Network×Network目次

スポンサードリンク

Fortigate スタティックルート

FortigateのWAN1とWAN2を同時に使用する方法。
WAN1はインターネットへ接続→デフォルトGW
WAN2は拠点へ接続→スタティックルート
Fortigate スタティックルート

拠点BのFortigateBはデフォルトゲートウェイ(出口が一つだけ)に
なっているので特に設定上問題はない。

拠点AのFortigateAはインターネット(WAN1)と
拠点B(WAN2)に繋がるのでルーティングを設定しましょう。

通常インターネットに接続する出口をデフォルトゲートウェイに設定します。
なので拠点Bへ接続する出口はスタティックルートで設定。

[FortigateA]
1.スタティックルート追加
ルータ>スタティック>スタティックルート>Create New
Fortigate スタティックルート

2.スタティックルート設定
宛先IP/マスク:10.1.2.0/255.255.255.0
デバイス:wan2
ゲートウェイ:192.168.1.1
Administrative Distance:10(default)
プライオリティ:0
OK
Fortigate スタティックルート

3.スタティックルート確認
追加でスタティックルートが表示されてます。
Fortigate スタティックルート

PPPoEで接続されたWAN1は自動的にデフォルトゲートウェイになります。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

SIerとは 読み方

お恥ずかしながら読めませんでした。
SIer
読み方:エスアイアー、エスアイヤー

SIerとはSystem Integration
(システムインテグレーション)を行う業者に
erをつけた造語。要はシステム屋ってこと。

顧客のシステム状況を把握してお客様の問題を
解決するようなシステムの提案、要件定義、構築、
運用サポートなどを行っていく。

SEはどちらかというと技術よりだがSIerは
コンサルティングよりの言葉。
ただその境目はあやふやな感じである。

最近はSIerの流れからSE的な仕事まで一括で
行う場合が多いと思う。

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | 知識 | このブログの読者になる | 更新情報をチェックする

Fortigate FortiOS Upgrade Paths

Fortigateのファームウェアアップデートパスとなります。
ちゃんとベンダーが推奨してる方法を実施してFortiOSの
アップデートを行いましょう!!
Fortigate FortiOS Upgrade Paths

古いファームウェアほど多くのFortiOSファームウェア
アップデートパスを踏む必要があるのでちゃんと
Fortinetクックブックで確認しましょう!

Supported Upgrade Paths – FortiOS

Supported Upgrade Paths – FortiOS Upgrading to 5.4



TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

SSG Firmware Upgrade Paths

SSGのファームウェアをアップグレードするときのパスとなります。
無理矢理バージョンアップせずにちゃんと手順を踏んでください。
世の中お作法が大事です。
SSG ファームウェアアップデートパス

6.0.0rx以降は一気に6.3.0rxの最新版まで上げて問題なさそうですね。


SSG Upgrade Guide
SSG アップグレードガイド

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Juniper | このブログの読者になる | 更新情報をチェックする

SSG ScreenOS アップデート

久しぶりにSSGのファームウェアをアップデートすることに。

※基本的に設定はそのまま引き継ぎますがScreenOSのアップデート前
にコンフィグなどのバックアップを念のため取っておきましょう!

1.ScreenOS準備
これは保守契約結んでる会社から手に入れてください。
ScreenOSをゲットしたらMD5値の確認でOSが正常なことを確認。

2.PC準備
teratermなどでSSGとcli接続 ←コマンド設定用
ScreenOSが転送できるようにLAN接続 ←データ転送用
SSGのtrust interfaceのデフォルトIPは192.168.1.1/24なので
同じセグメントを設定しましょう。

PC:192.168.1.11/24

3.TFTPサーバー準備
tftpサーバーをダウンロードして起動してください。
ここではPoortftpを使用。

起動してScreenOSを保存してるディレクトリに変更。
Operation>Authorized Directory:Select [パス]

4.ScreenOSアップデート
SSG->save software from tftp 192.168.1.11 ssg140.6.3.0r22.0 to flash
Load software from TFTP 172.30.1.44 (file: ssg140.6.3.0r22.0).
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!............ズーと続きます
...............!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
tftp received octets = 12575936
tftp success!

