Network×Network目次

スポンサードリンク

Fortigate パケットキャプチャGUI

最近では見ない日はないFortigate。
完全に時代が来てますね。
1台でなんでもできるし便利ですもんね。

そんなFortigateキャプチャも実はかなり便利なのです。
Cisco機器だとミラーポートの設定が必要ですが
Fortigateはミラーポートなしでもキャプチャできます!

[Fortigate パケットキャプチャ手順 GUI編]
1.パケットキャプチャ設定
システム>ネットワーク>パケットキャプチャ>Create Newを選択
Fortigate パケットキャプチャ手順 GUI編

インターフェース:どのインターフェースでキャプチャを行うか
保存する最大パケット数:最大で10000
フィルタを有効:チェックを入れると以下フィルタリングが可能
 ホスト
 ポート
 VLAN(s)
 プロトコル
IPv6パケットを含む
IPパケット以外も含む
>OKを選択
Fortigate パケットキャプチャ手順 GUI編

2.パケットキャプチャ開始
作成後に[進行]項目を確認すると停止中となっています。
▷を選択するとキャプチャが開始します。
□を選択するとキャプチャが停止します。
📥を選択してキャプチャしたファイルをダウンロードします。

3.パケットキャプチャ確認
Wiresharkをパソコンにインストールして
先ほどダウンロードしたキャプチャファイルを開きます。

結構簡単にキャプチャすることできます。
ただしASIC(NP)学習しているトラフィックは
CPU処理されないためパケットキャプチャする
ことができません。

---------------------------------------------------------
日立ソリューションズ FAQ(よくあるご質問)参照
Q:NP、CPとは何ですか。
フォーティネット社が独自に開発した
専用プロセッサ「FortiASIC」をさします。
NPは「FortiASIC ネットワークプロセッサ」の略称であり、
主にファイアウォール、IPsecVPNなどネットワークレベル
の防御機能の処理を行います。
CPは「FortiASIC コンテンツプロセッサ」の略称で、
主にウイルス対策やWebフィルタリングといった
コンテンツレベルでの防御機能の処理を実施します。
尚、FG-30D/60D/90Dは、それらを一つのチップに
統合したFortiSoCにより処理を実施しています。
---------------------------------------------------------

4.詳細パケットキャプチャ設定
teratermで接続
Fortigate# config firewall policy
Fortigate(policy)# edit [ポリシー番号]
Fortigate(ポリシー番号)# unset auto-asic-offload
Fortigate(ポリシー番号)# end

設定したポリシーの処理がASICからCPUとなり詳細な
パケットキャプチャを取得することが可能となります。
※負荷がかかるのでトラフィックを限定して行いましょう。

以上

*Fortigate パケットキャプチャ CLI
*NetScreen パケットキャプチャ
*Catalyst パケットキャプチャ

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

ELECOMのシリアルケーブルUC-SGTがWINDOWS10で認識しない

ずっと使っていたELECOMのシリアルケーブルが
使えなくなってしまった・・・・
なんで急に使えなくなったんだ???

現地作業で初めて気付く失態。
設定できねーじゃねーかよ〜
ちなみに使っていたのはこれ。
USB to シリアルケーブル - UC-SGT - ELECOM

そういや最近パソコン変えてからシリアルケーブル使ってなかったな。
調べてみるとパソコンのOSがWINDOWS10になっとる。。。
UC-SGTじゃ対応してないって書いてある。

こんなブログあったから試してみた。
UC-SGTをWINDOWS10で使う方法
とは言え会社のPCなので変なソフト入れると
怒られるからとりあえずWINDOWS10対応のシリアルケーブルを
買いにいってきました(笑)
今後も使うしね。

買ったのはこれ。
USB to シリアルケーブル - UC-SGT1 - ELECOM


UC-SGT1
1ってつくのが重要。
これでWINDOWS8もWINDOWS10も
昔のOSもいけます!!

