0019-12-29

Goodbye 2007

今年もいい年だったと自己評価している。
仕事、家庭と順調すぎた。

いろいろストレスが無いわけではない。仕事上、いろいろと周囲に迷惑をかけながらも、しかしゆるぎない強い意志で乗り越えてきた気がする。

この調子で、来年も必ずいい年にする!

0019-12-28

個人情報保護法

個人情報保護法が成立されてから至るところでセキュリティが強化され、それに従い一次関数的に業務がやりにくくなった。効率は無視された対策ばかりで嫌気がさす。

何をやるにしてもワンステップ、ツーステップの作業が必要となる。ブラウザで外部にアクセスする際の確認ポップアップ、メールを送信する際の宛先確認チェック、、全くうんざり。
またこれを一つのミッションとして取り組んでいるチームがいるから厄介である。彼らからすれば成果であり、是非とも推進したい。

いや、気持ちはわかる。
法律にも同意できる。
しかしそれに対する対策は効率とキチンと天秤にかけて欲しい。
その検討結果などが知らされないまま導入しろと言われても困る。

というのが私の意見だ。
これも成果主義が生んだ一つの悪しきものだとして我慢するしかないのか。


ところで、昨日我が家の照明に不具合があり、ハウジングメーカーを呼んで確認してもらったのだが、今朝、我が家の前に複数人の個人情報が記録された書類が落ちていた。正確には置き忘れたのだがろうが、住所・名前・電話番号は勿論、サポート窓口でやりとりした会話の内容まで細かく書かれていた。

「有償という説明は通らないだろうから、XXという説明をした」

などである。
おまけに書類には「個人情報につき取り扱いには留意すること」などと書いてある。

こんな出来事をブチまけたらそれなりの問題になる。
そう思ったので、やさしい私は携帯の履歴から担当者へ直接電話して取りに来てもらうことにした。いや、我が家の情報が落ちてたわけではないので"まぁ許してやるか"という感じなのだが。

担当者も相当焦ってたな。。

0019-12-14

iPodのアイテム

アップルの勢いは止まらない。
携帯音楽プレーヤーの市場を独占しそうな勢いだが、CEOのSteve Jobsのブログに投稿されているこんなアイテムも面白い。

Steve Jobs



いや、勿論URLをみればわかるとおり、SteveのFakeなのだが。

Virtual Switching Supervisor Engine

Cisco Catalyst 6500で仮想スイッチ クラスタが構成できるようになった。

何がいいかってHSRPやらSTPやら、キャンパスネットワークに必要な冗長プロトコルを使わなくて良いという点で、設計のシンプル化と運用の容易性を向上できそうだということ。私も企業内LANを設計する時は、HSRPやらSTPを使用するのが常だったが、障害時の経路がどうなるか、とか行きと帰りの経路が異なるのが問題だ、とかVLAN毎にActiveルータを異なる設計にするMHSRPを使用してみたり。。。色々と苦労したものだ。

0019-12-08

CCIEが必要か?

なぜCCIEにみんな拘るのか?
取得してちょうど2年経過するが、なんとなく考えることがある。

考えはそれぞれだが、CCIE取得を目標とすることに少なくてもいくつか意義と有益な点があると私は感じている。

1. IOSの奥深さと自分の無知さ加減を知るにはいい機会

普通に動作させている時は正直気づかないIOSの奥深さに触れることになる。いや、IOSの奥深さというかこの世界の奥深さと言った方が適切か。Ciscoルータを触っていて使用していないコマンドは山のようにある。ただCCIEに向けて学習する上で、全てではないが、殆どに触れることになる。CCIE取得に向けて学習することで、自分の無知さ加減に大いに直面させてくれる。俺は今まで何をやってたんだ?っと。

2. 探究心を駆り立てる

プロトコルを知れば知るほど、完璧に知りたいという探究心が生まれる。こういった探究心をもって物事が理解できることに充実感を感じるのがこの世界のエンジニア。CCIEを学習する上で探究心というのは非常に重要な要素であり、CCIEに向けて学習していると、この探究心は加速し、取得後も持続する。

3. 的確な情報リソース

を知ることになる。何かを調べるにはどのリソースから情報を得るか。CCIEを学習する上では的確に素早く情報へアクセスする必要があり、その手法を確立する上ではいい機会である。正直CCOの情報の多さと内容の充実度は、Cisco Systemsという会社はこの業界のデファクトスタンダードだと改めて感じさせてくれる。


上記にあげたぐらいは、現在のCCIEホルダーの同意を得られる気がする。
私と同じ担当にももう一人CCIEがいるが、今度忘年会の時にでも聞いてみよう。

年収があがる? それには些か疑問を生じる。そもそも資格で年収があがるケースは、その資格がないとその業務に従事できない等の例で、CCIEがないとルータを触われないだとか、CCIEがあると官公庁のネットワークを設計できるようになるだとか、そういった類の物ではない。ITベンダーの資格は会社それぞれの扱いによる、というのが結論で、副次的に年収アップにつながるケースはあるかもしれない。

0019-12-05

CCIE受検に膨大な金がかかるか?

受検代は別としても、その勉強にかかる費用は膨大・・・

例えば、ラボ対策には絶対にルータが必要である。
しかも2台、3台なんてレベルでは到底困難で、せめてスイッチ含めて5-8台ぐらいは揃えたいもの。
その他、IOSを動作させるためのメモリやバックツーバックのケーブル、練習用のテキストなど、、

っと考えるとざっと数十万は覚悟しないと、っと二の足を踏んでしまうのが現実だ。


ただ、正直な話、私の場合は最終的には殆どお金がかかっていない。

ルータやスイッチなどは結構高額だがオークションなどで根気良くいいものを見つければそれほど高くない。しかも合格してから同じように他のチャレンジャーに売れば殆ど+-ゼロ。
むしろ、メモリやIOSなどをきちんと整備してあげて付加価値を高めてやれば買った値段より高く売れたりする。

本なども不要だと判断すれば、内容が陳腐化する前に他人に譲ればそれなりの値段になる。


っということでお金なんてどうでもよい、という人にはどうでもいい話だが、膨大な金がかかると二の足を踏んでいるチャレンジャーがいれば、心配しないで挑戦して欲しいという話である。

かく言う私は、実際はプラスになった程である。
あくまでは受検代は別の話だが。

0019-11-28

CCDE?

CCDEなるものがCiscoで計画されているという話。正直真相はわからないが下に記載されている"ねらい"には異論がないところ。

実際はどうなんでしょうね。



More details of Cisco's plans for new advanced level certifications
Submitted by Cisconet on Tue, 07/31/2007 - 6:39pm.

Cisco Subnet blogger Michael Morris has posted some more details from a private meeting Cisco had with 50 CCIEs at Networkers last week. The meeting discussed Cisco's development of two new certifications - a Cisco Certified Design Expert certification, which would be on par with the CCIE but for network designers, and a Network Infrastructure Architect program.

Michael writes: "The concept for [the CCDE) came about because some of Cisco\'s earliest CCIEs are no longer interested in the CCIE's product and configuration focus since that is not part of their job anymore." The CCDE would have a written exam and a "peformance-oriented scenario test" which would not be a lab test but one that would test a candidate\'s advanced network design skills. The architect program would be aimed at pros with skills beyond CCIE and CCDE levels.

Michael will post more of his meeting notes in a few days.

Further reading:

Cisco mulling CCIE-level certification for network designers

Cisco confirms design cert track may reach CCIE level



< 後述 >

2008/1/22にCiscoが正式にアナウンスした。
以下はCertCitiesからの引用。Hands-on examがあるらしいですね。


Cisco Announces New Expert-Level Cert for Design: CCDE



1/22/2008 -- Cisco Systems today announced a new expert-level certification, the Cisco Certified Design Expert (CCDE), for high-level IT pros who design and architect enterprise networks.

The CCDE is modeled after the company's flagship Cisco Certified Internetwork Expert (CCIE) certification for high-level networking pros. Like the CCIE, the CCDE will have a qualification exam and an eight-hour hands-on exam. Pricing is the same: $315 for the qualification exam and $1,400 for the hands-on exam.

Unlike the CCIE -- which offers specializations for Routing & Switching, Security, Voice and other areas -- the CCDE will not offer tracks. "This is above the tracks," said Jeanne Dunn, senior director of learning at Cisco. "You have to know voice, have to know security, but it's at a higher level. To be a designer, they have to go beyond [to] see how it all works together."

And while the new title is technically the same level as the CCIE, according to Dunn, the CCDE will be more difficult to achieve. "You have to know what a CCIE knows to design, you have to have been there and done that," she commented. "Many people are going to take this are already CCIEs. That's [our] target audience -- [they've] done enough planning and architecture where they are the right candidates to be looking at this new credential."

Another difference is how the CCDE practical exam will work. While the CCIE focuses on hands-on lab work and troubleshooting -- candidates are required to travel to one of 10 Cisco labs worldwide with the equipment set up for this testing -- the CCDE will use scenarios and simulations focused on the planning and designing of architecting. It will be a "rich media experience," according to David Bump, Cisco certification portfolio manager.

And although the practical exam's development isn't far enough along (it's scheduled to be released in "fall 2008") to say how candidates will share their knowledge through the exam, the new format means Cisco can work with its standard exam delivery provider, Pearson Vue, to deliver the exam through its wider worldwide network when it does launch.

While the CCDE practical is a ways off, the new CCDE qualification exam -- 352-001 (ADVDESIGN) -- launched today in Pearson Vue testing centers worldwide. Objectives for the two-hour, 120-question exam are available here.

Candidates must pass the CCDE qualification exam in order to qualify for the practical. Like the CCIE qualification exams, passing the CCDE qualification automatically recertifies any associate- or professional-level Cisco certification candidates may hold.


100ギガビットイーサネット

近年キャリアにおかれる事情は非常に厳しい。

ISPトラフィックは倍/年で増加している環境で以下に効果的な投資をしていくか。それによりいかにOPEXを削減していくか。非常に緻密なプランと投資判断が必要である。

効果的な伝送ネットワークを構築するには、広帯域の技術が必要。10ギガビットは既にあたりまえな世界であり、40Gを超え100Gの標準化とベンダーサポートが求められる。

100ギガビットイーサネット・・
Force10が先駆けて取り組んでいるが標準化が待たれる。どのメーカーに聞いてもサポートは標準化を待ってからと口を揃えて言う状況。

日本のインターネット事情は他諸国に比べてブロードバンドという点では先進であることは言えると思うのだが、その中にある日本のメーカーも、標準化に先駆けて100ギガビットのサポートを推進して欲しいものである。

0019-10-27

プリンタが・・

我が家ではプリンタとしてCanon PIXUS 560iを使用している。3年ぐらい前のモデルだったか、去年プリンタヘッドが壊れて某電器屋に持っていき、クレームつけて無料で直させた。

「プリンタヘッドは消耗品ですから・・」

どこをみても確かにそう書いてあるが、酷使して2年で壊れるんだったら分かるが、時々写真と年1回の年賀状を印刷する我が家で、消耗品と言われたことに腹立ちましてね。。

当時の店員さんには悪かったのですが、強引に直させたんです。


っと前置きはいいとして、今朝RFCを打ち出して勉強しようとしたところどうやらインクが目詰まりして印刷がうまくいきません。

またか・・・

っとかなり嫌気がさしたのですが、そもそも解消方法はないのかとネットを探してみました。

今の時代、情報はいくらでも揃うもんです。解消方法を公開している人がいました。

手順は簡単で、何度もヘッドのクリーニングをしても駄目な場合はプリンタヘッドを外してお湯で洗う、

これだけです。

故障を恐れず試してみましたが、これが効果覿面。バッチリ復活です。

これで2時間ぐらい時間をロスってしまいましたが、もう少しこのプリンタとお付き合いできそうです。

0019-10-20

修悦体


私は文書などのフォントに意外と拘るほうで、恐らくこれは入社した時の上司がフォントに煩い人で議事録を回覧すると良く注意された影響が少なからずあります。

しかし、文書のフォントによって与えるインパクトは少なくなくありませんね。特にプレゼン資料などは拘って欲しいものです。

ところで、少し前の"めざましテレビ"で修悦体なるフォントを紹介していました。
もう知っている人も多いかもしれませんね。日暮里駅の工事現場の警備員さんである修悦(しゅうえつ)さんが生み出したフォントで、駅構内の看板に使われています。今、日暮里駅は工事真っ盛りですし看板はそこら中にあります。

