title
TOP / Wiki / Diary / Profile / PC / BBS / Mail
わたしの日記は日々の出来事の鬱憤晴らしの毒だし日記がメインです。 相当病んでいます。くだを巻いています。許容出来る方のみのアクセスをお願いします。 また、この日記へのリンクは原則自由にして頂いても結構ですが、 写真への直リンクを張るのはご遠慮下さい。内容に関しては、一切保証致しません。
カテゴリ一覧 Network, Internet, IPv6, DC, NTT, Comp, Linux, Debian, FreeBSD, Windows, Server, Security, IRC, 大学, Neta, spam, , 生活, 遊び, Drive, TV, 仕事,
過去日記:



2016年07月17日() [晴れ]

[Security][Network][Neta] Panasonic Switch-M16eG を購入・不良・交換したら YAMAHA RTX1200になり、納品物には設定済み。そのままフレッツにつないだら繋がるかもしれないが、不正アクセスになる?

福岡デイリーサービスという会社から、YAMAHA RTX1100および、 Panasonic Switch-M16eGというスイッチが安く出ていたので、全台(7台)を購入した。

このシリーズで有名なのは、PoEスイッチとして、Panasonic製の監視カメラの組み合わせて使うケースが多いと思う。もちろん、そのほかのメーカーであれば、Apresiaなども有名。

でも、今回購入したのは、非PoEモデル。 何がよいかというと、高温でも使える、FANレス、省エネモードがついてるインテリジェントであり、LinkAggregation、VLAN、SNMP対応、ミラーポートなど、最低限の機能などもつかえる。SFPポートも搭載している、高負荷をかけた状態でも15W程度ということだ。無負荷であれば、ワットチェッカーではかったところ、5Wを切り、測定不能というレベル。まとめると下記のような感じ。

島ハブとしてはとてもよいソリューションだ。RTX1100は1500円で出てたということ、まとめて買うなら送料が。ということで、現在動いているRTX1000が壊れたときのコールドスタンバイ。

現在はこんな感じで、今のところ壊れる様子もないが、いつ壊れてもおかしくない。

GW-RTX:> show environment
RTX1000
  main:  RTX1000 ver=XX serial=XXXXXXX MAC-Address=00:a0:de:XX:XX:XX MAC-Address=00:a0:de:XX:XX:XX
         MAC-Address=00:a0:de:XX:XX:XX
CPU:   5%(5sec)   8%(1min)   8%(5min)    Memory: 31% used
Firmware: internal  Config. file: 0
Boot time: 2009/12/31 03:07:21 +09:00
Current time: 2016/07/13 22:56:36 +09:00
Elapsed time from boot: 2386days 19:49:15

もう、2300日超えた。そろそろ6年ちょい。この機器を導入して、優に10数年。でも、いつお亡くなりになるかわかりません。

で、本題に入ろう、Panasonic Switch-M16eG を 合計7台購入して、うち2台、高周波音という異音を出す筐体が2台あったので、交換もしくは返品をお願いした。
しかし、交換品はない、返品も受け付けない、代替品で手を打たせてくれという。
で。代替品の提案がこういう内容。いや、調べろよ。

交換品のスペック等分りませんが...
NEC QX-S3126T-BS

交換品の提案が、 NEC QX-S3126T-BSで100M 24ポート、アップリンクにGigaポートがあるモデル。 全ポートGigaで省電力というものを購入しているのにもかかわらず、100Mのスイッチですよ。意味が全くない、てかゴミ。スペック知らずに適当に押しつけるのはどういうことかと。まずこの時点で対応がおかしい。
「要件(orスペック)があわないかもしれませんがいいですか?」
と聞くのが筋。
全ポートギガで省電力のインテリジェントでないと意味がないということで、突っ返したところ、「 代替品にYAMAHA RTX1200 2台でどうでしょうか。8ポートのSwitch-M8eGも2台つけます。」 ということだったので、手を打った。これは、ルータであり、HUBではないが、本当はRTX1100ではなく、1200がほしかったので了承。 8ポートのものもついたということで、合計16ポートになった。ラッキー。

