TCP zerowindow и сброс сессии 2

Расширение значение тайм-аута применения Tivoli решает проблему, как я уже упоминал в предыдущей статье.

предыдущей статье.

На этот раз, я выражаю значение тайм-аута по умолчанию 60 секунд до 600 секунд.

После графа выводы.


Принимающая сторона (192.168.1.55) посылает TCP ZeroWindow пакет.

Это indicats буфера TCP получения сторона полна.


Отправка стороны (192.168.1.10) посылает TCP ZeroWindow Probe пакет.

Это indicats отправляющая сторона просит принимающей стороны принять пакет или нет.


Принимающая сторона ответы ZeroWindowAck TCP пакетов.

Это indicats принимающая сторона еще не можете получить пакет.


После повторения этой связи много раз, принимающая сторона (192.168.1.55) посылает TCP ZeroWindow Update.

Это указывает на приемной стороне сообщает передающей стороне для отправки пакетов с этого момента!

NO	Time	Source	Dest	TCP
3201	20:19:05	192.168.1.10	192.168.1.55	TCP 1460 byte
3202	20:19:05	192.168.1.55	192.168.1.10	TCP Zerowindow
3203	20:19:06	192.168.1.10	192.168.1.55	TCP ZerowindowProbe
3204	20:19:06	192.168.1.55	192.168.1.10	TCP ZerowindowAck
3205	20:19:07	192.168.1.10	192.168.1.55	TCP ZerowindowProbe	проверить через 1 секунду
3206	20:19:07	192.168.1.55	192.168.1.10	TCP ZerowindowAck
3207	20:19:09	192.168.1.10	192.168.1.55	TCP ZerowindowProbe	проверить через 2,5 секунды
3208	20:19:09	192.168.1.55	192.168.1.10	TCP ZerowindowAck
3209	20:19:14	192.168.1.10	192.168.1.55	TCP ZerowindowProbe	проверить через 5 секунд
3210	20:19:14	192.168.1.55	192.168.1.10	TCP ZerowindowAck
3211	20:19:24	192.168.1.10	192.168.1.55	TCP ZerowindowProbe	Проверьте через 10 секунд
3212	20:19:24	192.168.1.55	192.168.1.10	TCP ZerowindowAck
3232	20:19:43	192.168.1.10	192.168.1.55	TCP ZerowindowProbe	Проверьте через 20 секунд
3233	20:19:43	192.168.1.55	192.168.1.10	TCP ZerowindowAck
3269	20:20:21	192.168.1.10	192.168.1.55	TCP ZerowindowProbe	Проверьте через 40 секунд
3270	20:20:21	192.168.1.55	192.168.1.10	TCP ZerowindowAck
3282	20:21:38	192.168.1.10	192.168.1.55	TCP ZerowindowProbe	Проверьте через 80 секунд
3283	20:21:38	192.168.1.55	192.168.1.10	TCP Zerowindow Update	Теперь я могу получать пакеты!

TCP zerowindow и сброс сессии

Я проверил TCP пакетов, когда сессия не работает.

Ниже, 192.168.1.55 принимает сторону резервного копирования пакетной передачи данных,192.168.1.10 посылает сторону резервного копирования пакетной передачи данных.

Tivoli Storage Manager Server(192.168.1.55),Tivoli Storage Manager Client(192.168.1.10)


После начала сеанса, 192.168.1.55 отправить TCP ZeroWindow очень скоро.

Это указывает на сервере TSM не может получить пакет, поскольку TCP буфера.

После этого, 192.168.1.10 отправить TCP ZeroWindow Probe пакет.

Это означает, что передающая сторона проверяет принимающую сторону, чтобы получить пакет или нет.

192.168.1.55 просто отвечает TCP ZeroWindowAck.
Это означает, что принимающая сторона еще не можете получить пакет.

Принимающая сторона и отправляющая сторона повторить это сообщение несколько раз.
Отправка стороне отправить TCP ZeroWindow пробный пакет только 1 секунду позже, так как общение началось, и через 2 секунды, отправьте еще ​​раз, и следующая составляет 4 секунды позже ..

Интервал подтверждения Я направляю на коэффициент 2.
И, наконец, принимающая сторона отправить RST пакет для сброса сообщения.

Разрешение, вы должны расширить значение тайм-аута применения Tivoli.
Tivoli отправляет RST пакета. Если значение тайм-аута продлен, то приложение будет ждать еще секунду для отправки резервного копирования данных, даже если TCP буфера принимающая сторона полна.



Продолжайте часть 2

NO	Time	Source	Dest	TCP
6087	17:40:51	192.168.1.10	192.168.1.55	ACK 1460Byte
6088	17:40:50	192.168.1.55	192.168.1.10	TCP ZeroWindow
6089	17:40:51	192.168.1.10	192.168.1.55	TCP ZeroWindow Probe
6090	17:40:51	192.168.1.55	192.168.1.10	TCP ZeroWindowAck
6091	17:40:52	192.168.1.10	192.168.1.55	TCP ZeroWindow Probe	Проверьте через 1 секунду
6092	17:40:52	192.168.1.55	192.168.1.10	TCP ZeroWindowAck
6093	17:40:54	192.168.1.10	192.168.1.55	TCP ZeroWindow Probe	проверить через 2,5 секунды
6094	17:40:54	192.168.1.55	192.168.1.10	TCP ZeroWindowAck
6095	17:40:59	192.168.1.10	192.168.1.55	TCP ZeroWindow Probe	проверить через 5 секунд
6096	17:40:59	192.168.1.55	192.168.1.10	TCP ZeroWindowAck
6097	17:41:09	192.168.1.10	192.168.1.55	TCP ZeroWindow Probe	Проверьте через 10 секунд
6098	17:41:09	192.168.1.55	192.168.1.10	TCP ZeroWindowAck
6099	17:41:28	192.168.1.10	192.168.1.55	TCP ZeroWindow Probe	Проверьте через 20 секунд
6100	17:41:28	192.168.1.55	192.168.1.10	TCP ZeroWindowAck
6107	17:42:06	192.168.1.10	192.168.1.55	TCP ZeroWindow Probe	Проверьте через 40 секунд
6108	17:42:06	192.168.1.55	192.168.1.10	TCP ZeroWindowAck
6157	17:43:22	192.168.1.55	192.168.1.10	Сброс сессий после 76 секунд

NOKIA ipso でフォワーディング設定を確認

ほぼ使うことのないコマンドですが、NOKIA IP330などFirewall-1がインストールされていたアプライアンス機器で、NOKIA ipso　というＯＳが動いていました。

そのOS上で、ＩＰフォワーディングが有効かどうか確認するときのコマンドです。

ipsofwd list

で確認します。


フラグが１の場合は、ONです。　⇒　IPフォワーディングします。

フラグが０の場合は、OFFです。　⇒　IPフォワーディングしません。

yumでプロキシ設定をする

linuxでyumコマンドの利用時にプロキシを経由させるには、/etc/yum.conf　ファイルに以下のように設定します。

プロキシサーバ（192.168.1.100）の、プロキシポート８０８０番を使用してインターネットへアクセスさせます。

認証をしている場合は、username ,passsword も設定します。



/etc/yum.conf

-------------------------------------------

proxy=http://192.168.1.100:8080
proxy_username=Username
proxy_password=Password

-------------------------------------------

Cisco無線APで 802.11b , 11g の両方を設定する

Cisco Aeronet で ieee 802.11b と 11g 端末向けのアクセスポイント設定をするには、dot11radio 0 インターフェースのspeed設定に以下の設定をいれます。

ちなみに、Aeronetのモデルは　AIR-AP1042N-P-K9　で、11n対応の機器です。

11bでしか接続できない端末がいたので、一時的に 11b　対応に変更してました。

------------------------------------------------------------------------


interface Dot11Radio0
 !
 !
 speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 m0. m1. m2. m3. m4. m5. m6. m7. m8. m9. m10. m11. m12. m13. m14. m15.

 !
 !

------------------------------------------------------------------------

これだと、11b の古い端末は１１Mbpsで接続、11gの端末は５４Mbpsで接続します。

⇒　シスコの参考サイト

Forwarder機能だけのDNS

外部インターネットへの名前解決をさせる Forwarder　DNSサーバを急遽構築しました。

ＢＩＮＤでＤＮＳフォワーダ機能だけが必要だったので、yumでＢＩＮＤをインストールしてから、ちょこっとファイルを編集しているだけです。

yum install bind* で bind をインストールしてから、デフォルトの named.conf ファイルを編集しています。



★デフォルト状態のnamed.conf ファイル
--------------------------------------------------------------------------


[root@linux etc]# more /etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query     { localhost; };
recursion yes;

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
type hint;
file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

[root@linux etc]#

--------------------------------------------------------------------------

★　options にある以下を変更します。

listen-on port 53 { 127.0.0.1; };    ⇒　listen-on port 53 { any; };  へ変更

allow-query     { localhost; };   ⇒   allow-query     { any; };    へ変更

service named start  で bind を起動すれば、外部DNSへのForwarderをしてくれるDNSサーバのできあがりです。

ちなみに、起動するサービスの設定については「Linuxで起動するサービスを設定するには」を参照してください。

bindは　bind-9.8.2-0.17.rc1.el6.3.i686　がはいってます。

Linux で使用しているDNSサーバのアドレスを確認

Linuxで参照しているDNSサーバのアドレスを確認するには、


more  /etc/resolv.conf


ファイルを確認します。

これでLinuxで設定しているＤＮＳサーバのアドレスが確認できます。


出力サンプル
-------------------------------------------


[root@linux ~]# more /etc/reosolv.conf
# Generated by NetworkManager
nameserver 210.150.255.66
nameserver 203.138.71.154
[root@linux ~]#