今回成田へ向かう途中、日暮里で乗り換えた際に写真をとってきました。
一瞬見難いフォントではありますが、人を引き付ける力をもっています。

テープのみで作成するこの修悦という人は凄いですねぇ。

0019-10-16

Krispy Kreme Doughnuts


有楽町に二号店ができて大行列の3時間待ちだとか。。
新宿に一号店があって、興味があったのですが、一度凄い列をみて諦めてしまいました。

実はサンフランシスコのフィッシャーマンズワーフにあるPIER39にはKrispy Kreme Doughnutsがあります。少し分かり難いのですが、Cafeの中にポツンとドーナッツが入ったケースがあり、セルフで好みのドーナッツをとってレジに持っていくシステムです。

前から食べてみようかと思っていたのですが、今回たまたま行く機会があり、試しに1つ買ってみました。

日曜日の昼間なのに一人も並んでいませんでした。日本とは大違いですね。

一個1ドルですので日本の150円に比較すれば安いです。


たかがドーナッツ、と思って食べてみましたが、されどドーナッツ。
普通とは違います。不思議に口の中でクリームが溶け出すような、そんな感じです。
美味しいですね。皆さんが病み付きになるのがわかります。

0019-10-14

WREDパラメータの最適な値

難しいですね。
内部で勝手に決められているルータであれば悩む必要がないのですが、minimum-threshold, max-threshold, drop probabilityをどう設定すれば効果的か。。

CiscoのDefaultの実装も他のベンダーの実装も全く違いますしね。

どうしたものか。。

0019-10-13

Google Docs

オンライン日報でいいツールがないかなぁと探していたらGoogle Docsが結構便利であることを知りました。
テキストやppt, wordなどの資料がオンラインで管理でき、必要な人にシェアできます。

やはり無料であるという点が大きいですね。

しかしGoogleは凄いなぁ。

iPhoneを触ってみて

カリフォルニアの知り合いの人がiPhoneを持ってましたので少し触らせてもらいました。

噂どおりタッチパネルは感度がよくストレスな操作ができ、楽しい!格好いい!という印象でした。
youTubeも問題なくみれます。

いいなぁ、欲しいなぁ、日本ではiPod touchであれば・・・

0019-10-10

成田第一ターミナル

国際線に乗る場合、成田は第一ターミナルの南ウィングからの搭乗になります。
成田第一ターミナルにはユニクロがあるため、中期長期出張時は下着などを揃えるのに重宝しています。

また第二ターミナル(JALなどはこちら)より良い点を見つけました。
それはカード会社が運営しているIASSエグゼクティブラウンジで第一、第二ターミナルともに設置されています。ゴールドカードであれば無料で利用できます。

このIASSエグゼクティブラウンジですが、ソフトドリンクは無料でアルコールは一杯まで無料です。第一と第二の違いはインターネットサービスです。
  • 第二ターミナル:HOTSPOTにのみ対応していて、HOTSPOTに契約している必要がある
  • 第一ターミナル:無線LANが無料(1時間)

第一ターミナルの場合は受け付けに言うと、SSIDとパスワードが記載された紙を手渡されます。
APが検索できればあとは接続してSSIDとパスワードを入力するだけです。

1時間と時間は短いのですが、無料ですし出発前にメールチェックするなどには非常に重宝します。

しかしクドイようですが、ビジネスクラスであれば航空会社のラウンジでもっと良いサービスを受けれるんですがね。。

※その他空港には10分100円のインターネットサービスもあります。

JAL? ANA?

皆さんはJAL派でしょうか? ANA派でしょうか?
私は以前はJALを多用していたのですが、国際線に乗る機会が増えてからはANAをメインに使用しています。

何故かっていうと、私の場合、ビジネスでも会社ではエコノミーしか許可されていませんので、航空会社によっては以下のような若干の差があるからです。
  • ANAの映画プログラムはエコノミーでもオンデマンド
  • ANAの食事はエコノミーでもまぁまぁいける(個人的な意見)
対してJALやその他は、
  • JALのエコノミーは映画プログラムがオンデマンドじゃない
  • North Westはアルコールドリンクが有料(ビールが5ドルらしい)
  • North Westの映画プログラムは日本語字幕が殆どない(らしい)

ということでやたら映画プログラムに拘りましたが、何せ10時間近くのフライトでアルコールのみながら映画でも鑑賞していないとやってられません。ビジネスクラスだと時間の使い方はいろいろあるんでしょうけどね。。(泣)

ということで私はJALの株主ではありますがANAを使用しています。

カリフォルニア


また出張でカリフォルニアに来ています。今年はかれこれ5回目です。
今回もルータの検証なのですが、約2週間という長いようで短いスケジュールで、どうすすめようか思慮しているところです。

ところで、サンフランシスコに行ったらベイブリッジの北にあるFisherman's Worfに立ち寄ることをお奨めします。
何があるというわけではないのですが、魚介類が美味しいです。
またクラムチャウダも有名で美味しいです。(下は4.25$のクラムチャウダ)


その中でもパン屋であるBOUDINのクラムチャウダは有名なようですね。私は食べたことがないのですが、今度試してみたいと思います。

0019-08-12

タブブラウザ

何を皆さん使っているのでしょうか。
私は自宅のXPではIE7を使用していますが、ちょっとした動作でエラーを頻繁に吐き、嫌気がさしています。

FireFoxもそれなりに動作が軽くよかったのですが、エンジンが異なる為IEとの互換性は完全ではありません。

国産のLunascapeも数ヶ月使用してみましたが、多機能であることはいいのですが、イマイチ動作が重くとても使ってられないという印象を強くもちました。

そこで今回はGreenBrowserというものを使っています。IEとの互換性もありますし、何よりも軽快。確か中国製だと思いますが見た目もよくお奨めですよ。(日本語対応です)

0019-07-28

Cisco CCIE 投票アンケート

このブログの右側でCCIE訪問者の為にQuick Surveyをやっていました。
海外のレンタルツールを使用していたのですが、さすがフリー。かなりの頻度でサーバにアクセスできませんでした。

そこで日本のQuickVoterというツールで再構築しました。
以前の投票は引き継いでいますので2重投票はしないでくださいね。

まだの方は是非。

0019-07-06

Cisco

Ciscoが赤坂から東京ミッドタウンに移転して、初めてこの前訪問しました。
いやぁ赤坂も綺麗な場所でしたが東京ミッドタウンはすごいですね。
CBCなどを見学させて頂きましたが、イケてる企業は違いますねぇ。

NewsWeekで優良企業世界500社という記事が掲載されていましたが、その中でもCisco Systemsは上位に位置していました。私の会社も載ってはいましたが成長率などは比較になりませんね。

WRED

輻輳管理としてWREDを使用しているルータは多いですね。
しかし今回検証している中で、輻輳時に遅延が多いのが気になってWREDの動きをちょっと細かくみてみました。

優先順位に従ってREDが働くのですが、輻輳してくるとQueueがMinimum Thresholdに達すると優先度が低い方がはじめにドロップをはじめますよね。Maximum ThresholdまでくるとTail dropとなります。WREDの場合は優先度毎にThresholdが設定できますので、たとえばPrecedence 5より4の方を先に落とす動作をさせた場合、4は5と比較してQuickに落ちていきます。つまり、5は輻輳時に守られる一方で遅延が増加してしまいます。End to EndでみるとPrecedence 4の方が5より遅延が少なくみえるわけです。考えてみれば当然なのですが、最初は疑問に思ってしまいました。

0019-06-30

グーグルを超える日

オーケイウェブの兼元社長が執筆した本ですが、ここ二日ぐらいで読んでみました。
彼がもとはホームレスだったことは私にとってはどうでも良いのですが、OKWaveの考え方やQ&Aコミュニケーションの発想は面白いですね。

ただ反論というわけではないのですが、どうしても1つひっかかります。
私の場合、疑問に思った時というのは80%は直ぐに解決したい事です。
そうするとQコーナーに質問を投げて誰かの回答を待つ・・・ということをせずにインターネットの膨大な情報源から探すでしょうね。Q&amp;amp;Aコミュニケーションの発想をした5-6年前であれば"確かに便利"と感じるでしょうが、今は当時と比較にならないぐら膨大な情報が瞬時に集まります。
本の中でもQ&Aと検索との違いが記載されていますが、検索の方にダントツ優位性があるのは即時性という点です。
その点をどう考えられているのかを聞きたいところです。

また、Wikipediaなど世界中からより正確性のある情報とうまく組み合わされば、この本に記載されている"世界知識資産"的に面白い情報源になるかもしれません。
"今週妻が浮気します"でやりとりされている意見だけでは"世界知識資産"には成り得ないですし・・・


今後の成長に注目したい企業ですね。

0019-06-19

Dual token bucket and Dual leaky bucket

ふと疑問が沸きました。

Policing動作の時、よく使われているアルゴリズムとしてDual token bucketがありますよね。
ただATMの世界でよく聞くDual leaky bucketというアルゴリズムもあります。 GCRA(Generic Cell Rate Algorism)と言うこともあります。

今はATMもそのままMPLSで転送する技術があります。そうするとそのルータの実装はDual token bucketなのかDual leaky bucketなのか、そしてその違いがあるのかというのが気になります。

少し調べてはいるのですが、いづれの動作も結果としては同じになる、と言うのが結論ですが、これらの違いはそもそものアイデアの差だけか?という疑問が残っています。
ASICメーカーがどう表現するかに依存しているのかもしれませんが、ATM以外でDual leaky bucketと表現しているのはあまりみたことがないですね。
ちなみにCatalyst65xの記事でdual token leaky bucketと表現しているものもありました。。


●Dual leaky bucket



0019-06-18

San Francisco IA lounge

SFOからANAに乗って帰国しましたが、今回は分け合ってビジネスに乗りました。(いつもはエコノミーなんです)

SFOではUAのloungeが使えるのですが、受付で搭乗券をみせると"Bar serviceは使うか?"と聞かれるので、アルコールを飲みたい人は"使う"と答えると、アルコールドリンクのチケットが2枚渡されました。

階段を上っていくと広いloungeになっています。
アルコールを飲む人は左手奥の方に進むとBar counterがあって従業員が中に立っています。
ここで飲みたいものを注文するのですが、メニューらしきものはありません。この日はやたら態度のでかいおばちゃんだったのでメニューを頼むのも面倒に感じたのでとりあえず"ビール"とオーダー。
ビールサーバがいくつかあるうちのBudweiserが勝手にチョイスされました。。

適当な場所に座って、飲んでいると、どうも周りの人の7割ぐらいが赤いカクテルを飲んでいるのに気がつきました。きっとここでは評判のカクテルに違いないとにらみ、もう一枚のチケットをもってカウンタへ。

やはりカウンタでもみんなそのドリンクを飲んでいます。
まさにそのおばちゃんがカクテルを作っている最中だったので、"それと同じ赤いものをくれ"っとオーダー。

この"xxx"が欲しいということかい?