届いたルータを確認していると、ログインできない。あら、気を利かせてくれて、設定をいれておいてくれたのか。ふむふむ。 パスワードなどの諸情報を教えてもらってないので、とりあえず時間も無いし、パスワードリカバリしよう。

YAMAHA ルータの場合、シリアルコンソール経由で操作するばあい、デフォルトパスワードとして、「w,lXlma」を入力すると、管理パスワードが不明でも管理モードになれる(詳細: 4.10 セキュリティクラスの設定)。ふむふむ、ログイン成功。てことで、こんな感じ。

ほ、ほう、親切に、VPNの設定とISPの設定をしてくれているじゃないですか。
事前に配線する前に、コンソールでつないで設定を確認したけど、このままフレッツにつなぐとPPPoEでASAHINETにつながっちゃうのかなぁ。
これ、 納品されたものに初期設定しておいてくれたものなので、使ってよいってことなのかなぁ。よくわからない。
これが、 不正に渡った、もしくは設定されていたアカウントなら、購入・納品されたルータをフレッツおよびLANに配線、設定しようとしたら繋がっていたというだけで、不正アクセス禁止法に引っかかるのかしら。 私は専門家でもなんでもない一般人なので良くわかりませんが。もし、ひっかかったら誰が罰せられるのだろうか。いや、ルーター安く買えた、とりあえずつないだらネットにつながった〜。っていうのは十分に考えられるシナリオ。

とりあえず、DDNSで osakanameosaka.aa0.netvolante.jp という名前が登録されていたので、調べてみよう。さらに接続先のホストに対して、osakanametokyo.aa0.netvolante.jp というのもあった。

$ host osakanameosaka.aa0.netvolante.jp
osakanameosaka.aa0.netvolante.jp has address 110.4.151.77

$ host osakanametokyo.aa0.netvolante.jp
osakanametokyo.aa0.netvolante.jp has address 14.3.35.187

$ ping 110.4.151.77
PING 110.4.151.77 (110.4.151.77) 56(84) bytes of data.
64 bytes from 110.4.151.77: icmp_req=1 ttl=241 time=32.8 ms
64 bytes from 110.4.151.77: icmp_req=2 ttl=241 time=27.3 ms
^C
--- 110.4.151.77 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms

$ ping 14.3.35.187
PING 14.3.35.187 (14.3.35.187) 56(84) bytes of data.
64 bytes from 14.3.35.187: icmp_req=1 ttl=242 time=24.0 ms
64 bytes from 14.3.35.187: icmp_req=2 ttl=242 time=19.9 ms
64 bytes from 14.3.35.187: icmp_req=3 ttl=241 time=20.0 ms
^C
--- 14.3.35.187 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 19.985/21.381/24.063/1.896 ms

ほ、ほう、生きてるのね。

ついでにこういうものもある。昔、2010年頃、YAMAHAがDDNSの移設をしたときか、ウォッチしていてミラーしたもの。

うん、2012/11/3の段階ではなかったレコードのようだ。
ということで、configを眺めてみると、VPNが3拠点はっているようで、descriptionからみると、大阪、福岡、東京の3拠点だった。

次に2台目を調査してみたところ、下記のような設定が入っていた。


(スクリーンショットをとるときに間違えてjpgにしてしまったらしく画質が...)

