NETWORK×NETWORK

Ciscoの古いAP(Cisco Aironet1100シリーズ)を設定してみた。
EOLはとっくに来ているみたいでOSのバージョンアップ
とかはできない。

Cisco Aironet 1100 シリーズ - 終了のお知らせ

電源はもっていないし売っていないのでPoEスイッチを
秋葉原で買ってきた。5portで5千円と結構するものである。
ポートはCONSOLEとETHERNETの2ポートついている。
IPが設定されているかもわからないので一旦コンソール
ケーブルにて接続。

Username：cisco
Password：Cisco
ap>enable
Password：Cisco

Cisco Aironetシリーズのデフォルトユーザーパスワードで
ログインすることができた。ホスト名もapがデフォルト。

まずはETHERNETに管理IPの設定。
LANにIPを振るとWebUIでも接続して設定変更できるので便利です。
ap#conf t
ap(config)#interface gigabitEthernet 0
ap(config-if)#ip addresss 192.168.1.254 255.255.255.0
ap(config-if)#no shut

今日はそのままCLIで設定を継続。
SSID、暗号化方式、パスワードなどを設定していきます。
ap(config)#dot11 ssid Ciscotest-SSID(SSID名を入力)
ap(config-ssid)#authentication open
ap(config-ssid)#authentication key-management wpa version 2
ap(config-ssid)#wpa-psk ascii 0 *********(パスワードを入力)
ap(config-ssid)#guest-mode　→SSIDを表示させる(ステルスモードの場合は設定しない)
ap(config-ssid)#exit

ap(config)#int dot11Radio 1　→2.4GHz(Radio 0)と5GHz(Radio 1)どちらで設定するか決定
ap(config-if)#encryption mode ciphers aes
ap(config-if)#ssid Ciscotest-SSID
ap(config-if)#station-role root　→rootだと親機、repeaterだと中継器
ap(config-if)#no shutdown
ap(config-if)#exit

設定した帯域がupしていることを確認
ap#show int dot11Radio 1
Dot11Radio1 is up, line protocol is up
続く・・・

IPアドレスなどが正常に設定できていることを確認
ap#show ip interface brief

ここまで設定すればクライアントPCから接続して
インターネットを閲覧することができました。
CiscoAPの接続先としてFortigateがいるのですが
DHCPやセグメントの設定はやっています。

設定は管理IPを振ったあとWebUIでするのが楽かも。。。
APの管理画面へ接続
ブラウザにhttp://192.168.1.254　→gigabitEthernet 0に設定したIP
ユーザー/パスワードは変更していない限りはデフォルト

新規でWindows Server 2025のActive Directoryを構築する
際には注意が必要です。どうやらバグをいっぱい抱えて
いるようで管理者の悩みの種が減りません。

■バグ・問題
*ドメインコントローラーであるWindows Server 2025が
再起動されると、ネットワークトラフィックを正しく
管理できなくなることがある
*Windows Server 2025に重大な再起動バグ　
ADドメインコントローラーの接続障害とセキュリティリスクが顕在化
*reddit Windows 2025、マジでバグだらけじゃん

*Windows Server 2025 のスキーマ マスターを
使用した場合の Active Directory スキーマ拡張の問題

*10,000 人を超える AD セキュリティ グループのディレクトリ同期が失敗する

*共有フォルダーからインストールした場合、WUSA 経由でインストール
されたUpdatesが失敗する可能性がある

*Windows Server 2022 と Server 2019 が予期せず
Windows Server 2025 にアップグレードされました

*AWS EC2のWindows Server2025をAD参加した後、停止すると起動できなくなる問題

*256コア以上の環境でのブルースクリーンリスク

*Windows Server 2025の新機能dMSAを
悪用したActive Directory支配の脅威

■仕様変更
*Windows Server 2025のActive Directory
ではLDAP署名が既定で必須に！

*2025年1月以降のWindowsUpdate適用で
一部サービスでAD認証が失敗する可能性がある

■解決済みの問題
*Windows Server 2025 で解決された問題

今回導入するにあたり試験をする時間があまりないので
安定稼働をしているWindows Server2022を選定する
ことになりました。

そこで気になるのがサポート終了日
[Windows Server 2022]
*メインストリームサポート
　サポート開始日2021年8月18日
　サポート終了日2026年10月13日
*延長サポート
　延長された終了日2031年10月14日

