tech note

インフラ技術や車についてつぶやいていくブログ

Network

SRX VPNのCPU使用率確認コマンド

> show security monitoring performance spu node0: -------------------------------------------------------------------------- fpc 0 pic 0 Last 60 seconds: 0: 0 1: 0 2: 0 3: 0 4: 0 5: 0 6: 0 7: 0 8: 0 9: 0 10: 0 11: 0 12: 0 13: 0 14: 0 15: 0…

HP ProCurve Locate LED点灯方法

点灯 # chassislocate on 消灯 # chassislocate off 点滅 # chassislocate blink

Cisco Nexus Locator LED点灯方法

# conf t Enter configuration commands, one per line. End with CNTL/Z. (config)# locator-led chassis (config)# (config)# show locator-led status ------------------------------------------------------------ Module Locator LED Status --------…

FortiGate 手動Failover方法

FortiGateのFailoverは以下の順で選定されます。1.リンクアップしているモニタポートの多い機器 2.HA Uptimeの長い機器 3.HAのプライオリティの高い(数値が大きい)機器 4.シリアルNo.の大きい機器ので、以下にてUptimeをResetする事で実質Failoverします。…

BIG-IP ONLINE(FAILSAFE FAULT)ステータスについて

ステータス 原因 何らかのFailsafeが発動しActiveになれない状態を示します。 以下コマンドでFailsafeを確認しましょう。 # tmsh show sys ha-status例えばVlanFailsafeが発動しっぱなし状態等が考えられます。

SRX 冗長化初期設定メモ

参考 07.Chassis Cluster(冗長構成)のCLI設定 Juniper SRX日本語マニュアル from Juniper Networks (日本) SE チーム作成資料 www.slideshare.net 参考 前提 fabric reth0 reth1 Zone UNTRUST TRUST 設定削除、rootパスワード設定 コントロールリンク、フ…

EX OSVersionUP時のエラーメッセージと対処方法

インストールパッケージの破損 > request system software add /var/tmp/jinstall-ex-2200-12.3R12-S10-domestic-signed.tgz reboot [Oct 4 14:30:43]: Checking pending install on fpc1 [Oct 4 14:30:44]: Checking pending install on fpc0 [Oct 4 14:30:…

EX、SRXでCommitのタイミングでConfigをリモート保存する方法

コマンド > show configuration system archival configuration { transfer-on-commit; archive-sites { "pasvftp://admin@192.168.1.1/home/config" password "$9$PASSWORD"; ## SECRET-DATA } }上記にてCommitのタイミングで「192.168.1.1:/home/config」…

BIG-IPのCipherSuite確認コマンド

https://support.f5.com/csp/article/K15194 # tmm --clientciphers 'DEFAULT' ID SUITE BITS PROT METHOD CIPHER MAC KEYX 0: 159 DHE-RSA-AES256-GCM-SHA384 256 TLS1.2 Native AES-GCM SHA384 EDH/RSA 1: 158 DHE-RSA-AES128-GCM-SHA256 128 TLS1.2 Nativ…

Juniper EXスイッチ VersionUP手順

Juniper Networks - How to mount a USB disk for configuration file backup or restore for the EX-series Ethernet switch USBからファイル転送 WindowsPCでFAT32でフォーマットしたUSBメモリへインストールイメージをコピーします。 EXスイッチのUSBポー…

すぐに測定できるインターネット速度測定サイトまとめ

Fast.com fast.com SPEED TEST www.speedtest.net 速度.jp www.sokudo.jp USENスピードテスト スピードテスト | 回線速度・通信速度測定

BIG-IP iRule デフォルトで用意されている「_sys_https_redirect」の動作解説

デフォルトで入っている以下iRuleの解説を _sys_https_redirect when HTTP_REQUEST { HTTP::redirect https://[getfield [HTTP::host] ":" 1][HTTP::uri] } getfieldってのは以下の通り文字列を区切り文字で割った何個目を参照するかですね。https://devcent…

BIG-IP iRule GeoLocationでACLする方法

まずこちらをインストールします。 tech.ioroi.net when CLIENT_ACCEPTED { if { [whereis [IP::client_addr] country] eq "JP"} { return } else { drop } } ※日本に制限する例[whereis ip_addr country] でカントリーコードを参照出来ます。

BIG-IP iRule HTTP redirectを302応答から301に変更する

こちらでリダイレクト設定しましたが、応答が302なのはおかしいので 301で応答するよう変更しました。 tech.ioroi.net 旧iRule iRule HTTP::redirect https://www.tech-memo.work[HTTP::uri] 結果 # curl -I https://www.sv-cat.net/1 HTTP/1.0 302 Found Lo…

BIG-IP ログ「01260009:4: Connection error: ssl_passthru:3994: not SSL (40)」の意味

Client SSL profile を割り当てた VIP 上で ClientHello の代わりに GET や POST リクエストを着信した際に出力するログ

BIG-IP ログ「01260009:4: Connection error: ssl_hs_rxhello:7429: unsupported version 」の意味

クライアントとサーバがプロトコルバージョンを正常にネゴシエートできなことを示します。当該のクライアントとバーチャルサーバで共通して使用可能な cipher suite がないと考えられます。