設定を確認すると、alpha-web.ne.jp って大塚商会。今はヴェクタント(現アルテリアネットワーク)のローミング。
最近、アルテリアのフレッツは品質落ちてますねぇ。。ココ。

脱線しちゃうけど、我が家の環境はISPはちがえど、アルテリアのローミング回線。RTTはこんな感じ。平日日勤時間帯のみRTTが40msぐらいまでのびる。この現象はここのところ最近のsmokepingの結果。ちなみに内部からではなく外部の契約しているDC上にあるネットワークからからsmokepingを仕掛けている。


参考に終端されているNTE側

明らかに法人ユースで平日日中帯だけRTTがのびる。
フレッツ側の終端はほとんど揺らがないが、アクセス側だけ揺らいでいる。

話を戻して、configんでいくと、記述方法が違うこと(特にフィルタ周りとかの定義の仕方)、互いに繋がっていないこと、ISPもIPアドレスも違うということもあり、この納品された2台は組が違うようだ。てことは、拠点の一部のルータが流れてきたってことか。

さらに調べていると、大塚商会にVPNソリューションというのがあり、 大塚商会 YAMAHA VPNルーターというのがある。ここのサイトによると、「大塚商会は導入から運用管理までワンストップで対応します。」と記載。これだったらおもしろいな。

いろいろとconfigをみたり、分析したりすると、おもしろいなぁ。それとも、わざわざRTX1200を設定済みのものを渡したって事は、引きこもりの末端作業員にVPNで接続してなにか仕事しろってことなのだろうか。うん、おもしろい 福岡デイリーサービスという会社であった。

まあ、どういう経緯で渡されたか不明だけど、設定済みのルータを配るときは危険なので、注意しましょう。てか、設定消せよ。まあ、configで、みられたらまずいものは、 4.10 セキュリティクラスの設定に記載があるとおり、forget off にしておくべき事案ですね。
ということで、中古で買うときは通電のみとかジャンクを買うとおもしろいですよ。てか、古物商やるなら、責任を持つというのを免許の項目に入れるべきではないか。情報漏洩する元は、販売する会社に問題があるということですね。

あと、福岡デイリーサービスという会社名を検索すると、よろしい評判はあまり見あたらないが、まあおいておくとして、 PC Watch: RITEA、中古情報機器取扱認定25社を発表という記事があり、調べていると、下記のような記載 が。

 PC等の普及に伴い、中古品の売買が増加したことで、HDD内のデータ未消去による情報漏洩問題が顕在化してきた。また、売買における基準や目安といった客観的な情報がないといった課題もある。

 これらの問題の解決のためRITEAでは、PC/サーバー/ワークステーションを対象に、良質な中古情報機器を取り扱う企業としての基本的な仕組み、中古情報機器の取扱に関する適切な業務処理の仕組み、ユーザーに対する適切な情報提供の仕組みからなる33項目の審査規定を設け、事業者に対して、買取(引取)、再生工事(データ消去)、販売、の3分野での資格認定を開始した。

もちろん、 一般社団法人 情報機器リユース・リサイクル協会 会員会社一覧にも記載があった。すなわち、正しく実施出来ていないもしくは、意図的に入れたまま出荷したというどちらかってことでしょうか。ま、後者だと思いますけどね(^^)

最後に)
私は設定済みのものをわざわざ納品してくれたという認識でかつ、購入したものを公開してはいけないというNDAなどは一切結んでいないので赤裸々に書いています。あくまでも商品を購入した側。またルーターメーカーの逆アセンブルを禁止するなどといったものにもふれておりません。センシティブなパスワードおよびシリアルナンバー、MacAddressなどは念のため伏せています。あくまでも購入したものをレビューしたにすぎませんので。
# IPアドレスから社名などわからないのでそのまま書いているし、書かないと他のストーリーが書けないから。


 別件で同じ業者から購入していたRTX1500は (8/13追記):



お見事っ!株式会社長崎ケーブルメディアのネットワークでがっつり使われていたようだ。
このアドレスの採番の仕方といえば、NCMから流れたものもしくはNCMと契約した顧客もしくはSIerから流れたものであるのはほぼ間違いないだろう。ちなみに、 法人向けIP-VPNサービスというのがあるが、こちらはMPLSやVLANをつかったとあるので、おそらくコレとは異なる可能性も。以前はどうかはわかりませんが。

おさっち  『Web Assistance でググると何台か出てきますよ。 レポート作成ボタンをクリックされれば、漏れ漏れですが。』
[ コメントを読む(1) | コメントする ]

[Security][Windows] 標的型攻撃でねらわれるお馬鹿さんは、拡張子が読めないから?