っと理解をしてもらってたようなので"Yes"とだけ答えた。
だがxxxというところが聞き取れなかった。

作ってもらったカクテルを席で飲みましたが、かなり美味いです。
味はブラッディマリーに似ている、というかそのものかな?
#だけどあのおばちゃんは明らかにブラッディマリーとは言っていなかったなぁ。
タバスコも入っているのと香辛料が若干加えられており、ちょっとピリ辛のカクテルです。セロリのスティックがささっていて、齧りながら飲むとさらにうまい。

SFOのLoungeに行く機会があれば是非試してみて下さい。ちなみにこのLoungeはGarage Gからの搭乗の場合です。JALを使用する場合は別のLoungeになると思います。

0019-06-11

PHD

PHD, Docotor of Philosophyの略で博士号のことです。

現在サンノゼで対応してくれている女性のエンジニアはPHDでその上司は非常に賢いと評価していました。

確かに仕事は正確でチェックも細かい方で、我々にとって非常に効果的な人材という気がしています。
そういう人材はこれからの人生設計をどのように考えているかを聞きたいところです。。







Hiring engineer at San Jose


出張が少し延びて、今日もサンノゼのダウンタウンに宿泊しています。

サンノゼにはご存知のとおりシリコンバレーと呼ばれることもある程IT企業が集まっています。
Cisco社もCisco villedgeと呼ばれるぐらい、360℃見渡してもCiscoのビル、ビル、ビル。。というところがあるほどです。

今はCiscoとは別のIT企業とのプロジェクトを行っているのですが、話を聞くとこの近辺、今は優秀なエンジニアを探すのに苦労しているそうです。エンジニア不足という結果なのですが、なぜそのような状態になっているかはわかりません。ITバブルが崩壊して、純粋にエンジニアが不足しているのか、優良企業へ演じアが集中しているのか。。。

ITバブル崩壊と言えば、日本からサンノゼへの直通便が1、2年前に廃止されました。
こういう過程からも、日本からサンノゼへ出張に来る人間が減っているということが言えるのかもしれません。

ちなみにサンノゼ空港へ行くには、一度ロサンゼルスに行き、トランジットしてサンノゼという経路がありますが、私はいつもサンフランシスコで降りて、レンタカーで101を移動します。大体1時間もあればサンノゼに行けますし。

0019-06-10

Cisco Bridge (Gloden Gate Bridge)

CiscoのロゴにもなっているサンフランシスコのGolden Gate Bridgeを通りましたのでついでに写真撮影がてらフリーウェイを降りてみました。

この橋、迫力が半端ではありません。遠くBay Bridgeの方から見たことはあったのですが実際に車で通過するとその巨大さは当時建築した時の市民の思いやエンジニアの苦労などに思いを馳せてしまいます。

この橋、歩道があり(自転車可)、歩いても渡れます。全長が2Km以上あるので往復すると人間の歩速では1時間以上かかります。



そこで一本目の鉄柱まで歩いてみました。
下から見上げるとその高さに目がくらみ、下を覗くと海面からの高さに目がくらみます。
流石アメリカ、やってのける規模が違います。

なお、車での通行はサンフランシスコ側から渡る時は無料です。
ただし反対方向は5$必要です。

なお、カリフォルニアにはFASTRACKというETCが存在します。
基本的に高速道路はフリーウェイ、そう無料ですのでETCの存在は有料の橋を渡る際のToll Gateにのみ使用するようです。あまり意味がないように思いますが、結構Toll Gateは混んでいますので通勤などで移動する人には重宝するのかもしれません。

ちなみに、日本のETCのように開け閉めするゲートはありません。よって支払をしないでそのまま通過することもできてしまいますが、後日きちんと"Violation"ということで罰金を徴収されます。かく言う私もその一人で、ETCの存在を知らず、すっとゲートを通ったら後日レンタカー会社から罰金として47$カードから引き落とします、という連絡がありました。ちゃんと番号を監視しているんですね。。。

話を元に戻しますが、是非サンフランシスコに行く人はGolden Gate Bridgeまで足を運ぶことをお奨めします。

0019-06-08

Tolly group


Tolly groupをご存知でしょうか。

いろんなベンダー機器をのパフォーマンスをフェアに評価する会社で、レポートをみると参考になる部分が多々あります。

http://www.tolly.com/Default.aspx

テストを行う上でのノウハウは是非学びたいものです。。

CISSP Recertification

CISSPの再認定の時期がきました。
更新は3年ごとで、CPEというポイントを120ポイント獲得するか再試験するかという条件があります。

このCPEというポイント、正直獲得するにはいろんなセミナーに参加する必要があります。
セキュリティ本を読んだり、講師をしたり、自ら本を出版したりすることでもCPEを稼げますが、それぞれに上限が決まっています。つまり本を100冊読んだからといってCPEが120ポイントになるわけではありません。CPEを獲得する10つの方法はいかのとおり

  • Attending educational courses or seminars
  • Attending security conferences
  • Being an active member of an association chapter
  • Listening to vendor presentations
  • Completing university/college courses
  • Providing security training
  • Publishing security articles or books
  • Serving on industry boards
  • Self-study
  • Volunteer work, including (ISC)² volunteer committees


  • セミナーもCISSPで認定のセミナーは殆どが有料です。
    当然申請すれば会社から出るのでしょうが、現在はセキュリティ分野の最前線で仕事しているわけではありませんのでそんなに頻繁に参加することもできません。

    そんなことからこの約3年で20ポイント強しか獲得していません。
    日々CPEのポイントばかり気にしてもいられないというのが正直なところです。

    でどうするかというと、

    EXPIRE!

    させます。CISSPは3年前は日本にも導入されたばかりであまり認知度が高くありませんでしたが今はどうなんでしょうね。個人的にはもう少し再認定しやすい仕組みを整えて欲しいです。

    ということで


    Goodby CISSP!

    0019-06-07

    テキストエディタ

    皆さんいろんなテキストエディタを使用していると思います。
    Windows標準のnotepadを愛用している人も多いかとは思いますが、なにぶん機能が乏しすぎます。

    そういう人によく使われているのがシェアウェアの秀丸エディタでしょうか。
    ただ個人点には使い方になかなか慣れず、terapadなどを愛用していました。

    今回、ちょっとしたきっかけがありエディタを探していたところ、とても使いやすいものを見つけました。
    ご存知の方も多々いるかもしれませんが、私は知りませんでした。

    http://www.mk-square.com/home/software/mkeditor/

    使ってみるといろいろカスタマイズできて、なかなか使いやすいです。
    grepもできますし、なにせフリーであることがポイントです。

    皆さんも是非使ってみてください。

    0019-06-06

    旧金山

    出張でサンフランシスコに来ています。
    今年はもう4回目でほぼ毎月来ている印象があります。

    いい加減に町並みや食事も飽きていて、なんら新鮮なことはありません。
    唯一はフライト中の最新映画をみることでしょうか。

    今回はANAで移動していますが、"ゴーストライダー"が上映されていました。
    個人的にニコラスケイジが好きなため、最後まで楽しめた映画でしたが、あまりストーリー性のない映画かもしれません。

    ところで、折角出張に来ているのに写真も撮らないのがいつもなのですが、たまには・・・
    ということで古いデジカメを携帯して気になるところを撮っていきたいと思います。

    そうそう、今回もこちらのエンジニアと検証の話などをする予定ですが期間が4泊と短いためどれだけ身のある出張にするかは私次第です。頑張らないとですね。

    0019-05-26

    Good question

    欧米人がGood question!という時、大半は自分が答えに窮する時だと思うのは私だけでしょうか。



    先日、5歳になる子供から思わずGood question!といいたくなる質問をされた



    「数字はどこまで数えれるの?」



    うっ!
    これは難しい質問だ。

    まず、数字は無限であることを証明しなければならない。

    それには数字が有限であることを偽として無限であることを真とする説明をしなければならない。

    5歳児の頭で理解できるような説明は私には無理である。
    しかし自分が小さい時にそんなことを疑問にも抱かなかったなぁ。



    「遠くのものはどうして小さくみえるの?」

    げっ!
    これも難しい。
    物理的特性の話になり、とても子供では理解を得られるものではありません。


    しかし、何にせよこのように

    何事にも疑問を持つ


    これが全ての物事の成長の基本ですかね。


    0019-05-02

    enable password

    Ciscoでは脆弱性があって使用しないように注意されているものですね。 もう脆弱性が指摘されてから10年以上が経つもので周知のことです。

    実際、解読するperlのプログラムなどがインターネット上で公開されており、 そのプログラムで以下のように簡単に解読できてしまいます。

    [sunny@tec perl]$ perl ios.pl
    enable password 7 060506324F41 <-- 入力
    enable password cisco <-- 出力

    世の中にはいろんな愉快犯がいますので日常生活で何が起きても不思議ではありません。
    いろんなところに落とし穴がありますので注意が必要ですね。

    なお、このプログラム自体、再掲できませんので興味がある方は探して見てください。
    ちなみに当然ですが悪意を持って使用することはしないようくれぐれも注意して下さい。。

    0019-04-15

    Q&A with Cisco's CCIE lab exam developer

    面白い記事を見つけた。

    CCIEのラボ試験を開発している人間とのQ and Aである。

    http://www.networkworld.com/newsletters/edu/2006/0522ed1.html?page=1


    例えば以下のようなQAがある。気晴らしで読んでみるとなかなか面白いですよ。


    Q CCIE LabのBetaはだれが評価しているのか?

    A 実際の試験に採用するまで、内部のCCIE candidateやprocotorなどにlabをテストしてもらう


    Q 試験を1回でパスするには?

    A アドバイスとしては完全に問題を知ること、効率の良いトラブルシューティングを練習すること、テスト時はパニックにならないこと

    0019-04-07

    XFP

    XFP:
    10Gbit/s small Form-factor Pluggableの略でXはギリシャ文字の10を意味する

    なぜギリシャ文字を取り入れるのか意味不明ですが、"へぇそうなんだ"と妙に関心してしまう自分にも疑問です。。

    XFPは10Gbit/s光トランシーバMSAの一種で、外形寸法、インタフェース、電気的仕様などが標準化されており、最も小型で様々なプロトコルに対応した規格のため、次世代10Gbit/s光トランシーバの中で本命視されています。波長としては以下の3つがあります。
    • 850nm
    • 1310nm
    • 1550nm


    MSA:
    Multi Source Agreementの略。
    製品のパッケージサイズ、ピン配置、スペックなどを複数のベンダー間で共通化することで、製品の安定した供給体制確立を目的とした業界標準。 波長なども勿論定義されています。

    SFPやXFP、XENPAKなどのMSAがあります。

    XFP MSA: XFPMSA.org
    XENPAK MSA: XENPAK.org

    0019-04-04

    ブラックベリー

    今、出張でカリフォルニアに来ています。

    こちらの人はモバイル端末にブラックベリーを使っていますね。
    日本の外資企業でも持たされるケースが多いようですが、どれだけ高機能なのでしょうか?
    電話をかけることは勿論、サーバとの連携でスケジューラなどのツールが効果的に使えるようです。

    日本企業は情報漏洩防止に躍起になって、セキュリティ強固を推進していますが、セキュリティ=持ち出さない、という方程式に基づいた施策しか考えない為、業務のモバイル性は右肩下がりで、日々不便になっていきます。

    セキュリティと利便性は天秤ですので、両方をバランスよく検討して欲しいものです。

    0019-04-03

    Cisco AutoBandwidth Allocator

    CiscoのMPLS機能でAutoBandwidth Allocatorというものがあります。

    Xインターバルで平均レートをYインターバルん間行い、Yインターバル間で最も高い平均レートが次のYインターバルの間のLSPのBandbwidthとして設定されます。

    動作はみていないのですが、LSP Bandwidthは増加も減少もできます。

    0019-03-30

    MACアドレスの変更

    現在、出張でサンノゼに来ているのですが、私と一緒に来た人のPCがどうやらホテルで使えなくなったらしく、昨日いろいろと切り分けをしていました。

    DHCPでIPアドレスを取得してくるのですが、私のPCが取得してくるアドレスとレンジが大きく異なり、なおかつうまくrenewもできないという状況。

    どうもPublic IP(Globa IP)が固定的にDHCPで割り当てられている感じ・・

    Windows XPでしたのでregisterを削除してTCP/IPの再インストールなどを試みましたが、結果は同じ。

    どうやらDHCPでアドレスを取得する再にMACアドレスをみているようでしたので、PCのMACアドレスを変更してみた。

    結果OK


    1つ勉強になったのはPCのMACアドレスって変更できるんだということ。(アダプタの機能)

    0019-03-10

    IEEE802.3ae 10ギガビットイーサネット

    最近10ギガビットイーサネットを使用することもあります。
    10ギガビットイーサネットはLAN PHY(ファイと呼ぶ)とWAN PHYに分かれていて、WAN PHYはSONET/SDHとの接続性が考慮されています。

    特徴的なのはその速度も勿論ですが、従来のEthernetで採用されてきたCSMA/CD方式による半二重通信はサポートされず、全二重通信だけをサポートしているところでしょうか。

    つまりオートネゴシエーションはしない、ということですね。
    10ギガビットイーサネットをサポートしている測定器などもよくみるとオートネゴシエーションの部分は空欄になっていたり、そもそも記述がなかったりします。

    0019-03-09

    CCIE status updated

    二日前程、CiscoからWritten exam合格おめでとう、というメールとCCIE re-certificateしました、という2通のメールが届いた。なるほど、こういう通知があるわけですね。


