えいっ と、勢いよくネットワークの再編成を行った。
奈良と静岡はL2-VPNで繋がり、IX2015を使った。
この夏に、6年ぐらい運用しつつけたアライドの24ポートスイッチを引退させ、HITACHI Apresiaに置き換えた。
そして、vlanやモニタリングをきっちり構築できる状況へ。
奈良のサーバ類は、ルータ、ネットワーク機器はすべてシリアルコンソールを持っている。
外部ルートは冗長化されており、片方のルータが死亡(HW的ではなく、オペミス等という意味)しても、もう片方のルータから、ログインし、コンソールサーバへ接続できるような状況を作ってあるため、リモートで一通りの作業が可能になっている。
そこで、vlan構成及びVPNの設定変更、フィルタの変更を、リモートで行っていたが、いちばん怖いのは、Apresiaのスイッチにすべて収容されていると言うこと。
このスイッチのvlan設定を誤ると、コンソールへの到達性も失われる(電気代を無視できるのであれば、きっと、スイッチを割っていた)。そこで、各vlanごとに到達性を確保し、vlanidの変更を行ったが、見事成功。
ただ、物理結線はwikiに資料として残しているので、わかるが、タグポートの事を考えておらず、接続されているので、今度その辺は物理結線の張り替えを行わないといけない。今週末奈良に帰るので、そのタイミングでやってみよう。
これで、奈良<->静岡間は、すべてHWルータでvpnが通ることになった。
今までPacketXでL2-VPNやvlanを構築していたが、微妙にハードウェアの性能、安定性に掛けることがあり、VPNを物理的に割りたかったのだが、電源やIPアドレスの空きの都合で物理的にハードウェアを増やすことが困難だったため、ずっと悩んでいたが、IX2015が解決してくれた。
かなーり、どきどきした久しぶりのオペレーションでした(笑)
補足。PacketiXが悪いのではなく、PacketixもNFSも結構重たい。同一ホストをつかって、NFS over VPNをやるときに、CPU負荷やIO負荷が同時に高くなると、VPN上のパケットが遅延、NFSが流れなくなって、kernelでlockされてしまい、vpnのパケットが処理できなくなるという問題があり、事実上同居はできない。それで、物理マシンを用意して、分けるかルータを用意するかで、悩んでいた。
ということで、今後の課題としては、packetixをつかい、vlanごとに、負荷の無いもの以外をbridgeしたものを、IX2015を使い、L2-VPNで張るとおもしろいかなという試み。
ついでに、ネットワーク構成で、L3ルーティング及びポリシールーティングをさせているLinux箱があり、こいつもコンソールで繋がっているのだが、ttyS0が使えないのでttyS1でコンソールしているのだが、シリアルコンソールでrootログインができないというはまり処があった(苦笑) securettyに、ttyS1がはいってないっT_T
ネットワークの到達性が無い状況ではまってしまいました。。。あらかじめコンソールでrootでログインして、確認しろよ、、というしっぱいしっぱい。
★ HITACHI Apresia マニュアル:
マニュアルが、一般配布されていないので、日立さんにお願いしてみたら、どういう事情で必要ですか?と聞かれたので、本体はあるけれどもマニュアルがない。vlanの設定を行いたいのだが、資料が欲しい。といった内容でお願いしたらいたくことができた。
普段、家では主にCiscoを使っているけど、昔から某データセンターで使われていて、ワイヤー速度きっちりと出るいいスイッチだと聞いたので、価格帯も比較的安いし、評判もいいからってことで、入手したんだけど、マニュアルが無くて…という経緯も添えて。そしたら、Cisco同様かわいがってください。といって、PDFで資料をいただくことができた。一応、家庭用に販売していないので、個人のサポートはできませんが協力はします。という感じでしたので、好感の持てる対応。今後とも、評価の対象とさせていただきます♪