IT – ページ 8 – 雑草魂

Nuro光

2015-10-062015-10-06 oyageng

先日, Nuro光に回線を変えたのだが, 速度はまぁいいとして, ブロードバンドルータが家庭内NW環境に対して非常にイケていない。

送られてきた機種はHuaweiのHG8045Q。
以前のプロバイダではNEC製のルータで, 設定するには基本的には不満はなかった(SNMPとか取れないのは嫌だったけど)。

今回の機器はもっと悪い。
いやね。11acに対応しているとか, 一般的なホームユースにはイイと思う。
無線AP買わなくていいし, 設定簡単だし。

ただ, NWの検証に・・・と考えると次の点でイケていない。

StaticRouteが設定できない
LAN側ネットワークアドレスにクラスC(192.168系)しか割り当てられない。
当然, クラスフル
SNMPは当然非公開(なのか設定自体されていないのか知らんが)
機種交換不可(Nuro光はこの機種しか提供していない)

StaticRoute or クラスレスには対応していて欲しかった・・・。

172.160.0/16を入れようとすると「サブネットが正しくありません」的なメッセージで一切受け付け無いとかダメすぎね?

ファームのバージョンアップとかで対応してくれるようになると非常に嬉しいのだが・・・。

おかげで家のNW構成を大きく変更するハメになったわ。

splunkでCiscoのACLのログをウォッチする

2015-09-292015-09-29 oyageng

せっかくSplunk入れていて, あんまし有用なログが取れない自宅の環境で, なんかみたいな～とおもい, CiscoのL3にACLきってSyslogに吐き出させて, アクセス先を見てみることにした。

やることは簡単。

1. ACLを書く@IOS

2. Data Inputにて

読み込むログファイルを指定する@Splunk

以上。

ほんとこれだけでいけるのだから簡単。

こんな感じで見れておもろい

ただ, ちょっと躓いたところがあったのでメモ。

1．プロトコルレベルで見たいなら, ACLはちゃんとIOSがポート番号までチェックするように記述すべし。

ただ単に,

ip access-list extended ToInternet
permit ip any any log
!

なんて書くと, Syslog上にTCPのポート番号が載らなくて, Splunkではサービスまで掘り下げられない。
たぶん, ルールにTCPのポート番号まで記載がないとチェックしないんだと思う。このままだとSyslog上はポート番号「0」(送信元／宛先共に)でのってしまってIPだけしか解析できない。

なので

ip access-list extended ToInternet
permit tcp any eq 0 any
permit ip any any log
!

とするなどしてACL上TCPのポート番号も見るようにしないと意図した結果を得られない。

【OwnCloud】アドレス変更のときのメモ

2015-09-082015-09-08 oyageng

プロバイダを変えた影響を受け, LAN内に複数セグメントを持つことができなくなった。
そのおかげでESXのセグメントも致し方なく変更せざるを得なくなり, サーバのIPアドレスを変えるハメになった。OwnCloudで次の設定変えないとWEB画面へのアクセスで拒否られる。(TrustedDomainの設定でIP直書きしているので)

/var/www/html/owncloud/config/config.php

・・・・・
‘trusted_domains’ =>
array (
0 => ‘192.168.x.x‘,
1 => ‘globalIPAddress‘,),
),
・・・・・

前回のプロバイダはDynamicDHCPといいながらも割り当てられたグローバルIPアドレスは3年間変わることはなかった。

今回はどうだか分からんが, そうなることを期待してグローバルからもアクセス出来る前提で設定は残しておく。

mode pvst

2015-07-292015-07-29 oyageng

Cisco IOS 15.1SYではSTPのモードで PVSTがサポートされなくなっていた。
もうRSTPで下位互換だからいいってことなのかしらね。

15.1SY リリースノート

でも, 結構現場は混乱するから統一してほしいなー.
37XXや2960系はまだいけるんでしょ?

【Cisco】無線LANの構成～その後～

2015-07-272015-07-27 oyageng

今日の休みをつかってやっと設定できた。

一応できはたが, 結局複数のSSIDに対して同一のVLANを設定することができないということで, 諦めた。

しかしまぁとりあえずやり方をメモしとく。

構成のイメージ。

SW側のサブIFとAP側のサブIFに同一のVLANを割り当てる。
VLAN1 にBridgeGroup10, VLAN2にBridgeGroup1を割り当てる。(今回はVLAN2をNativeにしたかったから。)

interface GigabitEthernet0.1
encapsulation dot1Q 1
no ip route-cache
bridge-group 10
no bridge-group 10 source-learning
bridge-group 10 spanning-disabled
!
interface GigabitEthernet0.2
encapsulation dot1Q 2 native
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!