    実際、私のstatusも更新されていました。


    0019-03-04

    CCIE 10-year logo

    CCIEロゴは皆さんご存知だと思いますね。

    しかしCCIE 10-year logoというのは見たことがあるでしょうか?
    CCIEになって10年維持し続ければ、そのロゴの使用許可がおります。

    ちなみに私は勿論そのロゴへアクセスできません。どんなロゴかも気になりますが、CCIEという仕組みができて既に10年以上は経過したということですね。

    10年前、CiscoのIOSは10.x, 11.xの時代だったのではないでしょうか。

    0019-02-25

    The status of CCIE recertificastion

    今回はじめてのCCIE再認定試験だったわけですが、きちんとCCIEのExpire期限が延長されているかが気になるところです。

    そこでStatusを確認しましたがWrittenをパスしたというtrackは残っていましたが、期限として表示されているのはまだ今年2007年のままでした。

    以下のページによるとステータスの更新には10日ぐらいかかるようです。

    http://www.cisco.com/web/learning/le3/ccie/recert/index.html




    また10日後にチェックしてみます。

    0019-02-24

    CCIE Written 350-001

    昨日受けてきました。

    いつもは御茶ノ水や大手町で受けていましたが、今回は家からのアクセスを考えて新宿にしました。
    どこのテストセンターも同じようなブースのつくりでしたので、どこで受けても違和感はなかったです。

    さて、試験ですが350-001は150分、全問英語という点は変わりません。
    試験をはじめると最初にこれは120分の試験、という表示が出てきますが、日本で受験する場合は150分のようです。

    以前と変わらず問題を見直すために戻ることもできます。 またこれまた以前と変わらず誤字などは結構見受けられ、表示されるCLI OUTPUTの図なども小さすぎてようわからんというのもありました。
    もう少しなんとかならないものですかね。

    変わったところと言えば、複数選択する問題で、select 2 answersなんていう表現がなく、いくつチェックすればいいのかわからないというところです。
    ただ、例えば2つ正解がある問題で、3つ選ぼうとすると、too many xxとかいうエラーが出ますので、選択しすぎるということはなさそうです。

    私が受験した以前からBlue PrintにはWirelessが加わり、ISISやDialがなくなっています。

    WirelessはBlue printのキーワードを調べて少し読んでみたのですが、実際に設定したことがないものを理解するのは結構退屈で、問題として質問されると、いかに理解していないかが分かります。

    今回はそんな印象でした。

    あとアクセスリストなんかは、与えられているメモパッドで0001111なんてビットを書きながら考えていたのですが、以前ラボの勉強していた時より鈍化しています。。やはり常にルータに触るということも大切かもしれません。

    結果はなんとかパスできたのですが、新しい技術などは積極的に習得していかないといけないと痛感した試験でした。


    ただ実際に仕事に直接結びつかない技術を覚えるのは、趣味の世界になりそうであまり気が進まないですね。例えばEIGRPv6とか。。CCIEというのはそんなものなんですけどね。

    0019-02-22

    FTP

    さて、CCIE Written(再認定)に向けて復習しているところです。

    FTPをみてみましょう。

    何気なく使用しているFTPですが、クライアント、サーバ、そして使用するセッションとポート番号、またPassiveというモードがありそれぞれの動作を理解する必要があります。

    ■FTP FTPでは、制御用とデータ転送用で異なるTCPセッションを使用する。
    ■制御用のTCPセッション制御用のTCPセッションは、FTPサーバ側のポート番号が21で、FTPクライアント側から接続される。これは通常、FTPクライアントを立ち上げている間、ずっと接続され続けている。
    ■データ転送用のTCPセッションデータ転送用TCPセッションは、通常FTPサーバ側のポート番号が20で、FTPサーバ側から接続される。データ転送用のTCPセッションは、制御用のTCPセッションで流されるコマンドによってその都度生成され、データを転送し、終了すると切断される。データ転送用TCPセッションは一回のFTP通信の間に何度も接続と切断を繰り返す動作となる。
    ■複数の接続を制御 FTPサーバはFTPクライアントの接続先のポートを知る必要があるが、それは制御用TCPセッションで流されるPORTコマンドによってFTPサーバに通知される。
    ■passiveモードFTPにはpassiveというモードがある。 PASVモードでは、データ通信用セッションは制御用セッションと同様に FTPクライアント側から張る。そのために、PASVコマンドを使用する。

    0019-02-16

    SNMP

    SNMPのメッセージについてバージョンの違いをみてみます。

    GET REQUEST: 管理情報の一部を取得するときに使用
    GETNEXT REQUEST: 連続する管理情報を取得するときに使用
    GET RESPONSE: 管理情報の応答
    SET REQUEST: 管理するサブシステムに対して変更を加えるときに使用する
    TRAP (トラップ): 管理するサブシステムに関する警告や非同期イベントの通知に使用する

    それ以降のバージョンで、次のPDU が追加されています。

    GETBULK REQUEST: 高速に複数の管理情報を取得するときに使用
    INFORM: NMSなどのマネージャからマネージャへの通信するときに使用


    MIBについてみてみます。MIB-IIでは太字部分のGroupが追加されています。それぞれのGroup内のobjectも追加がありますが、今回はざっくりGroupだけを比較してみました。

    MIB(RFC1156)

    5.1 The System Group
    5.2 The Interfaces Group
    5.3 The Address Translation Group
    5.4 The IP Group
    5.5 The ICMP Group
    5.6 The TCP Group
    5.7 The UDP Group
    5.8 The EGP Group

    MIB-II(RFC1213)

    3.4 The System Group
    3.5 The Interfaces Group
    3.6 The Address Translation Group
    3.7 The IP Group
    3.8 The ICMP Group
    3.9 The TCP Group
    3.10 The UDP Group
    3.11 The EGP Group
    3.12 The Transmission Group
    3.13 The SNMP Group

    IPv6 MLD

    MLD は、ネットワーク セグメント上でマルチキャストをサポートする IPv6 ルーターとマルチキャスト グループのメンバの間で、メンバシップの状態情報を交換するために使用されます。

    ホストがマルチキャスト グループのメンバであるかどうかはメンバである個別のホストによって報告され、メンバシップの状態はマルチキャスト ルーターによって定期的にポーリングされます。MLDは、RFC 2710 「Multicast Listener Discovery (MLD) for IPv6」に定義されています。

    IPv4ではIGMPが使われていましたが、IPv6ではそれに代わりMLDが使用されます。MLDスヌーピング機能もあります。


    MLDメッセージ タイプは以下のとおりです。

    マルチキャスト リスナ クエリ
    マルチキャスト ルーターがグループ メンバに対してネットワーク セグメントをポーリングするために送信します。クエリは、一般 (すべてのグループにグループ メンバシップを要求する場合)、または固有 (特定のグループにグループ メンバシップを要求する場合) になります。

    マルチキャスト リスナ レポート
    ホストがマルチキャスト グループに参加したときにはホストが送信し、MLD マルチキャスト リスナ クエリへの応答にはルーターが送信します。

    マルチキャスト リスナの終了
    ネットワーク セグメント上でホスト グループの最後のメンバであると思われるホストがそのグループを離れる場合に送信します。

    IPv6

    さて、IPv6はCCIEでも扱われる範囲です。

    OSPFv6やRIPng(ngはnext generationの略らしいです)などIPv6対応のルーティングについても理解しなければなりません。

    といっても体系的に学習できていないため、いくつか機能を見ていきたいと思います。

    IPv6 のアドレス構造
    IPv4 と IPv6 の最も大きな違いは、そのネットワークアドレスの長さにあるのはご存知だと思います。IPv4 が 32bit で表記されていたのに対し、IPv6 は 128bit で表記します。

    IPv6 のアドレスは、前半部と後半部に分けられて管理されます。 前半の 64bit は、ネットワーク・プレフィックスと呼ばれ、後半の 64bit は、インタフェースIDと呼ばれます。

    インタフェースIDは、一意性を得るためにMACアドレスから生成されるEUI64フォーマットが使用されることが多いですが、必ずこの形式を使わなければならないということではありません。(特に、サーバーでは手動で静的に設定されることが多いらしいです)。それぞれのアドレスの一意性は最終的にはDuplicate Address Detection(DAD)という仕組みで保証されます。

    IPv6のマルチキャストアドレス

    以下のように定義されています。FF(1111 1111)で始まると覚えればいいですね。


    FF02::1
    同じリンク上のすべてのノードに到達するためのすべてのノードのアドレス。

    FF02::2
    同じリンク上のすべてのルーターに到達するためのすべてのルーターのアドレス。

    FF02::4
    同じリンク上のすべての DVMRP マルチキャスト ルーターに到達するために使うすべての DVMRP (Distance Vector Multicast Routing Protocol) ルーターのアドレス。

    FF02::5
    同じリンク上のすべての OSPF ルーターに到達するために使うすべての OSPF (Open Shortest Path First) ルーターのアドレス。

    FF02::6
    同じリンク上のすべての OSPF 指定ルーターに到達するために使うすべての OSPF 指定ルーターのアドレス。

    FF02::1:FF
    リンク層アドレスにリンク ローカル ノードの IPv6 アドレスを解決するためのアドレス解決処理に使う要請ノードのアドレス(Solicited-Node Multicast Address)。要請ノードのアドレスの最後の 24 ビット () は、IPv6 ユニキャスト アドレスの最後の 24 ビットです。


    0019-02-12

    CCIE Written Exam Blueprint v3.0

    今年CCIEの更新の年です。

    再認定にはCCIEのいずれかの筆記試験を受験して合格する必要があるのですが、Routing & Switchingは今年早々にアップデートするようです。

    CCIE Written Exam Blueprint v3.0

    今までは350-001という試験番号でしたが351-001に変わります。

    問題はというとIPv6, MPLSが加わるようですね。
    IPv6はラボでも出題されていますのでそれほど驚きはないのですが、MPLSは仕事で他のベンダー機器を動かしていますが、Ciscoでは少ししか経験がありません。

    ということで個人的には変わる前に受けておくというのが得策(なんせ35000円の試験ですので)だと思いますので、早々に試験準備に取り掛かりたいと思います。

    0019-02-11

    Cisco 7200 シュミレータ (Communicating with Real Networks)

    さて、あとはPCのNIC、つまりEthernetポートをバーチャルなルータのポートにブリッジさせることができれば、シュミレータと実際のルータとの接続が可能になります。

    勿論リモートからのtelnetやsshも可能になるわけで、用途がぐっと広がります。

    でどうやるかというと、Dynagenをインストール後に作成されるdocsディレクトリのtutorialをみればわかります。

    C:\Program Files\Dynamips\docs


    ..
    まぁそれだけではつまらないので一応動かしてみます。

    DynagenをインストールするとデスクトップにNetwork Device Listというショートカットが作成されるはずです。こいつを実行します。

    Cisco 7200 Simulation Platform (version 0.2.5-x86)
    Copyright (c) 2005,2006 Christophe Fillot.

    Network device list:

    rpcap://\Device\NPF_GenericDialupAdapter : Network adapter 'Adapter for gener
    ic dialup and VPN capture' on local host
    rpcap://\Device\NPF_{BA8C4C20-C661-46DD-B7A9-FC0428CFF866} : Network adapter
    'Intel(R) PRO/100 VE Network Connection' on local host



    Use as follows:
    F0/0 = NIO_gen_eth:\Device\NPF_{...}


    続行するには何かキーを押してください . . .


