So-net無料ブログ作成

AndroidでCISCO 841MJにIPSec接続してみる その5 (2017/11/05) [CISCO]

というわけで、MODE_CFGセクションまで無事にクリアした訳ですが、ここまでの設定がちゃんとできていると、AndroidからのIPSec接続が確立成功&安定化するようになります。が、まだ終わりではありません。IPSec接続は安定するのですが、クライアントから一切の通信ができないのです。Androidにping・tracerouteのツールを導入して接続確認をしてみても、応答が全くありません。

その答えはshow ip routeの結果を見れば分かるのですが、ルータにクライアント(poolアドレス)へのルーティング情報がないためです。これに関しては、答えから言ってしまうとReverse Route Injection(RRI)機能を使って、ルーティング情報を追加する必要があります。

ただ、ルータのコンフィグとしては単純で、下記の通りにreverse-routeコンフィグを追加するだけです。
Router#show running-config
crypto dynamic-map D-MAP 1
 set transform-set T-SET
 set isakmp-profile I-PROFILE
 reverse-route

そうすると、クライアントからのIPSec接続時、ルーティングテーブルに下記エントリが追加され、Android上でIPSec経由の通信が通るようになります。
Router#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 192.168.1.1, GigabitEthernet0/4
...
      192.168.2.0/24 is variably subnetted, 5 subnets, 2 masks
C        192.168.2.0/24 is directly connected, Vlan10
S        192.168.2.241/32 [1/0] via A.B.C.D(=Android Client IP Address)

いかがでしたでしょうか。無事、Androidから通信が通るようになり、基本的に当初やろうとしていたことは実現できました。小規模なオフィス環境であれば、下手にVPN装置などを買わずともCISCO841MJにこれらのコンフィグを投入すれば、外部からリモートアクセスできるようになります。
接続を試してはいませんが、WindowsやMacからも同じように外部からリモートアクセスできるのではないかと思っています。

なお、一連の機器コンフィグについては、非常に複雑なため、別途整理して記事にしたいと思います。

その6へ続く。
nice!(0)  コメント(0) 
共通テーマ:日記・雑感

AndroidでCISCO 841MJにIPSec接続してみる その4 (2017/11/04) [CISCO]

MODE_CFGセクションに到達していることは分かったので、コンフィグを煮詰め直します。このあたりのコンフィグについては、「正」となる情報がないため、本当に手探り状態です。ネット上に、細切れ情報が散らばっていますが、
・AnyConnect接続用のコンフィグ
・CISCO ASA向けコンフィグ
・古いIOS向けのコンフィグ
・その他、ちょっと何か違うコンフィグ
だったりして、私の手元でそれっぽいコンフィグを作ることはできるのですが、正にカットアンドトライ状態です。私が大いに悩んだように、ここからの記述はすごく分かりにくくなっているので、ご注意ください。

現状のisakmpプロファイルはざっと下記の通りなのですが、
Router#show running-config
crypto isakmp profile I-PROFILE
   keyring K-RING
   match identity address 0.0.0.0
   client authentication list AAA-AUTHE
   isakmp authorization list AAA-AUTHO
   client configuration address respond

Router#configure terminal
Router(config)#crypto isakmp profile I-PROFILE
Router(conf-isa-prof)#?
Crypto ISAKMP Profile Commands are:

