4年10か月ぶりの再開

こんにちは

 

四年ぶりの再会です。

いろいろありましたが(転職に次ぐ転職)

今はある通信機器メーカのディストリビュータで働いております。(すでに3年目)

 

通信機器において、

確認するためのコマンドはshowだったり、getだったり、displayだったり

要は見せる、取る、表示するという言葉が一般的ですが、

私が見た確認コマンドで衝撃だったのは、

「retrieve」リトリーブです。

(このコマンドを知っている方は同業者ということで)

 

はじめはretrieveって・・・と思いましたが、なんかretrieveってかっこいいですよね。

かっこいい・・・それだけでいいですね。

私がネットワークOSを作るならshowでもdispでもgetでもなくretrにします。

 

HorizontalStacking

今、社内のネットワークのリプレースを考えております。

あんまり人も台数もないですが、

検証用仮想サーバもあるので、

CiscoCatalyst3560CXぐらいでどうかなーと思っていましたが、

これStackできるんすね・・・。

 

まぁポート数も少ないですし、

できたからなんだってところもありますが、

FortiOS5.6

なんと、5.6が発表されました。

前々から情報は見てましたが、

アプリケーションレベルのFWポリシーを書けるようになりました。

これは、モードを切り替えることにより、

従来通りかアプリケーションレベルも含めるかに変更できるようです。

(確か、PolicyBaseかProfileBaseかという言い方をしていたかと)

 

そのほかにも色々と機能が追加されているみたいです。

 

今のところ、ProfileBaseですと、 fastpathが効かないようです。

まぁ今までと違いNPへのデータの乗せ方がちがうんでしょうね。

PaloはOSを作る際に、L7制御を基本として組み込まれているので、

ハード/ソフトで仕様上の無理はないんでしょうけど、

FGはもともとL7でFWPolicyを書くことは考えられてないので、

現状は仕方ないんでしょうね。

今後スループットも上がってくるというところで。

あとは、スペックシートにProfilebaseの際のスループットが記載されれば

fortigate5.4のGUI

もうかれこれFortigateの導入も5.4を主体として入れないといけなくなりました。

僕は4件ほど入れました。

 

何と言ってもGUIがフラットデザインになっています。

でも使っているうちに慣れてきました。

実際には結構使いやすい面が多々あります。

・ポリシー設定でアドレスやサービスが横から出てくる形なので、複数選択がしやすい検索しやすい

・ポリシー一覧からアドレスやサービスを変更するときも編集しやすい。

・ポリシー一覧から右クリックメニューでCLIが呼び出せる!!!

・左側のメニューが、シンプル(前みたいに階層が深くない)

ヒストリカルFortiViewが意外と軽いし見やすい(脅威画面がかっこいい)

 

でも欠点が

・ポリシー画面がクッソ重い。

→400ポリシーぐらい書いたFG入れましたが、全部表示するのに時間がかかります。

 ノートパソコンではCPUの1Coreが張り付き頑張ります。

 噂では、**to**の1ブロックに100ポリシー以上入れると幸せになるようです。

・文字がでかい(画面が大きい)

→表示サイズを90%ぐらいにするとちょうどよくなります。

 

てかヒストリカルFViewで一つ気になるのが、

ちょっと前のFGって、

「Diskログは非推奨、デフォルトもオフってあるよ。ディスクのIO待ちでスループット落ちるからね仕方ないね。」

って感じだったと思いますが、

このヒストリカルFViewはディスクログしないと見れません。

スタンスが変わったんですかね?

 

 

 

cat4500xのACLとDHCPrelay

僕はcat4500xのメンテナンスをやってたりしますが、

前に一部VLANにip helper設定を入れた際に動かない現象がありました。

そのVLANにはACLをIN方向に当てているのですが、

結論、Catalyst自体が受け取るべきトラフィック(Broadcast)についてもACLに記載しなければいけないことがわかりました(当たり前か)

 

設定した内容は以下のとおりです。

 

inter vlan 950

 ip helper-add 10.1.200.***

 ip access-group 102 in

 

access-list 102 permit udp any eq 68 host 255.255.255.255 eq 67

ブロードキャストも許可にいれるんかい!

送信元:0.0.0.0のUDP68(bootp client)

送信先:255.255.255.255(broadcast)のUDP67(bootp server)

で許可してます。(送信元IPは0.0.0.0でお決まりのようですが、anyでやっちゃいました。)

 

ACLをアホみたいに書いたりはしたことがありますが、

Ciscoが提供するサービスに関与することが意外となかったので、

ちょっと焦りました。

フラットデザイン

最近フラットデザインが流行ってます。
でも僕は嫌いです。

Fortigate...
バージョン5.4からフラットデザインに変更されました。
個人的には設定項目が見にくく思います。
(設定でなんとかなる?)
また、KempというメーカのLoadMasterというロードバランサも触らなくはないですが、
これもバージョンアップによって、らしくないフラットデザインになりました。
旧デザインが見やすい+色合いが良くて、好きだったんですけど...

目が慣れてないだけかもしれませんが、
フラットデザインはデザインとして見るだけならいいですけど、設定画面や詳細な情報を確実に確認する作業のインターフェースに使用するには向いてないと思います。