-------------------------------------------

Linux でIPアドレスを確認

Linux　でシステムに割り当てているIPアドレスを確認するには、


ifconfig -a


で確認できます

inet addr の箇所にアドレスが表示されています。


以下、出力サンプル
---------------------------------------------------------------------------


[root@linux ~]#  ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:11:11:11:11:11
          inet addr:192.168.1.6  Bcast:10.255.255.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:1111:1111/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:136227 errors:0 dropped:0 overruns:0 frame:0
          TX packets:65163 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:82578691 (78.7 MiB)  TX bytes:77430193 (73.8 MiB)

eth1      Link encap:Ethernet  HWaddr 00:22:22:22:22:22
          inet addr:192.168.12.6  Bcast:10.255.255.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:2222:2222/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:408624 errors:0 dropped:0 overruns:0 frame:0
          TX packets:363741 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:109416250 (104.3 MiB)  TX bytes:24343291 (23.2 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:44 errors:0 dropped:0 overruns:0 frame:0
          TX packets:44 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:46535 (45.4 KiB)  TX bytes:46535 (45.4 KiB)

---------------------------------------------------------------------------

これでLinuxへ設定しているＩＰアドレスを確認できます。

Linuxでルーティング情報を確認

Linuxでルーティング経路情報を確認するには、以下のコマンドです


netstat -rn


これで以下のようにLinuxで設定されているルーティング経路情報が確認できます。

linux routing tableの表示
-----------------------------------------------------------------------------


[root@linux ~]# rnetstat -rn
Kernel IP routing table
Destination       Gateway           Genmask           Flags     MSS    Window  irtt    Iface
192.168.12.0     0.0.0.0                255.255.255.0     U           0         0          0      eth1
192.168.1.0       0.0.0.0                255.255.255.0     U           0         0          0      eth0
192.168.2.0       192.168.12.231     255.255.255.0     UG         0        0          0       eth1
0.0.0.0             192.168.1.254       0.0.0.0               UG        0         0          0       eth0

-----------------------------------------------------------------------------

Linux yum でエラー

①
yum でbindをインストールしようとしても、以下のようにエラーになってしまいました。


--------------------------------------------------------

[root@linux ~]# yum install bind*
Loaded plugins: refresh-packagekit, rhnplugin
RHN との通信中にエラーが発生しました。
RHN Satellite または RHN Classic のサポートは無効になります。
サーバとの通信中にエラーが発生しました。メッセージ:
接続がタイムアウトしました
Setting up Install Process
Nothing to do

--------------------------------------------------------

②
名前解決もルーティングも問題なく、インターネットへ出れる状態ですが、yum でエラーになってしまっています。

--------------------------------------------------------

[root@linux ~]# ping www.yahoo.co.jp
PING www.g.yahoo.co.jp (124.83.235.204) 56(84) bytes of data.
64 bytes from f9.top.vip.ogk.yahoo.co.jp (124.83.235.204): icmp_seq=1 ttl=51 time=22.3 ms
64 bytes from f9.top.vip.ogk.yahoo.co.jp (124.83.235.204): icmp_seq=2 ttl=51 time=22.0 ms


--------------------------------------------------------


③
ルーティングを変えたりしていたら、エラーの内容が変わっていました。


--------------------------------------------------------

[root@linux etc]# yum check-update

Loaded plugins: refresh-packagekit, rhnplugin
RHN との通信中にエラーが発生しました。
RHN Satellite または RHN Classic のサポートは無効になります。
サーバとの通信中にエラーが発生しました。メッセージ:
ホストへの経路がありません


--------------------------------------------------------

④
特に yum.conf へプロキシの設定を入れているわけでもありません。

---------------------------------------------------------------------


[root@linux ~]# more /etc/yum.conf
[main]
cachedir=/var/cache/yum/$basearch/$releasever
keepcache=0
debuglevel=2
logfile=/var/log/yum.log
exactarch=1
obsoletes=1
gpgcheck=1
plugins=1
installonly_limit=3

#  This is the default, if you make this bigger yum won't see if the metadata
# is newer on the remote and so you'll "gain" the bandwidth of not having to
# download the new metadata and "pay" for it by yum not having correct
# information.
#  It is esp. important, to have correct metadata, for distributions like
# Fedora which don't keep old packages around. If you don't like this checking
# interupting your command line usage, it's much better to have something
# manually check the metadata once an hour (yum-updatesd will do this).
# metadata_expire=90m

# PUT YOUR REPOS HERE OR IN separate files named file.repo
# in /etc/yum.repos.d

---------------------------------------------------------------------



⑤
最終的には原因不明だったのですが、今までのyumエラーは結局はインターネットへ出れていない状態でエラーになっていたようです。

インターネットへは問題なかったはずなのですが、何か違っていたのでしょうね。。。

突然 yum のアップデートがかかるようになりました。

Linuxのバージョンを表示させる

LinuxでOSのバージョン情報を調べるには、以下コマンドで確認します。


①
uname -a


②
cat  /etc/redhat-release

※redhat の場合



①の出力結果
-------------------------------------------

[root@linux etc]#uname -a

Linux inetgw2 2.6.32-71.el6.i686 #1 SMP Wed Sep 1 01:26:34 EDT 2010 i686 i686 i386 GNU/Linux

-------------------------------------------



②の出力結果

-------------------------------------------

[root@linux etc]#cat /etc/redhat-release 

Red Hat Enterprise Linux Server release 6.0 (Santiago)


-------------------------------------------

Ciscoルータでポートフォワーディング

Ciscoルータでポートフォワーディングのコンフィグです。

と同時にLAN側からWAN側へのマスカレードNATも設定しています。

Dialerインターフェースをフル活用ですね。



コンフィグ抜粋
--------------------------------------------------------

!
interface Vlan1
 ip address 192.168.10.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Dialer0
 ip address negotiated
 ip mtu 1454
 ip nat outside
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.10.10 443 interface Dialer0 443
ip nat inside source static tcp 192.168.10.10 21 interface Dialer0 21
ip nat inside source static tcp 192.168.10.10 20 interface Dialer0 20
ip nat inside source static tcp 192.168.10.10 80 interface Dialer0 80
!
access-list 1 permit 192.168.10.0 0.0.0.255

!

--------------------------------------------------------

FortigateのスイッチポートをVLAN分け

Fortigate 110cなど、８ポートスイッチのLAN側を、VLAN分けする場合は以下のコマンドでおこないます。

コンフィグで、以下の２つのどちらのモードになっているかで動作が決まります。

①

set internal-switch-mode interface

②
set internal-switch-mode switch


①のinterface だと、各スイッチポートがルーテッドポートになっているモード
⇒　これだと、８ポートそれぞれにIPアドレスを割り振ることができて、VLAN分け可能ということ

②switch だと、８ポートスイッチや６ポートとしてスイッチとして機能しているモード
⇒　これだと、８ポートは同じセグメント。スイッチとして使用していること

ちなみに、このどちらかしか選択できないので、特定ポートだけルーテッドポ―トにする、みたいなことはできないです。（１～４番はスイッチ、５番だけIPセグメント別みたいなことね）

Ciscoの電源ケーブル

シスコの電源ケーブルについてメモ

cab-16awg-ac
--> NEMA-5-15 P の三つ口コンセントだからこっちがほとんどかと。

cab-JPN-ra　
---> こっちは二つ口のコンセントのやつぽい。

YAMAHAルータ ファームウェア変更方法

YAMAHAルータのファームウェアをアップデート、ダウングレードするには、tftpでできます。

Windowsのコマンドラインから、YAMAHAへファームウェアを転送しています。

ファーム情報はこちらで確認　⇒　ファーム情報

コマンド：

tftp -i  192.168.3.253 put rtx1500.8.03.87.bin exec

※ 192.168.3.253 のYAMAHAルータへ 8.03.87 バージョンのファームを送っています。

※YAMAHAルータでは、事前に　　tftpd host xx.xx.xx.xx 　でアクセス許可のコンフィグをしておきます。xx.xx.xx.xx にはtftpクライアントのアドレス。

※それと、LAN側からアクセスすること。

サンプル出力：
---------------------------------------------------


C:\>tftp -i 192.168.3.253 put rtx1500.8.03.87.bin exec
Transfer successful: 2367400 bytes in 20 seconds, 118370 bytes/s

---------------------------------------------------

Windowsでスタティックルートの追加

Windowsでスタティックルートを追加するには、コマンドラインから以下のように入力します。


route  add  192.168.1.0  mask  255.255.255.0  172.16.1.1



※ここでは、 192.168.1.0/24 のネットワークへ通信するには、 172.16.1.1 のゲートウェイに行けというスタティックルートを追加しています。

route add -p 　オプションを付けることで、再起動しても有効のままで設定できます。

オプションをいれないとLANケーブルを抜いただけでスタティックルートが消えてしまいます。

Windowsで何のプロセスがどのポートを使っている？

Windowsでプロセスと使用しているポートの関連付けをするには、以下のコマンドがよいです。

① netstat -oan

② tasklist

この２つのコマンドで確認します。

①では、リッスンしているポートと、プロセスIDが表示されます。

②では、プロセスIDとEXEが表示されます。

プロセスIDをキーにして関連付けすれば、どのEXEがどのポートを使用しているのか特定できます。


★netstat -oan の出力
---------------------------------------------------


C:\>netstat -oan

アクティブな接続

  プロトコル  ローカル アドレス          外部アドレス        状態           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       1060
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:623            0.0.0.0:0              LISTENING       4348
  TCP    0.0.0.0:902            0.0.0.0:0              LISTENING       3152
  TCP    0.0.0.0:912            0.0.0.0:0              LISTENING       3152
  TCP    0.0.0.0:5357           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:12345          0.0.0.0:0              LISTENING       2580
  TCP    0.0.0.0:16992          0.0.0.0:0              LISTENING       4348
  TCP    0.0.0.0:41380          0.0.0.0:0              LISTENING       2548
  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING       796
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING       1164
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING       1244
  TCP    0.0.0.0:49155          0.0.0.0:0              LISTENING       876
  TCP    0.0.0.0:49157          0.0.0.0:0              LISTENING       852

