カテゴリー: 座学

C841M到着

oyageng

届きました。
注文から2日で。

かなりコンパクトですね。

いざ開梱!

卓上カレンダーを比較対象にするとわかるコンパクトさ加減
891FJの半分ですね。奥行き分が無い感じ

同梱物は電源アダプタのみ
コンソールケーブルやケーブルは無し

いやー大分小さいね。890シリーズと同じかと思っていたわ。寸法表見てなかったわw
4.4 X 34.3 X 17.5 cmって書いてありますね。

あとコレ,ルータだけど電源スイッチないのね。Catalystと同じで電源さすと自動でON。
まぁいいけど。

インストールされてきたIOSは
C800M Software (C800M-UNIVERSALK9-M), Version 15.5(1)T1, RELEASE SOFTWARE (fc2)
イメージファイルは c800m-universalk9-mz.SPA.155-1.T1.bin
でした。

IOSが15.5ということでNATに関するコレにヒットするからNATするときは念のためskinnyのデフォルト設定にも注意しておく必要があるのか。まぁ,基本関係ないけど。

さて,今日はこの程度にして明日以降設定するか・・・。

splunkでCiscoのACLのログをウォッチする

oyageng

せっかくSplunk入れていて, あんまし有用なログが取れない自宅の環境で, なんかみたいな~とおもい, CiscoのL3にACLきってSyslogに吐き出させて, アクセス先を見てみることにした。

やることは簡単。
1. ACLを書く@IOS
2. Data Inputにて
読み込むログファイルを指定する@Splunk
以上。
ほんとこれだけでいけるのだから簡単。

こんな感じで見れておもろい

ただ, ちょっと躓いたところがあったのでメモ。

1.プロトコルレベルで見たいなら, ACLはちゃんとIOSがポート番号までチェックするように記述すべし。

ただ単に,

ip access-list extended ToInternet
 permit ip any any log
!

なんて書くと, Syslog上にTCPのポート番号が載らなくて, Splunkではサービスまで掘り下げられない。
たぶん, ルールにTCPのポート番号まで記載がないとチェックしないんだと思う。このままだとSyslog上はポート番号「0」(送信元/宛先共に)でのってしまってIPだけしか解析できない。

なので
ip access-list extended ToInternet
 permit tcp any eq 0 any
 permit ip any any log
!

とするなどしてACL上TCPのポート番号も見るようにしないと意図した結果を得られない。

【OwnCloud】アドレス変更のときのメモ

oyageng

プロバイダを変えた影響を受け, LAN内に複数セグメントを持つことができなくなった。
そのおかげでESXのセグメントも致し方なく変更せざるを得なくなり, サーバのIPアドレスを変えるハメになった。OwnCloudで次の設定変えないとWEB画面へのアクセスで拒否られる。(TrustedDomainの設定でIP直書きしているので)

/var/www/html/owncloud/config/config.php

・・・・・
‘trusted_domains’ =>
 array (
 0 => ‘192.168.x.x‘,
 1 => ‘globalIPAddress‘,),
),
・・・・・

前回のプロバイダはDynamicDHCPといいながらも割り当てられたグローバルIPアドレスは3年間変わることはなかった。
今回はどうだか分からんが, そうなることを期待してグローバルからもアクセス出来る前提で設定は残しておく。

EtherChannelをShutdownするとき

oyageng

今更EhterChannelのインタフェースをShutかけたりするときの動きがあいまいになったから今一度整理した。 G0/1とG0/2でChannelGroup1で束ねるとする。 設定をひと通り終るとこうなる。

■1. 正常状態

G0/1 G0/2 Po1
up up up

ここで論理IFであるPo1をShutかけると, Po1に引きずられて束ねられている物理IFもShut状態になる。Config上もShutdownが入る。

■2. Po1をShutすると

G0/1 G0/2 Po1
shut shut up → shut

さらに, この状態から物理IFのどちらか一方に「no shut」すると, Po1もUPになる。

■3-1. G0/1にno shut

G0/1 G0/2 Po1
shut → up shut up

■3-2. G0/2にno shut

G0/1 G0/2 Po1
shhut shut → up up
Po1をShutした状態(2)からno shutかけると, 物理IFも(全て)no shutになる(upになる)。

■4. Po1をno shut

G0/1 G0/2 Po1
up up shut →up
唯一論理IFに物理IFが引きずられないケースがこれ。
論理IFを触らず, 物理IFだけをshutした場合。

■5. 物理IFがShut状態

G0/1 G0/2 Po1
shut shut down
このときはPo1はshutではなく, downの状態。
なので, この時にPo1にno shutとかしてもダメ。
ただし, この状態でPo1にshut→no shutとすると, ■4の状態に該当するため物理IFもupとなる。

まぁ, あまり気にしなくてもいいのかもしれないけどね。とりあえずこんな動きしまっせと。

【Cisco】無線LANの構成~その後~

oyageng

今日の休みをつかってやっと設定できた。

一応できはたが, 結局複数のSSIDに対して同一のVLANを設定することができないということで, 諦めた。

しかしまぁとりあえずやり方をメモしとく。

構成のイメージ。

SW側のサブIFとAP側のサブIFに同一のVLANを割り当てる。
VLAN1 にBridgeGroup10, VLAN2にBridgeGroup1を割り当てる。(今回はVLAN2をNativeにしたかったから。)

interface GigabitEthernet0.1
 encapsulation dot1Q 1
 no ip route-cache
 bridge-group 10
 no bridge-group 10 source-learning
 bridge-group 10 spanning-disabled
!
interface GigabitEthernet0.2
 encapsulation dot1Q 2 native
 no ip route-cache
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!

