sidetech

インフラエンジニアの寄り道メモ。

イケてるはずなのにイケてない

Juniper Netscreen コラム

久々のブログです。
現在はカナダはトロントでお仕事をしています。
Shayan
写真はまだ元気な頃?です(笑)。隣が現地のIT関係を纏めている人で年齢は33歳!
10年前と見た目はあまり変わってません。私も彼に「変わってないねぇ」って言われましたが・・・。別の意味で10年前の機器を今も触っている自分って何なんだって思うけど・・・。
カナダという国は移民大国なようで、色々な人種がいます。彼もパキスタンだかどっかだったような。食生活は特段変な癖があるわけでもなく、気候もこの時期は快適です。多分、稚内とかと気候が似てるかな?

しかし、運が悪い事に配送業者のストライキに重なってしまい、届くはずの物資が全然届きません。7/20には帰国する予定だったのですが、どうやら帰国が遅れそうです・・・。

今回は、2006年頃に構築したNetscreenからMeraki MXへの入替やら、コアスイッチとなっているHP ProcaveからEX2200への入替&VC化、あとはサーバー関係の構築・・・って感じだったんですが。。。約10年、多少の障害はあったもののよく動いてくれました。
昨今では外部からのアタックによってNetscreenも悲鳴気味でしたので、入替が出来てひとまずはよかったなと。

でも貧乏性なもので・・・まだ動くならちょっとメンテナンスして再利用してみようかなと。
手始めに、Netscreen25のファームの確認とバージョンアップ。
しかし残念ながら6.0台のファームがない。5.4.0がファイナルでした。元々5.0.0での利用のままだったので、とりあえず2台をアプグレ。そして初期化してNSRPを組みます。
ここまではよかったんですが、VPNを張ると、なぜか不定期にBadSPIが出てしまいます。再Secに失敗してしまう。Netscreen25はNSRP-LiteでActive/Passiveの動きになるはずなのですが、MasterのVPNがこけるとなぜかBackup側のVPNがActiveになってしまう不思議。。。[E:wobbly]
そして、Bacup側のVPNがActiveになっても、Master機ではないのでセッションはBackup側にない・・・なので疎通がとれなくなるという。VPNだけ勝手にフェイルオーバーしてしまう現象に悩まされています。

で、ホテルから遠隔でずっと設定変更しながらあーでもないこーでもないとやったり、ググってみたりもしているのですが、ファームが古くて文献が少ない(^^;だいたい6.1以降の記事ばかりで、5.4.0にはないコマンドばっかり。読み替えもしたりして頑張ってみたけど確定打がない状況。

そんな中、何故かMaster機が勝手にダウンしてしまう事態に。明日の出社までMaster機の状況がわからないのですが、HAのリンクもBackup機からはDown判定なので、お亡くなりになった可能性あり[E:coldsweats01]
10年選手だしね・・・。でもそんな不可抗力のおかげもあって、Backup機がMaster機に昇格し、単体になった事でなのか、VPNが安定しました[E:sad]

なんか10年前もこの症状にハマってNSRP構成を断念した記憶がよみがえってきたり。[E:coldsweats01]

VPNの設定もですね・・・対向がAWSだったりします[E:coldsweats01]なので、Tunnelも2本掛けてるんすよね。MerakiMXでは同じセグメント相手にTunnelの2本掛けが出来ないので、それでNetscreenの再生利用を考えてた訳なんですが・・・こりゃ素直にSRX220でも買うかな。日本よりも安く調達できるし・・・。って配送がまだ回復してないから届かないか。。。

あともう一つ悩みがあってですね、実はVCも悩みの一つだったりするのですが、LACPとか色々と駆使して可用性を上げたいとかも考えるのですが、障害ケースが複雑化するので、実は遠隔地ではあまり凝った構成は敬遠することもあったりします。
機器構成の現状復帰を日本だったら保守とかに入っておけばやってくれたりしますが、海外では、結構やってくれません・・・。やってくれたとしても結構お値打ち価格なので、シンプル構成での交換が一番コストが安かったりするんす。シンプルのデメリットは規模の拡大時に困る事なんですが、大した規模ではないので、SLAをどう見込むかだけなんですが、時差も結構あるし、現地の担当者がとりあえず簡単に逃げ切れる形がなんだかんだで理想です。かといってレベルアップしないのもねぇ?って思う訳で。
サーバ系は今後、例えばクラウドへのシフトでもよいかと思うのですが、インフラってどうしても残るものなので悩ましいです。
まぁそーいう意味では今回、MerakiMXはActive/Passiveになっていてお手軽なので良いっすね。インターネットに繋がってしまえば勝ちって感じで。滞在中対応予定のなかった、バンクーバーモントリオールの拠点もすんなりと終わってしまいました。

明日は色々と勝負になりそうです(執筆時点ではまだ日曜日の19時です。日本は月曜日8時)。