DigiLoog

自宅の仮想サーバホストを接続しているL2スイッチと、
FirewallとVPNルータを接続するL2スイッチは別筐体を使っており、
2本のLANケーブルでEtherChannelを組む事で冗長化と帯域確保をしている。

今回、仮想サーバホストを接続している方のL2スイッチでSFPモジュールを認識しなくなってしまった。
動作が不安定になった直後は、Administratively-Up・LineProtocol-Downの状態だった為、
LANケーブル不良と思って抜き差ししたら、Administratively-Down・LineProtocol-Downに遷移して、
SFPモジュール自体を認識しなくなった。

『こりゃダメだわ _(´ཀ`」∠)_』と判断してSFPモジュールの在庫から入れ替える事とした。

そもそも、RJ-45ポートが余っているのにGLC-Tを利用している理由だが、
SFPモジュールの動作テストと故障時の切り分け勉強用となる。
以前は光ケーブルを使うSFPモジュールを使っていたが、
自宅コアルータを刷新した際に撤去した為、代わりとしてGLC-Tを利用している。
GLC-Tはかなり熱くなるのだが含めて動作テストとなる。

在庫と交換したのは、黒いLANケーブルを接続している右下のSFPモジュール。
交換後にLinkup・Linkdownテストと200Mbps程度の通信を1時間流して負荷テストしたが普通に動作した。

………

本職の方ではSFPモジュール故障に遭遇した経験もあるが、自宅の方で壊れたのは初で驚いた。
ここ最近は様々なトラフィックを大量に流して負荷がかかっていたのと、
そもそもGLC-T自体が古いので物理的に寿命だったのかもしれない。

今回の純粋な故障によって壊れた時の挙動が見れたのは勉強になった。
でも、在庫が尽きてしまったので次のSFPモジュールを何処かのタイミングで入荷せねば。

筆者の自宅ラボ環境は、複数拠点をVPNで接続しつつBGPによるルーティング交換をしており、
30経路前後が普段流れている。
折角、ルーティングがそれなりに流れているのなら、
ルーティングをWebブラウザで見れるLooking Glassをやってみたいと思っていた。

IXや研究機関で実装されていたりするが、専用のルータに直接SSHしてコマンドを打ち込むか、
Webサーバ上で表示出来るようにしている場合が多い。
自宅ラボでどの様に実装するか迷ったが、
今回はInteropでも利用していたOSSのLooking Glassを使ってWebブラウザで見れる様にした。

• GitHub – Looking Glass

最初に結論を書いてしまうが、
vEOSではVXLANインターフェースでPath MTU Discoveryが出来ないのが原因だった。

………

今までもVXLANは試用していたが、MTU1500の同一LAN内でしか使っていなかった。
今回は広域LANでどう動くのか見る為、
インターネット経由のIPSecVPNをアンダーレイネットワークとして構築した上に、
VXLANを構築しようとしたのだが、通信を流しても断続的に止まってしまった。

通常はMTU1500でLAN内の通信をする事が多い。
しかし、IPSecVPNをするとVPNパケット分のオーバーヘッドが増えてしまう。
昨今のインターネット回線でMTU1500の通信が出来るのはビジネス用途とNURO位で、
他の回線は軒並みMTUを減らす必要がある。

vEOSでPath MTU Discoveryが出来ないので、
アンダーレイのMTUを1550以上まで増やす必要があるのだが、
インターネット上のIPSecVPNが問題になりMTUの変更が出来なかった。

少し調べてみた所、
ネットワーク層(L3)ならPath MTU Discoveryでパケットの分割と再構築が出来るが、
データリンク層(L2)でMTU分割をすると、
パケットを上手く繋ぎなおすのが難しいらしく搭載されないケースが多い模様。
ALAXALAの高いL3スイッチではVXLAN PMTUが搭載されているが、
他ベンダーのネットワーク装置では搭載している物が見つからなかった。

今回は検証環境なので別の手段に置き換えて構築する方針に変更する事に。
今後やろうと思っているKubernetesでも使う内容なので、
この機会に細かい部分まで弄ってみようと思う。