SV01(172.16.1.100)から SV02(10.16.2.100(VIP))へ Pingを実行時、172.16.1.100は、10.1.1.101に送信元NATされ、10.16.2.100は、10.1.1.102に宛先NATされています。

FG01 # diagnose debug enable
FG01 # diagnose debug flow trace start 20
id=20085 trace_id=2436 func=print_pkt_detail line=4696 msg="vd-root received a packet(proto=1, 172.16.1.100:61476->10.16.2.100:8) from port3. code=8, type=0, id=61476, seq=1207."
id=20085 trace_id=2436 func=resolve_ip_tuple_fast line=4760 msg="Find an existing session, id-0002fbcc, original direction"
id=20085 trace_id=2436 func=ipv4_fast_cb line=53 msg="enter fast path"
id=20085 trace_id=2436 func=ip_session_run_all_tuple line=5825 msg="DNAT 10.16.2.100:8->10.1.1.102:61476"
id=20085 trace_id=2436 func=ip_session_run_all_tuple line=5813 msg="SNAT 172.16.1.100->10.1.1.101:61476"
id=20085 trace_id=2436 func=ipsecdev_hard_start_xmit line=157 msg="enter IPsec interface-Site-to-Site"
id=20085 trace_id=2436 func=esp_output4 line=846 msg="IPsec encrypt/auth"
id=20085 trace_id=2436 func=ipsec_output_finish line=496 msg="send to 10.1.1.2 via intf-port2"

Cisco と NetApp(7-Mode)で LAG 設定

April 4, 2016, 2:07 am
$
0
0

以前、Nexus と Netapp 間で LAG を構成する際の注意点の記事で LAG の設定例を書きましたが、NetAppのソフトウェアバージョン8.2では、少し設定が異なったのでメモします。
それぞれ2本のインターフェースで LAG を構成し、NetApp 側は VLAN101と102のインターフェースを作成します。Cisco側は VLAN101と VLAN102を透過する設定例になります。

Cisco側の設定
interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 101,102
 switchport mode trunk
 channel-group 1 mode on
!
interface GigabitEthernet0/2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 101,102
 switchport mode trunk
 channel-group 1 mode on
NetApp側の設定
ifgrp create multi ifgrp0 -b ip e0a e0b
vlan create ifgrp0 101 102
ifconfig ifgrp0-101 192.168.101.100 netmask 255.255.255.0 partner ifgrp0
ifconfig ifgrp0-102 192.168.102.100 netmask 255.255.255.0 partner ifgrp0
ifgrp status
default: transmit 'IP Load balancing', Ifgrp Type 'multi_mode', fail 'log'
ifgrp0: 2 links, transmit 'IP Load balancing', Ifgrp Type 'multi_mode' fail 'default'
         Ifgrp Status   Up      Addr_set
        up:
        e0a: state up, since 02Apr2016 13:18:54 (01:04:47)
                mediatype: auto-1000t-fd-up
                flags: enabled
                input packets 2408902, input bytes 3601548374
                output packets 1264232, output bytes 97298932
                up indications 1, broken indications 0
                drops (if) 0, drops (link) 0
                indication: up at 02Apr2016 13:18:54
                        consecutive 3887, transitions 1
        e0b: state up, since 02Apr2016 13:18:42 (01:04:59)
                mediatype: auto-1000t-fd-up
                flags: enabled
                input packets 0, input bytes 0
                output packets 122, output bytes 8396
                up indications 2, broken indications 1
                drops (if) 0, drops (link) 0
                indication: up at 02Apr2016 13:18:42
                        consecutive 4159, transitions 3

Catalyst4500-X VSS 設定例

April 16, 2016, 8:02 pm
$
0
0

VSS(Virtual Switching System)とは

VSS は、2台の Catalystを1台の論理スイッチとして運用するクラスタ技術です。
以前は Catalyst6500シリーズでのみ対応していた技術なのですが、Catalyst4500シリーズでもサポートするようになりました。以下、Catalyst4500-X での設定例になります。

Virtual Switch Domain の設定

Virtual Switch Domain は VSS を構成する 2 台をグルーピングしたものと定義され、Virtual Switch Domain ID が割り当てられます。この ID は VSS が存在するレイヤ2ネットワークにおいてユニークである必要があります。Virtual Switch Domain ID は 1 から 255 の範囲となり、Virtual Switch Domain を構成する2台で同じである必要があります。

Switch1

Switch(config)#switch virtual domain 100
Domain ID 100 config will take effect only
after the exec command 'switch convert mode virtual' is issued
Switch(config-vs-domain)#switch 1

Switch2

Switch(config)#switch virtual domain 100
Domain ID 100 config will take effect only
after the exec command 'switch convert mode virtual' is issued
Switch(config-vs-domain)#switch 2

Priority の設定(オプション)

vs-domain configuration sub-mode にて assign Switch ID とその Priority を関連づけます。*1
VSS Priority は HSRP 同様、高い Priority をもつノードが active となります。Priority が設定されていない場合、または同じ値が設定されている場合、低い Switch ID を設定した Switch が active となります。