ではメインストリームサポートと延長サポートの
違いはなんなのでしょうか。
*メインストリームサポート
　機能追加や修正プログラムの提供
*延長サポート
　OSの動作障害やバグに対する修正プログラムの提供
　
バグの修正プログラムの提供してくれるなら
Windows Server2022でいいですね。
正直ドメインコントローラーは正常に安定して
動いてくれるのが一番いいです。

以上。

Fortigate ssl-vpn 廃止

Fortinet社がOS7.6.3からSSL-VPNの機能を廃止すると
公式リリースノートで発表して衝撃が走りました。
FortigateのSSL-VPNを利用している顧客が頭の中で
巡りました。感想としてはやってくれるねFortinetさん。

まー現在SSL-VPNを利用しているところでは
FortiOSを7.6.3以下で利用すればいいのですが
Fortigateに関しては毎月のように脆弱性が報告されています。

SSL-VPNと外部FWなど併用している場合はセキュリティを
考慮してなるべく最新OSを使う必要がありますよね。
困ったものです。

私がよく機器を購入しているNetworld社の
ファームウェアサポート終了情報は以下のように
なっていました。
Vr. リリース日 技術サポート終了日 サポート終了日
7.0 2021/03/30 2024/03/30 2025/09/30
7.2 2022/03/31 2025/03/31 2026/09/30
7.4 2023/05/11 2026/05/11 2027/11/11
7.6 2024/07/25 2027/07/25 2029/01/25

7.4くらいでとどめておけばあと2年くらいは
持ちそうでね。サポートが続く限り7.4の最新版OSに
バージョンアップしてリプレースするのがよさそうですね。

どうにもこうにもならない場合はSSL-VPNから
IPSEC VPNの移行が必要となります。

◆ネットワールドらぼ
・【Fortinet】SSL-VPN機能の廃止！IPSecVPNへのスムーズな移行方法について

◆SCSK社参考サイト IPSec-VPN設定方法
・FortiGate 技術ブログ IPSec-VPN設定方法【はじめに】
・FortiGate 技術ブログ IPSec-VPN設定方法【基本編】
・FortiGate 技術ブログ IPSec-VPN設定方法【共通クライアント証明書編】
・FortiGate 技術ブログ IPSec-VPN設定方法【SAML編】

久しぶりにPCの新規購入を考えている。
正直スペックは全然求めていないのだがブログを
書くのにも毎回PCがフリーズするので相当イライラ
してしまう。現在利用しているPCは購入してから
ちょうど5年くらい経過するのでタイミング的にはいい。

現在のPCはタワー型でスペースをとっているのに
遅い。なんか本末転倒である。というわけで新しく
購入するPCはフリーズしないものを買いたい。

そもそもなぜフリーズするのか。CPUとメモリどちらか、
足りていないもしくは両方足りていないのでしょう。

CPU：コンピュータの「脳」にあたる。
コンピュータ全体の処理を制御して、データ処理や計算を行う。

Memory：コンピュータの「記憶域」にあたる。
この領域が大きいほど同時に多くのデータ処理が可能。
CPUが処理するデータを一時的に保管してプログラムを
実行する際に必要なデータを読み書きする。

ブログを書く際に調べ物をしたり、写真を表示させたり
と多くのページを同時に開いたりしています。
正直そこまで速い処理が必要だとは考えづらいので、
きっと記憶域が足りていないのでしょう。

現在利用中のPCスペックを調べてみます。
「CPU-Z」というツールが便利なので利用してみます。

◆ダウンロード先
窓の杜
CPU-Z
(Windows11でも動作しましたが自己責任で!)