    Windowsの場合はF0/0 = NIO_gen_eth:\Device\NPF_{...}をルータのF0/0とブリッジに使うわけです。...の部分には表示されているBA8C4C20-C661-46DD-B7A9-FC0428CFF866を使います。
    Net Fileはこんな感じ。

    # tmp1 lab
    # R1 can communicate with Real Network via f0/0

    [localhost]

    [[7200]]
    image = \Program Files\Dynamips\images\C7200-JS.BIN
    # image = /opt/7200-images/c7200-js-mz.124-5a.bin
    npe = npe-400
    ram = 160

    [[ROUTER R1]]
    F0/0 = NIO_gen_eth:\Device\NPF_{BA8C4C20-C661-46DD-B7A9-FC0428CFF866}



    こいつを使って起動すればR1のf0/0がPCのNICにブリッジされます。


    さて、いくつか備忘録的にメモを残してきましたが、使い方によっては非常に便利なツールです。
    C7200はATMを含めいくつかのモジュールを搭載できますので、あらかじめNet Fileを書いておけば自分の検証してみたいトポロジが一発で起動します。

    またFRSWも準備されていますのでCCIEラボの検証にある程度使えると思いますよ。

    とても魅力的ですね。

    0019-02-10

    Cisco 7200 シュミレータ (4台を動かす)

    マシンのCPUが100%になります。っが動かないことはないです。

    Net Fileはこんな感じ。

    # tmp lab

    [localhost]

    [[7200]]
    image = \Program Files\Dynamips\images\C7200-JS.BIN
    # On Linux / Unix use forward slashes:
    # image = /opt/7200-images/c7200-js-mz.124-5a.bin
    npe = npe-400
    ram = 160

    [[ROUTER R1]]
    s1/0 = R2 s1/0
    F0/0 = R3 F0/0

    [[router R2]]
    F0/0 = R4 F0/0
    [[router R3]]
    [[router R4]]



    トポロジはこんな感じです。

    R4[f0/0] ---- [f0/0]R2[s1/0] ---- [s1/0]R1[f0/0] ---- [f0/0]R3


    実行すると

    Reading configuration file...

    Warning: Starting R4 with no idle-pc value
    Warning: Starting R1 with no idle-pc value
    Warning: Starting R2 with no idle-pc value
    Warning: Starting R3 with no idle-pc value

    Network successfully started

    Dynagen management console for Dynamips

    => list
    Name Type State Server Console
    R1 7200 running localhost:7200 2000
    R2 7200 running localhost:7200 2001
    R3 7200 running localhost:7200 2002
    R4 7200 running localhost:7200 2003
    =>


    起動しましたね。

    Cisco 7200 シュミレータ (IOSを使って起動してみる)

    子供が二人もいるとなかなか自分の時間がありません。

    っということで、寝静まった今のうちに続きを。

    Cisco 7200のimageファイルを手に入れます。こればっかりはネットに落ちていません(たぶん)。

    また現時点でのバージョンではCisco 2691/3600/3700 にも対応していますので、7200のIOSが準備できない人はこちらのIOSが準備できれば使えます。

    入手したimageはDynagenをインストールした際に作成されるimagesディレクトリに入れておきます。

    C:\Program Files\Dynamips\images

    この時、imageファイルはunzipしておくと後々ルータ起動が早くなります。私はCygwinでunzipしましたが、Windows上でLhaplusなどの圧縮/解凍ソフトでもできます。

    例えば

    c7200-js-mz.124-5a.binというイメージファイルをunzipするとC7200-JS.BINというファイルが作成されます。

    この先はこのunzipしたimageを使うことにします。

    さて、ルータを起動するにはDynagen Network Fileを使います。なんだそれ?と思いますが、ようはこのファイルがコンフィグファイルになります(とはいてもルータのコンフィグではなく、ルータの構成情報を記載するものです)。以下にサンプルファイルがありますのでそれを加工して使用します。

    C:\Program Files\Dynamips\sample_labs

    私は以下の内容のファイルをテキストで作成し、.netという拡張子で保存しました。

    # tmp lab
    [localhost]
    [[7200]]
    image = \Program Files\Dynamips\images\C7200-JS.BIN

    # On Linux / Unix use forward slashes:

    # image = /opt/7200-images/c7200-js-mz.124-5a.bin

    npe = npe-400

    ram = 160

    [[ROUTER R1]]

    s1/0 = R2 s1/0

      [[router R2]]

    # No need to specify an adapter here, it is taken care
    of

    # by the interface specification under Router R1

    いよいよ起動します。

    • Dynamips Serverを実行します。
      Cisco 7200 Simulation Platform (version 0.2.5-x86)
      Copyright (c) 2005,2006
      Christophe Fillot.
      Hypervisor TCP control server started.

      上記が表示されたら次のステップです。

    • 先ほど作成したDynagen Network Fileをクリックして読み込ます。

      Reading configuration file...
      Warning: Starting R1 with no idle-pc
      value
      Warning: Starting R2 with no idle-pc value

      Network successfully
      started

      Dynagen management console for Dynamips

      =>


      Warningが出ていますが一応成功しています。気にしないですすめます。

    • listコマンドでルータをリストアップ

      => ?
      Documented commands (type help):
      ========================================
      clear filter idlepc push resume shell stop ver
      exit help import py save show suspend
      export hist list reload send start telnet

      =>
      =>
      list
      Name Type State Server Console
      R1 7200 running localhost:7200 2000
      R2 7200 running localhost:7200 2001
      =>

      R1とR2が起動しています。
    • telnetしてみる

      telnetは普通のターミナルソフトから上記で表示されているポート番号(R1:2000, R2:2001)を指定してあげればOK。宛先ホストはlocahostです。
    • R1とR2をつないでみる

      R1#show cdp neighbors detail
      -------------------------
      Device ID: R2
      Entry address(es):
      IP address: 10.10.10.2
      Platform: Cisco 7206VXR,
      Capabilities: Router
      Interface: Serial1/0, Port ID (outgoing port):
      Serial1/0
      Holdtime : 174 sec

      Version :
      Cisco IOS Software,
      7200
      Software (C7200-JS-M), Version 12.4(5a), RELEASE SOFTWARE (fc3)
      Technical
      Support: http://www.cisco.com/techsupport
      Copyright (c)
      1986-2006 by Cisco
      Systems, Inc.
      Compiled Sat 14-Jan-06 00:25 by
      alnguyen

      advertisement
      version: 2

      R1#ping 10.10.10.2

      Type escape sequence to abort.
      Sending 5, 100-byte ICMP Echos to
      10.10.10.2, timeout is 2 seconds:
      !!!!!
      Success rate is 100 percent
      (5/5), round-trip min/avg/max =
      96/112/120 ms
      R1#


    アドレスを設定してno shut下だけですがcdpでも対向がみえますしPingも成功します。
    1年前とは違い、2台のルータを起動しても結構サクサク動きます。
    こいつは脅威ですね。これからが楽しみなソフトです。

    今日はここまで。

    Cisco 7200 シュミレータ (準備する)

    WWWで検索すると結構でてきますね。
    1年ぐらい前に使ってたときはCygwinでdynamipsコマンドをいちいちモジュールを指定しながらたたいて使用していましたが、今は色々な工夫がされていて、使いやすくなっているようです。

    数年前まではIOSによく似たコマンドラインをもつzebraというソフトが人気だったと思います。ただ純粋なIOSではないですし(確か日本人が開発したんだったけな)、もちろん標準ではないベンダ独自のEIGRPなんかは動きません。

    前置きはこの辺で、実際に試してみました。

    まずは準備ですが以下をWebからダウンロード (全てフリー)

    • dynagen-0.8.3_dynamips-0.2.6-RC5_Win_XP_setup.exe #Dynagen
    • WinPcap_4_0.exe  #WinPcap ver.4
    • dynamips-0.2.5-cygwin #Cisco7200シュミレータ

    dynagen-0.8.3_dynamips-0.2.6-RC5_Win_XP_setup.exe は実行して指示どおりすすめばOK。

    WinPcap_4_0.exeも同様に実行して指示通りすすむ。

    dynamips-0.2.5-cygwinは解凍するとXP用や2000用の本体があります。

    まずはdynagenインストール後に作成されるDynamips Serverを実行します。

    Cisco 7200 Simulation Platform (version 0.2.5-x86)

    Copyright (c) 2005,2006 Christophe Fillot.

    Hypervisor TCP control server started.

    上記が表示されればOKです。

    私の場合は以下のエラーが出てしまいました。

    Cisco 7200 Simulation Platform (version 0.2.6-RC5-x86)Copyright (c) 2005,2006
    Christophe Fillot.Build date: Jan 5 2007
    20:22:25
    4 [main] dynamips 1556 C:\Program
    Files\Dynamips\dynamips.exe: *** fatal error - couldn't dynamically determine
    load address for 'getaddrinfo' (handle 0x74F90000), Win32 error
    127続行するには何かキーを押してください . . .

    どうやらDynagenでインストールされたdynamips.exeが問題のようです。

    私が使用していたマシンはWin2000でしたので、ダウンロードしておいたdynamips-0.2.5-cygwinの中のdynamips-w2000.exeをdynamips.exeに書き換えてx:\Program Files\Dynamipsの中のdynamips.exeと交換したところうまくいきました。

    さて、ここら先はもちろんCisco7200のIOSが必要です。

    0019-02-09

    Ether Type

    あらためて見てみると、なるほどと思うことがありますね。

    Ether Type Protocol
    0x0800 IP Internet Protocol (IPv4)
    0x0806 Address Resolution Protocol (ARP)
    0x8035 Reverse Address Resolution Protocol (RARP)
    0x809b AppleTalk (Ethertalk)
    0x80f3 Appletalk Address Resolution Protocol (AARP)
    0x8100 (identifies IEEE 802.1Q tag)
    0x8137 Novell IPX (alt)
    0x8138 Novell
    0x86DD Internet Protocol, Version 6 (IPv6)
    0x8847 MPLS unicast
    0x8848 MPLS multicast
    0x8863 PPPoE Discovery Stage
    0x8864 PPPoE Session Stage

    Multicast Addresses

    EthernetのMulticast Addressesといっても01-00-5Eだけではなく沢山あります。覚えきれるものではないですが時には役立つものもありますので記載しておきます。

