ブログ
技術情報
2020.09.24
CiscoルータのSNMPのエラー
こんにちは、アヴァンティのKRです。
昨日、YAMAHA RTX1210をCisco921Jに交換したという話を書きました。
そのCisco921Jなんですが、SNMPでステータスが取得できないという障害に見舞われました。
ルータのログを見てみると
%SNMP-3-INPUT_QFULL_ERR: Packet dropped due to input queue full
というエラーが延々と記録されています。
なんじゃこりゃ、初めて見たぞと思って調べてみましたが、英語のCiscoのナレッジページに
IOSのバグじゃないのか
SNMPの設定をやり直したら解決した
という話が書いてあるくらいでした。
日本語のページでは情報が見付けられなかったのですが、またレアケースにでもぶつかったのだろうかと思いつつ、もう少し調べてみると、やはり英語のCiscoのナレッジに
show snmpを実行してみろ
SNMP Engineのqueueがmax「1」になってるから、溢れるのは当然だ
と書いてありました。
「そんな馬鹿なことがある訳ないだろうに」と思いつつ、Cisco921Jでshow snmpを実行すると確かに
SNMP Engine:
queue 0/1 (current/max), 1375 dropped
キューはmax「1」になっていて、ドロップ(つまりキュー溢れ)がカウントされていました。
ちなみに、Cisco921Jの前のモデルのCisco841Mも、その前のCisco892Jもshow snmpの出力結果は
SNMP Engine:
queue 0/1000 (current/max), 0 dropped
このようにキューはmax「1000」になっており、当然ながらドロップなど一つもカウントされていません。
そりゃ、キューが「1」しかないのであれば、ログのメッセージの通りにキューが溢れるのは当然ですよね。
どうしてデフォルト設定がこうなってしまったのかは判りませんが、これじゃ使い物になりません。
snmp-server queue-limit engine 1000
でキューの最大数を「1000」に変更しました。
以降、SNMPのステータスが取得できないとか、キューが溢れるといったことは起らなくなりました。
Cisco800シリーズがCisco900シリーズになって単に仕様が変わっただけなのか、バグなのか、どちらなんでしょうね。
しかし、日本語での情報が見当たらないというのは、どういうことなんでしょうか。
みんな「SNMPなんて使っていない」ということなのか、それとも「こんなの常識だろう」ということなのか?
それとも単に、私の検索のやり方がマズいだけですかね??
2020.09.23
YAMAHAルータからCiscoルータへの変更
こんにちは、アヴァンティのKRです。
前回投稿したCloud VPNの障害から2ヶ月が経過しました。
前回、障害が発生したのが4連休で、今回も同じく4連休なので、また何か問題が発生するんじゃないかと思って身構えていましたが、特に何も起こりませんでした。
ついでとばかりに関東に向かってきていた台風12号も上陸コースから逸れ、平穏無事な4連休を過ごすことができました。
何も起こらないのはとても良いことで、それが普通であるべきだと思うのですが、「絶対に何か起こるぞ」と身構えていた分、拍子抜けしてしまいました。
今後も、この調子で何も起こらないでいてくれると良いのですが。
さてさて、GCPのCloud VPNの障害ですが、その後、特にご報告できるようなことは何もありませんでした。
YAMAHAルータのIKEをv1に変更したらVPNが接続できて通信可能となったが、暫くしたらまたVPNが切断されて通信できなくなった
という話をネットで見かけましたが、私の所ではそういうことはなく、IKEv1で問題なく通信できていました。
ただ、
Googleに問い合わせても
「Cloud VPN側では何も変更していません」
「YAMAHAはIKEv2でのVPN接続についてはYAMAHAルータ同士の接続しかサポートできないと言っているので(本当か?)、何のサポートもできません」
YAMAHAに問い合わせても
「Cloud VPNはサポート対象外なので、何も回答できません」
という回答だったので、YAMAHAルータに見切りをつけて、使用するのを止めることにしました。
「YAMAHAルータの使用頻度が高いから」という理由で選択しただけであって、YAMAHAルータでなければならないという訳ではありませんからね。
今は問題なく通信できているとはいえ、この状態がいつまで続いてくれるか判りませんし、GCPもYAMAHAも何もサポートできないということであるなら、ここは素直に使用を止めるのが一番だと思います。
とことん追求して原因が何なのかを解明すればYAMAHAに褒めてもらえるかもしれませんが、そこまでする義理もないですし、避けられる厄介事なら避けて通るべきでしょう。
ということで、YAMAHA RTX1210をCisco921Jに入れ替えました。
今の所、特に何の問題もなく通信できています。
Cisco921Jは筐体がコンパクトで良いですね、気に入りました。
ただ、電源がACアダプターで設置時に邪魔になるというのは前モデルのCisco841M同様なので、できればCisco1812Jみたいな内蔵電源に戻して欲しいところですが、ここまで筐体がスリムだとそういう訳にもいかなさそうです。
本体にACアダプタを固定できるようにしてくれるとか、せめてラックマウントキットにACアダプタの固定機能があれば有難いのですが、あれはどう設置するのが正解なんでしょうか??
