2022-01-01から1年間の記事一覧
ThousandEyesのテスト情報には、メーカー自らによって共有/提供されているものがあり、Unit消費がなく利用できます。 有名所のサービスへのテスト情報が公開されているため、(通信経路上に依存しないような)全世界のサービス利用者に共通する障害情報などを…
MerakiのPDL (Per-Device Licensing)方式の場合は、ライセンス期限切れの事前通知はされない仕様になっています。 補足ですが、ライセンス期限切れに伴ってコンプライアンス違反状態になっている場合は、Meraki Dashboard上には通知される挙動にはなっており…
ThousandEyesのEndpoint Agentで特定のドメインへの通信を監視対象にしたい場合は Monitored Domain Sets と Monitored Networks を設定します。 その際に必要となる設定要素を本記事では整理していきます。 設定 Monitored Domain Sets の設定 Monitored Ne…
ThousandEyes Recorderのアプリケーションを使用するには、アプリケーション上からThousandEyesのPortalへのログイン直後にOAuth Bearer Tokenの生成を行う必要があります。 OAuth Bearer Tokenの生成を行わないと、メニュー: Account Settings > Users and …
ThousandEyesにはAccount Groupと呼ばれる概念があり、Enterprise Agentの認証に用いられるToken (Account Group Token)はAccount Groupによって異なります。 そのため、意図しないAccount Groupに所属させてしまわないように、自分自身がどのAccount Group…
ThousandEyesのEndpoint AgentはInstallerによって提供されています。 InstallerはAccount Groupに1対1で紐付くため、他の組織向けに意図せず流用しないように注意してください。 例えば、架空会社SampleCorpの端末にEndpoint Agentを導入した際に、意図せず…
Meraki MXのBGPのAS番号は、Auto VPN Domain (SD-WAN Fabric)全体でひとつになります。 Meraki MXにおけるBGPのAS番号はAuto VPN Domain (SD-WAN Fabric)でひとつ 補足 Meraki MXはAuto VPNトンネルにより、Organization内でAuto VPN Domain (SD-WAN Fabric)…
Meraki MXの Non-Meraki VPN peers はOrganization全体に対しての設定項目となり、必要に応じて Availability の設定項目でSite-to-Site VPNトンネルを張る対象Networkを限定できます。 Non-Meraki VPN peers の設定箇所 Non-Meraki VPN peers の設定は、メ…
Meraki Dashboardに関わる操作を行うためのAPIがありますが、SSO (Single Sign-On)しているUser (SAML User)ではAPI Keyの発行はできません。 そのため、Meraki Dashboard APIを用いた自動化などを行う場合は、通常のMerakiアカウントを発行して管理する必要…
ThousandEyesとCiscoデバイスの組み合わせの設定方法の確認を行いたかったため、Catalyst 8000V (C8000V)にEnterprise Agentを導入した際の手順を整理しました。 主に検証環境向けとしての設定を想定しています。 検証構成 CML2上の構成 論理構成 C8000VのVe…
Cisco ISEはデフォルトで管理者ユーザーのパスワードの変更履歴を保持しています。それにより、過去に利用していたパスワードの使い回しが制限されます。 パスワードの変更履歴が保持されていても、下記の記事のようにパスワード ポリシーを無効化していれば…
Cisco ISEはデフォルトの挙動だと45日間隔で、Web UIへログインするための管理者ユーザーのパスワードを変更しなければなりません。 検証環境ですと、短期間のパスワードの変更は使い勝手が悪くなるため、パスワード ポリシーを無効化する方法を記載します。…
Meraki MXはWAN1とWAN2のUplinkを用いて負荷分散やWANリンクの冗長性を持たせられます。 しかしながら、MXのローエンド モデルはUplinkとして物理的なWAN2のポートがないモデルがあります。 ですが、LAN側のポートの一部をWAN2として代替させる機能が存在し…
Meraki MXのパフォーマンスの状況と、上位モデルのアップグレードの指標はSummary reportの Device Utilization の情報を参考にします。 Device utilizationの情報 PoCなどで特定の拠点だけ先行導入をしているようなケースでは、その後の本格導入に向けて活…
MerakiのCo-Termination (Co-Term)方式では、障害時の筐体交換などで一時的にでもデバイス数が超過してライセンス更新の猶予期間 (Grace Period)を過ぎてしまうと、ライセンスの有効期間が残っていても失効するパターンがあります。 パターン1 特にMeraki MR…
