bluenote1507's diary

にわか熱湯枠園児ニア勢によるお勉強(のメモ書き)

HorizontalStacking

Cisco

今、社内のネットワークのリプレースを考えております。

あんまり人も台数もないですが、

検証用仮想サーバもあるので、

CiscoCatalyst3560CXぐらいでどうかなーと思っていましたが、

これStackできるんすね・・・。

 

まぁポート数も少ないですし、

できたからなんだってところもありますが、

FortiOS5.6

Fortigate

なんと、5.6が発表されました。

前々から情報は見てましたが、

アプリケーションレベルのFWポリシーを書けるようになりました。

これは、モードを切り替えることにより、

従来通りかアプリケーションレベルも含めるかに変更できるようです。

(確か、PolicyBaseかProfileBaseかという言い方をしていたかと)

 

そのほかにも色々と機能が追加されているみたいです。

 

今のところ、ProfileBaseですと、 fastpathが効かないようです。

まぁ今までと違いNPへのデータの乗せ方がちがうんでしょうね。

PaloはOSを作る際に、L7制御を基本として組み込まれているので、

ハード/ソフトで仕様上の無理はないんでしょうけど、

FGはもともとL7でFWPolicyを書くことは考えられてないので、

現状は仕方ないんでしょうね。

今後スループットも上がってくるというところで。

あとは、スペックシートにProfilebaseの際のスループットが記載されれば

fortigate5.4のGUI

Fortigate

もうかれこれFortigateの導入も5.4を主体として入れないといけなくなりました。

僕は4件ほど入れました。

 

何と言ってもGUIがフラットデザインになっています。

でも使っているうちに慣れてきました。

実際には結構使いやすい面が多々あります。

・ポリシー設定でアドレスやサービスが横から出てくる形なので、複数選択がしやすい検索しやすい

・ポリシー一覧からアドレスやサービスを変更するときも編集しやすい。

・ポリシー一覧から右クリックメニューでCLIが呼び出せる!!!

・左側のメニューが、シンプル(前みたいに階層が深くない)

ヒストリカルFortiViewが意外と軽いし見やすい(脅威画面がかっこいい)

 

でも欠点が

・ポリシー画面がクッソ重い。

→400ポリシーぐらい書いたFG入れましたが、全部表示するのに時間がかかります。

 ノートパソコンではCPUの1Coreが張り付き頑張ります。

 噂では、**to**の1ブロックに100ポリシー以上入れると幸せになるようです。

・文字がでかい(画面が大きい)

→表示サイズを90%ぐらいにするとちょうどよくなります。

 

てかヒストリカルFViewで一つ気になるのが、

ちょっと前のFGって、

「Diskログは非推奨、デフォルトもオフってあるよ。ディスクのIO待ちでスループット落ちるからね仕方ないね。」

って感じだったと思いますが、

このヒストリカルFViewはディスクログしないと見れません。

スタンスが変わったんですかね?

 

 

 

cat4500xのACLとDHCPrelay

Cisco

僕はcat4500xのメンテナンスをやってたりしますが、

前に一部VLANにip helper設定を入れた際に動かない現象がありました。

そのVLANにはACLをIN方向に当てているのですが、

結論、Catalyst自体が受け取るべきトラフィック(Broadcast)についてもACLに記載しなければいけないことがわかりました(当たり前か)

 

設定した内容は以下のとおりです。

 

inter vlan 950

 ip helper-add 10.1.200.***

 ip access-group 102 in

 

access-list 102 permit udp any eq 68 host 255.255.255.255 eq 67

ブロードキャストも許可にいれるんかい!

送信元:0.0.0.0のUDP68(bootp client)

送信先:255.255.255.255(broadcast)のUDP67(bootp server)

で許可してます。(送信元IPは0.0.0.0でお決まりのようですが、anyでやっちゃいました。)

 

ACLをアホみたいに書いたりはしたことがありますが、

Ciscoが提供するサービスに関与することが意外となかったので、

ちょっと焦りました。

フラットデザイン

最近フラットデザインが流行ってます。
でも僕は嫌いです。

Fortigate...
バージョン5.4からフラットデザインに変更されました。
個人的には設定項目が見にくく思います。
(設定でなんとかなる?)
また、KempというメーカのLoadMasterというロードバランサも触らなくはないですが、
これもバージョンアップによって、らしくないフラットデザインになりました。
旧デザインが見やすい+色合いが良くて、好きだったんですけど...

目が慣れてないだけかもしれませんが、
フラットデザインはデザインとして見るだけならいいですけど、設定画面や詳細な情報を確実に確認する作業のインターフェースに使用するには向いてないと思います。

paloalto PAという機器

Paloalto UTM
おいどん、主にFortigateというUTMを使ってますが、
Paloalto社のPAという機器も触らなくはないです。

このPAという機器について、
現状のFortigate(バージョン5.2までの)とはまた別の立ち位置の機器のように思えます。

単純に言いますと、
PAは社内SEが直にいじり倒すことを想定しているように思えます。

というのも、
gui上で脅威状況をドリルダウンできたり、
PA標準機能のアプリケーションによる通信制御のメンテナンスが必要だったり、
マルウエアサイトへの通信を捕まえて、パケットキャプチャ出来たりと、
いろいろできて手間もかかります。

専門社内SEがいて毎日ごちゃごちゃできればいいでしょうが、
そうでない事も多いと思います。

ただPAもよく作られてまして、
様々な用途に対応できるよう、様々な管理面の動作の設定が変更できるようになっています。

結論はまとまりませんが、投稿。