memo.

タグ: cisco

  • AnyConnectで接続後、VPN接続先のシステムにアクセスするとタイムアウトする

    AnyConnectで接続後、VPN接続先のウェブのシステムにアクセスすると最初は利用できるが、何回か動作しているうちにタイムアウトする。一度発生すると、ブラウザを変えても同じような状況になる。

    Windows PCを再起動すると、一時的にアクセスできるようになるが、また同じ状況が発生する。

    Windowsのイベントログをみると「cscan.exe」のエラーが多数発生していた。

    この「cscan.exe」を調べると、CiscoのAnyConnectクライアントで使われているものだった。VPN接続時のみで発生しているもので、VPN接続もやや遅いことを考えると、「cscan.exe」が悪さをしているようだ。

    対応として、Cisco AnyConnectクライアントのインストーラーを起動して、「Repair」を選択して、AnyConnectクライアントの修復を行った。修復後に試すと、問題は解消された。AnyConnectクライアントが何らかの原因で壊れていたのが原因。

  • Cisco Nexusシリーズでソフトウェアアップグレード時のストレージ容量が足りないときはコンパクトインストールを行う

    古めのCisco Nexusシリーズの場合、本体のSSDストレージが少なく、通常のインストール方法だと容量が足りず、OSイメージをアップロードできない場合がある。これは、Nexus OSのサイズがバージョンアップにつれて大きくなっているからだ。

    複数バージョンのOSイメージをNexus上に保存できない場合には、「コンパクト NX-OS ソフトウェア」を利用する。このコンパクトイメージを使ったコンパクトインストールを行うことで、Nexus OSのバージョンアップを行う。

    参考: https://www.cisco.com/c/ja_jp/td/docs/switches/datacenter/nexus3000/sw/upgrade/93x/upgrade/guide/b-cisco-nexus-3000-nx-os-software-upgrade-downgrade-guide-93x/b-cisco-nexus-3000-nx-os-software-upgrade-downgrade-guide-93x_chapter_011.html#id_61530

    コンパクトインストールを行ったとしても、Nexusの本体容量が少ないことにはかわりはない。そのため、利用しないOSイメージは消しておくのがよい。

  • F5 BIG-IP 仮想ロードバランサで、一部のアプリケーションサーバにのみ通信ができない

    Cisco NEXUS でVPC構成(VLAN多数)、VMware ESXiによる仮想化、F5 BIG-IPの仮想ロードバランサ、ロードバランサの配下に複数のアプリケーションサーバ、という構成で、ロードバランサの下のAPサーバに通信がうまくできない、という状態が発生した。

    状況を切り分けしてみると、下記のような状態になった。

    端末→ESXi→Cisco NEXUS (A)→ESXi→BIG-IP→アプリサーバ(X) ・・・ 通信OK

    端末→ESXi→Cisco NEXUS (A)→ESXi→BIG-IP→アプリサーバ(Y) ・・・ 通信OK

    端末→ESXi→Cisco NEXUS (B)→ESXi→BIG-IP→アプリサーバ(X) ・・・ 通信NG

    端末→ESXi→Cisco NEXUS (B)→ESXi→BIG-IP→アプリサーバ(Y) ・・・ 通信NG

    ※Cisco NEXUSは、2台(AとB)で、VPC(Virtual Port Channel)構成で、L3の役割を行っている。基本的に、VLANを超えるときは、必ずL3のNEXUSを通過する。

    ※端末と、APサーバ、BIG-IP仮想ロードバランサは、それぞれ別のネットワークに属する。

    最初は、L3スイッチである、NEXUSの設定を疑ったのだが、AとBで差異はなく、VPCとしての動作も問題がなかった。BIG-IPを経由しなければ、AとBのどちらのNEXUSを通過しても問題発生しない。

    BIG-IPの仮想ロードバランサでの通信制御が不具合につながっている可能性が高いことがわかった。BIG-IP仮想ロードバランサの設定を見ていくと、「Auto Last Hop」の設定がONになっており、これが影響していることがわかった。上位のスイッチであるL3のNexusは2台あるので、アクセスしてきたアクセス経路に通信を返す、のが正しいように見える。しかし、VPC構成になっているで、仮想MACアドレスで制御されているのため、アクセス元のスイッチに返してしまうと、経路が途中で変わってしまい、アクセス元の端末までパケットが届かない。

    BIP-IPのほうも、上位スイッチが冗長構成を行っている場合は、「Auto Last Hop」の設定は、オフ(無効)にすることが推奨されている。「Auto Last Hop」の設定をオフにすることで、無事に、AとBのどちらのNexusを経由しても、BIP-IP仮想ロードバランサの下のAPサーバと通信できるようになった。

    「Auto Last Hop」の設定は、BIG-IP仮想ロードバランサの設定画面で、

    「System」→「Configuration」→「Local Traffic」

    の順に選択する。Generalのプロパティに、「Auto Last Hop」の項目があるので、「Enabled」のチェックを外して保存する。

    Auto Last Hopの説明

    https://www.infraexpert.com/infra/bigip29.html

  • 2023年3月のWindows Update後、MSPEAPの無線LANで接続エラー

    今月(2023年3月)のWindows Update後、MS PEAPで接続している無線で、急に接続できないエラーが多発した。メーカーや機種については、ばらつきがあるので、機種固有の問題ではなさそう。接続できているPCも多いので、トリガーをWindows Updateが引いただけで、今回のアップデートに何かがあるというわけでもなさそう。

    1回、無線LANの接続を消して、MS PEAP接続を再設定すると接続できるようになる。ただ、既存の接続設定だと、RADIUSの認証ではじかれてしまう。

    ちなみに、無線LANのAPは、Meraki。Merakiでは、下記のエラーが出ていた。

    Client made an 802.1X authentication request to the RADIUS server, but it did not respond.

