FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

指定期間 の記事一覧

Juniper JUNOS バージョンアップ手順 スタンドアロン/バーチャルシャーシ/ルーティングエンジン冗長化

2014.08.31 (Sun)
例ではEX4200スイッチ/MX480ルータで実施しているが、
EX/M/MX/Tシリーズでも同様に可と思われる。


※アップデートの注意点

アップデートは3世代先のバージョンまでは
1発でアップデートできる場合が殆ど。

保守ベンダなどでも
大体は3世代までのアップデートを推奨している。

但し、例外として、EEoL(Extended EoL)間の
アップデートについては3世代の制限は存在しない。





■スタンドアロン構成の場合


1,FTP,SCP等で事前にOSをアップロードしておく。

アップロード先:/var/tmp配下

2,OSファイルが/var/tmp配下にアップロードできたことを確認。

user@EX4200> file list detail /var/tmp/var/tmp/OSファイル名


3,ファイルの破損チェック

user@EX4200> file checksum md5 /var/tmp/OSファイル名

MD5 (/var/tmp/OSファイル名) = ハッシュ値


4,新バージョンのインストール

user@EX4200>request system software add /var/tmp/OSファイル名

Checking pending install on fpc0

Validating on fpc0

Done with validate on all virtual chassis members

fpc0:
WARNING: A reboot is required to install the software
WARNING: Use the 'request system reboot' command immediately

user@EX4200>


5,アップデートを完了させるため再起動

user@EX42000> request system reboot

Reboot the system ? [yes,no] (no) yes


Rebooting fpc0

*** FINAL System shutdown message from user@EX4200 ***
System going down IMMEDIATELY


Shutdown NOW!
[pid 1010]

user@EX4200>


6,起動後、正常にインストールされたか確認

user@> show version
fpc0:
--------------------------------------------------------------------------
Hostname: EX4200
Model: ex4200-24f
JUNOS Base OS boot [10.4R7.5]
JUNOS Base OS Software Suite [10.4R7.5]
JUNOS Kernel Software Suite [10.4R7.5]
JUNOS Crypto Software Suite [10.4R7.5]
JUNOS Online Documentation [10.4R7.5]
JUNOS Enterprise Software Suite [10.4R7.5]
JUNOS Packet Forwarding Engine Enterprise Software Suite [10.4R7.5]
JUNOS Routing Software Suite [10.4R7.5]
JUNOS Web Management [10.4R7.5]
JUNOS loader upgrade [11.3-20110310.0]











■バーチャルシャーシ構成の場合


1,FTP,SCP等で事前にOSをアップロードしておく。

アップロード先:/var/tmp配下

2,ファイルが/var/tmp配下にアップロードできたことを確認。

user@EX4200> file list detail /var/tmp/var/tmp/OSファイル名


3,ファイルの破損チェック

user@EX4200> file checksum md5 /var/tmp/OSファイル名

MD5 (/var/tmp/OSファイル名) = ハッシュ値


4,新バージョンのインストール

user@EX4200>request system software add /var/tmp/OSファイル名

Checking pending install on fpc1

Checking pending install on fpc0

Pushing bundle to fpc1

Validating on fpc1

Validating on fpc0

Done with validate on all virtual chassis members

fpc1:
WARNING: A reboot is required to install the software
WARNING: Use the 'request system reboot' command immediately

fpc0:
WARNING: A reboot is required to install the software
WARNING: Use the 'request system reboot' command immediately

user@EX4200>


5,アップデートを完了させるため再起動

user@EX42000> request system reboot all-members

Reboot the system ? [yes,no] (no) yes


*** FINAL System shutdown message from user@EX4200 ***
System going down IMMEDIATELY


Shutdown NOW!
[pid 1010]