久しぶりにスイッチの設定とかしたけど
楽しいね〜♪
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | 知識 | このブログの読者になる | 更新情報をチェックする

サーバのポートが開いているか確認する方法

サーバの特定ポートが開いてるか
確認したいときって多々ありますよね。

1つはtelnetコマンドで
ポート指定して確認する方法。
これはよく使います。

C:\>telnet <IPアドレス> <ポート番号>

これで真っ黒い画面になったら接続完了です。
telnetがエラーになる場合はクライアントを
インストールしましょう。

2つ目は便利ツールのportqueryを使う方法。
こっちの方が分かりやすいし結果をログに
残すことも可能となります。

ポートクエリのダウンロードはこちらから
PortQry ダウンロード マイクロソフト
PortQry Command Line Port Scanner Version 2.0

まずはダウンロードしてインストールしましょう!
1.ダウンロード後ファイルをダブルクリック
PortAryV2 ポートクエリ

2.本当に使うのか?と聞かれるので[YES]をクリック
PortAryV2 ポートクエリ

3.解凍画面が表示されるのでそのまま[Unzip]しましょう。
デフォルトではC:\PortQryV2に解凍されます。
PortAryV2 ポートクエリ

PortAryV2 ポートクエリ

4.確認
PortAryV2 ポートクエリ

以上でインストールは完了です。
次はPortQryV2を使ってみます。

インストール後コマンドプロンプトを起動します。
portqueryのディレクトリへ移動。
C:\>cd PortQryV2
C:\PortQryV2>

早速使ってみます。
C:\PortQryV2>portqry -n 10.1.1.11 -p tcp -e 21

Querying target system called:

10.1.1.11

Attempting to resolve IP address to a name...

Failed to resolve IP address to name

querying...

TCP port 21 (ftp service): FILTERED

C:\PortQryV2>

IPアドレスが10.1.1.11のサーバ21番ポートが
開いていない(FILTERED)のがわかります。

以下がportqryコマンドでわかるポート状態となります。
※Microsoftサポート参照
****************************
LISTENING
選択したコンピュータのポートでプロセスがリッスン
しています。Portqry.exe はポートから応答を受信しました。

NOT LISTENING
選択したコンピュータのポートでリッスンしている
プロセスはありません。Portqry.exe は、対象の
UDP ポートから ICMP (Internet Control Message Protocol)
の "Destination Unreachable - Port Unreachable"
メッセージを受信します。
対象のポートが TCP ポートの場合は、Reset フラグが
設定された TCP 確認応答パケットを受信します。

FILTERED
コンピュータ上の選択したポートがフィルタ処理されています。
Portqry.exe は、ポートから応答を受信しませんでした。
ポートでプロセスがリッスンしているかどうかは不明です。
デフォルトでは、TCP ポートの場合は 3 回、UDP ポートの
場合は 1 回クエリを行った後、ポートがフィルタ処理
されていることが報告されます。
****************************

次はログファイルの作成と複数ポートを確認します。
C:\PortQryV2>portqry -n 10.1.1.11 -p tcp -o 8080,22 -l test.log

Creating log file called test.log

Querying target system called:

10.1.1.11

Attempting to resolve IP address to a name...

Failed to resolve IP address to name

querying...

TCP port 8080 (unknown service): NOT LISTENING

TCP port 22 (ssh service): LISTENING

Log file tet.log successfully created in current directory

C:\PortQryV2>

ポートの8080はリッスンしておらず、22からは応答が返ってきてるのが
わかります。また同じディレクトリにログファイルが作成されています。
単一のポートを調べるときはかなり便利なツールですね。

以上。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | 通信確認 | このブログの読者になる | 更新情報をチェックする

Fortigate HA フェールバック設定

FortigateでHA構成を構築したときフェールバック
するかしないか凄く気になるところですね。

デフォルトでは自動でフェールバックいたしません。
マスター機が復旧したときに自動でフェールバックする
にはCLIで設定が必要となります。

下記のオーバーライド設定を有効にすることで
機器起動時間よりもプライオリティ設定が優先となります。
オーバーライド有効後は自動フェールバックします。

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
config system ha
set override enable
end
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate CLI routing table

Fortigateでコマンドラインから
ルーティングテーブルを確認する方法!!

ネクストホップというものはいつになっても
気になります。

[Fortigate Routing確認]
Fortigate#get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default

S* 0.0.0.0/0 [10/0] via 192.168.1.254, wan1
C 10.1.100.0/24 is directly connected, port1
C 10.2.200.0/24 is directly connected, port2
S 10.10.1.1/32 [10/0] via 10.10.3.1, wan1

こんな感じで表示されます。
allではなくstatic, connectedやプロトコルを
指定して表示させることもできます!!

以上。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate CLI traceroute

Fortigateのコマンドラインからtracerouteを実行!

