Ciscoルータ、Catalystでインタフェースの帯域幅を出力する方法

champom — 2008-06-01T21:35:05+09:00

以下のコマンドを入力する事でラスト5分間の
インターフェース別の帯域幅とパケット/秒(pps)のみを
出力する事ができる。
(show int だけではそれ以外の項目も大量に表示されるため
includeで必要な情報のみ抽出することで見やすくなる)

# show interfaces | include (is up | rate)

JNCIA-FWV

champom — 2007-09-17T21:06:17+09:00

最近、JNCIA-FWVの資格を取得しました。
現行のJNCIA-FWVはScreenOS5.4に準拠した
試験コード：JN0-521になっていたが正答率88%で合格！！
初めて英語の試験を受けたのですが、なんとなくわかるもんですね。
英語の試験という条件の中で88%の正答率なのでまぁまぁ納得しています。

次はJNCIS-FWVを受験したいのですが、NSRPなどが試験範囲となるので
実務でNSRPを経験していないと難しいのかぁ？
会社や自宅にSSG140以上の機種が2台以上ある環境であれば
色々実験できるのになぁ・・・。SSG140かSSG300が2台ある環境が欲しい。

NetScreen-5GT/5XT/5XPの10ユーザーライセンスの動作仕様

champom — 2007-06-12T17:46:04+09:00

NetScreen-5GTなどの5シリーズには10ユーザーライセンスと無制限ライセンス
が存在するが、10ユーザーライセンスの動作仕様について解説する。
尚、10ユーザーライセンス版のNetScreenを購入した場合でも、
無制限ライセンスを後で購入し、そのライセンスキーを投入する事で
無制限ライセンスに変更する事が可能である。

英語表記：
10-user license versions
10 user license versions
The Elite
unlimited user versions

■ VPNトンネル数とユーザ数について
（この内容はScreenOS 5.0,4.0と4.0.0-DIAL2に適用されます。）

全ての NetScreen-5XT/5GT/5XPでは最大10個までのVPN接続数制限があるが、
10ユーザーライセンスのようなユーザ数制限とはお互いに関係無く(非依存)
カウントされます。

■ ユーザ数の数え方（カウント方法）

10ユーザーライセンスの場合、ユーザの単位はtrust zoneに存在する
デバイスのIPアドレスを含むセッションがNetScreeに作成された場合に
そのIPアドレス数(セッション数では無く)でカウントされます。
それらのユーザテーブルは Active User tableで維持管理されます。

■ ユーザ数の数え方の詳細

trust zoneに存在するデバイスのIPアドレスを含むセッションが作成された
際、そのIPアドレスが Active User Tableに追加されます。
これは、セッションの方向性に関わらず、trust zoneから外部へ送信する
トラフィックの送信元IPアドレス、もしくは外部からtrust zoneへ向けて
送信される宛先IPアドレスのIPデバイス数で決定される事を意味します。
逆に言うとtrust zoneのIPアドレスに関するセッションの
IPアドレス数のみカウントされるため外部側デバイスのIPアドレス数は
active user tableには追加されません。
Active user tableに追加されたIPアドレスに関しては、このIPアドレスに
関するセッションが維持されている間中、Active User Tableに残され
このIPアドレスに関するセッションが1つも存在しない状態になった場合に
のみActive User Tableから該当のIPアドレスが削除されます。

10ユーザライセンスのNetScreenは、同時に10人までが
アウトバンドのトラフィックをインターネットに送信できるよう設計
されているため、もし10ユーザーの制限を越えた(Active User tableにて)
場合、11人目のユーザがインターネットへのアクセスを行おうとすると
既に10ユーザーがインターネットとのアクティブなセッションを
持っているとして11人目のユーザのトラフィックはブロックされます。
11人目のユーザは既存の10ユーザのセッションの内、いづれかの
IPアドレスに関する全てのセッションが終了した場合にのみ、
インターネットと通信可能となります。

また、NetScreen上に作成される全てのセッションに関して
trust zoneのIPアドレス数が数えられるため、インターネットへの通信
だけでは無く、VPNトンネルを超える通信やMIP、VIPなどを含めて
IPアドレス数がカウントされます。

無制限ライセンスの場合にはインターネットへ許可されるユーザ数の
チェックは行われません。
(デバイス毎のセッション数の制限は別途存在します。)
NetScreenでは有効なセッションがある限り、全てのユーザが
インターネットと通信でき、何人のユーザ(いくつのIPアドレス)が
ネットワーク(trust zone)に存在するかは全く問題になりません。

■ ユーザ数の数え方の事例

・パターンＡ
Trustゾーンから、Untrustゾーンの1つのIPアドレスへの通信
(Trustゾーン内のクライアントから1つのWebサーバのみへの通信を想定)

Trustゾーンから同時に10を超えるIPが利用された場合、
11個目のIPアドレスからのアクセスはブロックされます。

・パターンＢ
Untrustゾーンから、Trustゾーン内の1つのIPアドレスへの通信
(MIP/VIPなどでTrust内のサーバを1台のみ公開している場合を想定)

TrustゾーンのIPのみカウントするので
Untrustゾーンの複数のIPアドレスからTrustゾーン内の1つの
IPアドレスまでのアクセスはUntrustゾーンの端末数に限らず可能。

・パターンＣ
Untrustゾーンから、Trustゾーン内の複数のIPアドレスへの通信
(MIP/VIPなどでTrust内のサーバを福数台公開している場合を想定)