---------------------------------------------------



★tasklist の出力
---------------------------------------------------

C:\>tasklist

イメージ名                     PID セッション名     セッション# メモリ使用量

========================= ======== ================ =========== ============

System Idle Process              0 Services                   0         24 K

System                           4 Services                   0      2,832 K

smss.exe                       428 Services                   0      1,184 K

csrss.exe                      716 Services                   0      6,820 K

wininit.exe                    796 Services                   0      5,860 K

csrss.exe                      812 Console                    1     92,256 K

services.exe                   852 Services                   0     14,036 K

lsass.exe                      876 Services                   0     21,888 K

lsm.exe                        884 Services                   0      5,488 K

winlogon.exe                   956 Console                    1      8,448 K

---------------------------------------------------

Windows 7 でコマンドラインでプロキシ設定を確認

Windows 7 でプロキシ設定がどうなっているか確認する場合、以下のコマンドですぐに確認できます。

netsh  winhttp  show  proxy


といっても、サポートの電話などではコマンドラインを出すだけで一苦労かもしれませんが。。


出力サンプル：
--------------------------------------------------


C:\>netsh winhttp show proxy

現在の WinHTTP プロキシ設定:

    直接アクセス (プロキシ サーバーなし)。


C:\>

--------------------------------------------------

Windows 7 でコマンドラインでMTUサイズを変更

Windows７、VISTAで有効な手順です。

コマンドラインで簡単にMTU値を変更できるので楽です。

しかも、再起動せずに即座に反映されます。


手順：


①コマンドプロンプトを管理者として起動します。

※コマンドプロンプトのアイコンを、shiftキーを押しながら右クリックで、メニューの管理者として実行を選んでもよい。

②コマンドに以下を入力。（一行で入力してください）

netsh interface ipv4 set subinterface "ローカルエリア接続" mtu=1400  store=persistent

上のコマンドは、MTU値を「1400」にしたい場合の設定。



"ローカルエリア接続" などネットワーク名を確認する場合は、

ファイル名を指定して実行で

explorer.exe ::{7007ACC7-3202-11D1-AAD2-00805FC1270E}　と入力し実行すると、

ネットワーク接続の一覧が開きます。

その中に「ローカルエリア接続」などのアイコンがあります。

変更したいネットワークNICの名前を入力してMTU値を変更します。


補足ですが、MTU値の変更が確認できたりするサイトがありました。
⇒　Windowsサイズや、MTU値が確認できるサイト　

Windows2008 で telnet コマンドを使えるように

Windows２００８などのサーバでは、

いつものようにTELNETコマンドを使おうとすると、コマンドありませんとエラーになります。

仕方なく TeraTermを入れようとしても、ネットに出れなかったり、、インストールしていいのか、、ともどかしい場合があります。

事前にパッケージを入れておけばコマンドが入るので、以下実行すればよいようです。



pkgmgr /iu:"TelnetClient"

クライアント証明書のエクスポートについて

Windows ActiveDirectory 内でクライアント証明書を自動配布する場合、配布したクライアント証明書がエクスポートされて不正使用されることを考えてしまいます。

配布時に秘密鍵のエクスポートは制限がかけられます。

秘密鍵のエクスポートができないようにActiveDirectory証明書サービスのテンプレートでフラグをつけます。

制限をしていると、エクスポートウィザードでは以下の画面のように、エクスポートができなくなります。

iPadなどへ証明書を読み込ませる場合は、一時的にエクスポートを許可設定にして、秘密鍵と一緒にiPadへ読み込ませなければいけません。

ちなみに、APPLEでは、PEAP-TLSはサポートしてません。(2012年の時点で）

秘密鍵無しでエクスポートすると、ＩＥでインポートしたときに証明書の分類が「個人」でなく、「他の人」に分類されてしまいます。

この状態だと、認証時にクライアント認証で使用できません。

そうなるとＰＥＡＰ等の認証では、設定時にチェックボックス入れるのは個人証明書だから認証できないということになります。

 秘密鍵ありでエクスポートできた場合は、拡張子が.pfx で上のアイコンでファイルが表示されます。

 秘密鍵なしでエクスポートした場合は、拡張子が.cer で上のアイコンになります。

NPS(Network Policy Server)関連でのエラー

Windows ActiveDirectoryドメイン内で、クライアント証明書の自動登録が突然できなくなることがありました。

WindowsでRadius無線認証の仕組みを構築していた最中です。



クライアント側のイベントビューワを確認すると、autoenrollment でエラーが出ています。

以下のエラーが。

ネットワーク デバイス登録サービスは、証明書の要求 (0x800706ba) を送信できません。RPC サーバーは利用できません。

結局のところ、原因はACtiveDirectoryのDNSにNPSサーバの名前を登録していなかったからでした。

参考までに。

Windowsのネットワークまわり修復

Windowsで色んなモバイルのドライバをインストールした挙句、ネットワークまわりがおかしくなってしまって戻らなくなった場合の対処メモです。

そのまま壊れてしまうこともあるので、くれぐれも自己責任でお願いします。。

ちなみに、自分はWindowsXPでがんばりました。


ダイアルアップ時のエラー ERR 720 の参考リンク　⇒　ERROR 720 のリンク


★原因となっていそうなデバイスを削除
------------------------------------------------------

①「マイコンピュータ」を右クリック

②「プロパティ」を選択

③「詳細設定」タブ

④「環境変数」ボタン

⑤「システム環境変数」の「新規」ボタンとクリッ ク

⑥変数名に 「 DEVMGR_SHOW_NONPRESENT_DEVICES」と入力

⑦変数値欄に「1」を入力して再起動！！

⑧デバイスマネージャにて「表示」　⇒　「非表示のデバイスの表示」と選択すると、
過去にインストールした全てのドライバが灰色表示されます！

⑨ここで USBの灰色部分を右クリック⇒「削除」を選択して１つずつ削除します。。。
------------------------------------------------------


★TCP/IPの再インストール
----------------------------------------------------------------------
①[Start (スタート)] ⇒ [Control Panel (コントロールパネル)] ⇒ [Network Connections (ネットワーク接続)] ⇒ [Local Area Connection (ローカル エリア接続)] をクリック。


②[Properties (プロパティ)] をクリック。

③[Install (インストール)] をクリック。

④[Protocol (プロトコル)] を選択。

⑤[Add (追加)] をクリックします。

⑥[Have Disk (ディスク使用)] をクリック。
%Windir%\inf フォルダをブラウズします。

⑦[Open (開く)] をクリック。

⑧[OK] をクリック。

⑨[Internet Protocol (TCP/IP) (インターネットプロトコル (TCP/IP))] を選択します。
[OK] をクリック。

⑩コンピュータを再起動します。
----------------------------------------------------------------------


どうでしょうか。

NTT ONUのランプ状態

ONUのランプ状態についてメモ書き


★AUTHランプ

緑に点灯　正常


★UNIランプ

緑に点灯　正常
緑に点滅　正常でデータ通信中


★PON/TESTランプ

緑に点灯　正常
オレンジに点灯　故障中、もしくは運用準備中
オレンジに点滅　ファームウェアダウンロード中


★POWER/FAILランプ

緑に点灯　電源ON状態
赤に点灯　装置の故障
赤に点滅　ファームウェアのダウンロードが完了


とのことです。
機器によってはランプの名前が異なりますが、参考までに。

Nortel L4-7スイッチでグレースフルシャットダウン

Nortel スイッチ（BNTも同じ）での Graceful Shutdown のメモです。

グレースフルシャットダウンとは、L4-7バランサーで振り分け途中のリアルサーバへのコネクションが無くなるのを待ってから、バランシング対象から外す方法です。


方法は２つあります。

★方法①

/oper/slb/dis n

user the n option to suspend connection assignments to real server

ｎオプションで実行すると、バランサーがコネクションの割り当てを停止します。
このオプションはいきなり割り当てを停止して、既存の割り振られたセッションはそのままにします。

current session count on your server falls to zero,
you can shut down your server.

