DigiLoog

自宅の「Cisco/Juniper/Fortigate」でBGPを喋らせてみた

2017年08月26日(土) - 23:54 | カテゴリ: Network

結構前から『自宅ラックでBGP喋らせたいな～ IHAnet繋ぎたいな～』と思いつつも、
やる事が多かったり、設備が足りなかったり、そもそもBGP知識が無かったりして断念していた。

ただ、このまま燻らせて画面しても体に悪いし、最近はNWネタに疎くなりつつあるので、
NW知識を定着させる意味も込めて、3ベンダーをごちゃ混ぜにしてBGPピアを張ってみた。

今回はIPv6オンリーでBGPを喋らせてみた。
ただ、このままだとIPv4へ接続出来ないので、FortigateでNAT64もしてみた。

コアの部分はiBGPにstaticとconnectedを再配布する構成にしてみた。
本当はクライアントPCセグメントでOSPFを喋らせて、BGPとOSPFで再配布したかったのだが、
Cisco 1812JでIPv6のVRFを使っているインターフェースではOSPFv3を喋れない事が判明し、
今回は断念してstaticでルーティングを切った。

あと、本業でBGP取り扱っている人には怒られそうだが、
各BGPスピーカーでピアを張るのが面倒くさかったので、Cisco 1812Jにルートリフレクタも兼用させ、
他のスピーカーからピアを張る形にしてセッション数削減。
こうした事で、別ベンダー装置のBGP検証を行う時も、
ルートリフレクタのみにピアを張ればルーティングテーブルを取得出来るようにした。

今回のキモとなったのは、実はJuniperSRX100の方だった。
今までJuniper製品を殆ど触った事が無いのと、
DefaultRouteをBGP網に流しつつも他NWへ「お漏らし」しないようにフィルタリングしたり、
loopback I/FからBGPのセッションが張れなかったりと四苦八苦した。
最終的にはACL制御をミスってloopback宛の通信をAnyDenyしていたり、
アドバタイズするプレフィックスをミスっているだけだったのだが、
原因調査の過程でコマンドを色々触ったので勉強になった。

FortigateのBGPは難なく設定が完了した。が、NAT64の方でハマった…
NAT64のフューチャーをenableにして、NAT64ルールを作成しても一向に通信出来なかった。
最後の方では、Fortigate上でパケットキャプチャ、デバッグモードでフロー確認もしたのだが、
「”64::FF9B::/96″宛のルーティングテーブルが無い」と言われているだけで謎だった。
海外のサイトも漁った所、「再起動するヨロシ」と書かれていたので再起動を試した所、
NAT64で接続が出来てしまい『自分の苦労は何だったんだろう…』と思ったが、
まぁこんな事もあるだろう _(:3」∠)_

………

着々と進んでいる”ns-lab BB”のIPv6対応だが、
今回の構築を行った事で、BGPの検証環境とNAT64実環境を構築出来たのは収穫。
自分が作成したコンフィグは、レベルが低くて公開出来るレベルでは無いのだが、
~~時間ある時に公開もしてみようと思う。~~
折角なので、コンフィグの一部を公開。

………

Juniper SRX100

interfaces {
    lo0 {
        unit 0 {
            family inet6 {
                address 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:100/128;
            }
        }
    }
}
routing-options {
    rib inet6.0 {
        static {
            route ::/0 next-hop "DefaultRouteの向け先";
            route 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:1812/128 next-hop "Cisco1812JのIPv6アドレス";
            route 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:60/128   next-hop "Fortigate60DのIPv6アドレス";
        }
    }
    router-id 10.0.0.100;
    autonomous-system 65000;
}
protocols {
    bgp {
        export AS65000 {
        group GROUP_AS65000 {
            type internal;
            local-address 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:100;
            log-updown;
            family inet6 {
                unicast;
            }
            neighbor 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:1812;
        }
    }
}
policy-options {
    policy-statement AS65000 {
        term redistribute {
            from {
                protocol static;
                route-filter ::/0 exact;
            }
            then {
                next-hop self;
                accept;
            }
        }
        then reject;
    }
}

………

Cisco 1812J

interface Loopback0
 vrf forwarding vrf_ipv6
 no ip address
 ipv6 address 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:1812/128
 ipv6 nd router-preference High
!
vrf definition vrf_ipv6
 rd 10.0.18.12:6
 !
 address-family ipv4
 exit-address-family
 !
 address-family ipv6
 exit-address-family
!
router bgp 65000
 bgp router-id 10.0.18.12
 no bgp default ipv4-unicast
 bgp log-neighbor-changes
 !
 address-family ipv4 vrf vrf_ipv6
  no synchronization
 exit-address-family
 !
 address-family ipv6 vrf vrf_ipv6
  neighbor 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:100 remote-as 65000
  neighbor 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:100 update-source Loopback0
  neighbor 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:100 activate
  neighbor 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:100 route-reflector-client
  neighbor 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:60  remote-as 65000
  neighbor 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:60  update-source Loopback0
  neighbor 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:60  activate
  neighbor 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:60  route-reflector-client
  redistribute connected
  redistribute static
  default-information originate
  no synchronization
 exit-address-family
!
ipv6 route vrf vrf_ipv6 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:100/128 "JuniperSRX100のIPv6アドレス"
ipv6 route vrf vrf_ipv6 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:60/128  "Fortigate60DのIPv6アドレス"

