2014年07月02日(水) - 22:18 | カテゴリ:
Network
今までは1回線シングル構成でns-labバックボーンを組んでいたのだが、
今夏WiMAX2+も新規に契約した事もあり、マルチホーミングも試してみたかったので、
この際だからとns-lab BB再構築をしてみた。
というのも、最近はルータが過負荷になる事が多く応答不能になったり、
最悪リブートしたりしていた事も背景にあったり。
…主な過負荷原因はACLのCBAC制御な訳ですが(´・ω・`)
という事で、負荷分散を視野に入れた冗長構成を新しく組んでみた。
今回からGS908Mは各部屋のVLAN分配用として配置。メインは安定のCiscoを採用。
今回はCisco1812-Jが一台と、Cisco1812W-Jが二台の合計3台構成。
ちなみに、Cisco1812シリーズ三台で40~50W程の消費電力。
今回の構成はこんな感じ(一部情報を削除)。
手書き構成案 実際の構成図
今回は、CBAC制御による過負荷ポイントに対して、HSRPとダイナミックルーティングを元にして分散+冗長化。
回線の方はクライアント等軽量トラフィックはWiMAXへ流す様にして、
サーバとか重量系を有線回線へ流す様にしてみた。
と言っても、WiMAXルータを電源ONしていない場合は今まで通り全部有線側に流れる訳ですが(´・ω・`)
上図だと、RIPとOSPFの再配布をしている箇所がクリティカルポイントになっているのだが、
この部分にはCBAC制御を入れない為、
そう簡単にはProcessOverLoadにはならないだろうと判断してこの構成に。
もし、応答不能状態になったらこの部分にルータを追加するか、もっと高性能な物を入れれば良いかなと。
またL2SWの部分もシングル状態になっているのだが、
そもそもサーバとかがNIC複数差しを考慮して構築していないので一つで良いと判断した。
『本来なら、このパケット集中部分とかL2SWを冗長化するべき』というのは言ってはいけない;y=ー( ゚д゚)・∵. ターン
あと、この構成なら検証環境をマルチエリアOSPFとして接続する事も可能なので、
今まで以上にルーティング検証とかがやりやすくなるかなという利点もあったり。
メインルータ群の裏面はこんな感じ。基本はPtoP状態で接続をしてある。
現状だと、まだまだポートが余っているので今後色々と増やしていきたい所。
ルータ直下のスイッチはこんな感じ。『2950一つで十分だろ』とは言ってはいけない(´・ω:;.:…
今回使っているCiscoスイッチは2950Tなのでギガポートが二つ付いている。
普通ならこのギガポートをルータに接続するのだが、
今回はこのポートに別の検証サーバを接続する予定がある為、Fa0/23とFa0/24をルータに接続。
………
今回組み替えて、HSRPを使っている関係上ルーティングが複雑化してしまったが、
まぁそこらは勉強も含めてという事で妥協。全てはFWがOSPFを吐けないのが悪い(´・ω・`)
今の所はこの構成で安定稼働しているので満足。
とりあえずは、この構成を軸に今夏を乗り切る事を目標にでもして、
コンフィグを色々弄っていきましょうかね。
« 続きを隠す
2014年06月22日(日) - 20:00 | カテゴリ:
Network
WiMAX2の回線発表からずっと待っていた、有線LANポート付きのルータがやっと来た!