    Multicast Addresses: Ethernet Type Address Field Usage
    01-00-0C-CC-CC-CC -802- CDP (Cisco Discovery Protocol), VTP (Virtual Trunking Protocol)
    01-00-0C-DD-DD-DD ???? CGMP (Cisco Group Management Protocol)
    01-00-10-00-00-20 -802- Hughes Lan Systems Terminal Server S/W download
    01-00-10-FF-FF-20 -802- Hughes Lan Systems Terminal Server S/W request
    01-00-1D-00-00-00 -802- Cabletron PC-OV PC discover (on demand)
    01-00-1D-42-00-00 -802- Cabletron PC-OV Bridge discover (on demand)
    01-00-1D-52-00-00 -802- Cabletron PC-OV MMAC discover (on demand)
    01-00-3C-xx-xx-xx ???? Auspex Systems (Serverguard)
    01-00-5E-00-00-00 0800 DoD Internet Multicast (RFC-1112)
    through
    01-00-5E-7F-FF-FF
    01-00-5E-80-00-00 ???? DoD Internet reserved by IANA
    through
    01-00-5E-FF-FF-FF
    01-00-81-00-00-00 ???? Synoptics Network Management
    01-00-81-00-00-02 ???? Synoptics Network Management
    01-00-81-00-01-00 -802- (snap type 01A2) Bay Networks (Synoptics) autodiscovery
    01-00-81-00-01-01 -802- (snap type 01A1) Bay Networks (Synoptics) autodiscovery
    01-20-25-00-00-00 873A Control Technology Inc's Industrial Ctrl Proto.
    through
    01-20-25-7F-FF-FF
    01-80-24-00-00-00 8582 Kalpana Etherswitch every 60 seconds
    01-80-C2-00-00-00 -802- Spanning tree (for bridges)
    01-80-C2-00-00-01 -802- 802.1 alternate Spanning multicast
    through
    01-80-C2-00-00-0F
    01-80-C2-00-00-10 -802- Bridge Management
    01-80-C2-00-00-11 -802- Load Server
    01-80-C2-00-00-12 -802- Loadable Device
    01-80-C2-00-00-14 -802- OSI Route level 1 (within area) IS hello?
    01-80-C2-00-00-15 -802- OSI Route level 2 (between area) IS hello?
    01-80-C2-00-01-00 -802- FDDI RMT Directed Beacon
    01-80-C2-00-01-10 -802- FDDI status report frame
    01-DD-00-FF-FF-FF 7002 Ungermann-Bass boot-me requests
    01-DD-01-00-00-00 7005 Ungermann-Bass Spanning Tree
    [ The following block of addresses (03-...) are used by various ]
    [ standards. Some (marked [TR?]) are suspected of only being ]
    [ used on Token Ring for group addresses of Token Ring specific ]
    [ functions, reference ISO 8802-5:1995 aka. IEEE 802.5:1995 for ]
    [ some info. These in the Ethernet order for this list. On ]
    [ Token Ring they appear reversed. They should never appear on ]
    [ Ethernet. Others, not so marked, are normal reports (may be ]
    [ seen on either). ]
    03-00-00-00-00-01 -802- NETBIOS [TR?]
    03-00-00-00-00-02 -802- Locate - Directory Server [TR?]
    03-00-00-00-00-04 -802- Synchronous Bandwidth Manager [TR?]
    03-00-00-00-00-08 -802- Configuration Report Server [TR?]
    03-00-00-00-00-10 -802- Ring Error Monitor [TR?]
    03-00-00-00-00-10 80D5 (OS/2 1.3 EE + Communications Manager)
    03-00-00-00-00-20 -802- Network Server Heartbeat [TR?]
    03-00-00-00-00-40 -802- Ring Parameter Monitor [TR?]
    03-00-00-00-00-40 80D5 (OS/2 1.3 EE + Communications Manager)
    03-00-00-00-00-80 -802- Active Monitor [TR?]
    03-00-00-00-01-00 -802- OSI All-IS Multicast
    03-00-00-00-02-00 -802- OSI All-ES Multicast
    03-00-00-00-04-00 -802- LAN Manager [TR?]
    03-00-00-00-08-00 -802- Ring Wiring Concentrator [TR?]
    03-00-00-00-10-00 -802- LAN Gateway [TR?]
    03-00-00-00-20-00 -802- Ring Authorization Server [TR?]
    03-00-00-00-40-00 -802- IMPL Server [TR?]
    03-00-00-00-80-00 -802- Bridge [TR?]
    03-00-00-01-00-00 -802-
    through user-defined (per 802 spec?)
    03-00-40-00-00-00 -802-
    03-00-00-20-00-00 -802- IP Multicast Address (RFC1469)
    03-00-00-80-00-00 -802- Discovery Client
    03-00-FF-FF-FF-FF -802- All Stations Address
    09-00-02-04-00-01? 8080? Vitalink printer messages
    09-00-02-04-00-02? 8080? Vitalink bridge management
    09-00-07-00-00-00 -802- AppleTalk Zone multicast addresses
    through
    09-00-07-00-00-FC
    09-00-07-FF-FF-FF -802- AppleTalk broadcast address
    09-00-09-00-00-01 8005 HP Probe
    09-00-09-00-00-01 -802- HP Probe
    09-00-09-00-00-04 8005? HP DTC
    09-00-0D-XX-XX-XX -802- ICL Oslan Multicast
    09-00-0D-02-00-00 ???? ICL Oslan Service discover only on boot
    09-00-0D-02-0A-38 ???? ICL Oslan Service discover only on boot
    09-00-0D-02-0A-39 ???? ICL Oslan Service discover only on boot
    09-00-0D-02-0A-3C ???? ICL Oslan Service discover only on boot
    09-00-0D-02-FF-FF ???? ICL Oslan Service discover only on boot
    09-00-0D-09-00-00 ???? ICL Oslan Service discover as required
    09-00-1E-00-00-00 8019? Apollo DOMAIN
    09-00-26-01-00-01? 8038 Vitalink TransLAN bridge management
    09-00-2B-00-00-00 6009? DEC MUMPS?
    09-00-2B-00-00-01 8039 DEC DSM/DDP
    09-00-2B-00-00-02 803B? DEC VAXELN?
    09-00-2B-00-00-03 8038 DEC Lanbridge Traffic Monitor (LTM)
    09-00-2B-00-00-04 ???? DEC MAP (or OSI?) End System Hello?
    09-00-2B-00-00-05 ???? DEC MAP (or OSI?) Intermediate System Hello?
    09-00-2B-00-00-06 803D? DEC CSMA/CD Encryption?
    09-00-2B-00-00-07 8040? DEC NetBios Emulator?
    09-00-2B-00-00-0F 6004 DEC Local Area Transport (LAT)
    09-00-2B-00-00-1x ???? DEC Experimental
    09-00-2B-01-00-00 8038 DEC LanBridge Copy packets (All bridges)
    09-00-2B-01-00-01 8038 DEC LanBridge Hello packets (All local bridges)
    1 packet per second, sent by the
    designated LanBridge
    09-00-2B-02-00-00 ???? DEC DNA Level 2 Routing Layer routers?
    09-00-2B-02-01-00 803C? DEC DNA Naming Service Advertisement?
    09-00-2B-02-01-01 803C? DEC DNA Naming Service Solicitation?
    09-00-2B-02-01-09 8048 DEC Availability Manager for Distributed Systems DECamds
    09-00-2B-02-01-02 803E? DEC Distributed Time Service
    09-00-2B-03-xx-xx ???? DEC default filtering by bridges?
    09-00-2B-04-00-00 8041? DEC Local Area System Transport (LAST)?
    09-00-2B-23-00-00 803A? DEC Argonaut Console?
    09-00-39-00-70-00? ???? Spider Systems Bridge Hello packet?
    09-00-4C-00-00-00 -802- BICC 802.1 management
    09-00-4C-00-00-02 -802- BICC 802.1 management
    09-00-4C-00-00-06 -802- BICC Local bridge STA 802.1(D) Rev6
    09-00-4C-00-00-0C -802- BICC Remote bridge STA 802.1(D) Rev8
    09-00-4C-00-00-0F -802- BICC Remote bridge ADAPTIVE ROUTING (e.g. to Retix)
    09-00-4E-00-00-02? 8137? Novell IPX (BICC?)
    09-00-56-00-00-00 ???? Stanford reserved
    through
    09-00-56-FE-FF-FF
    09-00-56-FF-00-00 805C Stanford V Kernel, version 6.0
    through
    09-00-56-FF-FF-FF
    09-00-6A-00-01-00 ???? TOP NetBIOS.
    09-00-77-00-00-00 -802- Retix Bridge Local Management System
    09-00-77-00-00-01 -802- Retix spanning tree bridges
    09-00-77-00-00-02 -802- Retix Bridge Adaptive routing
    09-00-7C-01-00-01 ???? Vitalink DLS Multicast
    09-00-7C-01-00-03 ???? Vitalink DLS Inlink
    09-00-7C-01-00-04 ???? Vitalink DLS and non DLS Multicast
    09-00-7C-02-00-05 8080? Vitalink diagnostics
    09-00-7C-05-00-01 8080? Vitalink gateway?
    09-00-7C-05-00-02 ???? Vitalink Network Validation Message
    09-00-87-80-FF-FF 0889 Xyplex Terminal Servers
    09-00-87-90-FF-FF 0889 Xyplex Terminal Servers
    0D-1E-15-BA-DD-06 ???? HP
    33-33-00-00-00-00 86DD IPv6 Neighbor Discovery
    through
    33-33-FF-FF-FF-FF
    AB-00-00-01-00-00 6001 DEC Maintenance Operation Protocol (MOP)
    Dump/Load Assistance
    AB-00-00-02-00-00 6002 DEC Maintenance Operation Protocol (MOP)
    Remote Console
    1 System ID packet every 8-10 minutes, by every:
    DEC LanBridge
    DEC DEUNA interface
    DEC DELUA interface
    DEC DEQNA interface (in a certain mode)
    AB-00-00-03-00-00 6003 DECNET Phase IV end node Hello packets
    1 packet every 15 seconds, sent by each DECNET host
    AB-00-00-04-00-00 6003 DECNET Phase IV Router Hello packets
    1 packet every 15 seconds, sent by the DECNET router
    AB-00-00-05-00-00 ???? Reserved DEC
    through
    AB-00-03-FF-FF-FF
    AB-00-03-00-00-00 6004 DEC Local Area Transport (LAT) - old
    AB-00-04-00-xx-xx ???? Reserved DEC customer private use
    AB-00-04-01-xx-yy 6007 DEC Local Area VAX Cluster groups
    System Communication Architecture (SCA)
    [ Note, used to have a bunch of things here starting C0, but ]
    [ these were bit reversed from Ethernet order and Token Ring ]
    [ specific. See above under 03 for them in Ethernet order/ ]
    CF-00-00-00-00-00 9000 Ethernet Configuration Test protocol (Loopback)
    FF-FF-00-60-00-04 81D6 Lantastic
    FF-FF-00-40-00-01 81D6 Lantastic
    FF-FF-01-E0-00-04 81D6 Lantastic
    Broadcast Address:
    FF-FF-FF-FF-FF-FF 0600 XNS packets, Hello or gateway search?
    6 packets every 15 seconds, per XNS station
    FF-FF-FF-FF-FF-FF 0800 IP (e.g. RWHOD via UDP) as needed
    FF-FF-FF-FF-FF-FF 0804 CHAOS
    FF-FF-FF-FF-FF-FF 0806 ARP (for IP and CHAOS) as needed
    FF-FF-FF-FF-FF-FF 0BAD Banyan
    FF-FF-FF-FF-FF-FF 1600 VALID packets, Hello or gateway search?
    1 packets every 30 seconds, per VALID station
    FF-FF-FF-FF-FF-FF 8035 Reverse ARP
    FF-FF-FF-FF-FF-FF 807C Merit Internodal (INP)
    FF-FF-FF-FF-FF-FF 809B EtherTalk
    FF-FF-FF-FF-FF-FF 9001 3Com (ex Bridge) Name Service
    FF-FF-FF-FF-FF-FF 9002 3Com PCS/TCP Hello, Approx. 1 per minute per w/s

    no ip directed-broadcast

    送信元アドレスを偽造したICMP Echo Requestパケットを送信することにより、ターゲットとなるホストにICMP Echo Replayパケットを大量に送りつける単純な攻撃方法です。

    ネットワークを介した通信確認のためのツールにpingコマンドがあるが、pingでは通信確認したい相手に対してICMP Echo Requestパケットを送信します。

    Pingではこのecho requestを受け取ったホストはICMP Echo Replayパケットを投げ返します。しかし、ICMP Echo Requestパケットを特定のホストではなくブロードキャストアドレス(.255)に対して送信した場合、そのネットワークに属するすべてのコンピュータからICMP Echo Requestパケットが投げ返されてきます。Smurf攻撃はこれを悪用した攻撃方法ですね。

    攻撃者は、ICMP Echo Requestパケットの送信元アドレスをターゲットとなるホストのアドレスに偽造して、このパケットをターゲットとなるホストが属するネットワークのブロードキャストアドレスに対して大量に送信し続ければ、そのネットワーク内のすべてのホストからICMP Echo Replayパケットが、ターゲットとなるホストに対して大量に送り続けられることになるわけです。その結果、ターゲットとなるホストは応答不能やサービス停止といった状態に陥ったり、ネットワーク内の負荷が増大するといった被害を受けることになります。

    この攻撃を防ぐためには2つあります。

    1. まずはルータがip directed-broadcast宛てのパケットを中継しないようにする方法

      ルータ側のパケットフィルタリング機能を利用し、ネットワーク外部からのブロードキャストアドレス向けのパケットを内部に通さないようにする方法があります。Cisco IOSだとno ip directed broadcastを対象Interfaceに設定しておけば簡単に予防できます。ただdirected broadcastを利用しているアプリケーションがないかを確認することは必要です。

    2. 次にネットワーク内の各ホストでブロードキャストアドレス向けのICMP Echo Requestパケットに応答しないようにする方法

      Cisco IOSルータはデフォルトの動作としては.255のブロードキャストのICMP Echo Requestに反応してしまいますね。これを止めてしまうわけです。勿論255.255.255.255宛てのブロードキャストは停めちゃ駄目です。

      例としてネットワークが 172.16.0.0 で、サブネット・マスクが全て 255.255.255.0 の場合、Cisco のアクセスリストを以下のようにします。

      access-list 101 deny ip 0.0.0.0 255.255.255.255 172.16.0.255 0.0.255.0
      ※Sourceは全て、Destinationは172.16.*.255となっているものをフィルタリングするリストです。

    ip finger

    finger service、セキュリティ上あまり使われない機能で殆どのサーバやルータではfingerサービスを停止している。

    CiscoルータのIOSではip finger(昔はservice finger)だが、defaultでdisableになっている。ルータを設置する際は無条件でno ip fingerとしているが、実際どこまでのユーザ情報が参照できてしまうのか。

    実際にip fingerを設定してリモートのWindowsやUNIXからfingerコマンドで覗いてみると、、

    [sunny]$ finger -l @10.10.10.100
    [10.10.10.100]
    Line User Host(s) Idle Location
    * 66 vty 0 idle 00:00:00 10.10.10.200
    Interface User Mode Idle Peer Address
    [sunny]$


    上記はUserを設定していないが、UserやログインしているIPアドレス(10.10.10.200)が参照できる。

    0019-02-07

    ISIS

    ISIS使用しているネットワークは日本では殆どないでしょう。

    OSPFにもrefresh timeというのがありますがISISにもあります。
    今回はJuniperのhelp機能を使ってその詳細なtimerなどをみてみました。

    JUNIPER> help topic isis lsp-lifetime
    Modify the LSP Lifetime
    By default, link-state PDUs (LSPs) are maintained in network databases
    for
    1200 seconds (20 minutes) before being considered invalid. This length
    of
    time, called the LSP lifetime, normally is sufficient to guarantee that
    LSPs never expire.
    To modify the LSP lifetime, include the lsp-lifetime statement:
    [edit protocols isis]
    lsp-lifetime seconds;
    For a list of hierarchy levels at which you can configure this
    statement,
    see the statement summary section for this statement.
    The time can range from 350 through 65,535 seconds.
    The LSP refresh interval is derived from the LSP lifetime and is equal
    to
    the lifetime minus 317 seconds.