[Fortigate CLI traceroute]
fortigate#execute traceroute 192.168.1.1
traceroute to 192.168.1.1(192.168.1.1), 32 hops max, 84 byte packets
1 10.100.100.254 0.797 ms 0.828 ms 2.170 ms
2 172.16.10.100 2.321 ms 0.415 ms 0.196 ms
3 172.16.10.1 3.311 ms 1.234 ms 2.232 ms
4 192.168.1.1 5.234 ms 8.297 ms 2.333 ms
fortigate#

こんな感じで表示されます。
PINGやtracerouteは非常に便利なコマンドなので
必ず覚えておきましょう!!

ちなみにtracerouteとtracertは正確には違います。

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

traceroute tracert 違い

PCではtracert
Cisco機器ではtraceroute
これで経路を確認することができます。

ただこの間通信確認を行っているとうまくいきませんでした。
ping確認は正常に行えたのですが・・・

Cisco機器⇒FWのping ○
PC⇒Cisco機器⇒FWのping ○

Cisco機器⇒FWのtraceroute ×
PC⇒Cisco機器⇒FWのtracert ○

これはWindowsPCのtracertではpingと同じICMP Echo request
パケットを使用しているためです。
一般的なtracerouteではランダムなポート番号のUDPデータグラムが
使用されています。
UDPを使用するtracerouteは、ポート番号が定まらないため
パケットフィルタリングを行っていると正常に動作しません。

ファイアウォールを経由する場合は正常に動作しない可能性が
高いということですね。


一瞬パケットループでも発生しているのかと思いあせりました★
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | 通信確認 | このブログの読者になる | 更新情報をチェックする

VISIO オートコネクト

VISIOでネットワーク図を描いてると勝手に図形が
追加されたり繋がったりする。
はっきり言ってかなり鬱陶しい!!(笑)

こんな感じでカーソルがあってしまうと自動表示される。
VISIO オートコネクト

で、こうやって勝手に表示されるわけである。
この機能を無効にしたいと思います。
VISIO オートコネクト

表示>オートコネクトのチェックをはずす
VISIO オートコネクト
以上です。

これでもう自動的に追加されることはありません!
VISIO オートコネクト
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | | このブログの読者になる | 更新情報をチェックする

Fortigate CLI ntp コマンド

Fortigate100DにてコマンドでNTP設定

[NTPサーバ指定設定]
Fortigate#config system ntp
Fortigate(ntp)#set ntpsync enable
Fortigate(ntp)#set type custom
Fortigate(ntp)#config ntpserver
Fortigate(ntpserver)#edit 1
Fortigate(1)#set server "131.107.1.10"
Fortigate(1)#end
Fortigate(ntp)#set interface "port2"
Fortigate(ntp)#end
Fortigate#

これでNTPクライアントとして動作します。
port2から131.107.1.10(アメリカNIST)へ時間を
デフォルトの1分間隔で確認しに行きます。
設定が正常にされているか確認しましょう。

[NTPサーバ設定確認]
Fortigate#config system ntp
Fortigate(ntp)#show
config system ntp
set ntpsync enable
set type custom
set syncinterval 60
config ntpserver
edit 1
set server "131.107.1.10"
next
end
set server-mode enable
set interface "port2"
end
Fortigate(ntp)#

NTPが有効になっているかどうかは以下でも確認できます。
NTP確認その1
Fortigate#get system ntp
ntpsync : enable
type : custom
syncinterval : 60
ntpserver:
== [ 1 ]
id: 1
source-ip : 0.0.0.0
server-mode : enable
interface:
== [ port2 ]
interface-name: port2

NTP確認その2
Fortigate#show system ntp
config system ntp
set ntpsync enable
set type custom
set syncinterval 60
config ntpserver
edit 1
set server "131.107.1.10"
next
end
set server-mode enable
set interface "port2"
end
Fortigate#

問題なく設定されていますね。
次は正常にNTPアップデートできているか
確認してみましょう。

[NTP同期確認]
Fortigate#diagnose sys ntp status
server (time-nw.nist.gov) 131.107.1.10 -- Clock is synchronized
server-version=4, stratum=1
reference time is ********.* -- UTC Mon Oct 12 00:00:00 2017
clock offset is -*.****** sec, root delay is 0 msec
root dispersion is 0 msec, peer dispersion is 10 msec

こんな感じで確認できます。
障害が発生したときなどログを見る上でも時間は
かなり重要になってきます。必ず時計は合わせておきましょう!!