＜容量＞
メモリの容量が大きいほど機械が一度に作業できる処理が
向上します。また複数のタスクを同時に処理できる能力も
向上します。動画編集やゲームがメインなら32GB以上ほしい
ところです。普通に使うだけなら8GB〜16GBもあれば十分でしょう。

OSのメモリ最大搭載容量は以下となります。
Windows 32bit OSだと最大4GB
Windows 64bit Homeだと最大128GB
Windows 64bit Proだと最大2TB
※さらにはマザーボードがサポートする最大容量がありますが、
32GB以上はお金がかかりすぎるので最大搭載容量を心配する
必要はほとんどの場合ないと思います。

＜世代＞
メモリには規格がありDDRとあらわされます。
DDR3,DDR4,DDR5などありますが互換性はありません。
数字が大きくなるほうが性能は上がっていきます。
CPU-Zのツールで世代は表示されます。


＜用途＞
DIMM,SO-DIMMがある。
DIMMはデスクトップに搭載されている規格で大きく、
SO-DIMM(SODIMM)はノートパソコンや小さいデスクトップ
PCなどに搭載されている場合が多い。
タスクマネージャで確認(Ctrl+Alt+Del同時押後、タスクマネージャを選択)

※画像はノートパソコンで取得。デスクトップはもはや
使い物にならないため・・・

＜スロット数＞
スロット数は物理的にメモリを挿せる場所となるので
追加でメモリを増やす場合などは必ず確認しましょう。
タスクマネージャで確認


などを踏まえた上でメモリ16GB搭載のHPデスクトップパソコン
を今回は購入してみました。CPUはベンチマークサイトで
一応確認しました。
PASSMARK SOFTWARE
CPU Benchmarks

新品 HP(ヒューレット・パッカード) デスクトップパソコン HP Elite Mini 805 G8 スタンダードモデル S2/Ryzen 5/16GB/512GB/Win 11 価格：94,800円〜（税込、送料無料) (2025/9/11時点)

Fortigate200GとFortigate201Gの違い

Fortinet社のFortiGateは、ファイアウォール導入時に
必ず選択肢に挙がるほど定番の製品です。
正直なところ、1台でここまで多機能かつ便利な製品は
他にないと言っても過言ではありません。

※ただし、数か月に一度の頻度でセキュリティパッチが
公開され、緊急アップデートが必要になることも
ありますが、それを差し引いても優れた製品です。
裏を返せばセキュリティ意識が高くそれだけ世界中で
利用されているとこうことが言えますね。

まずFortiGateを購入する際、型番に「200G」と
「201G」の2種類があることに気づきます。
では、「200」と「201」で何が違うのでしょうか。

最大の違いは、FortiGate 201Gには内蔵ストレージが
搭載されているのに対し、Fortigate 200Gには
内蔵ストレージがないという点です。

■Fortigate200G
内臓ストレージ：なし
重量：6.4kg
AC消費電力(平均/最大)：145W/175W

■Fortigate201G
内臓ストレージ：あり(1×480GB SSD）
重量：6.5kg
AC消費電力(平均/最大)：145W/176W

それ以外の違いと言えばディスクを積んだ分
0.1kgだけ重量が重くなっていることと、
消費電力の最大値が増えていること。
ほとんど差がないですね。

内臓ストレージありだと金額は上がります。
また故障率もストレージがあるぶん上がります。
Fortigate以外にログを貯めるか筐体内に貯めるか
で必要性が変わってきますかね。

その他の違いとしては、内蔵ストレージを搭載
している分、Fortigate201Gのほうが重量が約0.1kg重く、
最大消費電力もやや高くなっています。
いずれもわずかな差で、大きな違いとは言えません。

ただし、内蔵ストレージがあるFortigate201Gは
価格が上がり、ストレージ故障のリスクも増える
点には注意が必要です。

ログをどこに保存するか。FortiGate本体に
保存するか、外部のSyslogサーバーなどに送るか
によって、内蔵ストレージの必要性は変わってきます。

FortiGate200シリーズ DataSheet

FORTINET(フォーティネット) AlaxalA(アラクサラ)
新ブランド「FortiSwitch-AX」を立ち上げ

2021年9月にFortinet社に買収されたアラクサラネットワークスですが、
これまで大きな動きは見られませんでした。ところがこのたびついに
新たなネットワークブランド「FortiSwitch-AX」を立ち上げたようです。