今回はniftyの抱き合わせ2年契約を行ったので、Nexus7(2013年モデル)も付いてきた。
WiMAXは2が出る前に一時期契約して使っていたのだが、
それ程使わなくなってしまったので解約をしてしまっていた。
が、今夏あたりからモバイル回線がまた必要になってきたので、
NAD11が出る時に合わせて契約し直してきた。
とりあえず、必須なアプリだけ入れた状態に。
Nexus7(2013)は古めらしいのだが、未だにガラケーを使っている自分にとっては、
外使い用途として満足なスペックだった。GPS乗っているから地図代わりにもなるし。
で、肝心のWiMAX2回線速度なのだが予想以上に速かった。
計測場所はWiMAX2エリアの境界ギリギリあたりなのだが、
その状態でもちゃんと接続出来たので、とりあえずは安心。
その上での計測結果は下のようになった。
●計測直前のNAD11のステータス
軽くルータのACL調整を行った程度でこの速度… 恐るべしWiMAX2。
計測前には、実測値は精々10Mbps程度かと思っていたのだが、一昔前のADSL並みの速度が出て満足。
上り方向の速度は遅いが、モバイル回線でアップロードをする事は稀だと思うし、問題は薄いと判断。
今回の計測だと自宅でノートPC+有線クレードルの環境だったので、
今後どこかに出かけた際に、外で無線LAN経由とかで計測をしてみたい所。
« 続きを隠す
2014年06月13日(金) - 23:11 | カテゴリ:
Network
今年のInteropは6/11(水)~6/13(金)の開催でした
今回は本職重視で行ったのでネタは少なめ。
と言っても、自宅で元気に稼働しているYAMAHAルータとかCiscoは見に行ったが(`・ω・´)
毎年恒例であるInteropなのだが、昨年までは予定が付かなかったりで行く事が出来ていなかった。
そして、今年は本職の関係から行く機会を得られたので、
ここぞとばかりにNWラックに詰まったL3SWとか、普段は見られない上位ISP用GWとかを見てきた。
今年のInterop(と言っても初参加だが)は"トラフィックに耐える次世代設計NW"と、
"標的型&ゼロデイ攻撃にどう対処するか"という話題に特化している印象を受けた。
NW設計思想の方は、昨今で増えてきたスマホとかPCからのクラウド利用を想定してだと思われる。
"クラウド=NWの先"なので、それを支える為にはNWインフラは無くてはならない存在という位置づけに。
その為には、NW自体のダウンは元より応答性を犠牲にせず、
設計とアプライアンスでセキュリティ担保する設計思想など色々と興味深かった。
その事も相まってか、セキュリティアプライアンスも力が入っており、
中でも"シグネチャを使わないNGFW"の出典が多かった。
従来のFWだと、srcIP&dstIPやシグネチャ制御で遮断を行っていた為、運用が煩雑になる点と、
単体ではセキュリティリスクをフルカバーするのは難しいという弱点があった。
…その分、ノウハウ詰まっているので運用が楽なのですが
ソコに目を付けたのが、マルウェアの挙動から制御を行うアプライアンス製品の数々だった。
興味深かったのは、従来みたいな毎時のシグネチャ更新とかがいらなくなる物や、
アプリケーションレベルでの制御だとしても、ユーザ毎に通過と遮断の制御を切り替える物があったりした。
昨今だと、OpenSSLとかBINDとかの脆弱性がバンバン見つかっているので、
今後は『今までに無い方法でセキュリティ担保する』というのも重要になってくるのかもしれない。
………
で、個人的には一番の目玉であった、
YAMAHAのギガアクセスVPNルータ『RTX1210』ももちろん見てきた。
自宅のクライアントLANゲートウェイを支えているのはYAMAHAのNVR500なのだが、
運用しだしてから結構に数経っているのと、自鯖環境とクライアント環境でルータを分離させている現状から、
ここいらでRTX1210あたりを導入して中央管理化したい狙いもあったり。
コイツだと、3セグメントLANとかも普通に組めるのでセキュリティを維持しつつ柔軟なNWが組めそう。
まだ開発中との事もあり今後の作り込みによるのだろうが、
GUI面も刷新との事なので今冬は要チェックのNW機器の一つになりそう。
…そして、冬のボーナスはこれになりそう(´・ω・`)
後は、会場をブラブラしていたらいつの間にか集まったノベルティの数々…
これで、暫くはボールペンに困らなくてすむわね(`・ω・´)
« 続きを隠す