  accounting        Enable AAA Accounting for IPSec Sessions
  ca                Specify certificate authorities to trust
  client            Specify client configuration settings
  default           Set a command to its defaults
  description       Specify a description of this profile
  exit              Exit from crypto isakmp profile sub mode
  initiate          Initiator property
  isakmp            ISAKMP Authorization command
  keepalive         Set a keepalive interval for use with IOS peers
  keyring           Specify keyring to use
  local-address     Interface to use for local address for this isakmp profile
  match             Match values of peer
  no                Negate a command or set its defaults
  qos-group         Apply a Qos policy class map for this profile
  self-identity     Specify Identity to use
  virtual-template  Specify the virtual-template for dynamic interface
                    creation.
  vrf               Specify the VRF it is related to
このコンフィグ階層の中には、クライアントに払い出すIPアドレスを設定する場所(pool)がないのです。
じゃあどこにあるかと言うと、
Router#configure terminal
Router(config)#crypto isakmp client configuration group C-GROUP
Router(config-isakmp-group)#?
ISAKMP group policy config commands:
  access-restrict               Restrict clients in this group to an interface
  acl                           Specify split tunneling inclusion access-list
                                number
  auto-update                   Configure auto-upgrade
  backup-gateway                Specify backup gateway
  banner                        Specify mode config banner
  browser-proxy                 Configure browser-proxy
  configuration                 Push configuration to the client
  crypto                        Client group crypto aaa attribute list
  dhcp                          Configure DHCP parameters
  dns                           Specify DNS Addresses
  domain                        Set default domain name to send to client
  exit                          Exit from ISAKMP client group policy
                                configuration mode
  firewall                      Enforce group firewall feature
  group-lock                    Enforce group lock feature
  include-local-lan             Enable Local LAN Access with no split tunnel
  key                           pre-shared key/IKE password
  max-logins                    Set maximum simultaneous logins for users in
                                this group
  max-users                     Set maximum number of users for this group
  netmask                       netmask used by the client for local
                                connectivity
  no                            Negate a command or set its defaults
  pfs                           The client should propose PFS
  pool                          Set name of address pool
  save-password                 Allows remote client to save XAUTH password
  smartcard-removal-disconnect  Enables smartcard-removal-disconnect
  split-dns                     DNS name to append for resolution
  wins                          Specify WINS Addresses
というグループプロファイルの中にあるpoolコンフィグがそれに該当します。つまりは独立した両者のコンフィグを結びつける必要があるのです。

ここで私を大いに悩ませました。Webにあるの参考コンフィグ(http://www.infraexpert.com/study/ipsec18.html)には、下記のように
Cisco(config)#show running-config
crypto isakmp profile VPN-PROFILE
  match identity group VPNCLIENT
  client authentication list VPNAUTHE
  isakmp authorization list VPNAUTHO
 Cisco(config-isa-prof)# client configuration address respond
match identity group~コンフィグによって、isakmpプロファイルとグループプロファイルをうまく結びつけているのですが、これを設定してしまうと、グループ認証が有効になってしまうため、汎用性が失われてしまいます。私はmatch identity group~コンフィグを設定したくないのです。(だからmatch identity address 0.0.0.0を設定している)

いろいろ試していると、isakmpプロファイル内のclient configuration group~コンフィグによって、グループプロファイルを紐けることができました。ざっとまとめると、
・グループ認証使用有無にかかわらず、クライアントに払い出すIPアドレスはグループプロファイルで設定する
・isakmpプロファイルに、グループプロファイルを紐付ける方法は下記2つのうちのいずれか
 (1)match identity group~コンフィグによって、グループ認証を有効にする
 (2)グループ認証を行いたくない場合は、client configuration group~コンフィグによって、グループプロファイルを紐付ける
ということでした。

ちなみに最初に取得したデバッグログと睨めっこすると、ISAKMP-AAA-ERROR: (0):group does not existというメッセージが表示されており、グループプロファイルが正常に読み出せてないことが暗に示されていましたね。

その5へ続く。
nice!(0)  コメント(0) 
共通テーマ:日記・雑感

AndroidでCISCO 841MJにIPSec接続してみる その3 (2017/10/03) [CISCO]

双方のプロポーザルを合致させることで、ISAKMP SAまでは接続できることを確認できました。しかし、Android上では、接続ボタンを押下→失敗しましたと瞬時に表示されます。まだまだこれからですね。
ISAKMP: (0):Checking ISAKMP transform 1 against priority 1 policy
ISAKMP: (0):      life type in seconds
ISAKMP: (0):      life duration (basic) of 28800
ISAKMP: (0):      encryption AES-CBC
ISAKMP: (0):      keylength of 256
ISAKMP: (0):      auth XAUTHInitPreShared
ISAKMP: (0):      hash SHA256
ISAKMP: (0):      default group 5
ISAKMP: (0):atts are acceptable. Next payload is 3
ISAKMP: (0):Acceptable atts:actual life: 86400
ISAKMP: (0):Acceptable atts:life: 0
ISAKMP: (0):Basic life_in_seconds:28800

理論上はフェーズ2のXauth認証セクションに入っているはずですが、デバッグログには無数のXauthの文字列が表示され、ちゃんとセクションが進行しているのかよく分かりません。