Windowsのデフォルトでは、拡張子を表示しないため、zipなのか、バイナリなのか、ぱっと見てわからない。しかも、アイコン表示にしておくと、ファイル種別が表示されないので、判断が困難だ。まあ、強いていうならアイコンを見て判断するぐらいか。
なんで、拡張子表示させないの? exe とか zip とあるだけで、ひとまず警戒しろって出来るよね。 意味わからない。だから、そこをついて、〜.docx.exe とかはやるわけだよね。
Micro$oftがこのあたりの仕様を改善するだけ、拡張子を意識させるだけでずいぶん減るのではないか。もちろん、メーラーなどのアプリケーションももちろんのこと、拡張子がはっきり確認出来るようにしておくだけでもずいぶん減らせると思うんだが。昔も今も拡張子がみえないと意味わからない私がいる。

通りすがりこダメ人間  『docでもマクロウィルスなどあるので安心できません&拡張子偽装とか逆から綴るやつとかあるので、うっかりしそうな人は上司が滝行に出してやるべき』
tomocha  『確かにそうですね。ただ、マクロが含まれていると、最近のオフィスはマクロがあるので、実行を許可するか求めてくるとおもいますが、出てきたら、問題ないものか確認しましょうというフローでも大丈夫かと。 正しくない拡張子をつけて。。。だと、確かに気づけませんね。でも、戻さないと正しくアクセス出来ないので、その時点であれ?と気づくのかな。 まずは、拡張子、ファイル名を意識するところからしっかりと始めると、大半は防げるのかもしれません。ただ、本気でねらわれて、正規のメールを偽装(fromや名前などすべて正しく記載されているケース)はこの方法では防げませんが。 』
[ コメントを読む(2) | コメントする ]

[Network] Cisco C841M-4X-JSEC/K9 を導入したらドはまった。だって、データシートに書いてあるOSPFv3が動かないんだもの。という顛末。

家のネットワークが、IX2015 で 100Mであったこともあり、そろそろGigaにしたいなぁと。ちょうど、ヤフオクで大黒屋というところが、新品で出品していたC841Mを落札。このCisco Startシリーズは、最初から保守が2年込みがウリ。15kぐらい。買う前に、IPv6に対応していること、OSPFv3およびVRFに対応していることが条件だった。
いろいろとやりとりをしているウチに、後述する理由でデータシートなどを書き換えられてしまったので、とりあえず、当時の公開されていたスペックは下記を参照にしていただきたい。

INTERNET Watch: 誰のための日本語GUIなのか? 中小企業向け低価格ルーター「Cisco 841M J」( データシートミラー, スクリーンショット)

データシートでは、OSPFv3が使えるとある。ただし、BGP4+にはPDFのデータシートには対応と記載があるが、Webには未記載。
後者は謎であったが、今回対外接続でBGP/BGP4+でフルルート食べさせたりしないので、Advanced Security で 必要要件には十分であった。

実際に導入するべく、環境構築、検証してみると、OSPFv3が動作しない。
まず、環境は下記の通り。

#sh ver

Cisco IOS Software, C800M Software (C800M-UNIVERSALK9-M), Version 15.5(3)M, RELEASE SOFTWARE (fc1)

-------------------------------------------------
Device#   PID                   SN
-------------------------------------------------
*1        C841M-4X-JSEC/K9      FGLXXXXXX

License Information for 'c800m'
    License Level: advsecurity   Type: Permanent
    Next reboot license Level: advsecurity

OSPFv3の設定をいれてみようとすると、下記のようなエラーメッセージ。

(config)#router ospfv3 1
Protocol not in this image

(config)#ipv6 router ?