いつもキッティングの際に悩んでしまいます。
Cisco921JではACアダプタが小型、軽量化されたので、電源ケーブルのテンションで簡単にあっちこっちに行ってしまうので、少々始末が悪いです。
ちなみに、私はCiscoルータのVPNの設定はcrypt mapではなくVTI(Virtual Tunnel Interface)を使う派なのですが、これって少数派なのでしょうか??
ネット上で設定例などを探してみてもVTIを使ったものを先ず見ないですし、自社の人間に尋ねてみてもcrypt mapを使う派ばかりでした。
それどころか、「VTIなんてものがあるんですね、初めて知りました」とか言われる始末です。
普段YAMAHAを使っている人には、crypt mapよりVTIの方が判り易いと思うんですけどねぇ。
VTIのConfigを公開して、布教活動でもしようかしらと思ってしまいました。
(どうしても見たいという奇特な方がいらっしゃったら、問い合わせフォームからリクエストを送ってくれたら公開するかもしれません)
2020.07.24
Cloud VPNの障害
こんにちは、アヴァンティのKRです。
四連休ですが、大変な目に会っていました。
GoogleのクラウドサービスであるGCPを利用しているのですが、22日(水)にGCPと接続しているVPNの一つが切断されて通信できなくなりました。
調べてみると、Cloud VPN側では「MAC mismatched」というエラーが出ており、GCPと接続しているこちら側のYAMAHAルータではSAが山のように増え続けて「inhibited rekey」というエラーを出していました。
MACってなんじゃ??
MACアドレスか?
と、LAN屋の私は思いましたがそうではなく、メッセージ認証コード(Message Authentication Code)の略のようです。
つまり、事前共有鍵が一致していないと言われている訳ですね。
とはいえ、もうかれこれ半年くらい前から接続しっ放しのVPNで、かつ何も設定変更などはしていないのに、なんで急に事前共有鍵が一致しなくなるのか、意味が判りません。
もしかしてYAMAHAルータが壊れたのではなかろうかと思い、YAMAHAルータを予備機と交換してみましたが症状は変わらず。
お手上げなので、連休が明けたら真剣に調べようとか思っていたら、23日(木・祝)には別のVPNが切断されて通信できなくなりました。
症状は前日に発生したものとまったく同じです。
これはヤバいぞと思っていたら、24日(金・祝)にも別のVPNが切断され、気が付けばVPNは全滅していました。
GCP上のサーバとまったく通信できずです。
あーでもない、こーでもないと試してみて、最終的にIKEをv2からv1に変更したら接続できるようになりました。
同じように、ここ数日で急にCloud VPNが接続できなくなったという人がいたら、IKEをv1に変更してみて下さい。
こちら側のルータは何も設定変更しておらず、ずーっとフツーに接続できていたのに急に接続できなくなるということは、22日以降にGCP側で何らかの変更があったとしか思えないんですよね。
クラウドというのは自前の設備と違って自分ですべてをコントロールすることができないので、個人的にはあまり好きではないのですが、まさにこの「自分でコントロールできない」という、なんだかよくわからないモノ感が非常に強く出た障害な気がします。
少なくとも、こちらは何一つとして変えていないのですから。
結局のところ、何が原因なのかはハッキリしませんし、今は通信できているとしても、いつまた通信できなくなるか判らないという不安を抱えたままです。
知らない間に何かが勝手に変わっているというのはとても気持ちが悪いです。
ほんと、何が起こっているのかまったく判らないのですから、闇ですよ、闇。
手放しでクラウドを礼賛するのは止めた方が良いと、心底思う出来事でした。