無線インタフェースにサブインタフェースを作成。

interface Dot11Radio0.1
 encapsulation dot1Q 1 
 no ip route-cache
 bridge-group 10
 bridge-group 10 subscriber-loop-control
 bridge-group 10 block-unknown-source
 no bridge-group 10 source-learning
 no bridge-group 10 unicast-flooding
 bridge-group 10 spanning-disabledn !
 interface Dot11Radio0.2
 encapsulation dot1Q 2 native
 no ip route-cache
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
 !
SSIDにVLANを割り当てる。

!
dot11 ssid ***

   vlan 1
結果, ここで躓いた。
イチイチSSIDごとにセグメント作るのもアレだから今回はもういいやと。
んーーーなんかうまい方法ないかな。

【Splunk】Ciscoのログ監視

oyageng

オフィシャルのAppsからCiscoで検索するといくつか出てくる。
その中からベーシックっぽい「Cisco Networks」というものをDLする。

左から2番目からアプリを探せる
Ciscoで検索すると幾つか出てくる

WebUIのAppsからもインストールできるっぽいのだが,どうもエラーでインストールできない。
たぶん,ログインしているアカウントとSplunkに登録したアカウントとの整合性な気がしてならない。
調査に時間とれないから,Splunkの公式WebからDLしてきてブラウザ経由でインポートした。

AppファイルをDLしてきたら「Install app from file」をポチッとして
ファイルを選んで突っ込む
参照先のログの設定とかすませてしばらくするとこういったレポートが出る

なかなかおもろい。
ただ,今はACL程度しか吐き出してないので特にセキュリティイベントが出てくるわけもなく。
個人の環境では面白いものはなかなか見れないかもな。
ハニーポッド的なWEBサーバを立ててあえてInternetにさらして観察するってのも面白いかもしれない。

Splunkを入れてみる

oyageng

さて,新しい職場にも慣れつつあるので久々に家の環境で遊んでみる。
Splunkに興味があったので入れてみることにした。

ここからDLする。自分はsplunk-6.2.2-255606-linux-2.6-x86_64.rpmをゲット。

インストールマニュアルも公式HPにあるので,参考にする。

デフォルトでは /opt/splunk にインストールされる。

終わったら

/opt/splunk/bin/splunk start

で起動。

http://IP Address:8000/

でアクセス可能。これだけか。簡単だなー。

初期パスワードを変えて
Login完了!

とりあえず家のL3SWとAPとZabbixあたりのログを吐き出して様子見てみるかね。

Add DataからサーバのSyslogディレクトリ選択してみると,なんとなくログが出た。
詳細はこれからいじってみてだな。

なんか出るが,所詮意味があるデータではまだない

外からownCloudへアクセスする

oyageng

家の中ではアクセスできるようになったownCloud。
当然外からもアクセスしたい。そのためにDMZ帯にたてたのだし。

また, 外にさらすのでポート番号は変えたい。(例えば8080等)

ssl.conf  を編集。

/etc/httpd/conf.d/ssl.conf
・・・
Listen 8080
・・・
<VirtualHost _default_:8080>

※ 事前にブロードバンドルータ側でGlobal IP AddressとサーバのIP AddressのNAT設定はしておく

大雑把な構成はこんな

httpdを再起動してアクセスすると, ポート番号は変わったものの外からのアクセスができない。
できないというか, SSLの確立でダメになっているみたい。
パケットのアドレスは変換されるが, SSLのヘッダに組み込まれたアドレスが外のGlobal IP Addressになっていて, 宛先違うじゃないのーって感じでサーバ側から拒否られているんだろう。(多分・・・)

調べてみるとtrusted_domainという設定が効いているらしく, ここも手を加えないと外からアクセス出来ない。
/var/www/html/owncloud/config 配下にある config.php を編集する。

/var/www/html/owncloud/config/config.php
<?php
$CONFIG = array (
・・・
・・・
  ‘trusted_domains’ =>
  array (
    0 => ‘192.168.2.50’, ‘globalIPAddress’,   /**  これを追記 **/
  ),
  ‘datadirectory’ => ‘/home/owncloud’,
  ‘overwrite.cli.url’ => ‘http://192.168.30.10/owncloud’,
 ・・・
・・・
  ‘loglevel’ => 1,
);

ついでにユーザデータのディレクトリの指定もここで変えられるから変えた。
※ これはパーティションの都合・・・

ここを変えた後はもとのファイルの移行をやっておく。

cp -rfa   /var/www/html/owncloud/data/*  /home/owncloud 

で, 改めてhttpdを再起動して完了。

今度はうまく行った。

うまく行ったといっても, クライアント側でアカウントを外用/中用と2つ作ってイチイチ切り替えなくてはならない。
なんかいい方法あるのかな。まぁ, タダだし文句は言うまい。

ownCloudのスループットをなんとなく見てみる

oyageng
入れてみたあと,どんだけ使えるのかがきになるところ。
140MBのファイルを共有フォルダへ入れて同期にどれだけ時間がかかるのか見てみた。
家の回線はau光1Gでブロードバンドスピード測定サイトで測ると大体上りで40~50Mbpsは出る。
対してLAN内は1Gの環境。サーバは古いPCを代用したしょぼいものでもそれなりに速度でるだろうとは思っていたけど, なかなかいい結果でした。
ownCloudのクライアントがホスト1つしか登録できないのでLAN内限定になってしまうが, スマホの写真をバカスカと外から共有かけるようなことはしないから, 今のところはいいか。
Dorpboxは帯域頭打ちとなった。
サービス側の帯域制御の関係かな。

LAN内なのでサクッと終わった。
家族でスマホの写真共有はこれで十分かもしれないね。