ちなみにデバッグログは重要な情報源としての魔法の文字列ですが、私が理解できるのは1〜2割程度です。基本的に内部制御コードの羅列のため、素人が読んで分かるものではありませんし、無理に読もうとは思いません。
でも大丈夫です。デバッグログは、処理シーケンスとしてあるべき文字列が表示されているか、また、それに関連するキーワードとしてOK/NG/Success/Fail/match/mismatchなどが表示されていないか、という点を押さえればなんとかなります。

その2に書いたフェーズ1プロポーザルの不一致については、does not match policy、atts are not acceptableといった表示で判断できました。
今、手元にあるデバッグログからXauthの文字列は読み取れるので、Xauthのセクションに到達していることは分かりますが、OKやNGといった関連キーワードが読み取れず、行き詰まってしまいました。

そんな時に私が試してみることは、意図的に変化を発生させることです。具体的には、Xauthのユーザ認証がOKとなるデバッグログと、認証がNGとなった場合(わざとパスワードを間違える)のデバッグログを取得し、Diffツールで比較してみました。
もし双方のデバッグログに変化がなければ、Xauthシーケンスには達しているものの、根本的な問題が残っており、ユーザ認証は行われていないということが言えますし、明らかな変化が見えるのであれば、ユーザ認証の成功によって、さらにその次のシーケンスに進んでいるということが言えます。

・・・結果は、明らかな違いがありました。
つまり、ちゃんとユーザ認証の判定まで行われているということです。

確かによくよくデバッグログを眺めてみると、認証が成功している方はMODE_CFGセクションに突入しているような痕跡が見えました。そうなると、今度はMODE_CFG周りのコンフィグを作り込めば良いのです。
ISAKMP: (2008):checking request:
ISAKMP: (2008):client configuration address    IP4_ADDRESS
ISAKMP: (2008):    IP4_NETMASK
ISAKMP: (2008):    IP4_DNS
ISAKMP: (2008):    IP4_NBNS
ISAKMP: (2008):    MODECFG_BANNER
ISAKMP: (2008):    DEFAULT_DOMAIN
ISAKMP: (2008):    SPLIT_DNS
ISAKMP: (2008):    SPLIT_INCLUDE
ISAKMP: (2008):    INCLUDE_LOCAL_LAN
ISAKMP: (2008):    APPLICATION_VERSION

その4へ続く。
nice!(0)  コメント(0) 
共通テーマ:日記・雑感

AndroidでCISCO 841MJにIPSec接続してみる その2 (2017/10/01) [CISCO]

「このコンフィグじゃないと絶対に動作しない」といったような、正解が1つしかない場合は逆に楽だったりします。最初からそこだけを目指していけばいいのです。しかし、そんな単純ならエンジニアなんて不要ですから、そうでないことは明かです。

CISCOルータとCISCO ASA(ファイアウォール)で微妙にコンフィグ表現が異なるため、似たような設定サンプルがあっても使えなかったり、ルータ同士であってものIOSバージョンや機種によってコンフィグ構造や概念が変更されており、参考ページが役に立たなかったりします。
一番悩むのは、馴染みのない機能を使う場合、コンフィグ1行1行が、どういった意味を持ち、どういった動きと連動しているのかよく分からず、うまく動作しないときに、そのパラメータを変更すべきか、据え置くべきか考えなければならない時です。初期値を変更すると、後続の動作がガラッと変わってしまうあたりは、まさにカオス理論のカオス状態と言えます。(そのパラメータが、動作に何の影響も与えていなかったというオチもザラです)
まぁ、どん底からどのように這い上がってくるかが、エンジニアの腕といったところでしょうか。

今回もいろいろとWebページのサンプルを参照していますが、本当に自分がやりたいことをピンポイントで説明しているWebページはなく、いろいろなサンプルから必要と思われる部分をピックアップしてコンフィグを入れてみました。
当然うまく繋がりませんので、ログと睨めっこをします。ログといっても大したログは残りませんから、ここはもう最初からデバッグモード全開です。CISCOはデバッグ情報をそれなりに吐き出してくれるので、問題発生時も対処しやすく、CISCOがCISCOたる所以なのではないかと思います。