TrustゾーンのIPのみカウントするので
UntrustゾーンからTrustゾーン内の10個のIPアドレスまでの
アクセスは可能だが、Trustゾーン内の11個目のIPアドレス
に対するアクセスはブロックされます。

■ ScreenOS 2.5以下と2.6以上の仕様の違いについて

ScreenOS 2.5 (NetScreen-5 のみ)以下のバージョンのScreenOSでは
一旦、NS5を通過するユーザのトラフィックが終了した後、
コネクションが終了するまでにに10分間かかります。
例えば、同時に10のコネクションがNS5上で生成され、その後10人目の
ユーザがコネクションを切断した場合、11人目のユーザが外部に
トラフィックを送信できるのはその10分後になります。

この動作仕様はScreenOS 2.6.0以上のScreenOSで変更されており、
ScreenOS 2.6以上では一旦、ユーザがNetScreenを超えるトラフィックを
終了させると、そのセッションは直ぐにクリアされ、そのユーザのIPも
active user tableから除外されます。

■ 10ユーザーライセンスの制限値を超過した場合のログメッセージ
（この内容はScreenOS 4.0以上に適用されます。）

10ユーザーライセンスの10ユーザーの制限値を超過した場合には
以下のログメッセージが記録されます。

User limit has been exceeded. User x.x.x.x cannot be added

　※ここで x.x.x.x には追加できなかったIPアドレスが入ります。

■ 10ユーザーライセンスの制限値を超過した場合のDebugメッセージ
（この内容は少なくともScreenOS 5.0-5.2の5GT及びHSCに適用されます。）

10ユーザーライセンスの10ユーザーの制限値を超過した場合には
デバッグログに以下のメッセージが記録されます。

packet dropped, nat user limit

■ Active User Table の参照方法
（この内容はScreenOS 4.0以上に適用されます。）

以下のコマンドを入力する事で現在のActive User Tableの中身を
参照する事が可能です。
尚、このコマンドはNetScreen-5XP/5XT/5GTの10ユーザーライセンスでのみ
利用可能でありEliteや無制限ライセンスのバージョンでは利用できません。
※HSCでも利用可能です。HSCは5ユーザの制限があります。

get active-user

ns5gt-> get active-user
Total 1/10, Free 9:
192.168.100.1: 1 incoming sessions 0 outgoing sessions

■ 10ユーザーライセンス/無制限ライセンスの判別方法

10ユーザーライセンス/無制限ライセンスを判別するには
以下の方法が利用できる。

WebUI：Configuration > Update > ScreenOS/Keys > License Information
CLI: get license-key

上記いづれかで [Capacity:] の行を参照する

以下、10ユーザーライセンスでのコマンド実行結果である。
Capacityが10 usersとなっているのが判る。

ns5gt-> get license-key
Sessions:          2064 sessions
Capacity:          10 users
         ・
         ・
         ・

■ 参考文献/文書/サイト/URL

How does the 10 user limitation work on the NetScreen-5, 5XP,
and 5XT? (KB ID: KB5566)
http://kb.juniper.net/KB5566

How Does the 10-User Limit Apply to the NetScreen-5XT,
5GT and 5XP? (KB ID: KB4203)
http://kb.juniper.net/KB4203

Why Do I Receive a 'User Limit Has Been Exceeded' Message?
(KB ID: KB6176)
http://kb.juniper.net/KB6176

Only 10 IP Addresses can get out to the Internet
(KB ID: KB5264)
http://kb.juniper.net/KB5264

Why Is the Active Users Report Option Only Available on
Certain Juniper Networks NetScreen Devices? (KB ID: KB6442)
http://kb.juniper.net/KB6442

What Does the Debug Message
"packet dropped, nat user limit" mean? (KB ID: KB7763)
http://kb.juniper.net/KB7763

How Do I Determine Which User License Is Installed on
My Juniper Networks NetScreen-5XP/5XT/5GT? (KB ID: KB6266)
http://kb.juniper.net/KB6266

ScreenOSアップデート時の[Shared memory size is too small]のエラー回避方法

champom — 2007-06-08T00:16:11+09:00

WebUIを利用してScreenOSを 5.2.0r3 から 5.3.0系(5.3.0r6)
へアップデートしようとすると以下のようなメッセージを出力し
アップデートが失敗する事があります。

Shared memory size (9988000) is too small for file size (10122557)

この問題はWebUIで5.2.0r3から5.3.0系へアップデートする場合に
発生しますが、TFTPでアップデートする場合には発生しません。

この問題を解決するには、
まず最初に、5.2.0r3 から 5.3.0r1へのアップグレードを実施し、
その後に 5.3.0系の上位リビジョン(5.3.0r6など)へアップグレード
してください。

■ 参考：

Upgrading from 5.2.0r3 to 5.3.0r6 via WebUI Fails with the error
"Shared memory size is too small" (KB ID: KB9443)
http://kb.juniper.net/KB9443

NetScreen/SSG ポリシーベースVPNで生成されるProxy-IDの確認方法

champom — 2007-06-06T22:05:33+09:00

NetScreen/SSGのポリシーベースVPNでVPN接続する際に
Proxy-IDのミスマッチが発生する事がある。
これは、ポリシーにアドレスグループを使用した場合などには
想定したProxy-IDとは異なるProxy-IDが生成される事が
あるからである。

■ ポリシーによって生成されるProxy-IDの確認方法

ポリシーベースVPNの場合に生成されるProxy-IDは
以下のコマンドで確認する事ができる。

get policy id <number>

上記コマンド投入し、出力された中に
proxy id: の項目があるのでその値を確認する。