rip IPv6 Routing Information Protocol (RIPv6)

(config)#


(config)#int vlan XX
(config-if)#ipv6 ospf ?
% Unrecognized command

Protocol not in this image といわれ、このイメージ(C800M-UNIVERSALK9-M)では使えないといわれるので、シスコサポートコミュニティーの Cisco Startルータというコミュニティーに C841M-4X-JSEC/K9 で、OSPFv3を使いたいと投稿した。

それと同時に、固有の問題と考え、改めて、Amazon で Cisco Systems ギガビット対応VPNルータ C841M-4X-JSEC/K9/START【保守2年付】というのがあり、ぽちっとなと購入して検証してみたが、同じ挙動。


 保守登録ができない:

仕方なく、サポートコミュニティーに投稿しても応答がなく、しかたなく、ケースオープンをするため、保守登録をしようとすると、販売店は登録しないという。大黒屋は新品ということで購入したが、保守登録のしかたもわからないし返品の対応もしない、メーカーに聞けと一点ばり。Ciscoは販売店にいって、登録してくれという。行き詰まる。で改めてCiscoの回答を販売店に伝えると、大黒屋は販売店に聞けと何度も言う。 もう一点で購入した SMART1-SHOPも同じことを言う。エビデンスとして次のようなメールをもらった。

大黒屋

質問)
----
Cisco製品の場合は、新品の場合は、基本的に保守加入が必須となっておりますが、
手続きについて教えてください。
こちらで登録しようとした際できなかったので販売店から登録してもらう必要があります。

ソフトウェアについて、最新のものを提供をお願いいたします。
確認したところ、現時点で、

 c800m-universalk9-mz.SPA.156-2.T.bin

が最新のものとなっています。

また、OSPFv3の使用を前提で購入していますが、下記の内容には対応とありますが、
今回納品いただいたものでは使えませんでした。
ご確認いただけますか?
必要に応じてTACにあげる必要があると思いますので、保守情報をいただけないのであれば、
そちらで対応願います。


回答)
----
保守加入の件ですが未使用品の為、確認はしておりませんでした。
申し訳ございません。
また専門店でない為、今回の件はお手数ですがメーカーに
お問い合わせください。
万が一問い合わせされても解決されない場合はこちらの連絡掲示板に
ご連絡ください。
ご対応させて頂きます。
宜しくお願い致します。

やりとりをして返品を要求したが結果、データシートに記載事項が動かないが電源が入るといったニュアンスで、拒否。途中で返事が無くなった。

SMART1-SHOP - Amazon マーケットプレイス <XXXXXX@marketplace.amazon.co.jp> 

ご連絡頂きました保守登録につきまして、誠に申し訳ございませんが、
お客様にてご登録を行なって頂いておりますので、何卒ご了承頂きますよう、
宜しくお願い申し上げます。

なお、ご登録方法につきましては、下記メーカーサポートにて
ご案内をさせて頂いておりますので、ご利用下さいませ。

【Cisco Systems】

TEL 0120-092-255

平日 10:00〜12:00、13:00〜17:00

以上、大変お手数ではございますが、ご確認頂きますよう、
宜しくお願い申し上げます。

 保守登録は出来ないもののケースオープンは出来た:

こういう糞会社は排除すべき。ということで、晒しあげる。らちがあかなくて何度もやりとりしてて、ルータに不具合があるのか動かないので、困ってるといったら、保守の登録はしてないものの有効期限を確認しますとのことで、期間内。そりゃ、販売されてそんなにたってないし、購入して数日ですから。とにかく症状を伝え、チケットを切ってもらった。内容は、OSPFv3が動かない。どうしたら動くか?という内容。