アラクサラネットワークスは元々、日立製作所とNECの合弁会社として
設立されました。基幹系ルータやLANスイッチに強く
Fortinetのセキュリティ製品との相性は非常にいいと思います。
またFortinet社からしてみればスイッチ製品はあまり販売して※
いなかったので今回FortiSwitch-AXを発表したことにより
ネットワークソリューション全般に強みを発揮していけると思います。

※Fortinetには以前から「FortiSwitch」というスイッチ製品の
ラインアップがあることは承知しているが、正直なところ、
これまで販売したことも設定したこともなく、実際に設置されて
いるところも目にしたことがありません。

以下ニュースサイト参照
--------------------------------------------------------------
ZDNET　参照
フォーティネットとアラクサラ、初の共同開発製品を日本で上市

フォーティネットジャパンとアラクサラネットワークスは6月9日、
新たなネットワーク製品ブランド「FortiSwitch-AX」を立ち上げ、
初の共同開発製品となるネットワークスイッチ
「FS-AX600Fシリーズ」を国内市場で展開すると発表した。

新製品のFS-AX600Fシリーズでは、まず「FortiSwitch-AX648F」と
「FortiSwitch-AX624F」の2モデルをラインアップする。
アラクサラが培った高信頼・高可用技術のソフトウェアを
フォーティネットの「FortiSwitch」ハードウェアに実装している。
国内の各種規制や商習慣や業界特性に対応しているとし、国内で
ワンストップ対応のサポート窓口も設置。外資系ネットワーク
セキュリティベンダー初の10年間保守サポートと幅広い世代の
OSサポート、メーカーエンジニアによる導入支援、技術サポート
などを提供し、既存のフォーティネット製品と組み合わせた導入も
できるとしている。
--------------------------------------------------------------
保守サポートが10年間あるのは魅力的ですね。
また、今回発表したFS-AX600Fシリーズを6月11日〜13日の期間中幕張メッセ
で開催される「Interop Tokyo 2025」のブースで展示を予定するようです。

是非行ってみたかったのですが出張中で参加できないのが残念無念です。

MACアドレスの先頭6文字を
OUI（Organizationally Unique Identifier）と呼ぶ。
IEEE（米国電気電子技術者協会）がOUIを管理し、
ネットワーク機器ベンダーに割り当てている。

とういうことはある程度どこのベンダーの
ネットワークカードなのか調べることができるということである。

そんなときに便利なのが下記ページ！！

＊MACアドレス検索ページ
MACアドレス検索
https://uic.jp/mac/

＊MACアドレス ベンダー検索ページ
MACベンダー検索くん
http://mobile.shinsv.mydns.jp/tech/mac_address/

＊MACアドレスベンダーコード一覧
MACアドレス、ベンダーコード一覧
http://www.vor.jp/oui/oui.html

＊怪しい機器を探す切り札はMACアドレス
IT pro
http://itpro.nikkeibp.co.jp/article/COLUMN/20140120/530926/?rt=nocnt

怪しいマックアドレスが存在した場合是非
調べてみましょう〜

IPフォンを導入する際に出てくる言葉でVoIP・SIP・RTP
などがあります。このVoIP・SIP・RTPの違いってわかりますか？

◆VoIP(Voice over IP)
役割：「全体の仕組み（概念）」
音声をIPネットワークで通話できるようにする技術全般
IP電話、Zoom、LINE通話などが該当

◆SIP(Session Initiation Protocol)
役割：「通話の制御・開始/終了の手続き」
電話の“呼び出し”や“切断”

◆RTP(Real-time Transport Protocol)
役割：「実際の音声・映像データを運ぶ」
通話中にリアルタイムで音声データを送受信するためのプロトコル