BIG-IPのForward Proxy構成におけるBASIC認証のタイムアウト関連の情報を整理します。 前提情報 バージョン情報 BASIC認証の設定方法 BASIC認証の認証セッションの確認方法 BASIC認証が実質的にタイムアウトしないパターン 関連ドキュメント 前提情報 BASIC…
2019年当時の情報となりますが、MerakiのCo-Termination方式でライセンス期限が切れた場合の挙動の一例を紹介します。 本記事は「Co-Termination方式で、ライセンスが切れ場合に実際にどのような挙動になるのか知りたい。」旨の問いを想定して、それに回答す…
BIG-IP Forward Proxy構成の認証の設定はPer-Session Policyで行いますが、宛先 (URL, FQDN, サブネット)を指定するのItemが存在しないため、宛先指定の認証除外が標準機能では出来ません。 v17.0.0時点の情報となります。Forward Proxyにおける必須機能な位…
Meraki vMX (Virtual MX)のModeには One-Armed Concentrator と NAT Mode Concentrator (Limited NAT mode) の2種類があります。 Concentrator Mode One-Armed Concentrator 備考: 2022年10月31日以前 (Before)のデフォルトのModeです。 NAT Mode Concentrat…
Meraki vMX (Virtual MX)には2種類のConcentrator Modeがありますが、One-Armed Concentrator (デフォルトのMode)ではOutbound向けの送信元NATに非対応です。 そのため、拠点のMXからPublic Cloudの vMX (Virtual MX)に対してFull Tunnelを張っても、 vMX (V…
仮想アプライアンスであるMeraki vMX (Virtual MX)は、Spoke設定時に他のMXシリーズに対してFull Tunnelの指定ができません。 表現を変えると、Meraki vMX (Virtual MX)はSpoke設定時にSplit Tunnelでのみ動作します。 補足ですが、Full Tunnelとはサービス…
Meraki Dashboardには Shard と呼ばれる用語があります。 Meraki DashboardのURLは https://nXXX.meraki.com/ のようなフォーマットになっておりますが、nXXX の部分が Shard の情報となります。 Shard は破片のような意味合いがあるようですが、Meraki Dash…
BIG-IP Forward Proxy構成でのBASIC認証の設定例を紹介します。 Forward Proxy構成では、SSLOの使用有無によって適用方法が異なる点に注意が必要です。 認証の連携先は、BIG-IP自身が内部的に保持しているLocal DBを使用します。 BASIC認証 (LocalDB Auth)の…
CML2ではNodeに対してCPUリソースの制限が可能です。 疎通確認専用のような用途でリソース割り当てが少なくてもよい検証用NodeにCPUリソースの制限をかけるのに活用できます。 設定方法 Workbench (Lab)から設定対象Nodeを選択して SIMULATE タブを開き、CPU…
Plug and Play ConnectのPortal画面にて、Cisco SD-WAN関連のSoftware Deviceを追加するためのBase PIDの情報をメモします。 製品シリーズ Base PID vEdge Cloud VEDGE-CLOUD-DNA ISRv ISRV CSR 1000V CSR1KV Catalyst 8000V C8000V 何文字か入力してマッチ…
Cisco IOS-XE SD-WAN (cEdge)でCLIからルートCA証明書の取り込みを行う方法を紹介します。 一般的なルートCA証明書の取り込み手順は、File ServerにルートCA証明書を配置してCisco IOS-XE SD-WANから copy コマンドで取得する手順になると思われます。 しか…
Cisco Duo SecurityのDashboard上では最小でも10 Userからの契約となりますが、1 Userから年間ライセンスを購入する選択肢もあります。 補足ですが、Duo SecurityのDashboard上では最小10 Userにはなりますが月単位での契約が可能な利点があります。 Duo Sec…
Meraki MXではDC-DC Failover構成を除いて原則的にAuto VPN Peerに対するTrackingを行いません。 そのため、Full Tunnelを張る設定になっている場合は、対向のHubがダウンしてもルートが切り替わりません。 Full Tunnelで対向のHubがダウンしてもルートは切…
Meraki MXにはActive-Active Routed Mode MX Scalingと呼ばれる展開方式があります。 documentation.meraki.com ドキュメント上ではActive-Active Routed Mode MX Scaling (Outbound Only)と表現されており、Outbound Only の文言が目につきます。 Outbound …
Meraki Dashboardでは Firewall Information にてMeraki Cloudに関する通信要件を表示できます。 Firewall Information の画面 ここで重要な点は、Meraki Cloudに関する通信しかリストされない点です。 そのため、Meraki MXではAuto VPNトンネルの形成に関わ…