まず分かったのは、ISAKMPの処理で、設定が不足しておりデフォルトのポリシが使用されているということです。普段は設定している下記のようなISAKMPコンフィグですが、今回は不要なのかと思って入れていませんでした。さっそくコンフィグを投入します。
Router# show running-config
crypto isakmp policy 1
 encr aes
 hash sha256
 authentication pre-share
 group 14

次に表示されたデバッグは下記の通り。ISAKMPのポリシは設定した内容が参照されるようになりましたが、Android側と不一致を起こしているようです。デバッグを見れば一目瞭然ですが、意外とこの辺の情報ってインターネット上には転がっていなかったりしますね。ここは相手の要求値をサクッと追加して乗り越えます。
ISAKMP: (0):Checking ISAKMP transform 1 against priority 1 policy
ISAKMP: (0):      life type in seconds
ISAKMP: (0):      life duration (basic) of 28800
ISAKMP: (0):      encryption AES-CBC
ISAKMP: (0):      keylength of 256
ISAKMP: (0):      auth XAUTHInitPreShared
ISAKMP: (0):      hash SHA256
ISAKMP: (0):      default group 5
ISAKMP-ERROR: (0):Hash algorithm offered does not match policy!
ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
ISAKMP: (0):Checking ISAKMP transform 2 against priority 1 policy
ISAKMP: (0):      life type in seconds
ISAKMP: (0):      life duration (basic) of 28800
ISAKMP: (0):      encryption AES-CBC
ISAKMP: (0):      keylength of 256
ISAKMP: (0):      auth XAUTHInitPreShared
ISAKMP: (0):      hash SHA
ISAKMP: (0):      default group 5
ISAKMP-ERROR: (0):Proposed key length does not match policy
ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
ISAKMP: (0):Checking ISAKMP transform 3 against priority 1 policy
ISAKMP: (0):      life type in seconds
ISAKMP: (0):      life duration (basic) of 28800
ISAKMP: (0):      encryption AES-CBC
ISAKMP: (0):      keylength of 256
ISAKMP: (0):      auth XAUTHInitPreShared
ISAKMP: (0):      hash MD5
ISAKMP: (0):      default group 5
ISAKMP-ERROR: (0):Hash algorithm offered does not match policy!
ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
ISAKMP: (0):Checking ISAKMP transform 4 against priority 1 policy
ISAKMP: (0):      life type in seconds
ISAKMP: (0):      life duration (basic) of 28800
ISAKMP: (0):      encryption AES-CBC
ISAKMP: (0):      keylength of 256
ISAKMP: (0):      auth XAUTHInitPreShared
ISAKMP: (0):      hash SHA256
ISAKMP: (0):      default group 2
ISAKMP-ERROR: (0):Hash algorithm offered does not match policy!
ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
...
...
...


その3へ続く。
nice!(0)  コメント(0) 
共通テーマ:日記・雑感

AndroidでCISCO 841MJにIPSec接続してみる その1 (2017/10/01) [CISCO]

Androidの設定画面の中にVPNという項目があり、前々から気にはなっていたんですよね。そう思って開いてみると、予想通りIPSecの文字列が。がんばればCISCOルータと接続できるんじゃないかと。
20171001_Screenshot_20171001-003938.jpg

本当はAnyConnectをやってみたかったのですが、CISCO 841MJで使えるのか使えないのかよく分からず、まぁIPSecでもいいかって感じです。(AnyConnectはおそらく対応しているんだろうけど、ライセンスを別で買うとかサポート窓口にバイナリファイルを提供してもらうなど、いろいろ面倒そうな感じだったので)

ただ、IPSecってかなりくせ者で、RFCで仕様が公開されているとは言え、実装の部分で各社ばらつきがあり、他ベンダ間の相互接続はかなり骨の折れる作業だったりします。最終的に接続状態にはなりましたが、私のブラウザのタブにはこれだけの参考資料が開いていました。(不要になったページは適宜閉じているので、ピークはこの数倍です)
http://www.infraexpert.com/study/ipsec16.html
http://www.infraexpert.com/study/ipsec18.html
http://asaq8.hatenablog.com/entry/2014/08/03/000000
http://bisonicr.ldblog.jp/archives/54147837.html
http://blog.bluedeer.net/archives/48
https://www.cisco.com/c/ja_jp/support/docs/network-management/remote-access/117257-config-ios-vpn-strongswan-00.html
https://www.cisco.com/c/ja_jp/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46242-lan-to-lan-vpn-client.html
https://www.cisco.com/c/ja_jp/support/docs/security-vpn/ipsec-negotiation-ike-protocols/117259-trouble-ios-ike-00.html
https://supportforums.cisco.com/t5/vpn/how-can-i-use-vpn-on-android/td-p/1951553

