My Home NW Lab

逸般の誤家庭のネットワーク

Meraki MXのBGPのAS番号は 、Auto VPN Domain (SD-WAN Fabric)全体でひとつ

Meraki MXのBGPのAS番号は、Auto VPN Domain (SD-WAN Fabric)全体でひとつになります。 Meraki MXにおけるBGPのAS番号はAuto VPN Domain (SD-WAN Fabric)でひとつ 補足 Meraki MXはAuto VPNトンネルにより、Organization内でAuto VPN Domain (SD-WAN Fabric)…

Meraki MXのNon-Meraki VPN peersは、Availabilityの設定項目で対象Networkを限定できる

Meraki MXの Non-Meraki VPN peers はOrganization全体に対しての設定項目となり、必要に応じて Availability の設定項目でSite-to-Site VPNトンネルを張る対象Networkを限定できます。 Non-Meraki VPN peers の設定箇所 Non-Meraki VPN peers の設定は、メ…

Meraki DashboardにSSO (Single Sign-On)しているUser (SAML User)ではAPI Keyの発行ができない

Meraki Dashboardに関わる操作を行うためのAPIがありますが、SSO (Single Sign-On)しているUser (SAML User)ではAPI Keyの発行はできません。 そのため、Meraki Dashboard APIを用いた自動化などを行う場合は、通常のMerakiアカウントを発行して管理する必要…

Catalyst 8000VにThousandEyesのEnterprise Agentを導入する

ThousandEyesとCiscoデバイスの組み合わせの設定方法の確認を行いたかったため、Catalyst 8000V (C8000V)にEnterprise Agentを導入した際の手順を整理しました。 主に検証環境向けとしての設定を想定しています。 検証構成 CML2上の構成 論理構成 C8000VのVe…

Cisco ISEでパスワードの変更履歴を無効化する

ISE

Cisco ISEはデフォルトで管理者ユーザーのパスワードの変更履歴を保持しています。それにより、過去に利用していたパスワードの使い回しが制限されます。 パスワードの変更履歴が保持されていても、下記の記事のようにパスワード ポリシーを無効化していれば…

Cisco ISEでパスワード変更のポリシー (デフォルト: 45日間隔)を無効化する

ISE

Cisco ISEはデフォルトの挙動だと45日間隔で、Web UIへログインするための管理者ユーザーのパスワードを変更しなければなりません。 検証環境ですと、短期間のパスワードの変更は使い勝手が悪くなるため、パスワード ポリシーを無効化する方法を記載します。…

Meraki MXのローエンド モデルのLAN側ポートをWAN2として代替する

Meraki MXはWAN1とWAN2のUplinkを用いて負荷分散やWANリンクの冗長性を持たせられます。 しかしながら、MXのローエンド モデルはUplinkとして物理的なWAN2のポートがないモデルがあります。 ですが、LAN側のポートの一部をWAN2として代替させる機能が存在し…

Meraki MXのパフォーマンス状況と上位モデルへのアップグレードの指標

Meraki MXのパフォーマンスの状況と、上位モデルのアップグレードの指標はSummary reportの Device Utilization の情報を参考にします。 Device utilizationの情報 PoCなどで特定の拠点だけ先行導入をしているようなケースでは、その後の本格導入に向けて活…

MerakiのCo-Termination方式でのデバイス数の超過によるライセンスの失効パターン

MerakiのCo-Termination (Co-Term)方式では、障害時の筐体交換などで一時的にでもデバイス数が超過してライセンス更新の猶予期間 (Grace Period)を過ぎてしまうと、ライセンスの有効期間が残っていても失効するパターンがあります。 パターン1 特にMeraki MR…

BIG-IP Forward Proxy構成でのBASIC認証のタイムアウト

BIG-IPのForward Proxy構成におけるBASIC認証のタイムアウト関連の情報を整理します。 前提情報 バージョン情報 BASIC認証の設定方法 BASIC認証の認証セッションの確認方法 BASIC認証が実質的にタイムアウトしないパターン 関連ドキュメント 前提情報 BASIC…

MerakiのCo-Termination方式でライセンス期限が切れた場合の挙動の一例 (2019年当時)

2019年当時の情報となりますが、MerakiのCo-Termination方式でライセンス期限が切れた場合の挙動の一例を紹介します。 本記事は「Co-Termination方式で、ライセンスが切れ場合に実際にどのような挙動になるのか知りたい。」旨の問いを想定して、それに回答す…

BIG-IP Forward Proxy構成では宛先指定による認証除外は標準機能で出来ない (v17.0.0時点)

BIG-IP Forward Proxy構成の認証の設定はPer-Session Policyで行いますが、宛先 (URL, FQDN, サブネット)を指定するのItemが存在しないため、宛先指定の認証除外が標準機能では出来ません。 v17.0.0時点の情報となります。Forward Proxyにおける必須機能な位…

Meraki vMXのNAT Mode Concentrator (Limited NAT mode)の特長や設定方法

Meraki vMX (Virtual MX)のModeには One-Armed Concentrator と NAT Mode Concentrator (Limited NAT mode) の2種類があります。 Concentrator Mode One-Armed Concentrator 備考: デフォルトのModeです。 NAT Mode Concentrator (Limited NAT mode) 備考: …

One-Armed ConcentratorのMeraki vMXは、Outbound向けの送信元NATに非対応

Meraki vMX (Virtual MX)には2種類のConcentrator Modeがありますが、One-Armed Concentrator (デフォルトのMode)ではOutbound向けの送信元NATに非対応です。 そのため、拠点のMXからPublic Cloudの vMX (Virtual MX)に対してFull Tunnelを張っても、 vMX (V…

Meraki vMX (Virtual MX)のSpoke設定時はFull Tunnelをサポートしていない (2022年05月時点)