TFTP Succeeded
Save to flash. It may take a few minutes ...platform = 24, cpu = 12, version = 18
update new flash image (029ee630,12575936)
platform = 24, cpu = 12, version = 18
offset = 20, address = 5800000, size = 12575858
date = 2669, sw_version = 31808000, cksum = f62dc26f
Image authenticated!
Program flash (12575936 bytes) ...
++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++done
Backup image write
++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++done
Done
SSG->

5.再起動
SSG->reset
Configuration modified, save? [y]/n y
Save System Configuration ...
Done
System reset, are you sure? y/[n] y
In reset ...

6.確認
SSG->get system
Product Name: SSG-140
Hardware Version: 1010(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)
Software Version: 6.3.0r22.0, Type: Firewall+VPN

無事上がっております。よかったよかった。
ちなみにもともと設定されてたコンフィグも引き継いでおります。

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Juniper | このブログの読者になる | 更新情報をチェックする

Fortigate NAPT IPマスカレード

一般的にLAN側からWAN側(インターネット)へ通信を
行うときはNAPT(IPマスカレード)設定を行います。

これはWAN側のグローバルIPアドレス1つに対してLAN側の多くの
プライベートIPアドレスを割り当てるための設定となります。

[設定]
1.ポリシー作成
ポリシー&オブジェクト>ポリシー>IPv4
入力インターフェース:internal1
送信元アドレス:all ←セキュリティを気にするなら範囲を指定
出力インターフェース:wan1
宛先:all ←wan側はどこでも見れるようにall
スケジュール:always
サービス:ALL
アクション:ACCEPT
ファイアウォール/ネットワークオプション
NAT有効 ON
OK
Fortigate napt ipマスカレード
※NAT有効がNAPT(IPマスカレード)設定となります!!

Fortigate napt ipマスカレード
緑のチェックで有効と入ってるのでNAPT(IPマスカレード)が
有効になっております。

これでインターネットサーフィンもスイスイですね☆
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate NAT 設定

Fortigateで1対1NAT設定。

[構成]
WAN:2.1.1.1
LAN:192.168.1.254
NAT-PC:192.168.1.55
サービス:80
fortigate nat設定

[設定]
1.NAT設定
ポリシー&オブジェクト>オブジェクト>バーチャルIP
名前:任意
インターフェース:WAN1
External IPアドレス/範囲:2.1.1.1 - 2.1.1.1
マップされたIPアドレス/範囲:192.168.1.55 - 192.168.1.55
OK
fortigate nat設定

VIP(NAT)設定されたことを確認
fortigate nat設定

2.ポリシー作成
ポリシー&オブジェクト>ポリシー>IPv4
入力インターフェース:wan1
送信元アドレス:all ←テストなのでセキュリティゆるくいってます。
出力インターフェース:internal1
宛先アドレス:test_nat ←先ほど作成したVIP設定
スケジュール:always
サービス:http(80)
アクション:ACCEPT
NAT有効:OFF ←ここのNATはOFFで!!
OK
fortigate nat設定

3.確認
ポリシー&オブジェクト>ポリシー>IPv4
wan1 → internal1
fortigate nat設定
ポリシーが作成されたことを確認。

実際に機器を準備してテストしましょう。
テスト時はサービスをpingに変更しておくと簡単にテストできます。

[テスト]
wan1側接続Client PCからping 2.1.1.1と実施。
pingが成功すればOK。そのままNAT-PCのLANを離線。
pingが失敗すればVIP(NAT)されています。

以上。






TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Arcserve Backup バックアップ失敗

お客様からArcserveバックアップが取得できてないと連絡あり。
埒があかないので結局現地に行って調査することに。

Arcserveは半年くらい前からバックアップ失敗してるようである。
バックアップ取得先はBUFFALOのLINKSTATION。
[\\サーバー名]で接続するとちゃんとバックアップ先の
共有フォルダの中身を開くことができる。

Arcserve Backupのログをみるとディスクがいっぱいだと書かれている。
Arcserveのジョブはディスクのバックアップを削除して上書きに
してるのになぜ???

共有フォルダ(バックアップ先)を覗いてみるとtrashboxという
謎のフォルダが作成されている。なんだこれ??

