ブログ

 こんにちは、アヴァンティのKRです。

昨日、YAMAHA RTX1210をCisco921Jに交換したという話を書きました。
そのCisco921Jなんですが、SNMPでステータスが取得できないという障害に見舞われました。
ルータのログを見てみると

%SNMP-3-INPUT_QFULL_ERR: Packet dropped due to input queue full

というエラーが延々と記録されています。
なんじゃこりゃ、初めて見たぞと思って調べてみましたが、英語のCiscoのナレッジページに

IOSのバグじゃないのか
SNMPの設定をやり直したら解決した

という話が書いてあるくらいでした。
日本語のページでは情報が見付けられなかったのですが、またレアケースにでもぶつかったのだろうかと思いつつ、もう少し調べてみると、やはり英語のCiscoのナレッジに

show snmpを実行してみろ
SNMP Engineのqueueがmax「1」になってるから、溢れるのは当然だ

と書いてありました。
「そんな馬鹿なことがある訳ないだろうに」と思いつつ、Cisco921Jでshow snmpを実行すると確かに

SNMP Engine:
   queue 0/1 (current/max), 1375 dropped

キューはmax「1」になっていて、ドロップ（つまりキュー溢れ）がカウントされていました。
ちなみに、Cisco921Jの前のモデルのCisco841Mも、その前のCisco892Jもshow snmpの出力結果は

SNMP Engine:
   queue 0/1000 (current/max), 0 dropped

このようにキューはmax「1000」になっており、当然ながらドロップなど一つもカウントされていません。
そりゃ、キューが「1」しかないのであれば、ログのメッセージの通りにキューが溢れるのは当然ですよね。
どうしてデフォルト設定がこうなってしまったのかは判りませんが、これじゃ使い物になりません。

snmp-server queue-limit engine 1000

でキューの最大数を「1000」に変更しました。
以降、SNMPのステータスが取得できないとか、キューが溢れるといったことは起らなくなりました。
Cisco800シリーズがCisco900シリーズになって単に仕様が変わっただけなのか、バグなのか、どちらなんでしょうね。

しかし、日本語での情報が見当たらないというのは、どういうことなんでしょうか。
みんな「SNMPなんて使っていない」ということなのか、それとも「こんなの常識だろう」ということなのか？
それとも単に、私の検索のやり方がマズいだけですかね？？

こんにちは、アヴァンティのKRです。

前回投稿したCloud VPNの障害から2ヶ月が経過しました。
前回、障害が発生したのが4連休で、今回も同じく4連休なので、また何か問題が発生するんじゃないかと思って身構えていましたが、特に何も起こりませんでした。
ついでとばかりに関東に向かってきていた台風12号も上陸コースから逸れ、平穏無事な4連休を過ごすことができました。
何も起こらないのはとても良いことで、それが普通であるべきだと思うのですが、「絶対に何か起こるぞ」と身構えていた分、拍子抜けしてしまいました。
今後も、この調子で何も起こらないでいてくれると良いのですが。

さてさて、GCPのCloud VPNの障害ですが、その後、特にご報告できるようなことは何もありませんでした。

YAMAHAルータのIKEをv1に変更したらVPNが接続できて通信可能となったが、暫くしたらまたVPNが切断されて通信できなくなった

という話をネットで見かけましたが、私の所ではそういうことはなく、IKEv1で問題なく通信できていました。
ただ、

Googleに問い合わせても
「Cloud VPN側では何も変更していません」
「YAMAHAはIKEv2でのVPN接続についてはYAMAHAルータ同士の接続しかサポートできないと言っているので（本当か？）、何のサポートもできません」

YAMAHAに問い合わせても
「Cloud VPNはサポート対象外なので、何も回答できません」

という回答だったので、YAMAHAルータに見切りをつけて、使用するのを止めることにしました。

「YAMAHAルータの使用頻度が高いから」という理由で選択しただけであって、YAMAHAルータでなければならないという訳ではありませんからね。
今は問題なく通信できているとはいえ、この状態がいつまで続いてくれるか判りませんし、GCPもYAMAHAも何もサポートできないということであるなら、ここは素直に使用を止めるのが一番だと思います。
とことん追求して原因が何なのかを解明すればYAMAHAに褒めてもらえるかもしれませんが、そこまでする義理もないですし、避けられる厄介事なら避けて通るべきでしょう。
ということで、YAMAHA RTX1210をCisco921Jに入れ替えました。
今の所、特に何の問題もなく通信できています。

Cisco921Jは筐体がコンパクトで良いですね、気に入りました。
ただ、電源がACアダプターで設置時に邪魔になるというのは前モデルのCisco841M同様なので、できればCisco1812Jみたいな内蔵電源に戻して欲しいところですが、ここまで筐体がスリムだとそういう訳にもいかなさそうです。
本体にACアダプタを固定できるようにしてくれるとか、せめてラックマウントキットにACアダプタの固定機能があれば有難いのですが、あれはどう設置するのが正解なんでしょうか？？
いつもキッティングの際に悩んでしまいます。
Cisco921JではACアダプタが小型、軽量化されたので、電源ケーブルのテンションで簡単にあっちこっちに行ってしまうので、少々始末が悪いです。

ちなみに、私はCiscoルータのVPNの設定はcrypt mapではなくVTI（Virtual Tunnel Interface）を使う派なのですが、これって少数派なのでしょうか？？
ネット上で設定例などを探してみてもVTIを使ったものを先ず見ないですし、自社の人間に尋ねてみてもcrypt mapを使う派ばかりでした。
それどころか、「VTIなんてものがあるんですね、初めて知りました」とか言われる始末です。
普段YAMAHAを使っている人には、crypt mapよりVTIの方が判り易いと思うんですけどねぇ。
VTIのConfigを公開して、布教活動でもしようかしらと思ってしまいました。
（どうしても見たいという奇特な方がいらっしゃったら、問い合わせフォームからリクエストを送ってくれたら公開するかもしれません）