仮想アプライアンスであるMeraki vMX (Virtual MX)は、Spoke設定時に他のMXシリーズに対してFull Tunnelの指定ができません。 表現を変えると、Meraki vMX (Virtual MX)はSpoke設定時にSplit Tunnelでのみ動作します。 補足ですが、Full Tunnelとはサービス…

Meraki DashboardのShardの意味合い

Meraki Dashboardには Shard と呼ばれる用語があります。 Meraki DashboardのURLは https://nXXX.meraki.com/ のようなフォーマットになっておりますが、nXXX の部分が Shard の情報となります。 Shard は破片のような意味合いがあるようですが、Meraki Dash…

BIG-IP Forward Proxy構成のBASIC認証 (LocalDB Auth版)

BIG-IP Forward Proxy構成でのBASIC認証の設定例を紹介します。 Forward Proxy構成では、SSLOの使用有無によって適用方法が異なる点に注意が必要です。 認証の連携先は、BIG-IP自身が内部的に保持しているLocal DBを使用します。 BASIC認証 (LocalDB Auth)の…

CML2でNodeのCPUリソースを制限する

CML2ではNodeに対してCPUリソースの制限が可能です。 疎通確認専用のような用途でリソース割り当てが少なくてもよい検証用NodeにCPUリソースの制限をかけるのに活用できます。 設定方法 Workbench (Lab)から設定対象Nodeを選択して SIMULATE タブを開き、CPU…

Plug and Play ConnectでCisco SD-WAN関連のSoftware Deviceを追加するためのBase PIDの情報

Plug and Play ConnectのPortal画面にて、Cisco SD-WAN関連のSoftware Deviceを追加するためのBase PIDの情報をメモします。 製品シリーズ Base PID vEdge Cloud VEDGE-CLOUD-DNA ISRv ISRV CSR 1000V CSR1KV Catalyst 8000V C8000V 何文字か入力してマッチ…

Cisco IOS-XE SD-WAN (cEdge)でCLIからルートCA証明書の取り込みを行う

Cisco IOS-XE SD-WAN (cEdge)でCLIからルートCA証明書の取り込みを行う方法を紹介します。 一般的なルートCA証明書の取り込み手順は、File ServerにルートCA証明書を配置してCisco IOS-XE SD-WANから copy コマンドで取得する手順になると思われます。 しか…

個人での検証用途でCisco Duo Securityを1 Userからライセンス購入する

Cisco Duo SecurityのDashboard上では最小でも10 Userからの契約となりますが、1 Userから年間ライセンスを購入する選択肢もあります。 補足ですが、Duo SecurityのDashboard上では最小10 Userにはなりますが月単位での契約が可能な利点があります。 Duo Sec…

Meraki MXではFull Tunnelで対向のHubがダウンしてもルートは切り替わらない

Meraki MXではDC-DC Failover構成を除いて原則的にAuto VPN Peerに対するTrackingを行いません。 そのため、Full Tunnelを張る設定になっている場合は、対向のHubがダウンしてもルートが切り替わりません。 Full Tunnelで対向のHubがダウンしてもルートは切…

Meraki MXのActive-Active Routed Mode MX Scalingでは冗長性を保ったままAuto VPNには参加できない

Meraki MXにはActive-Active Routed Mode MX Scalingと呼ばれる展開方式があります。 documentation.meraki.com ドキュメント上ではActive-Active Routed Mode MX Scaling (Outbound Only)と表現されており、Outbound Only の文言が目につきます。 Outbound …

MerakiのFirewall Informationには、Meraki Cloudに関わる通信しかリストされていない

Meraki Dashboardでは Firewall Information にてMeraki Cloudに関する通信要件を表示できます。 Firewall Information の画面 ここで重要な点は、Meraki Cloudに関する通信しかリストされない点です。 そのため、Meraki MXではAuto VPNトンネルの形成に関わ…

Azure版のMeraki vMXでClient VPNを動作させるにはAZをNoneにする必要がある (2022年04月時点)

Azure版のMeraki vMXでは、冗長性構成にするためにAvailability ZoneをNone以外に指定してしまうとClient VPNが動作しなくなります。 情報源 情報源はMeraki Communityとなります。 community.meraki.com 本挙動の背景には、Meraki vMXの zone (Availability…

BIG-IP Forward Proxy案件における人員調達の難しさ

BIG-IP Forward Proxy案件における人員調達について、エンジニアの立場として携わった有識者の観点で話をします。 BIG-IP Forward Proxy案件の全般的な内容は下記の記事で個別に扱っております。 myhomenwlab.hatenablog.com myhomenwlab.hatenablog.com 案…

Meraki MX (Routed Mode)のWarm-Spare構成時の筐体障害交換の一例

Meraki MX (Routed Mode)のWarm-Spare構成時の筐体障害交換の手順をまとめました。 なお、本手順はあくまでも一例となります。環境や交換方法の指針によって手順の変更が必要になる可能性があります。 ドキュメントには該当するトピックがないため、筆者が個…

Meraki DashboardのAdministratorアカウント (Non-SAML User)は必ず1つは残す必要がある

Meraki DashboardのAdministratorアカウント (Non-SAML User)は、必ず1つは残す必要があります。

Cisco Duo SecurityによるMeraki DashboardへのSingle Sign-Onの利用イメージ

Cisco Duo SecurityによるMeraki DashboardへのSSO (Single Sign-On)では、Duo Centralと呼ばれるPortalを介したSSOとなります。

MerakiのSAMLによる認証のログはSAML login historyから確認する

Meraki DashboardでSAMLによる認証時のログをトラブルシューティングなどの目的で追いたい場合は、 メニュー: Organization > Administrators の画面内にある SAML login history から確認できます。 メニュー: Organization > Administrators SAML login hi…