2008年6月アーカイブ

CCIE Security Changes Coming!

かなり信憑性があるというか、まあ前回変わってから2年くらいたつことですし、内容もまあ妥当なところですので、きっと変わるんでしょう。。

• PIX Firewall - Removed
• VPN 3000 Concentrator - Removed
• New Routers - 3800s running 12.4T
• New Switches - 3560s running 12.2(x)SE
• New ASA Software - Version 8.x
• IPS 4215 Replaced With IPS 4240
• New IPS  Software - Version 6.x

基本的に種類は増えなそうです。IPSもなくなって、ASAにまとめちゃうのかな、とも思いましたけど、まだ残るみたいですね。

試験バージョンが変わることは怖くないですが、それよりも駆け込み受験で席がとれなくなるのがつらいかも。。一ヶ月前はガラガラだったんですが、受験予定の方はとりあえずおさえておくといいかもしれません。

しかし・・こんなのリークしてのせちゃっていいんでしょうか。。

最近ご無沙汰だったのでDynamipsのアップデートなどあるかな、と思って覗いていたら、Dynagenが0.11.0にアップデートされてました。かれこれ2ヶ月も前ですが。。

このバージョンで、PEMUに対応してます。PIXとまとめてできるので、Securityとしてはありがたい。

さっそくちょっとだけいじってみました。Windowsでは問題なく動きます。

Linuxでも動くそうですが、ちょうど空きマシンが64bitのRedhat Enterprise Linuxだったので、PEMUが動きませんでした。。ただこのマシン、なかなか馬力があるのか、idlepcの設定で、1ルータなら1%くらいしかCPU負荷がかかってません。

ほんとか?　と我ながら疑うところもありますが、CCIE Lab程度の台数なら、これでまかなえそうな感じもしてます。

また、PEMUはそれだけでCPU負荷100%もっていかれちゃうんですが、CPUの使用率をアプリ毎に調整できるやつがあるんですね。

WindowsならBESなるものが使えて、使ってみたらちゃんと指定したCPU負荷でおさえてくれてました。うまくつかうと、かなり快適な仮想Labが構築できそうな予感です。

MacOSXではまだ試してないですが、残念ながらPEMUのところが動かないみたいです。

昨日は会社の創立記念日。

突然、勤続15周年ということで、記念品などもらっちゃいました。

もう15年・・長いものです。

CCIEな人的には、15年同じ会社にいるというのは珍しいかもですね。わたしは完全メーカーなお仕事なので、まあこんな感じです。

こうなるとだいたい年もばれますが(笑)、ふつうだと管理職とかそういう話もでてくるわけで。

でも、わたしは管理職ってのは向いてないんですよね〜。きっと。
どちらかというと、使われて真価を発揮するというか。イイ道具でいたいと思ってますね。もう常に刃をとぎすまして、どんなものでも切れるようになっておこうかと。

あとは使う人次第ということで(笑)

でも、ほんとにイイ道具は高いんですよね。。そういう人間にならねば。

まぐまぐさんから、最近発行されてないメルマガということで、注意のメールがやってきました。かれこれ4ヶ月発行できてないです。。

こ こ数回は技術的なことを書けてないというところもあったり、どうせ書くならちゃんと技術的なところにしたい、できればR&Sのところがいいかな、 とかいろいろ考えているのですが、やっぱり書くとなるとそれなりに時間も必要ですし、なによりR&Sの内容だと、いまやっているセキュリティと ちょっと離れるので、自分としてもつらいところがあったりもします。

6ヶ月発行ないと停止処分となってしまうそうですが、なかなか悩むところでもあります。。

ブログがこれだけ浸透して、メルマガの存在意義というところも、少し考えてみようと思ったり。

なにより、最近期待して登録していただいた方々には、ほんとうに申し訳ないと思いますが、ご了承ください。m(_ _)m

---

そもそもIPv4アドレス在庫が枯渇するといったときに、IPv6に移行しないといけないんでしょうか？

少なくともまだ予備があるわけですから、いまよりもIPv4の規模は大きくなるわけですよね。で、予備がなくなった段階で、あとはこれ以上大きくならないということだけ。

そう、その規模感でやっていけばよいわけです。

IPアドレス税を導入して、IPv4アドレスに課税すれば、使ってないアドレスがでてくるとか、そういった議論もあるようですが、これもどうかと思います。

IPv4延命とIPv6移行コストを比較すべきという議論もありますが、これもどうかと思います。

単純に、IPv4アドレスの在庫がなくなったら、それで終了でいいのではないでしょうか。

その規模感で、永遠にIPv4はサービスできるわけですから。

あとは市場経済なので、この規模感で耐えられない人にはIPv6という選択肢があるので、そちらでやればよいことでしょう。そちらでビジネスを見いだす人もいれば、IPv4でとどまってやっていく人もいていいと思いますし。

私自身はあたらしもの好きなので、きっとIPv6の世界で生きていくと思いますが(笑)

とある性能試験のためにSmartbitでパケット流してWiresharkを眺めていたら、EtherType不明(0×88CC)なるパケット が流れていることに気がつきました。性能試験なので、わけわからんパケットがカウントされるのもまずいということで、この正体をつきとめることに。

このパケット、Catalystから発せられてました。

そこで調べてみると・・・

Link Layer Discovery Protocol (LLDP) なるプロトコルがあるんですね。CDPと同じような機能で、IEEE802.1abで標準化されたもののようです。

Catalyst3750EのConfiguration Guideでは、defaultではdisableとあるのに・・とりあえずインターフェースでLLDPを送信しない設定にしたら止まってくれました。