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

VISIOステンシル まとめ一覧

VISIOステンシル まとめ一覧
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
クラウド VISIO STENCILS まとめ
[Amazon]
*Amazon Web Services VISIO ステンシル
AWS シンプルアイコン VISIOステンシル一覧

[Microsoft]
*Microsoft AZURE VISIO ステンシル
Microsoft Azure, Cloud and Enterprise Symbol / Icon Set VISIOステンシル一覧

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
NETWORK VISIO STENCILS まとめ
[CISCO]
*CISCO VISIO ステンシル
シスコ ネットワーク機器VISIOステンシル一覧

*CISCO ネットワークトポロジアイコン ステンシル
ネットワーク図を描くときに必要なステンシルセット

[FORTINET]

*FORTIGATE VISIO ステンシル
フォーティゲート ネットワーク機器VISIOステンシル一覧
※左下のVisio Stencilsからダウンロード

*Coyote Point VISIO ステンシル
コヨーテポイント ネットワーク機器VISIOステンシル一覧
※FTPサイトからダウンロード(FORTINETに買収された)

[Juniper]
*Juniper VISIO ステンシル
ジュニパー ネットワーク機器VISIOステンシル一覧

[Allied Telesis]

*Allied Telesis VISIO ステンシル
アライドテレシス ネットワーク機器VISIOステンシル一覧

[Hewlett Packard]
*3COM VISIO ステンシル
スリーコム ネットワーク機器VISIOステンシル一覧

*Procurve(H3C系) VISIO ステンシル
旧H3C ネットワーク機器VISIOステンシル一覧
※VISIO CAFEのHP-Networking項目

*aruba VISIO ステンシル
アルーバ ネットワーク機器VISIOステンシル一覧

[BROCADE]
*BROCADE VISIO ステンシル
ブロケード ネットワーク機器VISIOステンシル一覧

[YAMAHA]
*YAMAHA VISIO ステンシル
ヤマハ ネットワーク機器VISIOステンシル一覧

[F5]
*F5 VISIO ステンシル
エフファイヴ ネットワーク機器VISIOステンシル一覧

[PaloAlto Networks]
*PaloAlto Networks VISIO ステンシル
パロアルトネットワークス ネットワーク機器VISIOステンシル一覧

[Hitachi Cable]
*Apresia VISIO ステンシル
アプレシア ネットワーク機器VISIOステンシル一覧

[Extreme Networks]
*Extreme Networks VISIO ステンシル
エクストリームネットワークス ネットワーク機器VISIOステンシル一覧

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
SERVER VISIO STENCILS まとめ
[IBM]
*IBM VISIO ステンシル
アイビーエム 機器ステンシル一覧

[HP]
*HP VISIO ステンシル
ヒューレットパッカード 機器ステンシル一覧

[DELL]

*DELL VISIO ステンシル
デル 機器ステンシル一覧

[Fujitsu]
*Fujitsu VISIO ステンシル
富士通 機器ステンシル一覧

[NetApp]
*NettApp VISIO ステンシル
ネットアップ 機器ステンシル一覧
※登録が必要

*VISIO CAFEのNettApp VISIOステンシルは登録無でダウンロード可能

[EMC]
*Avamar VISIO ステンシル一覧
アバマー 機器ステンシル一覧

[AMAZON]
*AMAZON WEB SERVICES VISIO ステンシル一覧
アマゾンウェブサービス ステンシル一覧

[VMWARE]
*VMWARE VISIO ステンシル一覧
ブイエムウェア ステンシル一覧

[Microsoft]
*Hyper-V VISIO ステンシル一覧
ハイパーブイ ステンシル一覧

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
OTHER VISIO STENCILS まとめ
[PANDUIT]
*PANDUIT VISIO ステンシル一覧
パンドウィット ステンシル一覧

[Polycom]
*Polycom VISIO ステンシル一覧
ポリコム ステンシル一覧

[ORACLE]
*ORACLE VISIO ステンシル一覧
オラクル ステンシル一覧

[APC]
*APC VISIO ステンシル一覧
エーピーシー ステンシル一覧

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
SITE VISIO STENCILS まとめ
[VISIO CAFE]
*言わずと知れたヴィジオカフェ。
有名メーカーのVISIOが各種勢ぞろい!!


[Visio.jp]
*電機・電子回路図系などちょっと他では
手に入りにくいVISIOがここではたくさん


[Hesonogoma Tips]
*VISIO画像が貼ってあって視覚的に
見ながらほしいVISIOステンシルを選べる


[Microsoft VISIOダウンロード]
*VISIOを提供してるマイクロソフト様の
無償ダウンロードサービス





TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | まとめ一覧 | このブログの読者になる | 更新情報をチェックする

ブログパーツ
login

無料レンタル
login