    JUNOSは内部に参照できるマニュアルがあり、そのコマンドの意味が分からない時に使えます。便利ですね。

    さてISISのLSP refresh interval はlifetime minus 317sec、つまり1200sec - 317 sec = 883sec ということになります。883sec毎に自己が作成しているLSP databaseを近隣ルータへ伝えます。

    他のルータでも同様に大体900secというのが基本のようです。(RFCに定義されているかな?)

    0019-01-30

    PLC

    Power Line Communication

    電力を供給する電力線を伝送路として通信を行う技術ですが2006年10月に屋内使用が解禁となって話題となっているようですね。

    私も自宅に無線LANを導入しようと検討していたのですが、1階(モデム)~2階(パソコン)まで屋内配線の管があったため、そこにUTPを引き込んでつなぎこんでいます。勿論これが確実なのですが、PLCなどがあれば屋内配線がなくても簡単にLANが組めます。PLCの用途は今後増え始めるだろう家電製品との接続にも使えます。

    オフィスへの導入も勿論ですが、まずは個人ユーザにうけそうですね。一度使ってみたいものです。

    0019-01-28

    メモリ

    さて、ネットワークの世界は日進月歩で、日々新たな技術が生み出され、議論されている。
    全てを把握するには1日が2400時間あっても足らないだろう。

    しかし最低でも自分が携わる部分について深く知っておきたいと思うのは私だけではない。
    だが悲しいかな、人間のメモリには限界がある。それは歳を重ねると、あるピークを経過すると衰える一方で誰もそれを止めることはできない。そういう場合は脳のメモリに頼るのではなく、メモるのである。
    そのメモがどこにあるか忘れてしまうようであれば、それは気の毒だが、ご臨終だ。

    さて関連がありそうでなさそうなCiscoのメモリの話を少し。

    Ciscoルータのメモリ構成や役割なぞ基本ではあるが、ルータを設計・運用する上では必須である。
    "意外"とCiscoを使って設計したこと無い人などは忘れていたり知らなかったりする。 CCNAの範囲なので基本ということで・・・知らない人は知る必要があるし知っている人は読む必要はない。

    ・RAM/DRAM
    ルーティングテーブル、ARPキャッシュ、Fastswitch用キャッシュ、パケットバッファリング、パケットホールドキューを格納する。ルータが電源オンの間、そのルータのコンフィグファイルのテンポラリメモリ、または実行メモリを提供する。RAMの内容は電源オフ時に消去される。 running configなど
    ・NVRAM
    不揮発性RAM(Nonvolatile RAM)はルータのバックアップコンフィグファイルを格納する。NVRAMの内容は電源オフ時にも保持される。 startup configなど
    ・Flash
    消去可能で再プログラム可能なROM。フラッシュメモリはOSのimageとマイクロコードを保持する。電源オフ時にも保持される。複数のIOSを保管することも可能
    ・ROM
    電源オンテスト、ブートストラッププログラム、オペレーティングシステムソフトウェアを格納する。このソフトウェアは限定版IOSでトラブルシューティングに使用する。このソフトウェアをアップグレードする場合はCPUボードのチップを交換する必要がある。

    コントロールプレーンとデータプレーン

    この世界では良く耳にします。

    ようはどういうことか。

    データ処理、転送を考えると、ソフトウェアで処理するよりハードウェアで処理した方が負荷に依存少なく高速で処理することができます。

    しかしながらASIC化(ハードウェア化)できるものとできないものがあり、それぞれがデータプレーンとコントロールプレーンに分けられて動作しています。

    たとえばMPLSについて考えてみると、MPLSはまだまだIETFでもdraftとして議論されている項目が多くあります。つまり今後拡張していく要素は大いにあるということです。

    この部分をASIC化してしまったらどうか。
    恐らくルータの処理はさらに負担なく高速な処理が可能になりますが、機能追加や変更ヘ柔軟に対応できなくなってしまいます。
    BGPもそうですし、その他ルーティングプロトコルについても同様です。つまりASIC化には不適切なものがあるということです。

    勿論ASIC化する必要がないほどの処理という理由からASIC化されていない部分もあると思います。

    こういう理由からソフトウェアで動作するコントロールプレーンとASIC化され高速処理が可能なデータプレーンに分けられているのが最近の一般的なルータの傾向(ですかね)

    WCCP

    CCIEラボを受験するならWCCPだって避けては通れません。


    インターネットを使用している環境だと、相手のWebサーバだったり途中のネットワークだったりと原因は色々ありますがなんらかしらのボトルネックは存在しているケースが殆どです。

    一度ダウンロードしたコンテンツはキャッシュサーバに蓄積し、他のユーザが同じコンテンツにアクセスする際はそのキャッシュサーバからコンテンツを引き出すことが1つの解として考えられます。

    よくプロキシサーバは耳にしますが、Ciscoが開発したWeb Cash Communication Protocol は何が違うのでしょうか。

    ユーザの観点からみると、通常、キャッシュサーバーを使う場合は、ブラウザのでプロキシ設定をする必要がありますが、WCCPの場合はブラウザの設定を変更することなく、キャッシュサーバーを利用できる点でしょうか。

    エンドユーザはキャッシュの存在を意識することなく、キャッシュサーバからキャッシュされたデータを引き出すことが可能(透過)となります。これをトランスペアレントネットワークキャッシュと呼びます。

    ちなみにWCCPはVer2.0が最新です。

    コマンドなどはCCDを参照してください。
    はじめはip wccp web-cache redirect in かoutか、そしてどのインタフェースに適用すべきかで悩むかもしれません。Group Studyでも悩んでいる人がいましたし。

    IEEE802.3, 802.1

    イーサネットに関してはIEEE802.1やら802.3やらを目にしますがどう違うのか?

    それは今までの規格をみればその違いがわかります。いくつか例をあげると、

    IEEE802.3u = 100Base-X
    IEEE802.3z = 1000Base-X
    IEEE802.3ad = LAG
    IEEE802.3ae = 10GBase-X

    IEEE802.1D = STP
    IEEE802.1p = CoS
    IEEE802.1q = VLAN tagging
    IEEE802.1w = RSTP
    IEEE802.1s = MSTP
    IEEE802.1x = Access control for port base
    IEEE802.1ag = Ethernet OAM


    つまり、これらワーキンググループで議論されているのはレイヤが異なるんですね。
    IEEE802.3は下位レイヤ、その上位に802.1が位置づけられています。

    ちょっとした豆知識ということで・・・

    transport output

    実NWで使用したことのないコマンド・・・・transport output。

    ■ケース
    :あるルータにtelnetしてそこから更に別のルータへtelnetするのを防ぐ場合


    dora#telnet 10.10.10.10
    Trying 10.10.10.10 ... Open
    User Access Verification
    Password:


    通常ターゲットのルータでtelnetを許可されている限り、telnetできる

    ではdoraルータからvty lineを通してtelnetを禁止したい場合, transport output noneコマンドを設定することで制御できる。 (defaultはtransport output all)

    dora#show running-config
    !
    !
    line con 0
    password cisco
    login
    line vty 0 4
    password cisco
    login
    transport output none
    line vty 5 15
    password cisco
    login
    !
    !


    telnetを試みると・・

    dora#
    dora#telnet 10.10.10.10
    % telnet connections not permitted from this terminal

    許可されていませんね。
    なおline con 0に設定した場合はconsole接続のユーザが対象になります。

    access-classなどは使用したことがありますが、この辺りの機能は知らないと要求もあまりないところですね

    Hidden command

    昔、NYに出張で言った時、向こうのエンジニアとCiscoのHidden commandで盛り上がったことがある。

    Configモードからのdoコマンドもその一つである。
    そこで1つ役立つか不明だが以下のコマンドを紹介する。

    show running-config default

    "default"はhiddenであり、動くOSも限られているようだが、defaultとnon-defaultのrunningコンフィグが表示されるようになる。たとえば"ip routing"など普通にshow run叩いても表示されないコマンドが見えたりする。
    どこまで見えるか確認まではしていないが、時には役立つかも!?
    ※ちなみに動作確認ができたのはC7200 12.4 Enterprise


    CatOSでは昔っからshow config allでdefaultとnon-defaultのコンフィグを表示させれたんだけどね。

    皆さんはどんなHidden commandをご存知でしょうか。

    vlan.dat

    Catalyst3550や2950でvlanを作成した場合、wr eraseしてconfigを消してreloadしてもvlanは消去されない。

    ここを訪れる人の大半はvlanの消し方を知らない人はいないだろうけど、、消去方法を紹介する。


    消し方は大きく2通りあるだろう。

    1. 一つ一つ消していく
    2. 一度に全て消去する

    1つ1つ消去するのはno vlan Xで消していく。
    一度に全て消去する場合は、Catalyst内のvlan databaseであるvlan.datファイルを消去する。


    Cat35#show vlan
    VLAN Name Status Ports
    ---- -------------------------------- --------- -------------------------------
    1 default active Fa0/5, Fa0/6, Fa0/7, Fa0/8
              Fa0/9, Fa0/10, Fa0/11, Fa0/12
              Fa0/13, Fa0/14, Fa0/15, Fa0/16
              Fa0/17, Fa0/18, Fa0/19, Fa0/20
              Fa0/21, Fa0/22, Fa0/23, Fa0/24
              Gi0/1, Gi0/2
    10 VLAN0010 active   ★ユーザが作成したvlan
    1002 fddi-default act/unsup
    1003 token-ring-default act/unsup
    1004 fddinet-default act/unsup
    1005 trnet-default act/unsup

    Cat35#pwd  ★カレントの位置を確認
    flash:
    Cat35#
    Cat35#dir  ★ディレクトリflashを確認
    Directory of flash:/
    2 -rwx 7804416 Mar 02 1993 02:05:58 +00:00 c3550-i5q3l2-tar.121-22.EA
    1a.tar
    3 -rwx 255 Mar 02 1993 02:06:07 +00:00 info
    4 drwx 192 Mar 02 1993 02:10:20 +00:00 c3550-i5q3l2-mz.121-22.EA1
    a
    89 -rwx 255 Mar 02 1993 02:10:20 +00:00 info.ver
    90 -rwx 616 Mar 01 1993 06:41:23 +00:00 vlan.dat  ★ vlan database
    91 -rwx 5 Mar 01 1993 00:01:41 +00:00 private-config.text
    93 -rwx 0 Mar 01 1993 00:54:09 +00:00 system_env_vars
    94 -rwx 33 Mar 01 1993 00:54:09 +00:00 env_vars
    95 -rwx 2138 Mar 01 1993 00:01:41 +00:00 config.text
    15998976 bytes total (424448 bytes free)