最初はまるまる参考ページもあったので、L2TP/IPSec PSKにチャレンジしました。コンフィグはサクッと入ったのですが、私がブロードバンドルータのポート転送をUDP/4500(IPSec NAT-T)だけしか設定しておらず、当然何も反応しない訳で、ルータを再起動してゼロからやり直すことにしました。(再起動してから、ポート転送が不足していると気付いた)

なんとなくの感覚は掴めたので、いきなりIPSec Xauth PSKにチャレンジです。おそらく正常通信をさせるのはかなり難しい作業になると思われるので、最初の目標は「接続完了状態」 とさせることです。

私はIPSecの専門家ではありませんが、CISCOルータ間で接続するトンネルモードのIPSecコンフィグは何度か作成したことがあるので、少しの知識はあります。とりあえず今回のポイントは、
・MainモードではなくAggressiveモードでの接続となること
・Xauthを実装する必要があること
・…
・…
・…

ってあれ? それ以上思いつきません。大したことない知識ですね。
とりあえずUDP/500(ISAKMP)、UDP/4500(IPSec NAT-T)をポート転送するようにしたら、CISCOルータが反応するようになったので、ログと睨めっこすることにします。

その2へ続く。
nice!(0)  コメント(0) 
共通テーマ:日記・雑感

CISCO841M/J IOSバージョンアップ (2017/08/09) [CISCO]

CISCO 841M/Jの新しいIOS 15.5(3)M5が2017/02/08に出ています。こういったファームウェアについては、新しいものに飛びつくと痛い目を見ることがあるのでしばらく放置していたのですが、さすがに6ヶ月経ちましたしもう大丈夫でしょう。アップグレートしてみることにします。

CISCOからIOSをダウンロードします。そうそう、ここはCISCO StartのサポートWebページになります。良くも悪くもすっきりしていますね。
20170808_CISCO_Web.jpeg

IOS アップグレードの手順なるものも置いてあるようですが、過去に何度もチャレンジして成功していますので、今回は読みません。※初めての方はぜひ読むことを強くお薦めします
基本的にIOSファイルを装置内部のストレージに転送すれば良いだけです。転送するための手段は、USB Flashによるコピー、HTTP、FTP、TFTP、xmodemなどがあったはずですが。
Router#copy ?
  /erase          Erase destination file system.
  /error          Allow to copy error file.
  /noverify       Don't verify image signature before reload.
  /verify         Verify image signature before reload.
  archive:        Copy from archive: file system
  cns:            Copy from cns: file system
  flash:          Copy from flash: file system
  ftp:            Copy from ftp: file system
  http:           Copy from http: file system
  https:          Copy from https: file system
  null:           Copy from null: file system
  nvram:          Copy from nvram: file system
  rcp:            Copy from rcp: file system
  running-config  Copy from current system configuration
  scp:            Copy from scp: file system
  sdflash:        Copy from sdflash: file system
  security:       Copy from security: file system
  startup-config  Copy from startup configuration
  system:         Copy from system: file system
  tar:            Copy from tar: file system
  tftp:           Copy from tftp: file system
  tmpsys:         Copy from tmpsys: file system
  xmodem:         Copy from xmodem: file system
  ymodem:         Copy from ymodem: file system