コネクション数がゼロになったら、サーバをシャットダウンとあります。


★方法②

/oper/slb/dis p

pオプションの場合は、パーシステンスのエイジングタイムも待ってからゼロにするから、このほうがいいかも。

パーシステンスで割り振られているセッションは後からきても、割り振ります。
なので、このオプションでゼロになるまで待ったほうが、確実ですね。


★復旧させるには

/oper/slb/ena

終わってから、サーバをEnableにして動かす

Nortelスイッチのコンフィグ取得

Nortelスイッチのコンフィグ取得方法メモです。

BNTスイッチも同じです。


デフォルトパスワードは admin です。

cfg/dump 　でコンフィグ取得します。


そのほか、

info/link

info/port


でインターフェースの状況を確認します。

NetScreen NSRPについて

★基本的なActive/Standby のNSRP構成を組む場合は以下を参考に

参考サイト

まっさらな状態からActive機のコンフィグをごそっととってくるような動きをします。

NSRP構成を２つ（合計４台）なんかで稼働させる場合は、VRRPのようにIDを同じネットワーク内で重複させないように気を付けてください。

NetScreenの場合は　cluster id 　を重複させてはいけません。

vsd-group は　vsd-group 0　で重複していても大丈夫です。




★ちなみに、SSG5 のデフォルトユーザＩＤ、パスワードは以下です。
netscreen/netscreen

★Adminユーザのアクセス制限がかかっている場合は、この部分を変更

set admin magager-ip ip_addr/mask

Google Appsメール で使用するポート

GoogleAppsメールで使用するポート番号は、SMTPSなどセキュリティ強化をしたポートを使っています。

iphoneでsoftbankやgoogleへメールを取りに行く場合、以下のポートがブロックされていると動かないので、開けておく必要があったりします。

★メール送信の場合

SMTPは TCPの465番や587番、

★メール受信の場合
POP３は TCPの995番 、IMAPはTCPの993番が使用されているみたいですね。


昔はSMTPが２５番、POP3が１１０番だけでしたが。

Fortigate でCRCエラー確認

FortigateのNICでCRCエラーが発生していないかを確かめるには、以下のコマンド。

以下では、internal のnic を調べています。　ここの名前を　external　などに変えて確認します。


 diagnose hardware deviceinfo nic internal

Ciscoルータで宛先毎にNATを変える

Ciscoルータで、 route-map を使用して、宛先毎に異なるSourceアドレスへNAT変換をしています。 あまり利用する機会はないかもしれませんが、ちょっと特殊な構成ですね。 --------------------------------------------------- ! interface FastEthernet0 ip address 192.168.10.1 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! interface Vlan1 ip address 192.168.15.1 255.255.255.0 ip nat outside ip virtual-reassembly ! ip route 192.168.10.120 255.255.255.255 192.168.15.2 ip route 192.168.10.130 255.255.255.255 192.168.15.2 ! ! no ip http server no ip http secure-server ip nat inside source static 192.168.10.110 192.168.15.4 route-map A1 ip nat inside source static 192.168.10.110 192.168.15.5 route-map A2 ip nat outside source static 192.168.1.1 192.168.10.130 ip nat outside source static 192.168.15.2 192.168.10.120 ! access-list 101 permit ip host 192.168.10.110 host 192.168.10.120 access-list 102 permit ip host 192.168.10.110 host 192.168.10.130 ! ! ! route-map A1 permit 10 match ip address 101 ! route-map A2 permit 10 match ip address 102 ! ! !

---------------------------------------------------

CentreCom Allied telesis スイッチでミラーポート

CentreComスイッチ（CiscoライクなのでないOSのAllied telesisスイッチ）でミラーポートを指定する手順です。

以下の例では、９番ポートのパケットを１番ポートへコピーしています。

---------------------------------------------------------
①１番ポートをミラーポートに設定
SET SWITCH MIRROR=１


②ソースポートを９番 ポートへ
SET SWITCH PORT=9 MIRROR={BOTH|NONE|RX|TX}]

※BOTHにする指定する場合が多いかと。ポートへのIn,Out両方とるので。

③ポートミラーリング機能を有効にする。
ENABLE SWITCH MIRROR

ミラーポートの設定は変化しない。デフォルトは無効です。
---------------------------------------------------------


ミラーを停止するには、以下のコマンドです。

---------------------------------------------------------

disable switch mirror

set switch mirror=none

set switch port=9 mirror=none


---------------------------------------------------------

ASA5520 へVPNユーザ作成

Cisco ASA5520 でVPNアクセスの設定をコマンドラインからします。

ユーザは user001 , グループは GroupA で作成しています。

ちなみに、ログイン時にユーザは固定アドレスでLAN側アドレスが割り当てられます。




★まずは、アクセスリストを作成（グループ定義へ適用する）
-----------------------------------------------------

access-list GroupA_Split standard permit ip 192.168.100.0 255.255.255.0

access-list GroupA_ACL extended permit ip any host 192.168.100.150

-----------------------------------------------------

★次にグループへ適用する定義を作成します。
グループ名と同じ定義名にしています。

split-tunnel-network-list でスプリットトンネル先を指定、

あとは社内LANへアクセスしてくる端末へアクセスリストを適用しています。

----------------------------------------------------------------

group-policy GroupA internal
group-policy GroupA attributes
 wins-server none
 dns-server none
 dhcp-network-scope none
 vpn-idle-timeout none
 vpn-session-timeout none
 vpn-filter value GroupA_ACL
 password-storage enable
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value GroupA_Split
 default-domain none
 split-dns none
 webvpn

----------------------------------------------------------------

★グループを作成
----------------------------------------------


tunnel-group GroupA type ipsec-ra
tunnel-group GroupA general-attributes
 address-pool GroupAPool
 default-group-policy GroupA
tunnel-group GroupA ipsec-attributes
 pre-shared-key *
 isakmp keepalive threshold 120

----------------------------------------------


★ユーザを作成
-------------------------------------------------------------------

username user001 password aaa.PcfssdfOsdpdfsdwc9 encrypted
username user001 attributes
 vpn-group-policy GroupA
 webvpn

-------------------------------------------------------------------


★割り当てるIPアドレスを指定

----------------------------------------------------------------

ip local pool GroupAPool 192.168.100.100 mask 255.255.255.0

----------------------------------------------------------------


★グループへ割り当てるACLを指定

-------------------------------------------------------------

group-policy GroupA internal
group-policy GroupA attributes
 vpn-filter value GroupA_ACL
 webvpn

-------------------------------------------------------------

Windows2008 イベントID 4201 Iphlpsvc

Cisco VPN Client をコマンドラインから起動する場合は、vpngui.exeの以下のオプションを実行します。

vpngui.exe　-sc -user ユーザ名 -pwd 　パスワード 　定義名

ただ、常時起動にさせる場合など、ログインユーザがログオフした場合に接続が切れてしまいます。

そんな時は、タスクスケジューラでイベントIDをトリガとして、このコマンドを実行します。


Windows 2008サーバのシステムイベントログに  イベントID：4201 Iphlpsvc というログが出るので、そのイベントをトリガとして、切れた場合にVPN接続を再実行させています。

IPSec で使用するポート

Cisco VPN Client と Cisco AnyConnect VPN で使用するポート一覧
⇒　Ciscoのサイト　使用するポート一覧

基本的には

①　UDP　５００

②　UDP　４５００

③　プロトコル番号 50 のESP

この３つが開いていればOKです。

IPSECの通信をUDP５００番で始めて、途中でNATがかかっていることがわかったら、その後UDP4500番へ変更します。

あとはNATがかかっているNW機器で NAT traversal ( IPSec through NAT , NAT-T とかいう）をONにしておく必要があります。

ちなみにプロトコル番号 51 は AH で使用します。使うことはあまりないですが、一応開けておきます。


ここのCisco FAQサイトにあるように、UDPの625xx 番のポートを使用している場合もあるようです。
Cisco VPN Client その他のポート

ちなみに意識して開けたことはないのですが・・

-------------------------------------------------------------------


62514 - Cisco Systems, Inc. VPN Service to Cisco Systems IPSec Driver
62515 - Cisco Systems IPSec Driver to Cisco Systems, Inc. VPN Service
62516 - Cisco Systems, Inc. VPN Service to XAUTH
62517 - XAUTH to Cisco Systems, Inc. VPN Service
62518 - Cisco Systems, Inc. VPN Service to CLI
62519 - CLI to Cisco Systems, Inc VPN Service
62520 - Cisco Systems, Inc. VPN Service to UI
62521 - UI to Cisco Systems, Inc. VPN Service
62522 - Log Messages
62523 - Connection Manager to Cisco Systems, Inc. VPN Service
62524 - PPPTool to Cisco Systems, Inc. VPN Service

-------------------------------------------------------------------


Windows2008 R2 や Windows 7 とのVPNソフト互換性対応表は以下情報がありました。

互換性対応表

Ciscoでは、今後は AnyConnect VPN へ統合されていくようですね。

Ciscoでスタティックルートを経路監視で制御

Ciscoルータで経路監視をするサンプルです。

以下の例ではスタティックルートを経路監視と連携させています。

経路監視が失敗した場合は、スタティックルートが消えるのです。

以下の例では、192.168.1.254 へ１０秒毎にPingで経路監視をしています。

life forever なのでルータ起動中はずっと監視しています。

もし、経路監視の 192.168.1.254 へPingが飛ばなくなったら、このスタティックルートは消えます。

track 設定にある、delay , up はPingがとんだり、とばなくなってから１０秒後にダウン、５秒後にアップするという設定です。

落ちたり、あがったりを繰り返さないように、少し時間をおいて経路監視を切り替えています。

----------------------------------------------------------------------------
!
track 1 ip sla 1 reachability
 delay down 10 up 5
!
!
ip route 192.168.1.0 255.255.255.0 172.16.1.2 track 1
!
!
ip sla 1
 icmp-echo 192.168.1.254 source-interface GigabitEthernet0/1
 frequency 10
ip sla schedule 1 life forever start-time now
!
----------------------------------------------------------------------------

Catalystスイッチでトランクフェイルオーバ

Cisco Catalystスイッチでトランクフェイルオーバのサンプルです。

以下の例では、アップリンクの 0/15 番ポートがダウンした場合、ダウンリンクの 0/1 ポートも同時にダウンさせるという設定です。

例えば、0/1 番ポートにサーバが接続されていた場合、チーミングして冗長化していても アップリンクの0/15 番ポートがダウンしてもサーバ側では検知することができません。

そんなときは、トランクフェイルオーバの設定をしてサーバ側でもアップリンクの障害を検知できるように設定します。

---------------------------------------------------------------------------------
!
link state track 1
!
!
interface GigabitEthernet0/1
 description Internal-Link
 switchport access vlan 10
 switchport mode access
 link state group 1 downstream
!
!
!
interface GigabitEthernet0/15
 description External-Link
 switchport access vlan 10
 switchport mode access
 link state group 1 upstream
!
---------------------------------------------------------------------------------

YAMAHAルータからTELNETを使えるようにするには

YAMAHA RTXルータでTELNETを使えるようにするには、以下の設定を追加します。

security class 1 on on

これでYAMAHA　RTXから他の機器へTELNETできるようになります。

CiscoへのTELNET接続を制限するには

CiscoルータやスイッチへTELNETアクセスできるセグメントを制限かける場合は、以下のコンフィグを追加します。

アクセスリストを作成し、vtyへ適用します。

以下では、 192.168.1.x , 10.x , 20.x , 30.x の４つのセグメントからのみ、Cisco機器へTELNET接続できます。それ以外のアドレスからは接続できません。