VoIP(ボイプ)って言葉はよく耳するけど、これはあくまでも
概念の話なのですね。実際にはSIPやRTPを利用して
IPフォンの通話は成り立っています。

IPフォンを導入する際にどれくらい帯域を利用するのか
不安になりませんか？今までは1GBの社内LANだったのが
10GB用意しないと足りないのではないか？などネットワーク
を構築する上で帯域の不安はいつの時代も消えません。

IPフォンはSIP（Session Initiation Protocol）と
RTP（Real-time Transport Protocol）を利用します。

◆SIP
役割：通話の発信・着信の制御やセッションの管理。
具体的には、発信・着信の要求（INVITE）、
相手の応答の受信（200 OK）、通話の終了（BYE）などを
行っている。容量は数KB〜数十KBと小さいので
ネットワーク負荷はほとんどない。

◆RTP
役割：実際の音声データ（通話内容）の送受信。
具体的には、SIPで通話が確立された後、RTPで音声や
映像がUDPで送受信される。RTPは通話中は常に流れて
いるためそれなりの容量を利用します。

通話が開始されるときの一連の流れは以下となります。
１．AさんがBさんに電話をかける(SIPで通話開始)
２．双方で音声コーデックやポート番号などをSIPメッセージ(SDP)で交換。
３．通話が成立したら、RTPで音声をリアルタイムに送信。
４．通話終了時もSIPでセッションを終了。

そこでRTPコーデックを利用した場合のLAN側で
利用する帯域の計算をしていきたいと思います。

コーデック種別

※双方向通信はすべて倍の帯域を利用します

今回は内線などに向いているG.711で計算します
同時に10通話 約87.2kbps×2(双方向)×10＝約1.74Mbps
同時に100通話 約87.2kbps×2(双方向)×100＝約17.4Mbps
同時に1000通話 約87.2kbps×2(双方向)×1000＝約174Mbps

この結果を踏まえるとQoSの設定やIPフォン専用のセグメント
分けは必須と考えられるが、100人規模であれば1Gbpsの回線で
十分だと考えられます。たとえ1000人を超える大企業でも、
全員が同時に内線を利用することは稀なため、実際の帯域利用
はそれほど高くないことが想定されます。

しかし、音声品質は非常に重要です。通話中に音声が途切れた
り相手の声が聞こえなかったりする状況は業務に大きな
支障をきたします。十分な帯域確保と適切なQoS設定を行い、
安定した音質を維持することが不可欠となってきます。

外線電話では以下のようなコーデックがあります。


外線だと高品質重視ならG.711やG.722が主流
帯域節約重視ならG.729やOpusが多いでしょうか。

また通信内容の暗号化が必要な場合には、セキュリティを
強化するためにSRTP(Secure Real-time Transport Protocol)
を利用します。SRTP導入による帯域増加幅は一般的には
5％〜15%程度と考えられています。

Microsoft 365 authenticator

1台目のスマホを登録するときは普通にログイン時に
WEBブラウザ側でQRコードが表示されたのだが２台目の
スマホを登録するときは表示されない。とういうわけで
２台目以降のスマホでMicrosoft Authenticatorを登録する
方法を書いておきます。

1.Microsoft Office365にログイン後、左下の人物マークを選択


2.「アカウントを表示」を選択


3.「セキュリティ情報」の「更新情報」を選択


4.「セキュリティ情報」の「＋サインイン方法」の追加を選択


5.「サインイン方法の追加」で「Microsoft Authenticator」を選択


6.「最初にアプリを取得します」で「次へ」を選択


7.「アカウントのセットアップ」で「次へ」を選択


8.スマホ側でアプリ「Microsoft Authenticator」を
ダウンロード後、ログインして「＋」を選択


9.「アカウントを追加」「職場または学校アカウント」を選択


10.「QRコードをスキャン」を選択


11.項番7で表示されているPC側のQRコードを読み込み


12.テストでスマホ側で入力するコードを表示。スマホの
Authenticatorでコードを入力して問題なければ完了

以上となります。