BIG-IP iRule 小文字に合わせる

構文 string tolower tclshでの実行例 # tclsh % string tolower HOGE hoge iRule構文例 string tolower [HTTP::uri] 動作 /HOGE → /hogestring tolowerの引数に当たる文字を小文字化 上記構文例では、[HTTP::uri]を小文字に変えてます。 iRule例 when HTTP_…

BIG-IP iRule HTTPヘッダーを挿入するコマンド

コマンド HTTP::header insert <header名> <value値> DevCentral Member Login | F5 DevCentral 例 when HTTP_REQUEST { HTTP::header insert x-header 1 }</value値></header名>

Data Group ListのValueをiRuleで使う方法

以下Data Group Listがあったとします。 DG_list String Value hoge1 Pool1 hoge2 Pool2 Hostheaderに応じてPoolへバランシングできます。 when HTTP_REQUEST { if { [class match [HTTP:host] eq DG_list } { #hostがDG_listにあったら set Pool [ [class m…

BIG-IP iRule ワイルドカードにてURIを判定しPoolへバランシングする例(headerInsertも有り)

when HTTP_REQUEST { switch -glob [string tolower [HTTP::uri]] { "/hoge1/*.html" { pool Pool1 } "/hoge2/*.html" { pool Pool1 } default { pool Pool2 } } } さらにHTTPheaderを付与する when HTTP_REQUEST { switch -glob [string tolower [HTTP::uri…

EXスイッチ Managementを繋がないとアラート赤点灯してしまう動作の対処方法

コマンド set chassis alarm management-ethernet link-down ignoreEXはなぜかデフォルトではManagementが繋がっていないとアラート通知します。 上記コマンドで無視する事が可能。 初期状態で電源入れて赤点灯してしまうのはだいたいこれ。

ProCurveスイッチの設定を自動で変更できるexpectを作った

Expect構文 #!/usr/bin/expect set timeout 5 set IP [lindex $argv 0] spawn telnet $IP expect { -glob "Username:" { send "manager\n" exp_continue } -glob "Password:" { send "PASSWORD\n" } -glob "Press any key to continue" { send "\n" } } expe…

BIG-IP iRule HTTP::redirect 構文例 自身にRedirectしながら、Redirectループを防ぐ

iRule構文例 when HTTP_REQUEST { if { [HTTP::host] equals "example.com" } { if { [HTTP::uri] equals "/sp.html" or [HTTP::uri] equals "/pc.html" } { return } else { if { [HTTP::header User-Agent] matches_regex "iPhone|iPad|iPod|Android" } { …

BIG-IP iRule matchclass 使い方

構文 when CLIENT_ACCEPTED { if { [matchclass [IP::remote_addr] equals aol] } { pool aol_pool } else { pool all_pool } } DataGroupListをClassといっており、そのClassとマッチするかを評価するコマンドです。 aolはデフォルトで用意されているDataGr…

BIG-IP インクリメンタルConfigSyncの不具合(11.5.1, 11.5.0, 11.4.1, 11.4.0)

KB ちょっと古いVersionでは、通常のConfigSync(インクリメンタル(差分同期))で正常にConfigSync出来ない不具合がありました。K14639: A pool member may remain disabled after an incremental synchronization https://support.f5.com/csp/article/K14639 …

BIG-IPのSerialConsoleで異なったBaudrateでキーを叩いた際、文字化けする

現象 BIG-IPのデフォルトのボーレートは「19200」で一般的機器は「9600」なので誤って、 9600でEnter等押下してしまう事が稀にあるかと思います。 すると文字化けが発生し「19200」に戻しても再起動するまで直らない状態となります。KBはありますが、ワーク…

BIG-IP GeoIPデータベースインストール方法

転送 md5チェック インストール 確認 備考 参考 転送 /shared/tmp/配下に以下ファイルを転送 ip-geolocation-v2-2.0.0-20180820.332.0.zip ip-geolocation-v2-2.0.0-20180820.332.0.zip.md5 md5チェック [root@bigip:Active:Standalone] tmp # md5sum -c ip-…

BIG-IP Linux kernel 脆弱性「SegmentSmack」 CVE-2018-5390 影響

以下リンクに記載があります。K95343321: Linux kernel vulnerability (SegmentSmack) CVE-2018-5390 https://support.f5.com/csp/article/K95343321本日現在では以下になってますが随時更新されると思いますので最新情報は上記リンクをご確認下さい。 12.x …

BIG-IP コマンドでConfigSyncする方法(v12~)

コマンド # tmsh run cm config-sync to-group device-group-1 オプション force-full-load-push 強制的に相手へ設定を同期(対向機側で設定変更したのを上書きする際等) to-group 自身から相手へ設定を同期 from-group 相手から自身へ設定を同期 DeviceGroup…

BIG-IP メーカサポート状況を確認するツール

secure.f5.com BIG-IPのメーカサポート状況を確認可能です Contact Email 受信可能なEmailアドレスを入力 F5 Licenses / Serial Numbers SerialかRegKeyを入力Submit Info Request 押下 しばらくすると以下のようなメールが届きます #----------------------…