user@EX4200>




6,起動後、正常にインストールされたか確認

user@> show version
fpc0:
--------------------------------------------------------------------------
Hostname: EX4200
Model: ex4200-24f
JUNOS Base OS boot [10.4R7.5]
JUNOS Base OS Software Suite [10.4R7.5]
JUNOS Kernel Software Suite [10.4R7.5]
JUNOS Crypto Software Suite [10.4R7.5]
JUNOS Online Documentation [10.4R7.5]
JUNOS Enterprise Software Suite [10.4R7.5]
JUNOS Packet Forwarding Engine Enterprise Software Suite [10.4R7.5]
JUNOS Routing Software Suite [10.4R7.5]
JUNOS Web Management [10.4R7.5]
JUNOS loader upgrade [11.3-20110310.0]

fpc1:
--------------------------------------------------------------------------
Hostname: EX4200
Model: ex4200-24p
JUNOS Base OS boot [10.4R7.5]
JUNOS Base OS Software Suite [10.4R7.5]
JUNOS Kernel Software Suite [10.4R7.5]
JUNOS Crypto Software Suite [10.4R7.5]
JUNOS Online Documentation [10.4R7.5]
JUNOS Enterprise Software Suite [10.4R7.5]
JUNOS Packet Forwarding Engine Enterprise Software Suite [10.4R7.5]
JUNOS Routing Software Suite [10.4R7.5]
JUNOS Web Management [10.4R7.5]
JUNOS loader upgrade [11.3-20110310.0]










■ルーティングエンジンを冗長構成の場合
(ISSUを使用しない場合)


※注意点

アップデート時に
graceful routing engine switchover (GRES)や
nonstop active routing (NSR)
が有効になっているとアップグレード処理が失敗するので、
有効になっている場合は設定を予め削除しておく。




1,FTP,SCP等で事前にOSをアップロードしておく。

アップロード先:/var/tmp配下


2,OSファイルが/var/tmp配下にアップロードできたことを確認。


user@Router> file list detail /var/tmp/var/tmp/OSファイル名


3,ファイルの破損チェック

user@Router> file checksum md5 /var/tmp/OSファイル名

MD5 (/var/tmp/OSファイル名) = ハッシュ値


4,スタンバイルーティングエンジン側にコピー
→user@Router> file copy re0:/var/tmp/OSファイル名 re1:/var/tmp/


5,マスター側ルーティングエンジンにコンソールログインし、
コンフィグレーションモードに移行しておく。


user@Router> configure
Entering configuration mode

[edit]
user@Router#


6,ルーティングエンジン冗長無効化

[edit]
user@Router# deactivate chassis redundancy

[edit]
user@Router# commit synchronize


7,バックアップルーティングエンジン側にコンソールログイン




7,新バージョンのインストール

user@Router>request system software add /var/tmp/OSファイル名




8,アップデートを完了させるため再起動

user@Router> request system reboot

Reboot the system ? [yes,no] (no) yes


*** FINAL System shutdown message from user@Router ***
System going down IMMEDIATELY


Shutdown NOW!
[pid 1040]

user@Router>


9,プライマリルーティングエンジンにコンソールログイン


10,ルーティングエンジン切替

user@Router> request chassis routing-engine master switch


11,切り替わったことを確認

user@Router> show chassis routing-engine

Routing Engine status:

Slot 0:

Current state Backup

Election priority Master (default)

Routing Engine status:

Slot 1:

Current state Master

Election priority Backup (default)




12,新バージョンのインストール

user@Router>request system software add /var/tmp/OSファイル名




13,アップデートを完了させるため再起動

user@Router> request system reboot

Reboot the system ? [yes,no] (no) yes


*** FINAL System shutdown message from user@Router ***
System going down IMMEDIATELY


Shutdown NOW!
[pid 2010]

user@Router>



14,ルーティングエンジン切戻

user@Router> request chassis routing-engine master switch



15,切り戻ったことを確認

user@Router> show chassis routing-engine

Routing Engine status:

Slot 0:

Current state Master

Election priority Master (default)

Routing Engine status:

Slot 1:

Current state Master

Election priority Backup (default)


16,ルーティングエンジン冗長化


user@Router> configure
Entering configuration mode

[edit]
user@Router#

[edit]
user@Router# activate chassis redundancy

[edit]
user@Router# commit synchronize



スポンサーサイト



YAMAHA RTX1200とOCNモバイル スタンダードd(LTE)を使ったIPSec-VPN接続 設定例 センター側IP固定/現場側IP動的

2014.08.29 (Fri)