また、同じようにLoopbackといわれるフレームが散見されます。
これもCatalystから発せられるもの。。こちらはインターフェースで no keepalive と入れてあげると、出さなくなります。これはいったい、なんのためにでているんだろう・・

インターロップでのお話ですが。

会場では、無線LANでネットワークに無料でつながる環境が提供されているわけですが、インターロップともなると当然IPv6のリーチャビリティもあるわけです。

今年はIPv4はプライベートアドレスで、NATをかましてインターネットにでていくというIPアドレス在庫枯渇後に想定される形になってました。

さ て、VistaだとTeredoでトンネルほって、自動的にIPv6のリーチャビリティを作ってしまうということもあるようですが、WindowsXPで もIPv6をenableにしておくと、IPv6のリーチャビリティがあるとまずIPv6でつなぎにいきます。(アプリによると思いますが。。)

で、ちょっと会場で調べてみました。どちらでつながっていくかというと・・

IPv6
www.kame.net
www.wide.ad.jp
www.ietf.org
www.iana.org
www.ipv6.org
www.iij.ad.jp

IPv4
www.apple.com
www.microsoft.com
www.google.com
www.fujitsu.com

こんな感じになりました。まあ、順当といえば順当ですが。。さすがIPv6やってますといってるようなところはIPv6でつながります。

GoogleはIPv6対応したと聞いてましたが、IPv6用のURLがあるのかもしれません。。ちょっとググったのですが、わかりませんでした。。

Appleあたりはもしかして？って思いましたが、さすがに違いましたね。

IPv4アドレスの在庫はあと2年程度でなくなると予想され、サービスプロバイダ、ベンダもそろそろその先を本腰入れて考える時がきているのかもしれません。

まあ・・自分もまだまだですが、いちおう数年前はIPv6ばっかりやってたので、まわりの動きが遅ければ遅いほど、アドバンテージができていいんですけどね(笑)

さて・・そろそろIPv6つなげるようにしないといけないようが気がします。NTT-Cさんで結構安いサービスがあったので、それに加入してみようかと。メインプロバイダのNiftyさんがIPv6サービスをやってくれるといいんですけどね。

そしたらやっぱりVistaも。。もちろんMacOSXでIPv6はできるからそれでもいいんですが。

今日はインターロップ最終日。

展示会場に行ってみました。

インターロップには行くものの、そういえばここ数年、ワークショップとかコンファレンスばっかりで、展示会場に足を運んでなかったようです。

なんとなく、会場が小さくなったような気がします。。

箱物ベンダーが少なくなったんですかね。Ciscoさんとかも見あたらなかったし。

今年はIPTVからくるマルチキャスト配信系と、セキュリティ系、仮想化系とかが多かったようです。

正直・・あまり心惹かれるものはなかったです。。やっぱり、展示会で見れるようなものは、今はほとんどウェブで見れてしまったりするので、あまり新鮮じゃないんですよね。いい世の中なのか悪い世の中なのか・・。

今日もまたまたインターロップ。

W12 ネットワークフロー情報解析

に参加してきました。

セキュリティやQoSにはフローはつきものってことで、NetFlowやsFlowなどなどについてのお話を聞いてこようかと。いままでよくわからなかったんですが、なんとなくわかってきました。

特別に難しいことはなく、基本5 tupleとか7 tupleとかいうやつで情報とるということですね。あとはどれだけアプリのところまで見ていくかというところで。

セキュリティはもちろんなんでしょうが、ネットワーク管理というか、解析という色合いが強いでしょうかね。デモでは、ShowNetでとってるフロー解析を見せてくれたりしました。

さて、これで申し込んだワークショップは終わりなんですが、ワークショップは丸一日なのでまだ展示会場には行けてません。。

明日はちょっと展示会場をぶらぶらしてこようかと思います。

今日もまたインターロップのワークショップ。

W11 仮想化技術最前線 From A to Z

に参加してきました。

サーバとストレージ、そしてネットワークの仮想化についてです。

このテーマのワークショップは初とのことでしたけど、普段からVMwareやらあやしいエミュレータやら、VLANにVRFで足りない台数をなんとかごまかしてるわたしとしては、なかなか興味のあるところでした。

サー バ自体を扱うことがあるかというといまのところは疑問なとこですが、デスクトップとしては多々お世話になるので、オープンソース含めいろいろあるのがわ かったのは面白かったです。ただ、やっぱり仮想的なネットワークというかNICというか、その辺の柔軟性がものすごく欲しいところなんですよね。 VMwareも、Windows版はなかなかいいんですが、MacのFusionはここがちょっと弱いところが難点で。。

ストレージについては、ちょっと気になるところでした。CCIE Storage、うん、ありかも。

ネットワークの仮想化については、まあそんな感じでした(笑)

全体的に、仮想化したときの管理はどうすんねん、ってところが問題ありそうですね。やっぱり見た目の物理構成と、動作する論理構成が一致しないので、ここ全体でうまく見える仕組みができるといいかもです。

今日から展示会もはじまったので、けっこう幕張もにぎわってました。

• IPv6とVPNというお話で、やっぱりそろそろIPv6に本腰にならないとまずいなあ、というところ。そして、OCNのIPv6サービスは、OCNのアクセスに加入してなくても、月500円程度で買えるということ。ただ、残念なのはWindows用アクセスクライアントしかないこと。
• PacketiX (旧SoftEther)を使うと、わたしのような人間は幸せになれそうだけど、たぶん企業のネットワーク管理者、特にセキュリティ管理者にとっては、かなりきつそうなことになりそうなこと。