調べてみたところLINKSTATIONのゴミ箱機能という機能が有効になって
おり削除したものが自動的にこのtrashbox(.trash)に保存される仕様らしい。
LINKSTATIONの管理画面に接続後デフォルトユーザー名/パスワードでログイン。
ユーザー:admin
パスワード:password

共有フォルダータブ>ごみ箱>使用しない

共有フォルダのtrashboxファイルごと削除!!!
これでArcserveのバックアップが正常に取れるようになりました。
バックアップの失敗も結構あるけどこれははじめてだったな。
色々あるわー

LinkStationの空き容量が足りないときに確認したいこと:
ごみ箱が容量を消費していませんか?







TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Backup | このブログの読者になる | 更新情報をチェックする

SSG ファームウェアアップデート 失敗

SSGのファームウェアアップデートを失敗した。
何回も繰り返しやったことがあったのでちょっと
甘くみていた。下記エラーが表示される。

********Invalid image!!!
********Bogus image - not authenticated!!!

6.3.0r18以降のファームウェアをアップデートする際には
新しい認証キーが必要なのがわかった。

CLIからコマンドで現在のイメージ認証キーの確認
exec pki test skey

exec pki test <skey>.
Flash base = 0x0, Flash end = 0x0, sector size= 0x10000
KEY1 N/A len =432
309301ac02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef4400c31e3f80b651
magic1 = f7e9294b magic2=0
KEY2 N/A len =432
309301ac02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef4400c31e3f80b651
magic1 = f7e9294b magic2=0
KEY3 N/A len =432
308201ac02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef440
0c31e3f80b651
magic1 = f7e9294b magic2=0

赤くcとなっていると旧イメージ認証キー。
ここがdなら新イメージ認証キーとなる。

今回はここがcとなっていたので6.3.0r18に
ファームウェアをアップデートできなかった。
一応両方のイメージ認証キーをダウンロードしておきましょう。

*旧イメージ認証キー
6.3.0r17以前のバージョン
http://www.juniper.net/techpubs/hardware/netscreen-certifications/image_key.zip

*新イメージ認証キー
6.3.0r18以降のバージョン
http://www.juniper.net/techpubs/hardware/netscreen-certifications/imagekey.zip

1.イメージ認証キーの削除
delete crypto auth-key

2.イメージ認証キー削除確認
exec pki test skey
exec pki test <skey>.
Flash base = 0x0, Flash end = 0x0, sector size= 0x10000
KEY1 N/A len =0
000000000000000000000000000000000000000000000000000000000000000000000000000000000
magic1 = e7e9294b magic2=0
KEY2 N/A len =0
000000000000000000000000000000000000000000000000000000000000000000000000000000000
magic1 = e7e9294b magic2=0
KEY3 N/A len =0
000000000000000000000000000000000000000000000000000000000000000000000000000000000
magic1 = e7e9294b magic2=0
※イメージ認証キーがないと0が並びます。

3.新イメージ認証キーのインストール
TFTPサーバーを準備してアップロード
save image-key tftp imagekey.cer

4.新認証キーの確認
exec pki test skey

exec pki test <skey>.
Flash base = 0x0, Flash end = 0x0, sector size= 0x10000
KEY1 N/A len =432
309301ad02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef4400c31e3f80b651
magic1 = f7e9294b magic2=0
KEY2 N/A len =432
309301ad02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef4400c31e3f80b651
magic1 = f7e9294b magic2=0
KEY3 N/A len =432
308201ad02010002818100fd7f53811d75122952df4a9c2eece4e7f611b7523cef440
0c31e3f80b651
magic1 = f7e9294b magic2=0

c→dとなったところで再度NetscreenOSのアップデートを
実施したところ無事できました!!
途中で仕様変えられるとわからんようになる(笑)

Where can I download the Juniper Networks
DSA Public Key (imagekey.cer) file, and how do
I load/install the imagekey.cer file?


Juniper Technical Documentation


続きを読む
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Juniper | このブログの読者になる | 更新情報をチェックする

Cisco1812J 中古 NW工房



なんとCiscoルーターの1812Jが3,000円で手に入る!
家のGWルーターとして十分に性能を発揮してくれるだろう♪
勉強用にも重宝できる一品。VPNでもはりますか〜


NW工房
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Cisco | このブログの読者になる | 更新情報をチェックする

ブログパーツ
login

無料レンタル
login