---------------------------------------------------------------------------
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 1 permit 192.168.20.0 0.0.0.255
access-list 1 permit 192.168.30.0 0.0.0.255
!
line vty 0 4
 access-class 1 in
 password  xxxxx
 login
!
---------------------------------------------------------------------------

CatalystスイッチへMAC制限リストを適用

CatalystスイッチでMACリストを適用するサンプルです。

MACリストはVLANインターフェースではなく、物理ポートへ直接適用します。

そうすることで、そのポートにアクセス可能なMACアドレスを制限して、LAN環境へアクセスできる端末を制限することができます。

MAC_LIST にある４台のみが Gigabitポートの１番、２番へ接続できます。


サンプル
--------------------------------------------------------------------------------
!
!
mac access-list extended MAC_LIST
 permit host 0eee.1111.1111 any 0x806 0x0
 permit host 1eef.1212.aaaa any 0x806 0x0
 permit host 1eef.7412.bbbb any 0x806 0x0
 permit host 1bbf.7122.15b3 any 0x806 0x0
!
!
!
interface GigabitEthernet0/1
 switchport access vlan 10
 switchport mode access
 mac access-group MAC_LIST in
 spanning-tree portfast
!
interface GigabitEthernet0/2
 switchport access vlan 10
 switchport mode access
 mac access-group MAC_LIST in
 spanning-tree portfast
!
!
interface Vlan10
 ip address 192.168.10.254 255.255.255.0
!
--------------------------------------------------------------------------------

CiscoでDHCPサーバ

CiscoルータやスイッチをDHCPサーバとする場合、リースするセグメントのアドレスを以下のように指定します。

DHCPサーバのサンプルコンフィグです。

# の特権モードから以下のようにコンフィグします。下の例は 192.168.1.x セグメントのアドレスをリースしています。

excluded-address はリース除外アドレスなので、このアドレスはリースされません。

あとは pool名で名前を LAN_Segment としています。

ゲートウェイやDNSを指定して、リース期間を３日にしています。


!
ip dhcp excluded-address 192.168.1.240 192.168.1.255
!
ip dhcp pool LAN_Segment
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 192.168.1.6 192.168.1.7
lease 3
!
!

FortigateのIPアドレスを確認するには

Fortigate でインターフェースに割り振っているIPアドレスを確認するには、

show system interface を実行します。

LANインターフェースの初期デフォルトのアドレスは 192.168.1.99　になっています。

アドレスを変更してわからなくなった場合はシリアル接続してから、コマンドで確認します。

デフォルト初期ログインユーザは admin のパスワードなし。

FGT110C# show system interface

config system interface
edit "wan1"
set vdom "root"
set ip 192.168.100.99 255.255.255.0
set allowaccess ping
set type physical
next
edit "modem"
set vdom "root"
next
edit "ssl.root"
set vdom "root"
set type tunnel
next
edit "wan2"
set vdom "root"
set allowaccess ping
set type physical
next
edit "switch"
set vdom "root"
set ip 192.168.1.99 255.255.255.0
set allowaccess ping https
set dns-query recursive
set type physical
next
end

FGT110C#

iphoneアプリ じゃんけんゲーム

こちらの資料を見ながらStoryboardを使ってじゃんけんゲームアプリをつくってみました。

ちなみに、自分も同様にxcodeのバージョンは4.5.2です。

すごくわかりやすいスライドになってます！

ちなみに私はこのゲームに勝敗結果をラベル表示するようにしてみました。

「　Syouritsu　」という結果を表すUILabelをつくり、そこへ勝敗によってHiddenをON,OFFしているところへ、

wincount,losecount,evencount　という変数へカウントしてゆきつつ、カウントした数値を表示するようにしました。


self.Syoritsu.text = [NSString stringWithFormat:@"%d勝%d敗%d分",wincount,losecount,evencount];


という行をじゃんけんするIBActionの最後の行へ追加して、結果表示しています。

あとは、メニューへ戻るときに wincount = 0; でカウントをクリアしています。

VMWareのMacOS X でMK330 Windowsキーボードを使う

Windowsキーボードをつかいこなすには、Windowsスタートキーがポイントになります。

このキーが、Macでいう Command キーになります。

ちなみに、Logicool MK330 キーボードを使っています。

VMWare上で稼働している Mac OS X Mountain Lion　の画面ショットを取得する場合


「Windows スタートキー」　+ 「Shift　キー」 +　「 3　」　で、 全画面ショット取得です。

Windows スタートキーは、キーボード左下の Ctrl キーと Alt キーの間にあります。

ちなみに、Mac キーボードでは、以下のようです。

Command + Shift + 3

Commandキー　= Windows　スタートキーになってますね。

あとは、よくつかうのがコピー＆ペースト処理。

これは、Windowsの場合は Ctrl + c , Ctrl + v , Ctrl +x で　コピー、貼り付け、カットです。

Mac OS の場合は Ctrl キーを Windowsスタートキーへ置き換えればOKです。

ちなみに、VMWare上のMac OS X Mountain Lion のテキストをコピーして、Windows 7 のホストマシンへペーストできました！！

貼り付けは Ctrl + v でやりましたけど。

Linux で QLogic 10G カードが動作しない

QLogin の 10G SFPカードが 10Gスイッチへ接続してもうまく動かなかったです。

が、Linux側のNIC設定で、DUPLEX,SPEEDを10Gへ固定にしたら動きました。

AUTOだとうまく動かない？？　他でもこんな話を聞いたので。

LinuxでIP Forwarding の設定

LinuxでIP Forwarding の設定をチェックするには以下の場所です。

ちなみに、IP Forwarding がONになっていると、Linuxがルータのような動きをします。

NICが２枚ある場合は、ルータのようにルーティングしてくれます。

LinuxでFirewallを構築したり、なんてときに使うことになります。

まず、

echo 1>/proc/sys/net/ipv4/ip_forward

で、プロセスに直接書き込む方法がこのコマンド

1ならON
0ならOFF

になっています。

それか、

/etc/sysconfig/network の以下の場所

-------------------------------------------

NETWORKING=yes
HOSTNAME=TEST
DOMAINNAME=test.local
GATEWAY=192.168.10.1
GATEWAYDEV=eth0
FORWARD_IPV4=yes　　　　←フォワード設定

-------------------------------------------


RedHatの場合は　/etc/sysctl.conf で編集

net.ipv4.ip_forward = 1　　にします。

service network restart で反映されます。

iPad とf5 edgeclientでMAC認証とリモート接続

FirePassはVer7.0からiPadのMACアドレスを端末固有情報として使用してログイン許可、拒否の設定ができるようになっています。 

ルールの設定で、ログオン前シーケンス処理で登録されたMACアドレスのiPad端末しか接続できないように設定できます。

 ルール上、iPadの OSはMacOSXで判断されます。 

その後、session.client.mac_address でMACアドレスを判断します。

 ログオン前シーケンス 複数張る場合は、

session.client.mac_address == "xx:xx:xx:xx:xx" OR session.client.mac_address == "aa:aa:aa:aa:aa" みたいに書いていきます。

iPad に F5 edgeclient をインストールして、iPadのMACアドレスを登録すれば、個体認証設定ができます。

edgeclient でfirepass へMAC情報を渡しているんでしょうね。


  ガイドのリンク先

F5 Firepass 参考画面ショット

Array Networks TMX バランサーのマニュアル

Array Networks のArray OS TM6.5.1 のマニュアルリンクです。

Array tmx で検索しても、見つからなかったものが、最近見つけたので。

英語版です。

マニュアルリンク先 LB_CLI_Guide_Rel_6.5.1.pdf です。

Windows NPSでCRLリストチェックを実施

Windows NPSサーバにて、配布したクライアント証明書のCRLリストのチェックは、Win2008のレジストリ値を変えることでチェックできるようになりました。

クライアント証明書の有効期限をチェックしたり、配布したクライアント証明書の無効をここでチェックします。

NPS による CRL 確認用のレジストリ設定

次のレジストリ設定を使用すると、
EAP-TLS の使用時にネットワーク ポリシー サーバー (NPS) が証明書失効リスト (CRL) の確認を実行する方法を変更できます。

レジストリKEY
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13

ここのレジストリに、以下を追加します。
IgnoreNoRevocationCheck

レジストリ設定は、種類を DWORD にして追加します。また、有効な値 0 または 1 が設定されている必要があります。

ここで、０　を指定して使用しています。
以下、このキーの説明抜粋

-----------------------------------------------------------------------------------------------------------------
1 に設定すると、NPS がクライアントの証明書チェーン (ルート証明書を除く) の失効確認を実行しない場合や、
完了できなかった場合でも、NPS は EAP-TLS クライアントの接続を許可します。
通常、証明書に CRL 情報がない場合に、失効の確認は失敗します。

IgnoreNoRevocationCheck は、既定では 0 (無効) に設定されています。
サーバーがクライアントの証明書チェーン (ルート証明書を除く) の失効確認を完了し、
失効している証明書がないことを確認しない限り、EAP-TLS クライアントは接続できません。

参考サイトはここ

-----------------------------------------------------------------------------------------------------------------

NPSサーバのパフォーマンス調整

WindowsのNPSサーバ（Network policy server）を構築後、認証パフォーマンスに問題がある場合は以下をチェックするとよいようです。


NPS サーバーがドメイン コントローラでないコンピュータ上にあって多くの認証要求を受信する場合、
NPS サーバーとドメイン コントローラとの間で同時に行う認証数を増やすことで、パフォーマンスを改善できることがあります。

次のレジストリ キーを編集します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters.MaxConcurrentApi

という名前で新しい値を追加し、この値に 2 ～ 5 までの値を割り当てます。

MaxConcurrentApi に割り当てる値が大きすぎると、
NPS サーバーはドメイン コントローラに過剰な負荷をかける場合があります。

ネタ元の参考サイトはここ

VMWare esxでflow control の設定確認

あまり使いませんが、VMWare esxで flow control の状態を確認するには以下のコマンドです。

flow control のON/OFF 確認

ethtool -a vmnic0

Postfixでキューの滞留メールを吐き出す

postfixでキューに滞留してしまっているメールを吐き出すには以下のコマンドです。

postsuper -r ALL

تغيير المنفذ الافتراضي للاباتشي

لتغيير المنفذ الافتراضي من طراز أباتشي، وتغيير الملفات التالية.


