クソ客 ゴミSE イミフリーダー

三重苦。いや、プロマネもgdgdなので4重苦。

というわけで設計のやり直し。何なら機器発注キャンセル、再選定。そんな事態に至らないかどうか再チェック。

やり口

・ルータで複数のグローバルをPAT
・ただしこれを冗長構成でやる・・・ネットワークサービスと合ってんのかコレ!?

合ってるかどうかはさておき、設定はできるし動くは動く。倒れるときにユーザのセッションは全部切れるが。これはまぁこのユースケースなら全然アリな考え方だ。ただ、こういう考え方を是とするかどうか? クソ客がクソしょぼくゴネる様子がおぞましく想像できる。


・中間をグローバルで構成/IPSはアクトスタンでセッションを引き継ぐ

アドレスが足りねぇ。
また、配線は変わるが機材の追加までは必要ない、とは言い切れずルータのモジュール間でチャネルが組めるかどうか、OSの機能確認時にLACP対応とはあったが実績は知らん。組めなかったらSPFでどないするん!?

アドレスが足りねぇ事件は最悪、ルータでStatic NATかませば動きそうではある。変換対象もIPSのバーチャルに向けてStatic切って、あたかもコアの先にあるように見せれば、中間セグメント上の重複が問題になったりしないかも。

が、そもそも二重にNATするってツッコミどころが深すぎる。言い訳としてはランニングコスト・・・って苦しすぎる。IPSでアクトスタンに引き継げるかも疑問だし、Static NATにそれなりにオーバーヘッドがあってぱふぉーまんすガーー、クソ客のクソゴネビットが立つこと間違いなし。



CiscoからPAT
https://www.cisco.com/c/ja_jp/support/docs/ip/network-address-translation-nat/26704-nat-faq-00.html#q18

インフラ先生からNATとタイマー
http://www.infraexpert.com/study/natz1.html
http://www.infraexpert.com/study/natz5.html


Ciscoから朝でのNAT PAT設定例
https://www.cisco.com/c/ja_jp/support/docs/security/pix-500-series-security-appliances/15243-19.html


別途LACP Activeの障害テスト。