………

Fortigate 60D

config system interface
    edit "loopback1"
        set vdom "root"
        set type loopback
        set snmp-index 1
        config ipv6
            set ip6-allowaccess ping
            set ip6-address 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:60/128
        end
    next
end
config router access-list6
    edit "bgp-nat64"
        config rule
            edit 10
                set prefix6 64:ff9b::/96
                set exact-match enable
            next
            edit 20
                set action deny
                set exact-match disable
            next
        end
    next
end
config router route-map
    edit "bgp-route-map"
        config rule
            edit 10
                set match-ip6-address "bgp-nat64"
            next
        end
    next
end
config router static6
    edit 1
        set dst 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:1812/128
        set gateway "Cisco1812JのIPv6アドレス"
        set device "wan2"
    next
    edit 2
        set dst 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:100/128
        set gateway "JuniperSRX100のIPv6アドレス"
        set device "wan2"
    next
    edit 3
        set dst 64:ff9b::/96
        set gateway 2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:60
        set device "loopback1"
    next
end
config router bgp
    set as 65000
    set router-id 10.0.0.60
    config neighbor
        edit "2001:470:FDB0:FFFF:FFFF:FFFF:FFFF:1812"
            set remote-as 65000
            set route-map-out6 "bgp-route-map"
            set update-source "loopback1"
        next
    end
    config redistribute6 "static"
        set status enable
    end
end

« 続きを隠す

No Comments

C92 三日目購入物～近年稀なイージーコミケ～

2017年08月14日(月) - 22:42 | カテゴリ: 趣味

気付けば初コミケから数年経った今、普通に3日間参加している筆者…
例の如く、2日目は目的無くビックサイトを散歩した程度なので購入物無しだが、
3日目は買う物大量な本命の日な事もあり、始発電車で逆三角まで行ってきた。

ちなみに、C92は連日涼しくて『イージーコミケ』だった。
初参加から色々と歴ているが、ここまで楽だったのは初めて。
まさか、水分・塩分補給をちゃんとした上、夏コミ待機列で汗をかかないとは思わなかった。

前置きとは関係無いが、1日目・2日目に企業ブース(HARUKAZE)で配布していた「飲むTENGA」
撮ったのは自宅だが、供養する為に記事トップに利用。南無…

購入リスト

コミケマジックは怖い物で、購入予定の無かった物でも大金叩いて買ってしまう…
自分は、お金使うタイミングがコミケに偏っているだけと割り切ってはいるが。

以下、ほぼ回った順に購入物を掲載

[NANACAN] 新刊グッズセット＋既刊1冊

[INS-mode] 新刊セット＋タペストリー＋既刊1冊

[祭社] 新刊セット

[すたーだすとくれいどる] スク水セット＋既刊1冊

[お花見日和] 新刊1冊
[Dragon Kitchen] 新刊1冊

[CANVAS+GARDEN] 新刊セット＋枕カバー＋画集

[無人少女] グッズセット＋新刊1冊

以前から気になっていた「すたーだすとくれいどる」の新刊が、
見事にドストライクで今後のチェックサークルに追加。
絵柄・ネタ・構図、全ておいてごちそうさまでした ( ´ー｀)

しかしまぁ、なんでもっと早くから気付かなかったのだろうと少し後悔 _(:3」∠)_
逆に言うと、今回気づけたのがC92一番の収穫なのかも。

………

そして、何が何でも欲しかったのがCANVAS+GARDENで頒布してた、
『十六夜のフォルトゥーナ』の画集。
キャラクター好き、ゲーム雰囲気も嵌まって、楽しみながら長時間掛けてプレイしていた記憶。
未だにメインPCの壁紙が、時雨の寝顔だったりする程…

実は、ゲーム作中に『ルシア制服姿の腰から下』は無いのだが、
(確か)電撃HIMEのテレカでだけ出ていた筈でどうしても見たかった。
見たい人はメロブ・とらのあなで売っているので、是非購入すべし！

………

コミックマーケット92 – 三日目
[NANACAN] 新刊グッズセット＋既刊1冊 – 3,500円
[INS-mode] 新刊セット＋タペストリー＋既刊1冊 – 5,500円
[祭社] 新刊セット – 2,500円
[すたーだすとくれいどる] スク水セット＋既刊1冊 – 3,500円
[お花見日和] 新刊1冊 – 500円
[Dragon Kitchen] 新刊1冊 – 500円
[CANVAS+GARDEN] 新刊セット＋枕カバー＋画集 – 15,500円
[無人少女] グッズセット＋新刊1冊 – 2,500円
合計：34,000円
C92：60,200円

