fc2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

Cisco Umbrellaと IPsec Tunnel経由の通信でPingは飛ぶのに特定のWebサイトへのアクセスができない場合の回避策 トラブルシューティング

2023.12.16 (Sat)

Cisco Umbrella では、Secure Internet Access 用の IPsec トンネルは
・MTU (Maximum Transmission Unit) が 1400バイト 以下
・MSS (Maximum Segment Size) が 1360 バイト以下
である必要があります

さらに IPsec の設定 (Encryption、Integrity 等) や利用する WAN によっては、
もう少し大きな MTU と MSS であっても動作可能、またはもう少し小さな MTU とMSS である必要があります。

※適切な MTU、MSS の値については IPsec の設定、WAN に基づいて計算してください。

設定例)
interface Tunnel1
ip tcp adjust-mss 1350



スポンサーサイト



Cisco QoS show policy-map interface の出力 offer rate が実際に送信されたrateと差が出る場合

2023.12.15 (Fri)

QoS を設定しているインターフェイスにて show policy-map interface の出力では、
offer rate が実際に送信されたrateと差が出たり、class-map にて処理されたトラフィックが
設定した shaping/ bandwidth の値と乖離が出たりする場合がある。

そういった場合の対応策としては、
QoS を設定している インターフェイス のロードインターバルを 30s に変更することで解消する。




IPv4 共有技術 DS-Lite/MAP-E 技術概要 サーバ公開は不可 IPsecは不可

2023.12.14 (Thu)

DS-Lite/MAP-Eの特徴として複数のCPEで同一のGlobal IPv4アドレスを共有する。

MAP-EとDS-Liteの最大の違いは NAPTするポイント。
MAP-E は CPE、DS-LiteはVNE側のAFTRでNAPTする。
MAP-Eでは、CPE側でNAPT44する。

このとき各CPEは固有のPSIDが割振られ利用可能なL4Portが割り当てられる。
使用可能なポート数も制限される(JPNEの場合、240個/CPE)





MAP-Eはステートレスなトンネリング方式によりIPv4 over IPv6を実現。
MAP-Eでは IPv4 over IPv6パケットのIPv4アドレス/ポートとIPv6アドレスの対応を一意に決定。

CPEは付与されたIPv6 prefixから、MAP特有のルールによってグローバルIPv4 Network用のIPv4アドレス/ポートレンジを生成。
CPEが配下のプライベートIPv4 Networkからパケットを受けた時、CPEはNAPT44により、
受けたパケットを上記のIPv4アドレス/ポートに変換。
NAPT44変換後のパケットはIPv6 EncapsulationされIPv6 Networkに送出。

BRがIPv6 Networkからパケットを受けた時、BRは受けたパケットをDecapsulationし、得られたIPv4
パケットをグローバルIPv4 Networkへ送出する。

BRがグローバルIPv4 Networkからパケットを受けた時、BRは受けたパケットのIPv4宛先アドレス/
ポートからMAP特有のルールによってIPv6宛先アドレスを作成。グローバルIPv4 Networkからの
パケットは上記のIPv6宛先アドレスでEncapsulationされ、IPv6 Networkに送出される。

CPEがIPv6 Networkからパケットを受けた時、CPEは受けたパケットをDecapsulationし、NAPT44
変換を行い、得られたIPv4パケットをプライベートIPv4 Networkへ送出する。
 | HOME |  Next »