/etc/apache2/port.conf

/etc/apache2/site-enable/000-default


تعيين المثال التالي المنفذ الافتراضي إلى 81.

---- port.conf ----

NameVirtualHost *:81
Listen 81


---- 000-default ----

<VirtulaHost *:81>

พอร์ตเริ่มต้นการเปลี่ยนแปลงของ apache

เพื่อเปลี่ยนพอร์ตเริ่มต้นของ apache เปลี่ยนไฟล์ดังต่อไปนี้


/etc/apache2/port.conf

/etc/apache2/site-enable/000-default


ตัวอย่างต่อไปนี้การตั้งค่าพอร์ตเริ่มต้นที่ 81

---- port.conf ----

NameVirtualHost *:81
Listen 81


---- 000-default ----

<VirtulaHost *:81>

Изменение порта по умолчанию Apache

изменить порт по умолчанию Apache, изменения следующих файлов.


/etc/apache2/port.conf

/etc/apache2/site-enable/000-default


В следующем примере установки по умолчанию порт 81.

---- port.conf ----

NameVirtualHost *:81
Listen 81


---- 000-default ----

<VirtulaHost *:81>

Lalai Menukar pelabuhan apache

untuk menukar port lalai apache, menukar fail berikut.


/etc/apache2/port.conf

/etc/apache2/site-enable/000-default


Contoh berikut menetapkan port lalai kepada 81.

---- port.conf ----

NameVirtualHost *:81
Listen 81


---- 000-default ----

<VirtulaHost *:81>

Cambiar el puerto por defecto de apache

cambiar el puerto por defecto de apache, cambie los siguientes archivos.


/etc/apache2/port.conf

/etc/apache2/site-enable/000-default


El ejemplo siguiente establece el puerto por defecto a 81.

---- port.conf ----

NameVirtualHost *:81
Listen 81


---- 000-default ----

<VirtulaHost *:81>

Ändern der Standard-Port von Apache

den Standard-Port von Apache zu ändern, ändern folgenden Dateien.


/etc/apache2/port.conf

/etc/apache2/site-enable/000-default


Das folgende Beispiel stellen Sie die Standard-Port bis 81.

---- port.conf ----

NameVirtualHost *:81
Listen 81


---- 000-default ----

<VirtulaHost *:81>

改变Apache的默认端口

改变Apache的默认端口，修改以下文件。


/etc/apache2/port.conf

/etc/apache2/site-enable/000-default


下面的例子设置的默认端口为81。

---- port.conf ----

NameVirtualHost *:81
Listen 81


---- 000-default ----

<VirtulaHost *:81>

아파치의 변경 기본 포트

아파치의 기본 포트를 변경하려면 다음 파일을 변경합니다.


/etc/apache2/port.conf

/etc/apache2/site-enable/000-default


다음 예제는 81로 기본 포트를 설정합니다.

---- port.conf ----

NameVirtualHost *:81
Listen 81


---- 000-default ----

<VirtulaHost *:81>

Changing default port of apache

to change the default port of apache, change following files.


/etc/apache2/port.conf

/etc/apache2/site-enable/000-default


The following example set the default port to 81.

---- port.conf ----

NameVirtualHost *:81
Listen 81


---- 000-default ----

<VirtulaHost *:81>

apacheでデフォルトのサービスポート80を変更

apache2 のデフォルトポートを変更しています。

通常はWEBサーバの TCP ８０番ですが、以下の例では ８１番ポートへ変更しています。


/etc/apache2/port.conf を設定変更、

/etc/apache2/site-enable/000-default の virtualhost 指定のポートも変更します。


この例ではポートを８１番へ変更しています。

---- port.conf ----

NameVirtualHost *:81
Listen 81


---- 000-default ----

<VirtulaHost *:81>

Linuxでtar圧縮ファイルを操作する

LinuxでTAR形式の圧縮ファイルを操作する場合のコマンドです。


カレントディレクトリにあるlogsフォルダ以下を全て圧縮、logs.tar というファイル名で圧縮しています。

tar cvf logs.tar logs


圧縮ファイルの中身を確認するには　※ファイル名はそのまま logs.tar の中を確認しています。

tar tf logs.tar


圧縮ファイルを解凍するには

tar xvf logs.tar

Linuxで起動するサービスを設定するには

linuxで起動時に起動するサービスを確認するには、chkconfig コマンドで実施します。

chkconfig --list　を実行すると、サービス一覧が表示され、0から6番の番号の後にON,OFFなどの文字があります。

named 0:off 1:off 2:on 3:off 4:off 5:on 6:off

0や6の番号は、Linuxのランレベル（runlevel）をあらわしています。


ランレベルの番号と意味はそれぞれ以下にです。
ほとんどは２か５だったりです。


runlevel 0
シャットダウン（システムの停止）

runlevel 1
シングルユーザーモード（rootのみ）

runlevel 2
ネットワークなしのマルチユーザーモード

runlevel 3
通常のマルチユーザーモード（テキストログイン）

runlevel 4
未使用

runlevel 5
グラフィカルログインによるマルチユーザーモード

runlevel 6
システムの再起動



Linuxをどのランレベルで起動するかは、/etc/inittabに書いてあります。
この記述を変更すれば、次回の起動からランレベルが変わります。

id:3:initdefault:　←このシステムはランレベル3で起動します


現在のランレベルの状態を調べるにはrunlevelコマンドを使用します。
runlevelコマンドを実行すると、1つ前のランレベルと現在のランレベルが表示されます。
1つ前のランレベルが存在しないときは、「N」が表示されます。

$ /sbin/runlevel
N 3　←1つ前のランレベルは存在せず、現在のランレベルは3


chkconfigで確認した、onになっているサービスをoffにするには、chkconfigでサービス名の後にoffを 付けて実行します。

# /sbin/chkconfig named off
# /sbin/chkconfig --list named
named 0:off 1:off 2:off 3:off 4:off 5:off 6:off

offになっているサービスをonにするには、サービス名の後にonを付けて 実行します。

# /sbin/chkconfig named on
# /sbin/chkconfig --list named
named 0:off 1:off 2:on 3:on 4:on 5:on 6:off


ランレベル2,4でnamedをoffにするには次のようにします。

# /sbin/chkconfig --level 24 named off
# /sbin/chkconfig --list named
named 0:off 1:off 2:off 3:on 4:off 5:on 6:off


chkconfigコマンド で設定したサービスはLinuxを再起動した場合に起動されます。

すぐにサービスを利用したい場合は次のように入力します。
この例 ではnamedサーバを起動します。

# /sbin/service named start


サービスを停止する場合は stop

# /sbin/service named stop

Fortigateのセッション保持時間を変更

FortigateでTCPセッションのタイムアウト値、セッション保持時間を調整します。

DMZにいるWebサーバと、LANにいるデータベースサーバ間のセッションが切れてしまう、

なんてトラブルがあるときに、まずチェックする箇所になります。

以下の例では、２５番ポートのセッションタイムアウト値を 3600 秒にしています。


config sys session-ttl

config port

edit 25

set timeout 3600

end

FortigateのDNSキャッシュ保持時間を変更

Fortigateで名前解決したDNSレコードのキャッシュ時間を調整します。

値はの箇所へ、秒単位で入力します。

例えば、本社と拠点間でIPSEC-VPNをはっていて、本社のFGTへ名前でアクセスをしている場合なんかに調整したりします。


config system dns

set dns-cache-ttl

end

CiscoルータへFTPでIOSをコピー

Ciscoルータなどへ、FTPでIOSを送るときは以下のコマンドです。

FTPサーバは別途たてて、CiscoルータからFTPサーバへIOSファイルを取りにいきます。

router# copy  ftp://username:password@ip-address/filename  flash

ユーザ名:パスワード@FTPサーバのIPアドレス/IOSファイル名　ルータFlash  でコピーします。

 

Cisco無線アクセスポイントでクライアントを確認

Ciscoの無線アクセスポイントでは、クライアントがアクセスポイントへ接続にきた際に以下のメッセージが出ます。

なので、このメッセージをSYSLOGなどで書き出しておけば、クライアントがどのアクセスポイントを移動してきたかを記録することができます。

ap#
*Mar  1 09:12:12.046: %DOT11-6-ASSOC: Interface Dot11Radio0, Station  c417.fexx.xxxx Associated KEY_MGMT[NONE]
ap#


MACフィルタをかけている場合は、アクセスリストを確認すると、いま接続にきたクライアントとマッチしていることが確認できます。

show access-lists コマンドで確認します。

ap#show access-lists
Bridge address access list 722
    permit xxxx.11a9.xxxx   0000.0000.0000
    permit xxxx.e11b.xxxx   0000.0000.0000
    permit c417.fexx.xxxx   0000.0000.0000 (1 match)
    permit xxxx.4e11.xxxx   0000.0000.0000
    permit xxxx.c111.xxxx   0000.0000.0000
    permit xxxx.6222.xxxx   0000.0000.0000
ap#

Cisco機器をSNMPで監視

Cisco機器のSNMP Object IDを調べるには、「SNMP Object Navigator」で調べます。

 examples のところに、 OID: 1.3.6.1.4.1.9.9.27 Object Name: ifIndex とあるように、名前かOIDを入力して調べます。