    Cat35#
    Cat35#show flash: ★show flashでもいい
    Directory of flash:/
    2 -rwx 7804416 Mar 02 1993 02:05:58 +00:00 c3550-i5q3l2-tar.121-22.EA
    1a.tar
    3 -rwx 255 Mar 02 1993 02:06:07 +00:00 info
    4 drwx 192 Mar 02 1993 02:10:20 +00:00 c3550-i5q3l2-mz.121-22.EA1
    a
    89 -rwx 255 Mar 02 1993 02:10:20 +00:00 info.ver
    90 -rwx 616 Mar 01 1993 06:41:23 +00:00 vlan.dat
    91 -rwx 5 Mar 01 1993 00:01:41 +00:00 private-config.text
    93 -rwx 0 Mar 01 1993 00:54:09 +00:00 system_env_vars
    94 -rwx 33 Mar 01 1993 00:54:09 +00:00 env_vars
    95 -rwx 2138 Mar 01 1993 00:01:41 +00:00 config.text
    15998976 bytes total (424448 bytes free)
    Cat35#
    Cat35#
    Cat35#delete vlan.dat  ★消去
    Delete filename [vlan.dat]?
    Delete flash:vlan.dat? [confirm]
    Cat35#
    Cat35#show flash:
    Directory of flash:/
    2 -rwx 7804416 Mar 02 1993 02:05:58 +00:00 c3550-i5q3l2-tar.121-22.EA
    1a.tar
    3 -rwx 255 Mar 02 1993 02:06:07 +00:00 info
    4 drwx 192 Mar 02 1993 02:10:20 +00:00 c3550-i5q3l2-mz.121-22.EA1
    a
    89 -rwx 255 Mar 02 1993 02:10:20 +00:00 info.ver
    91 -rwx 5 Mar 01 1993 00:01:41 +00:00 private-config.text
    93 -rwx 0 Mar 01 1993 00:54:09 +00:00 system_env_vars
    94 -rwx 33 Mar 01 1993 00:54:09 +00:00 env_vars
    95 -rwx 2138 Mar 01 1993 00:01:41 +00:00 config.text

    あとはreloadすれば手動で設定したvlan 10は消える

    flash partition

    flash memoryはpartitionで区切り、異なる領域を作ることができる。つまり異なるflash imageを入れておくことが可能。ちなみにこんなことはCCIE試験に出ないだろうが、こんなこともできるんだ、ということで知ってもらえればと思う。

    Router#sh ver
    Cisco Internetwork Operating System Software
    IOS (tm) 2500 Software (C2500-IS-L), Version 11.2(15)P, RELEASE SOFTWARE (fc1)
    Copyright (c) 1986-1998 by cisco Systems, Inc.
    Compiled Mon 13-Jul-98 21:47 by dschwart
    Image text-base: 0x03030170, data-base: 0x00001000

    ROM: System Bootstrap, Version 5.2(8a), RELEASE SOFTWARE
    BOOTFLASH: 3000 Bootstrap Software (IGS-RXBOOT), Version 10.2(8a), RELEASE SOFTWARE (fc1)

    Router uptime is 23 minutes
    System restarted by power-on
    System image file is "flash:c2500-is-l.112-15.P.bin", booted via flash

    cisco 2522 (68030) processor (revision E) with 2048K/2048K bytes of memory.
    Processor board ID 04604103, with hardware revision 00000002
    Bridging software.
    X.25 software, Version 2.0, NET2, BFE and GOSIP compliant.
    Basic Rate ISDN software, Version 1.0.
    1 Ethernet/IEEE 802.3 interface(s)
    2 Serial network interface(s)
    8 Low-speed serial(sync/async) network interface(s)
    1 ISDN Basic Rate interface(s)
    32K bytes of non-volatile configuration memory.
    8192K bytes of processor board System flash partition 1 (Read ONLY)
    8192K bytes of processor board System flash partition 2 (Read/Write)

    こういうshow versionを見たことがある方も多いはず。
    これは16MByteのflash memを8MByteで区切っていることを示す。

    ではpartitionをなくし1つにまとめる方法を紹介する。まずはflashのeraseから。

    Router#erase flash
    Partition Size Used Free Bank-Size State Copy Mode
    1 8192K 5888K 2303K 8192K Read ONLY RXBOOT-FLH
    2 8192K 5905K 2286K 8192K Read/Write Direct

    System flash directory, partition 2:
    File Length Name/status
    1 6046760 c2500-is-l.112-17.P.bin
    [6046824 bytes used, 2341784 available, 8388608 total]

    Erase flash device, partition 2? [confirm]  //patition2からflashを消すか?と聞かれるのでyes//
    Are you sure? [yes/no]: yes
    Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased

    次にpartitionを1つにする。

    Router(config)#no partition flash: 2
    Router(config)#
    Router#

    確認してみる。

    Router#show ver
    Cisco Internetwork Operating System Software
    IOS (tm) 2500 Software (C2500-IS-L), Version 11.2(15)P, RELEASE SOFTWARE (fc1)
    Copyright (c) 1986-1998 by cisco Systems, Inc.
    Compiled Mon 13-Jul-98 21:47 by dschwart
    Image text-base: 0x03030170, data-base: 0x00001000

    ROM: System Bootstrap, Version 5.2(8a), RELEASE SOFTWARE
    BOOTFLASH: 3000 Bootstrap Software (IGS-RXBOOT), Version 10.2(8a), RELEASE SOFTWARE (fc1)

    Router uptime is 36 minutes
    System restarted by power-on
    System image file is "flash:c2500-is-l.112-15.P.bin", booted via flash

    cisco 2522 (68030) processor (revision E) with 2048K/2048K bytes of memory.
    Processor board ID 04604103, with hardware revision 00000002
    Bridging software.
    X.25 software, Version 2.0, NET2, BFE and GOSIP compliant.
    Basic Rate ISDN software, Version 1.0.
    1 Ethernet/IEEE 802.3 interface(s)
    2 Serial network interface(s)
    8 Low-speed serial(sync/async) network interface(s)
    1 ISDN Basic Rate interface(s)
    32K bytes of non-volatile configuration memory.
    16384K bytes of processor board System flash (Read ONLY) //16MByteになっていることが確認できる//

    今回はこれだけ。

    tcl

    IOSもtcl(ティクル)が使えるようになった。最も簡単便利に使えるのはforeachだろうか。
    IP reachabilityを確認するためにはとても有効に働く。

    tclshでtcl shellに入り、tclquitで抜ける。使いこなせば大変便利である。

    This command was integrated into Cisco IOS Release 12.2(25)S.


    っとあるが、

    • Cisco2500シリーズは未サポート
    • Cat3550は未サポート
    • Cisco3725 12.2(11)YT2 Enterprise plusでは動作OK
    • Cisco7200 12.4(5) Enterprise plusでは動作OK

    Router#tclsh
    Router(tcl)#foreach t {
    +>178.1.1.1
    +>178.1.15.1
    +>} {ping $t}

    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 178.1.1.1, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 178.1.15.1, timeout is 2 seconds:
    .....
    Success rate is 0 percent (0/5)
    Router(tcl)#tclquit
    Router#

    その他tclを書ければいろんな小細工が可能ですね。


    ■参考
    Cisco IOS Scripting with Tcl

    show run linenum

    少し知っていて嬉しいかもしれないコマンドを紹介。
    「3行目のコマンドは・・・」なんて会話する時などに使えるか?なぁ。

    R1#sh run linenum
    Building configuration...

    Current configuration : 522 bytes
    1 : !
    2 : version 12.4
    3 : service timestamps debug datetime localtime show-timezone
    4 : service timestamps log datetime localtime show-timezone
    5 : no service password-encryption
    6 : service linenumber
    7 : !
    8 : hostname R1
    9 : !
    10 : boot-start-marker
    11 : boot-end-marker
    12 : !
    13 : !
    14 : no aaa new-model
    15 : !

    IFG

    イーサのフレームとフレームの間にはご存知インターフレームギャップというのがある。
    フレームとフレームの隙間と呼べばわかりやすいのだが、これはDIX規格ではフレームのlengthをヘッダーに表現しないため(type)、フレームの長さ、切れ目が分からなくなる可能性がある。

    そこでイーサネットはこのギャップによってフレームの切れ目を認識するような仕組みになっている。

    このギャップは最低96bit時間以上。つまり、以下になる。
    • Ethernetの場合は
      96/10000000=9.6μs
    • FastEthernetの場合は
      96/100000000=0.96μs
    • 1GigabitEthernetの場合は
      96/1000000000=0.096μs

    大した話ではないが、96bit時間という単位を使用していることを考えると、この規格を作成した当初から今後Ethernetの世界は100M, 1G、そして10G, 100Gと伸びていくことを予測して、どんな場合にも規格を修正することなく対応できるように考えられていたようにも思える。

    Ethernet

    Ethernetのカプセルタイプでも色々とある。

    中でも代表的なもの?といえば以下3つだろうか。




    • DIX規格(= Ethernet II)
    • IEEE 802.3規格
    • snap
    フレームは酷似しているがヘッダーの2byteがtypeかlengthかで異なる。DIX規格はtype、 802.3規格とsnapはlengthを使用している。

    世の中の殆どのEthernet通信はDIX仕様である。Ciscoで言えばarpaである。show intなどですぐに分かる。

    switch#show interfaces vlan1
    Vlan1 is up, line protocol is up
    Hardware is EtherSVI, address is 0009.b754.3900 (bia 0009.b754.3900)
    Internet address is 10.10.10.100/24
    MTU 1546 bytes, BW 1000000 Kbit, DLY 10 usec,
    reliability 255/255, txload 1/255, rxload 1/255
    Encapsulation ARPA, loopback not set
    ARP type: ARPA, ARP Timeout 04:00:00

    ただ802.3やsnapを使用しているものもある。
    身近なところで言えばCisco CDPはsnapフレームである。パケットキャプチャしてみればすぐにわかるしCCOにもPacket formatなど記載されているので興味ある人は是非参照されたい。


    ちなみに自分が触っているCat3550の場合はカプセル化は変更できないようだ。その代わりarpのタイプは変更できる。

    switch(config-if)#arp ?
    arpa Standard arp protocol
    probe HP style arp protocol
    snap IEEE 802.3 style arp

    !
    interface Vlan1
    ip address 10.10.10.100 255.255.255.0
    no arp arpa
    arp snap
    end

    switch(config)#do sh int vlan 1
    Vlan1 is up, line protocol is up
    Hardware is EtherSVI, address is 0009.b754.3900 (bia 0009.b754.3900)
    Internet address is 10.10.10.100/24
    MTU 1546 bytes, BW 1000000 Kbit, DLY 10 usec,
    reliability 255/255, txload 1/255, rxload 1/255
    Encapsulation ARPA, loopback not set
    ARP type: SNAP, ARP Timeout 04:00:00


    ということで暇つぶしでした。。

    10 Hottest Certifications for 2005

    CCIEという資格はどういう意味をもつか?
    このテーマについてはこのBlogでも書いていければと思うが、カリフォルニアにあるCertCities.comの独自調査によるとCCIEは2005年の最もHotな資格、という結果を出している。

    CertCities.com

    Holderにはちょっと嬉しいことだし、Candidateにとっては励みになるのではないだろうか?

    Parity Error

    さてちょっと話題が変わるが今自分の足元にCisco2500がある。こいつのIOSを入れ替えようとしたのだがどうやらflashのParity Errorが発生してしまい、IOSをDown loadできずbootモードで立ち上がってしまう。

    Router(boot)#cop tftp flas

    System flash directory:
    No files in System flash
    [0 bytes used, 16777216 available, 16777216 total]
    Address or name of remote host [255.255.255.255]?
    Source file name? c2500-js-l.122-26.bin
    Destination file name [c2500-js-l.122-26.bin]?
    Accessing file 'c2500-js-l.122-26.bin' on 255.255.255.255...
    Loading c2500-js-l.122-26.bin from 10.10.10.2 (via Ethernet0): ! [OK]

    Device needs erasure before copying new file
    Erase flash device before writing? [confirm]

    Copy 'c2500-js-l.122-26.bin' from server
    as 'c2500-js-l.122-26.bin' into Flash WITH erase? [yes/no]y
    Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...eras ed
    Loading c2500-js-l.122-26.bin from 10.10.10.2 (via Ethernet0): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Parity (control reg=0x8318) Error, ad dress: 0xE07FDC at 0x1098CFC (PC)


    まぁ数回実施しても同じだったのでもしかしてBoot romを換えれば直るかもという考えで別のC2500にFlashメモリを移してiOSを落としてみたところうまくいった。この辺りはBoot romのバージョンとFlashメモリのメーカー(AMDやINTELが有名)が関係しているのかもしれない。

    0019-01-20

    ご挨拶

    CCIEホルダーのたわいもないブログです。