「回数重ねる毎に金額上がっているな～」と思うが、今回は布物2点だったので致し方ない。
2点で寝る時だけは癒やされたい程、C91～C92の間にリアルで色々あったので…
既にC93までのカウントダウンがスタートしていたり、
C93の頒布冊子ネタどうしようなど悩みの種はいっぱいあるのだが、
C92で得たエネルギーを糧にしつつ、4ヶ月程乗り切らねば (｀・ω・´)

« 続きを隠す

No Comments

C92 一日目購入物～肌寒い夏コミ～

2017年08月12日(土) - 17:41 | カテゴリ: 趣味

今回のコミケもサークルとして運良く当選する事ができ、
サークルで冊子頒布したり、西で企業ブースを見たり色々と歩き回っていたのだが、
今回も欲しい物は手に入れられたので成果は上出来だった。

という事で、毎度の購入リストと今年の「頒布する側」で感じた事を徒然と…

購入リスト

C92一日目で自分が用事あったのは、企業ブースと技術島の2箇所。
技術島は自サークルが所属する所なので、企業を回った後に行く事に。

今回はどうしようか結構迷ったのだが「迷ったら買っておけ」と格言もある位なので買った。

オフィシャル通販で確実に購入出来る事は知っているのだが、やっぱり現地で入手したいし、
「1000本くじで何か当たると良いなぁ～」と淡い気持ちもあったので購入。

今回の企業は3箇所のみで、ぱれっとのサントラを買った後は東に移動。
東の技術島でいつもの様にNW・Linux・CTFなどを漁りつつ、COMPUTEX本なんて物を購入
今まではあまり興味が無かったのだが、DOS/VでCOMPUTEX特集を組んでいて気になっていたのと、
そのうち台湾に旅行行ってみたいとも思っていたので、雰囲気掴む為に買ってみた。

コミックマーケット92 – 1日目
[AMUSE CRAFT] コンプリート4点セット – 5,500円
[Lump of Sugar] 抱き枕カバー – 10,000円
[Lump of Sugar] マフラータオル – 2,000円
[Lump of Sugar] コースター – 1,200円
[ぱれっと] サウンドトラック – 2,500円
[技術島] IT系の本を色々 – 約5,000円
合計：26,200円

前回の一日目よりは金額が下がった。
今回は企業で買う物が少なかったので、この金額に納まったのかもしれない。

冊子頒布

今回は久々にNWネタで攻めつつ、既刊(CiscoASA、iSCSI)も持っていきました。
その中で、冊子をお手に取って購入頂いた方、試読してくださった方など、
当サークルまで足をお運び頂きありがとうございました。

次回も何かしら頒布するべくネタ仕込みも開始しています。
運が絡む事ではありますが、サークルが当選したら是非お会い致しましょう。

今回頒布している中で実感したのは、枯れかけた技術も需要がある点でした。
今までの自分の執筆方針は『他の人が考えなさそうなニッチな技術』に焦点を当てていた中、
『IPv6調達』という、今なら無料で貰えるような物を題材にしました。
結果「そういえばあったな～…」という事が聞こえてきたり、
「ウチの自鯖もやらないとな」「先日対応させて、○○な所で苦労した」とか
意見交換が出来たのはコミケならではと改めて認識しました。

その中でCiscoASA本をお手に取って頂き「丁度、ASA弄っているのでやってみます！」と仰っていた方、
CiscoASAを使いこなすのはかなりキツイですが、是非頑張って下さい。
筆者自宅サーバのVPNコアもCiscoASAで毎日運用状態なので、それなりならば意見交換出来ます (｀・ω・´)

………

↑の様なコメントを頂戴しつつ、感化された人が自らアウトプットしていくのが続いていくのが、
コミケで頒布する事の醍醐味だなと改めて実感。
知っている人から見ると「 (　´_ゝ｀)ﾌｰﾝ」の一言で終わってしまいますが、
最初から全部知っている人なんていないので、
自分が躓いた所を書いて他の人が躓く原因を排除してあげる事が出来るのも、
改めて良いなと思いました。

« 続きを隠す

No Comments

DigiLoog

自宅の「Cisco/Juniper/Fortigate」でBGPを喋らせてみた

C92 三日目購入物～近年稀なイージーコミケ～

C92 一日目購入物～肌寒い夏コミ～

応援中

twitter

Calendar

Category

日	月	火	水	木	金	土
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

DigiLoog

自宅の「Cisco/Juniper/Fortigate」でBGPを喋らせてみた

C92 三日目購入物 ～近年稀なイージーコミケ～

C92 一日目購入物 ～肌寒い夏コミ～

応援中

twitter

Calendar

Category

C92 三日目購入物～近年稀なイージーコミケ～

C92 一日目購入物～肌寒い夏コミ～