MIBのダウンロードはここからします。
MIBのダウンロード

インターフェースのスループットを監視する場合はこちらを参考に
SNMPを使用した帯域監視


Cisco IOSで　debug snmp packet , debug snmp headers を実行。

FastEthernet0/20 を強制的に shutdown したら、以下の trap が飛びました。


--------------------------------------------------------------------------

Feb 15 22:11:48: SNMP: Queuing packet to 192.168.100.1
Feb 15 22:11:48:
Outgoing SNMP packet
Feb 15 22:11:48: v2c packet
Feb 15 22:11:48: community string: public
Feb 15 22:11:48: SNMP: V2 Trap, reqid 47, errstat 0, erridx 0
sysUpTime.0 = 391422497
snmpTrapOID.0 = ciscoSyslogMIB.2.0.1
clogHistoryEntry.2.18 = LINK
clogHistoryEntry.3.18 = 4
clogHistoryEntry.4.18 = UPDOWN
clogHistoryEntry.5.18 = Interface FastEthernet0/20, changed state to down
clogHistoryEntry.6.18 = 24452320
Feb 15 22:11:48: SNMP: Packet sent via UDP to 192.168.100.1

--------------------------------------------------------------------------


SNMPサーバの設定では、以下のようにポートダウンのTrapを受信したら、それを認識できるように設定しなければいけません。

以下では、スイッチポートがダウンというTRAPを受信したら、それを障害とみます、という宣言を設定しています。

ちなみに、サーバは Patrol Clarice (パトロールクラリス）使いました。
これはポート分入力しないといけません。
２４ポートあれば、２４ポート分入力します。

--------------------------------------------------------------------------

SNMPv2-SMI::enterprises=Interface FastEthernet0/1, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/2, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/3, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/4, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/5, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/6, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/7, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/8, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/9, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/10, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/11, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/12, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/13, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/14, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/15, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/16, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/17, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/18, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/19, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/20, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/21, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/22, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/23, changed state to down
SNMPv2-SMI::enterprises=Interface FastEthernet0/24, changed state to down

--------------------------------------------------------------------------


Cisco機器のIOS上で、 snmp-server enable traps と入力すると、以下の trap設定が自動で設定されます。

以下のイベントが発生するたびにsnmpサーバへtrapを投げますが、

サーバ側で上記のように受信したtrapに対して反応する設定をしていないと、受信を検知できません。

unkownイベントとかのエラーがログに残るはずです。

--------------------------------------------------------------------------

snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps transceiver all
snmp-server enable traps tty
snmp-server enable traps cluster
snmp-server enable traps entity
snmp-server enable traps cpu threshold
snmp-server enable traps rep
snmp-server enable traps vtp
snmp-server enable traps vlancreate
snmp-server enable traps vlandelete
snmp-server enable traps flash insertion removal
snmp-server enable traps port-security
snmp-server enable traps dot1x auth-fail-vlan guest-vlan no-auth-fail-vlan no-guest-vlan
snmp-server enable traps envmon fan shutdown supply temperature status
snmp-server enable traps config-copy
snmp-server enable traps config
snmp-server enable traps config-ctid
snmp-server enable traps bridge newroot topologychange
snmp-server enable traps stpx inconsistency root-inconsistency loop-inconsistency
snmp-server enable traps syslog
snmp-server enable traps mac-notification change move threshold
snmp-server enable traps vlan-membership
snmp-server enable traps errdisable

--------------------------------------------------------------------------


ちなみに、Cisco機器側では以下のようにcommunity設定やsnmpサーバ設定とかもいれてます。

これでTRAPの受信はできるようになります。

--------------------------------------------------------------------------

snmp-server community public RO
snmp-server host 192.168.100.100 version 2c public

--------------------------------------------------------------------------

cisco kez nat örnek yapılandırma

Bu yapılandırma iki nat gösterir, kaynak ve hedef nat demektir.

Aşağıdaki durumda İstemci (192.168.1.1) sunucu (192.168.10.12) ulaşma demektir.


Istemci kaynak adresi (192.168.1.1) 172.16.1.1 çevrilir.


Sunucu destinaion adresi (192.168.10.12) 192.168.15.12 çevrilir.


-------------------------------------------------------------

!
interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip route 192.168.10.12 255.255.255.255 192.168.15.12
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.1.1 172.16.1.1
ip nat outside source static 192.168.15.12 192.168.10.12
!
!
!

-------------------------------------------------------------

การกำหนดค่าของซิสโก้เป็นครั้งที่สองตัวอย่าง NAT

config นี้แสดงให้เห็นถึงสองครั้ง NAT ก็หมายความแหล่งที่มาและ nat ปลายทาง

กรณีที่ลูกค้าต่อไปนี้หมายถึง (192.168.1.1) จะเข้าถึงไปยังเซิร์ฟเวอร์ (192.168.10.12)


แหล่งที่อยู่ของลูกค้า (192.168.1.1) จะแปลให้ 172.16.1.1


ที่อยู่ destinaion เซิร์ฟเวอร์ (192.168.10.12) จะแปลให้ 192.168.15.12


-------------------------------------------------------------

!
interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip route 192.168.10.12 255.255.255.255 192.168.15.12
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.1.1 172.16.1.1
ip nat outside source static 192.168.15.12 192.168.10.12
!
!
!

-------------------------------------------------------------

cisco dua kali nat sampel konfigurasi

Config ini menunjukkan dua kali nat, itu berarti sumber dan tujuan nat.

Kasus berikut berarti Client (192.168.1.1) yang mengakses ke server (192.168.10.12).


Sumber alamat klien (192.168.1.1) yang diterjemahkan ke 172.16.1.1.


The destinaion alamat server (192.168.10.12) yang diterjemahkan ke 192.168.15.12.


-------------------------------------------------------------

!
interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip route 192.168.10.12 255.255.255.255 192.168.15.12
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.1.1 172.16.1.1
ip nat outside source static 192.168.15.12 192.168.10.12
!
!
!

-------------------------------------------------------------

cisco deux exemple de configuration nat

Cette configuration montre deux fois nat, cela signifie source et la destination nat.

Le cas suivant signifie client (192.168.1.1) accède au serveur (192.168.10.12).


L'adresse source du client (192.168.1.1) est traduit en 172.16.1.1.


L'adresse destinaion serveur (192.168.10.12) est traduit en 192.168.15.12.


-------------------------------------------------------------

!
interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip route 192.168.10.12 255.255.255.255 192.168.15.12
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.1.1 172.16.1.1
ip nat outside source static 192.168.15.12 192.168.10.12
!
!
!

-------------------------------------------------------------

سيسكو عينة نات مرتين التكوين

هذا التكوين يظهر مرتين نات، فهذا يعني المصدر والوجهة نات.

الحالة التالية يعني العميل (192.168.1.1) يتم الوصول إلى ملقم (192.168.10.12).


تتم ترجمة عنوان المصدر العميل (192.168.1.1) ل172.16.1.1.


تتم ترجمة عنوان destinaion الخادم (192.168.10.12) ل192.168.15.12.


-------------------------------------------------------------

!
interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip route 192.168.10.12 255.255.255.255 192.168.15.12
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.1.1 172.16.1.1
ip nat outside source static 192.168.15.12 192.168.10.12
!
!
!

-------------------------------------------------------------

cisco doppio nat di configurazione di esempio

Questa configurazione mostra il doppio nat, significa sorgente e la destinazione nat.

Il caso seguente significa client (192.168.1.1) è l'accesso al server (192.168.10.12).


L'indirizzo di origine del client (192.168.1.1) è tradotto in 172.16.1.1.


L'indirizzo del server destinaion (192.168.10.12) è tradotto in 192.168.15.12.


-------------------------------------------------------------

!
interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip route 192.168.10.12 255.255.255.255 192.168.15.12
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.1.1 172.16.1.1
ip nat outside source static 192.168.15.12 192.168.10.12
!
!
!

-------------------------------------------------------------

सिस्को दो बार नेट नमूना विन्यास

इस config नेट दो बार से पता चलता है, यह स्रोत और गंतव्य नेट का मतलब है.

निम्नलिखित के मामले का मतलब है ग्राहक (192.168.1.1) सर्वर (192.168.10.12) तक पहुँचने है.


ग्राहक स्रोत का पता (192.168.1.1) 172.16.1.1 अनुवाद किया है.


सर्वर destinaion पते (192.168.10.12) 192.168.15.12 अनुवाद किया है.


-------------------------------------------------------------

!
interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip route 192.168.10.12 255.255.255.255 192.168.15.12
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.1.1 172.16.1.1
ip nat outside source static 192.168.15.12 192.168.10.12
!
!
!

-------------------------------------------------------------

Cisco дважды физ пример конфигурации

Этот конфиг показывает в два раза NAT, это означает, что исходный и конечный физ.

Следующие случае означает клиента (192.168.1.1) обращается к серверу (192.168.10.12).


Адрес клиента источника (192.168.1.1) переводится на 172.16.1.1.


Адрес сервера destinaion (192.168.10.12) переводится на 192.168.15.12.


-------------------------------------------------------------

!
interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip route 192.168.10.12 255.255.255.255 192.168.15.12
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.1.1 172.16.1.1
ip nat outside source static 192.168.15.12 192.168.10.12
!
!
!

-------------------------------------------------------------

cisco nat doble configuración de ejemplo

Esta configuración muestra dos veces nat, que significa fuente y destino nat.

El siguiente caso significa Client (192.168.1.1) está accediendo al servidor (192.168.10.12).


La dirección de origen del cliente (192.168.1.1) se traduce a 172.16.1.1.


La dirección destinaion servidor (192.168.10.12) se traduce a 192.168.15.12.