  • 2023年1月のWindows Updateの適用後、WPA2 Enterpriseの認証に失敗する

    Windows10 Pro(Ver 22H2)で2023年1月のWindows Update(KB5022282)の適用後、MSPEAPを使ったWPA2 Enterpriseの認証に失敗する。

    WPA2 Enterpriseの認証に失敗しているときは、WPA2 Personnalの単純な認証もなぜか失敗して、ネットワークにつながらない。Windows Updateの適用後、すぐに発生するときもあれば、OSを再起動した後に発生するときもある。無線LANのAPは、CiscoのMerakiのAPで、ログをみると何回も認証のためにつなぎに来ているログが残っている。が、認証がちゃんとできず失敗しているログが多数残るのみだ。

    対応をいろいろとやってみたが、一番簡単で確度が高いのは、WindowsのOSの完全シャットダウンだった。

    完全シャットダウンは、電源を落とすときに、「Shiftキー」を押しながら「シャットダウン」を選択して、シャットダウンする。シャットダウン後は、通常通りにWindowsを起動させる。

    完全シャットダウンで安定しないときは、KB5022282をアンインストールを試す(自己責任で)。

  • Merakiの無線LANのアクセスポイントを再起動する方法

    Merakiの管理画面から無線LANのAPを再起動する手順は下記。

    1. Merakiの管理画面(ダッシュボード)にログインする。

    2. 「ネットワーク」の部分で、対象のアクセスポイントがあるネットワークを選択する。

    3. 「ワイヤレス」からアクセスポイントを選択する。

    4. 「アクセスポイント」の一覧から再起動するアクセスポイントを選択する。

    5. ツールを選択する。

    6. 「デバイスの再起動」にあるAP再起動ボタンをクリックする。

    7. 確認が表示されるので、再起動する場合は「今すぐ再起動」をクリックする。

    8. ステータスが表示されるので確認する。

  • CiscoルータでのDHCPアドレスの払い出し期間のデフォルトは1日。

    そのまんまだが、CiscoルータでのDHCPアドレスの払いだし期間は、デフォルトで1日。ユーザ側で、払い出し期間を変更しなければ、デフォルトの1日のまま。

    コンフィグに明示的に設定されていない場合は、「show ip dhcp binding」をCiscoの機器で実行することにより、払い出し期間が何日であるかを調べることができる。

  • Ciscoのルータから払いだされているDHCPアドレスを表示する

    払いだしたDHCPアドレスを確認するコマンドは、Catalystと同じ。

    CiscoのルータにTelnetかSSHでログインして、Enableモードにする。Enableモードで、` show ip dhcp binding ` を入力し、確認する。

    実行例)

    CISCORT#show ip dhcp binding 
Bindings from all pools not associated with VRF: 
IP address          Client-ID/              Lease expiration        Type 
                    Hardware address/ 
                    User name 
192.168.99.13       01cc.4463.9e92.c9       Sep 01 2021 02:28 AM    Automatic 
192.168.99.44       0124.29fe.5d70.62       Sep 01 2021 12:08 PM    Automatic

  • VPN接続後IE11で内部URLにアクセスするとエラーになる

    VPN接続して、IE11で内部URLにアクセスしたときに、いままで接続できていたサイトが急にできなくなることがある。エラーコードは、`INET_E_RESOURCE_NOT_FOUND` が表示される。この原因だが、IPv6でサイトにアクセスしようとして、エラーなっているようだ。アクセスされるサーバ側には、IPv6のアドレスは持っていない。

    表示されるIE11のエラー

    INET_E_RESOURCE_NOT_FOUND

    対処方法

    1. タスクバーのネットワークのアイコンを右クリして、「ネットワークとインターネットの設定」を開く。
    2. 「アダプターのオプションを変更する」を選択する。
    3. 障害が発生した接続のネットワークアダプタを右クリックして、プロパティを開く。
    4. 「インターネットプロトコルバージョン6」のチェックを外して、「OK」をクリックする。
    5. OSを再起動する。
    6. IE11でアクセスし、解消されたかを確認する。

    VPN接続していない状態でも、発生するときにはこの方法で対処できる。ただ、その場合通常のアクセスで問題の発生していないところまで、IPv6を使わなくなってしまうのが難点だ。

  • WebEx Eventの所感

    WebEx Eventを使ったセミナーに参加したので、参加者側の所感をメモとして残す。

    • ツールのインストール型なので、インストールされるものは増やしたくはない。WebExのツールとは別に、WebEx Eventのツールをインストールしようとする。
    • ブラウザのみで参加したが、音声が聞こえなかった。通話のマークをクリックしないと、イベントの音声が聞こえない。
    • イベントのツールなので、通話ボタンをクリックするのに抵抗感がある(こっちの声が混じらないか怖い)。
    • 音声まで含めて参加してしまえば、他のツールと大差なし。優位性も感じないし、悪くもない。

    いくつかあるウェブ上のイベントツール(ウェビナーツール)と同じような形。ツールインストール型の方が安定するのはわかるが、参加者側に負担が増えるツールは、ちょっと。いくつツールを入れればいいんだろうか、という感じだ。