Switch1

Switch(config)#switch virtual domain 100
Switch(config-vs-domain)#switch 1 priority 200
Switch(config-vs-domain)#switch 2 priority 100

Switch2

Switch(config)#switch virtual domain 100
Switch(config-vs-domain)#switch 1 priority 200
Switch(config-vs-domain)#switch 2 priority 100

Virtual Switch Link の設定

Virtual Switch Link は 1 または複数の物理ポートから構成され、設定及びステートフル情報を交換するのに利用されます。VSL では特殊なヘッダ(Virtual Switch Header)を付与されたフレームがやりとりされます。

Switch1

Switch(config)#interface port-channel 10
Switch(config-if)#switchport
Switch(config-if)#no shutdown
Switch(config-if)#switch virtual link 1
Switch(config-if)#exit
Switch(config)#interface range tenGigabitEthernet 1/1 - 2
Switch(config-if-range)#no shutdown
Switch(config-if-range)#channel-group 10 mode on
Switch(config-if-range)#end

Switch2

Switch(config)#interface port-channel 20
Switch(config-if)#switchport
Switch(config-if)#no shutdown
Switch(config-if)#switch virtual link 2
Switch(config-if)#exit
Switch(config)#interface range tenGigabitEthernet 1/1 -2
Switch(config-if-range)#no shutdown
Switch(config-if-range)#channel-group 20 mode on
Switch(config-if-range)#end

VSS へのコンバージョンを実施

Switch1 ⇒ Switch2の順番で“switch convert mode virtual”を実行します。
スイッチの再起動が必要なので、事前に Config を保存する必要があります。

Switch1

Switch#switch convert mode virtual
This command will convert all interface names
to naming convention "interface-type switch-number/slot/port",
save the running config to startup-config and
reload the switch.
Do you want to proceed? [yes/no]: yes

Switch2

Switch#switch convert mode virtual
This command will convert all interface names
to naming convention "interface-type switch-number/slot/port",
save the running config to startup-config and
reload the switch.
Do you want to proceed? [yes/no]: yes

再起動後、Active Switch(Switch1)のみで Route Processor にアクセスが可能となります。
Switch2 のコンソールは無効になり、全ての管理、トラブルシューティングは Active Switch に一元化されます。
なお、Switch2 のコンソールは以下のように変更されます。

Switch-standby>
Standby console disabled.
Valid commands are: exit, logout

VSS ステータスの確認

VSS のステータスは以下のコマンドで確認します。

Switch#show switch virtual
Executing the command on VSS member switch role = VSS Active, id = 1
Switch mode                  : Virtual Switch
Virtual switch domain number : 100
Local switch number          : 1
Local switch operational role: Virtual Switch Active
Peer switch number           : 2
Peer switch operational role : Virtual Switch Standby
Executing the command on VSS member switch role = VSS Standby, id = 2
Switch mode                  : Virtual Switch
Virtual switch domain number : 100
Local switch number          : 2
Local switch operational role: Virtual Switch Standby
Peer switch number           : 1
Peer switch operational role : Virtual Switch Active

VSL のステータスは以下のコマンドで確認します。

Switch#show switch virtual link
Executing the command on VSS member switch role = VSS Active, id = 1
VSL Status : UP
VSL Uptime : 7 minutes
VSL Control Link : Te1/1/1
VSL Encryption : Configured Mode - Off, Operational Mode - Off
Executing the command on VSS member switch role = VSS Standby, id = 2
VSL Status : UP
VSL Uptime : 7 minutes
VSL Control Link : Te2/1/1
VSL Encryption : Configured Mode - Off, Operational Mode - Off

Dual Active Detection の設定(VSLP dual-active fast-hello)

fast-hello の設定は以下のとおりです。

Switch(config)#switch virtual domain 100
Switch(config-vs-domain)#dual-active detection fast-hello
Switch(config)#interfae range tenGigabitEthernet 1/1/10 , tenGigabitEthernet 2/1/10
Switch(config-if-range)#dual-active fast-hello

Dual Active Detection の確認

DAD のステータスは以下のコマンドで確認します。

Switch#show switch virtual dual-active fast-hello
Executing the command on VSS member switch role = VSS Active, id = 1
Fast-hello dual-active detection enabled: Yes
Fast-hello dual-active interfaces:
Port       Local State                Peer Port
---------------------------------------------------
Te1/1/10   Dual Active Capable       Te2/1/10
Executing the command on VSS member switch role = VSS Standby, id = 2
Fast-hello dual-active detection enabled: Yes
Fast-hello dual-active interfaces:
Port       Local State                Peer Port
---------------------------------------------------
Te2/1/10   Dual Active Capable       Te1/1/10

*1:全ての設定と同期するために Priority は両方の Switch に設定されている必要があります。

Viewing all 266 articles
Browse latest View live
Search
<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>