工事現場等のネットワーク環境から、
本社のサーバへアクセスしたいとの要望があり、
RTX1200とOCNモバイル スタンダードd(LTE)を使ってIPSec-VPN接続をしてみました。


■条件
・使用機材:

YAMAHA RTX1200
RTX1200 YAMAHA ギガアクセスVPNルーター【送料無料(沖縄・離島は除く)】

RTX1200 YAMAHA ギガアクセスVPNルーター
価格:75,070円(税込、送料込)



OCNモバイル スタンダードd



・本社:固定IP
・工事現場:動的IP

・すべての通信をVPN経由にさせる





■コンフィグ

●工事現場側

RTX1200# show config
# RTX1200 Rev.10.01.53 (Mon Sep 9 15:23:58 2013)
# MAC Address : 00:a0:de:**:**:**, 00:a0:de:**:**:**, 00:a0:de:**:**:**
# Memory 128Mbytes, 3LAN, 1BRI
# main: RTX1200 ver=b0 serial=D******** MAC-Address=00:a0:de:**:**:** MAC-Addr
ess=00:a0:de:**:**:** MAC-Address=00:a0:de:**:**:**
# Reporting Date: Oct 20 16:07:32 2014
login password *
administrator password *
login user netadmin *
console prompt RTX1200
ip route default gateway tunnel 1
ip route 本社側のIP gateway pp 1
ip lan1 address 192.168.1.1/24
pp select 1
pp bind usb1
pp always-on on
pp auth accept pap chap
pp auth myname 認証ID 認証パスワード
ppp lcp mru off 1792
ppp lcp accm on
ppp lcp pfc on
ppp lcp acfc on
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ipv6cp use off
mobile auto connect on
mobile disconnect time off
mobile disconnect input time off
mobile disconnect output time off
mobile access-point name lte-ocn.ntt.com cid=1 pdp=ip
mobile access limit connection time off
mobile access limit duration off
mobile access limit length off
pp enable 1
tunnel select 1
tunnel endpoint address 本社のIP
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local name 1 RTX1200 key-id
ipsec ike pre-shared-key 1 text シークレットキー
ipsec ike remote address 1 本社のIP
tunnel enable 1
ip filter 1 pass 192.168.1.0/24 *
rip use on
ipsec use on
ipsec auto refresh on
ipsec log illegal-spi on
syslog notice on
tftp host none
telnetd host 192.168.1.1-192.168.1.254
httpd service on
httpd host 192.168.1.1-192.168.1.254
alarm usbhost off
alarm startup off
sshd service on
sshd host 192.168.1.1-192.168.1.254
sshd host key generate *
sftpd host none
usbhost use on
mobile use usb1 on
mobile signal-strength on interface=usb1 syslog=off interval=60
RTX1200#


●本社側(IPSec-VPN設定抜粋)

tunnel select 23
tunnel endpoint name RTX1200
ipsec tunnel 123
ipsec sa policy 123 23 esp esp aes-cbc sha-hmac
ipsec ike keepalive use 23 on
ipsec ike local address 23 本社側のIP
ipsec ike pre-shared-key 23 text シークレットキー
ipsec ike remote address 23 any
ipsec ike remote name 23 RTX1200
tunnel enable 23

ip route 192.168.1.0/24 gateway tunnel 23




すべての通信を本社(VPN)を経由させることにより、
本社と同一のセキュリティポリシーが適用できる。

ただし、帯域に余裕がないと厳しい。


※OCNモバイル スタンダードdは
NTT docomoの3G/LTEの提供範囲で利用可能。


ちなみに、
SRT100
YAMAHA SRT100 ファイアウォールルーター 初期化済 【中古】【20140603】

YAMAHA SRT100 ファイアウォールルーター
価格:8,400円(税込、送料別)




RTX810
ルータ(YAMAHA RTX810)

