HorizontalStacking
今、社内のネットワークのリプレースを考えております。
あんまり人も台数もないですが、
検証用仮想サーバもあるので、
CiscoCatalyst3560CXぐらいでどうかなーと思っていましたが、
これStackできるんすね・・・。
まぁポート数も少ないですし、
できたからなんだってところもありますが、
FortiOS5.6
なんと、5.6が発表されました。
前々から情報は見てましたが、
アプリケーションレベルのFWポリシーを書けるようになりました。
これは、モードを切り替えることにより、
従来通りかアプリケーションレベルも含めるかに変更できるようです。
(確か、PolicyBaseかProfileBaseかという言い方をしていたかと)
そのほかにも色々と機能が追加されているみたいです。
今のところ、ProfileBaseですと、 fastpathが効かないようです。
まぁ今までと違いNPへのデータの乗せ方がちがうんでしょうね。
PaloはOSを作る際に、L7制御を基本として組み込まれているので、
ハード/ソフトで仕様上の無理はないんでしょうけど、
FGはもともとL7でFWPolicyを書くことは考えられてないので、
現状は仕方ないんでしょうね。
今後スループットも上がってくるというところで。
あとは、スペックシートにProfilebaseの際のスループットが記載されれば
fortigate5.4のGUI
もうかれこれFortigateの導入も5.4を主体として入れないといけなくなりました。
僕は4件ほど入れました。
何と言ってもGUIがフラットデザインになっています。
でも使っているうちに慣れてきました。
実際には結構使いやすい面が多々あります。
・ポリシー設定でアドレスやサービスが横から出てくる形なので、複数選択がしやすい検索しやすい
・ポリシー一覧からアドレスやサービスを変更するときも編集しやすい。
・ポリシー一覧から右クリックメニューでCLIが呼び出せる!!!
・左側のメニューが、シンプル(前みたいに階層が深くない)
・ヒストリカルFortiViewが意外と軽いし見やすい(脅威画面がかっこいい)
でも欠点が
・ポリシー画面がクッソ重い。
→400ポリシーぐらい書いたFG入れましたが、全部表示するのに時間がかかります。
ノートパソコンではCPUの1Coreが張り付き頑張ります。
噂では、**to**の1ブロックに100ポリシー以上入れると幸せになるようです。
・文字がでかい(画面が大きい)
→表示サイズを90%ぐらいにするとちょうどよくなります。
てかヒストリカルFViewで一つ気になるのが、
ちょっと前のFGって、
「Diskログは非推奨、デフォルトもオフってあるよ。ディスクのIO待ちでスループット落ちるからね仕方ないね。」
って感じだったと思いますが、
このヒストリカルFViewはディスクログしないと見れません。
スタンスが変わったんですかね?
cat4500xのACLとDHCPrelay
僕はcat4500xのメンテナンスをやってたりしますが、
前に一部VLANにip helper設定を入れた際に動かない現象がありました。
そのVLANにはACLをIN方向に当てているのですが、
結論、Catalyst自体が受け取るべきトラフィック(Broadcast)についてもACLに記載しなければいけないことがわかりました(当たり前か)
設定した内容は以下のとおりです。
inter vlan 950
ip helper-add 10.1.200.***
ip access-group 102 in
access-list 102 permit udp any eq 68 host 255.255.255.255 eq 67
ブロードキャストも許可にいれるんかい!
送信元:0.0.0.0のUDP68(bootp client)
送信先:255.255.255.255(broadcast)のUDP67(bootp server)
で許可してます。(送信元IPは0.0.0.0でお決まりのようですが、anyでやっちゃいました。)
ACLをアホみたいに書いたりはしたことがありますが、
Ciscoが提供するサービスに関与することが意外となかったので、
ちょっと焦りました。
再開(11ヶ月ぶり 2回目)
hekko
落書き再開します。