-------------------------------------------------------------

!
interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip route 192.168.10.12 255.255.255.255 192.168.15.12
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.1.1 172.16.1.1
ip nat outside source static 192.168.15.12 192.168.10.12
!
!
!

-------------------------------------------------------------

Cisco zweimal nat Beispielkonfiguration

Diese Konfiguration zeigt zweimal nat, bedeutet dies, Quell-und Ziel nat.

Der folgende Fall bedeutet Clients (192.168.1.1) wird zum Server (192.168.10.12) zugreifen.


Die Client-Quelladresse (192.168.1.1) ist 172.16.1.1 übersetzt.


Der Server destinaion Adresse (192.168.10.12) ist 192.168.15.12 übersetzt.


-------------------------------------------------------------

!
interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip route 192.168.10.12 255.255.255.255 192.168.15.12
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.1.1 172.16.1.1
ip nat outside source static 192.168.15.12 192.168.10.12
!
!
!

-------------------------------------------------------------

思科两次NAT配置

这个配置展示了两次NAT，这意味着源和目标NAT。

以下的情况下，意味着客户端（192.168.1.1）访问服务器（192.168.10.12）。


客户端的源地址（192.168.1.1）转换为172.16.1.1。


的的服务器destinaion地址（192.168.10.12）转换为192.168.15.12。


-------------------------------------------------------------

!
interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip route 192.168.10.12 255.255.255.255 192.168.15.12
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.1.1 172.16.1.1
ip nat outside source static 192.168.15.12 192.168.10.12
!
!
!

-------------------------------------------------------------

시스코 두 번 NAT 샘플 구성

이 설정은 두 번 NAT 보여줍니다, 그것은 원본 및 대상 NAT를 의미합니다.

다음과 같은 경우는 클라이언트 (192.168.1.1)가 서버 (192.168.10.12)에 액세스하는 것을 의미합니다.


클라이언트 소스 주소 (192.168.1.1)가 172.16.1.1로 번역되어 있습니다.


서버 destinaion 주소 (192.168.10.12)은 192.168.15.12로 번역되어 있습니다.


-------------------------------------------------------------

!
interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip route 192.168.10.12 255.255.255.255 192.168.15.12
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.1.1 172.16.1.1
ip nat outside source static 192.168.15.12 192.168.10.12
!
!
!

-------------------------------------------------------------

Cisco twice NAT sample configuration

This config shows twice nat, it means source and destination nat.

The following case means Client(192.168.1.1) is accessing to server(192.168.10.12) .


The client source address(192.168.1.1) is translated to 172.16.1.1 .


The server destinaion address(192.168.10.12) is translated to 192.168.15.12 .


-------------------------------------------------------------

!
interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip route 192.168.10.12 255.255.255.255 192.168.15.12
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.1.1 172.16.1.1
ip nat outside source static 192.168.15.12 192.168.10.12
!
!
!

-------------------------------------------------------------

YAMAHAルータの８ポートスイッチをVLAN分け

ＹＡＭＡＨＡ RTX1200ルータのＬＡＮ側は８ポートスイッチになっています。

その８ポートを、それぞれIPセグメントに分けて、L3スイッチのように使う場合の設定です。

７番、８番ポートだけ VLAN8 で２ポート使います。

-----------------------------------------

vlan port mapping lan1.1 vlan2
vlan port mapping lan1.2 vlan3
vlan port mapping lan1.3 vlan4
vlan port mapping lan1.4 vlan5
vlan port mapping lan1.5 vlan6
vlan port mapping lan1.6 vlan7
vlan port mapping lan1.7 vlan8
vlan port mapping lan1.8 vlan8

-----------------------------------------


それぞれのインターフェースにアドレスを割り当てて、

-----------------------------------------

ip vlan2 address 192.168.101.1/24
ip vlan3 address 192.168.102.1/24
ip vlan4 address 192.168.103.1/24
ip vlan5 address 192.168.104.1/24
ip vlan6 address 192.168.105.1/24
ip vlan7 address 192.168.106.1/24
ip vlan8 address 192.168.107.1/24

-----------------------------------------


あとは、YAMAHAルータからＤＨＣＰでＩＰを割り出しています。

-----------------------------------------

dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.101-192.168.101.130/24
dhcp scope 2 192.168.102.101-192.168.102.130/24
dhcp scope 3 192.168.103.101-192.168.103.130/24
dhcp scope 4 192.168.104.101-192.168.104.130/24
dhcp scope 5 192.168.105.101-192.168.105.130/24
dhcp scope 6 192.168.106.101-192.168.106.130/24
dhcp scope 7 192.168.107.101-192.168.107.130/24

-----------------------------------------

Ciscoルータで tcl スクリプト監視の仕組み

Ciscoルータで、接続しているISDN回線に不具合があった場合に、検知してメール通知したり、バックアップ機へ切り替えるための仕組みです。

通常のインターフェースのように protocolダウンを検知したりできないので、ISDNのレイヤ１がダウンしたことをトリガーとして切り替えます。

DSUの障害なんかも、これで検知することができます。

このtclスクリプトでは、 show isdn status の状況を確認し、DEACTIVATED となった場合は、インターフェースのLAN側をシャットダウンし、HSRPでバックアップ機へ切替ます。


bri.tcl

-------------------------------------------------------

set int_out [ exec "show isdn status" ]
set check DEACTIVATED
foreach x $int_out {
if {[string equal $check $x]} {
ios_config "interface fastethernet 0" "shutdown"
}
}

-------------------------------------------------------

ISDNがACTIVE（回線がダウンしてなければ）であれば、そのまま。

ISDNがDOWN（DSU故障等）の場合は、ios_config でインターフェースシャットダウンを実行します。


次に、

tclスクリプトをFlashへコピーして、定期的に監視するためにkronで定期起動するように設定します。


kron 設定

-------------------------------------------------------

!
kron occurrence test_sche in 1 recurring
　policy-list bri_pol
!
kron policy-list bri_pol conditional
  cli tclsh flash:bri.tcl
!

-------------------------------------------------------

このkron設定では、最小値の1分毎にスクリプトを実行しています。



最後にISDNがダウンして切り替わったことをEEMを使ってメールで通知します。

メールサーバは 192.168.1.1 、 router@testdomain.local から admin@testdomain.local へ送信しています。


EEMイベント通知設定
-------------------------------------------------------

!
event manager applet EEM_test
 event syslog pattern "%ISDN-6-LAYER2DOWN: Layer 2 for Interface BR0, TEI 66 changed to down"
 action sendmail mail server "192.168.1.1" to "admin@testdomain.local" from "router@testdomain.local" subject "Router Alert - ISDN Down" body "Router Alert - ISDN DSU Down!"
!

------------------------------------------------------

CiscoでTwice-NAT設定 ソース、宛先の両NAT

Ciscoルータで、SourceアドレスとDestinationアドレスの両側からNATかける設定です。

Twice-NATといいます。

下記のコンフィグでは、 192.168.1.1 の端末から 192.168.10.12 のサーバへアクセスする場合で考えています。


まず、

送信元の 192.168.1.1（クライアント） は、　172.16.1.1（クライアント） へNAT変換されます。

※SourceがNAT。送信元がNATされます。


次に、

宛先アドレスの 192.168.10.12（サーバ） は 192.168.15.12（サーバ） へNAT変換されます。

※DestinationのNAT。宛先アドレスがNATされます。



-------------------------------------------------------------

!
interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip route 192.168.10.12 255.255.255.255 192.168.15.12
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.1.1 172.16.1.1
ip nat outside source static 192.168.15.12 192.168.10.12
!
!
!

-------------------------------------------------------------


インターフェースに ip nat inside , ip nat outside がそれぞれ設定されています。

そのどちらを、どのように変換しているのか、このシンプルなコンフィグからひも解いてください。

スイッチでブロードキャストストームを止める！

ネットワーク上でループ接続をしてしまうと、パケットがぐるぐる回ってネットワークがダウンしてしまいます。

末端のスイッチで、自身のスイッチからスイッチへループ接続などしてしまうと、これはもう大変です。

全体へ波及するまで時間がかかりますが、徐々に全体へパケットが波及していって、、、つながらない！なんて声があがってきます。

Ciscoスイッチで、そんなブロードキャストストームを止めてネットワーク全体へ広がらないように、検知したらインターフェースをダウンさせる方法があります。

スイッチのポートで以下のコマンドを設定します。

----------------------------------------------------

!
interface GigabitEthernet0/1
 switchport access vlan 100
 storm-control broadcast level 60.00
 storm-control action shutdown
!

----------------------------------------------------

storm-control コマンドです。

broadcast level がポートの６０％を超えて使用するときに、 action でポートを shutdown しています。

これがあると、ブロードキャストストームを検知したら自動でポートをダウンさせて、全体へ広がらないようにしてくれます。

自動でダウンした後、自動で復旧もできます。

それは、以下のコマンドです。


----------------------------------------------------

errdisable recovery cause storm-control
errdisable recovery interval 180

----------------------------------------------------

この設定では、 storm-control が原因でダウンさせたポートを自動復旧させます。

interval 180 とあるので、１８０秒後に復旧させます。

復旧後、ストームを検知したらまたダウンします。対処しないと、１８０秒おきにダウンしてアップしてを繰り返します。

わかりにくいので、おちたままでいいなんて言われたりもしますけど。

ubuntu搭載のスマホ

TechCrunchの記事から、Ubuntu搭載のスマートフォンが出ると発表されたようです。

でもどのメーカから出すのかは、まだ明らかにはされていない模様。

家の古いノートパソコンはUbuntuを入れているのですが、

WEBやメールくらいであれば、無料で使えるしこれでよいのでは？と思えるできです。

オフィスソフトもあるので、簡単なエクセル表だって作れますし。

どこまでがんばれるか、ちょっと気になります。