ルータ(YAMAHA RTX810)
価格:73,440円(税込、送料別)



でも実現可能。


Cisco ACLにおけるフラグメント化されたパケットの処理

2014.08.27 (Wed)
ACLにおけるフラグメントパケットの処理について
誤った認識をしていたため、メモ



Cisco HPより抜粋


IP パケットは、ネットワークを通過するときにフラグメント化されることがあります。
その場合、TCP または UDP ポート番号や ICMP タイプおよびコードなどのレイヤ 4 情報は、
パケットの最初の部分があるフラグメントだけに含まれます。
他のフラグメントには、この情報はありません。


ACE には、レイヤ 4 情報をチェックしないため、
すべてのパケット フラグメントに適用されるものがあります。

レイヤ 4 情報を調べる ACE は、フラグメント化された
IP パケットのほとんどのフラグメントに標準的な方法では適用できません。

フラグメントにレイヤ 4 情報が含まれておらず、
ACE が一部のレイヤ 4 情報をチェックする場合、
一致ルールは次のように変更されます。

・フラグメント内のレイヤ 3 情報(TCP や UDP などのプロトコル タイプを含む)を
 チェックする許可 ACE は、含まれていないレイヤ 4 情報の種類にかかわらず、
 フラグメントと一致すると見なされます


・レイヤ 4 情報をチェックする拒否 ACE は、
 フラグメントにレイヤ 4 情報が含まれていない限り、
 フラグメントと一致しません。








例)

次のコマンドで構成され、フラグメント化された
3 つのパケットに適用されるアクセス リスト 102 を例に説明します。

Switch(config)# access-list 102 permit tcp any host 10.1.1.1 eq smtp ①
Switch(config)# access-list 102 deny tcp any host 10.1.1.2 eq telnet ②
Switch(config)# access-list 102 permit tcp any host 10.1.1.2 ③
Switch(config)# access-list 102 deny tcp any any ④


・パケット A は、ホスト 10.2.2.2 のポート 65000 から
 ホスト 10.1.1.1 の SMTP ポートに送信される TCP パケットです。
 このパケットがフラグメント化された場合、
 レイヤ 4 情報がすべて揃っているため、完全なパケットである場合と
 同じように最初のフラグメントが①の ACE(permit)と一致します。

 残りのフラグメントも最初の ACE と一致します。

 これは、それらのフラグメントに SMTP ポート情報が含まれていなくても、
 最初の ACE が適用されたときにレイヤ 3 情報だけをチェックするからです。
 この例の情報は、パケットが TCP であることと、宛先が 10.1.1.1 であることです。




・パケット B は、ホスト 10.2.2.2 のポート 65001 から
 ホスト 10.1.1.2 の Telnet ポートに送信されます。
 このパケットがフラグメント化された場合、
 レイヤ 3 情報とレイヤ 4 情報がすべて揃っているため、
 最初のフラグメントが ②の ACE(deny)と一致します。

 残りのフラグメントは、レイヤ 4 情報が含まれていないため、
 ②の ACE と一致しません。
 残りのフラグメントは ③の ACE(permit)と一致します。

 最初のフラグメントパケットが拒否されたため、
 ホスト 10.1.1.2 は完全なパケットを再構成できず、
 その結果、パケット B は拒否されます。
 ただし、以降の許可されたフラグメントが
 ネットワークの帯域幅を使用し、ホスト 10.1.1.2 がパケットを
 再構成しようとするときにホストのリソースが消費されます。

・フラグメント化されたパケット C は、ホスト 10.2.2.2 のポート 65001 から
 ホスト 10.1.1.3 のポート ftp に送信されます。
 このパケットがフラグメント化された場合、
 最初のフラグメントが ④の ACE(deny)と一致します。

 ACE はレイヤ 4 情報をチェックせず、
 すべてのフラグメントのレイヤ 3 情報に宛先がホスト 10.1.1.3 であることが示され、
 ④より前の permit ACE は異なるホストをチェックしていたため、
 他のフラグメントもすべて 4 つめの ACE と一致します。
 | HOME |  Next »