最近ではscpなんかも使えるみたいですね。私の家にはFreeBSDのWebサーバがあるのでHTTPを使用することにします。Windowsオンリーの人でもBlackJumboDogといった便利なソフトがあるので、Webサーバを立てる場合であってもさほど苦労しないと思います。
CISCO IOSのダウンロードファイルはZIP化されていますが、本当に必要なファイルは中身のbinファイルなので、展開してWebサーバ上に設置しておきます。自分で言うのも何ですが、手慣れたものですよ。

copyコマンドを使ってコピーします。
Router#copy http://192.168.0.1/c800m-universalk9-mz.SPA.155-3.M5.bin flash:
Destination filename [c800m-universalk9-mz.SPA.155-3.M5.bin]?
Accessing http://192.168.0.1/c800m-universalk9-mz.SPA.155-3.M5.bin...
Loading http://192.168.0.1/c800m-universalk9-mz.SPA.155-3.M5.bin !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
59023172 bytes copied in 85.208 secs (692695 bytes/sec)
転送事故が起きるとファイルが途中で切れている場合がありますので、まずは大ざっぱにファイルサイズを確認しておきましょう。明らかに桁がおかしいといったことがなければ大丈夫です。

最近は便利な世の中になったものでCISCOルータでハッシュ計算ができるのですね。
Router#verify /md5 flash:c800m-universalk9-mz.SPA.155-3.M5.bin
............................MD5 of sdflash:c800m-universalk9-mz.SPA.155-3.M5.bin Done!
verify /md5 (sdflash:c800m-universalk9-mz.SPA.155-3.M5.bin) = 459ed3d88cd440d887b528e866544787
確認できました。こちらも大丈夫そうです。これで無事に転送が終わりました。

CISCOルータはストレージ中のbinファイルを探して自動的に起動してきてくれるので、古いIOSを削除しても問題ありません。ですが、初回はフォールバックできるよう古いIOSは消さずに、下記のように指定するのが無難でしょう。
Router(config)#boot system flash:/c800m-universalk9-mz.SPA.155-3.M5.bin

Cisco IOS Software, C800M Software (C800M-UNIVERSALK9-M), Version 15.5(3)M5, RELEASE SOFTWARE (fc1)


nice!(0)  コメント(0) 
共通テーマ:日記・雑感

CISCO 841M 新しいIOSが出てる(2017/03/03) [CISCO]

2017/02/08付けで、新しいIOS 15.5(3)M5が出ているようですね。まぁ、特に問題がないのであれば無理してIOSをアップグレードする必要はないのですが。

以下にリリースノートが転がっていて、修正されたバグ(Resolved Bugs)や残存バグ(Open Bugs)が載っていますが、結構出入りが激しいですねぇ。双方共に多過ぎです。IOSバージョンアップ時にOpen Bugsが10~20個ぐらいになったら安定してきたと考えても良いのかな。
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/15-5m-and-t/release/notes/15-5m-and-t-book/155-3MCAVS.pdf

ただ、これにはカラクリがあって、このリリースノートはルータ系ラインナップ全てが一元管理されているため、CISCO 841M Jに関係ない他機種のバグ情報も全て混ざってるんです。だから実質該当するバグはもっと少ないかと思います。
nice!(0)  コメント(0) 
共通テーマ:日記・雑感

CISCO 841M JのスループットとCPU使用率(2017/02/16) [CISCO]

Cactiもzabbixも安定してきたところで、CISCO 841M JのスループットとCPU使用率の関係を測ってみました。スループットについては、ワイヤレート転送や遅延値を調べた訳ではなく、パソコンのロングパケットの連続転送にちゃんと追従してきてくれるかといったところをざっくり見ています。だから実際は、パソコンやファイルサーバ(FreeBSD)側の処理性能(ハードディスクの読み込み書き込み速度や、NICの性能)で頭打ちしているはずです。

CISCO 841M Jは、IPv4、IPv6共に有効にしていますが、実際のファイル転送はIPv4上で行っています。また、アクセスフィルタやQoS機能、NAT機能は一切設定していません。ルーテッドポートとVLAN間の転送処理として見てもらって良いです。(が、NetFlowによるトラフィック集計機能は動かしています)

■Cacti
20170216_cacti_traffic_01.jpg

20170216_cacti_cpu_01.jpg


■zabbix
20170216_zabbix_traffic_01.jpg

20170216_zabbix_cpu_01.jpg

CPU使用率がそれなりに上昇するようですが、製品の価格帯を考えれば十分ではないでしょうか。ちゃんとスループットも出ているようですし。ただ、この状態でQoSやらアクセスフィルタ、最近のinspectセキュリティ機能を動かすとどうなるんでしょうかね。


タグ:ZABBIX
nice!(0)  コメント(0) 
共通テーマ:日記・雑感