無線インタフェースにサブインタフェースを作成。

interface Dot11Radio0.1
encapsulation dot1Q 1
no ip route-cache
bridge-group 10
bridge-group 10 subscriber-loop-control
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
bridge-group 10 spanning-disabledn !
interface Dot11Radio0.2
encapsulation dot1Q 2 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!

SSIDにVLANを割り当てる。

!
dot11 ssid ***

vlan 1

結果, ここで躓いた。

イチイチSSIDごとにセグメント作るのもアレだから今回はもういいやと。

んーーーなんかうまい方法ないかな。

【CiscoISR】初期設定

2015-05-212015-05-21 oyageng

ISRだと初回起動時にユーザ名とパスワードを変えるようにアラートメッセージがでるんだな。

そんなの初めて！！！だったから無視してIOSのバージョンアップして再起動かけたらログインできんなくなった・・・。

パスワードリカバリ手順に則ってやり直して, ユーザ名とパスワードを変えて, 面倒な手順を踏む羽目になった。

ここのページ「Ciscoルータ－はじめての起動」によるとerase startup-connfigで昔ながらの手順に戻せるらしいが, まぁ, これやって工場出荷時に戻すよりは素直にパスワード設定してもいいのではなかろうか。

というか, この設定, いらなくね？
キッティング時の手間が増えるだけなんだが・・・。

【ESX】 6.0.0へUpgrade

2015-05-142015-05-14 oyageng

とりあえず6.0が出たのでアップグレードした。

たしか6.0からvCenterをまたいでのvMortionができるんだっけ?
そんなんないから関係ないけど。

rufusってツールをつかってUSBブータブルを作っては見たものの我が家のPCではうまく起動せず。
結局DVD-Rにisoを焼いてポータブルDVDで起動した。

アップグレード時, NICがサポートされていないぞとメッセージが出たが, ここのサポートページをみて, まぁなんか行けるんじゃね？って判断して続行しました。

E1000のNICは6.0ではサポートしなくなるそうだが, うちのは今回は無事に動いたようですw
VMも特に問題なく動いたのでアップデートは無事に完了。
vSphere Clientも6.0にして完了!

にしても次のアップデートが怖いわ。NIC買い換えるのもアレだしなぁ。

【splunk】HTTPS化

2015-05-102015-05-10 oyageng

簡単。

WEB UIから

Setting → Server Settings → General settings の

「Enable SSL(HTTPS) in SplunkWeb ?」

を Yes にするだけ。

あとは

# splunk restart

でサーバ再起動。

FirewaldとかSELinuxあたりは調整済みとして。

家ではあまりいじれなかったから外から繋ぎたいという理由でHTTPSにした。

逆にHTTPでは繋がらなくなったがね。

【Splunk】Ciscoのログ設定(昨日のつづき)

2015-05-082015-05-08 oyageng

できました。

一度やり直した。

というか, データのSource TypeをSyslogにしたらいけた。

あとはACLのログを吐き出してしばし様子を見るか。
アクセス解析がちょっと楽しみだ。

そういえばサーバ起動時にSplunkが立ち上がらなかったからコレやっといた。

# splunk enable boot-start

あとはTwitterのログをとるといった記事を見かけたから今度やってみるかな。

【Splunk】Cisco Networkの設定がうまくいかん

2015-05-072015-05-07 oyageng

ダラダラとSplunkをいじっていたが, どうにもCisco Network Appの設定がうまくいかない。

ディレクトリ指定してログはとれるものの, Host表示がメチャメチャ。

デバイスが1台しか見えていないし, ホスト名もおかしい。

なんでだ。

怠けてなんも見てなかったが, しっかりとマニュアルに目を通すか・・・。

6.2のマニュアル

と思ってちょっとみたらただ単に必要な設定が入っていなかっただけだった。

ちゃんと表示されました

Setting » Data inputs » Files & directories » /var/log/rsyslog/***.log

のHost Field Valueにちゃんと機器のHostameが入っていなかったようだ。
# 入れたつもりだったんだけど・・・」

1Device1Logの環境ではこれでいいけど, これじゃめんどくさいからディレクトリどかんと入れたいときは,ディレクトリ指定だな！なんて思っていたんだが今度はこっちがうまくいかん。

なんでだ・・・。

カテゴリー: IT