そこから、問題解決まで1ヶ月ほど。。。中国人の対応がものすごく悪く、クレームをいれもしたが、やりとりの最中、いきなりガチャ切りするわ、名前を間違えるはで最悪。聞いてみると大連に飛ばしているらしく中国人。チケットでのエビデンスものこさず、電話ばっかりかけてくる。いや、こっち、現場作業員のOLだし、その場で確認できるわけでもないのに、今すぐ確認しろとか平気でいってくる。その割には記録としてチケットに残さない状態。もう、サポート最悪。

結局、その後、サポートの方も困ったらしく、商品担当にエスカレしたようで、FacebookのDMでともちゃ、あれの件だけど・・・僕商品担当。。。ということで、裏でやりとりしつつ・・・。えっと、とてもコストの高い知人が出てきてしまって焦る。ま、無事に解決して、全台保守交換となった。


 RMAで交換品はDHLで...:

交換品を送るときに運送会社を聞いても、中華野郎はわからないと。確認しますといって、最終的に判明したのは、DHL、ここから地獄の始まり。
DHLは平日にしか配送出来ない(=土日祝は不可)、時間指定も出来ないという。

末端作業員のOLの身としては、平日は家にいないし、平日時間指定出来ないといわれると、そもそも受け取りできない。会社に送るにしても元箱含めてでかいしむりだし、そういう場所でもない。
そして、中華の人はなぜ受け取れないのか理解出来ないという状況。

あいつらは仕事さぼればいいとでもおもってるのか、と喉から台詞が出てきそうになってしまう。
が、ぐっとこらえて、DHLでおくられたら一生受け取れないよ。誰かに受け取ってもらえないのかともいわれるけど、無理。一人と返す。

一人暮らしの寂しい末路を送ってる婚期を逃した生き遅れの私にはとうてい無理ってこと。相方仮にいてても、仕事してるだろうにw

そして、振り出しに戻り、配送業者から不在ですと連絡が入ったようで、電話。

「いつ受け取れますか?」

と会話が成り立たない。


 とりあえず六本木経由で佐川で送ってもらった&RMAで返送するのもDHLとか...:

んで、困って、ひとまず、商品担当の人に相談。そうすると、結局、六本木で受け取ってもらい、佐川急便で発送してもらうということに。
佐川急便は車で往復50キロ弱ドライブしたら24時間受け取れる集荷場があるので、それで送ってもらった。
ちなみにクロネコヤマト宅急便やゆうパックなどは19時、17時なのです。通勤片道2時間以上かかってるような田舎ものには受け取れません。

この時点で、保守部品到着後の返却期限がきていて、不良品はいつ返送してくれますか?と中華の野郎は電話してくる。

さすが交換品を受け取ってないのにそれはねーだろ。とブチ切れ寸前。そして、返送方法を確認してみると...

要約すると、「DHLに集荷の依頼をして、送り返せ、平日しか無理だ。受付は24時間WEBでできるけどな、ガハハハ」

という感じで、平日家にいねーっていってるだろと。深夜0時以降きてくれるならええぞといったら、出来ませんって。。

最終的に、使える運送会社でいいから送り返してくれってことになった。


 佐川の対応が今回はいつも以上に糞。わかってたけど。:

佐川急便で不在伝票がはいってたので、 電話をしたら、営業所はでない、自動音声。仕方なく24時間の営業所まで片道25kほど車でドライブしていくと、
一言目に、 事前に連絡くれました?探すのに時間かかりますよ。

だと。何度電話しても出なかったのはどこのだれですか?出ないんだったら繋がる番号を教えろいうが、教えれない。と返された。
相当殺意がわく。

そして、伝票を渡して、引き取るとき、身分証明出来るものをいわれたので、伝票と免許証でセットであって名前も書いてあるが、本人確認できない、住所確認ができないといって引き渡し拒否しやがる。1時間ぐらいもめてやっと引き渡し。その間、トラックがやってきて、Amazonの物流用のトラックだったようで、暇なので受付けエリアから写真をとりまくって、中を観察してじろじろとみて、Twitterにあげるw ぐずぐずするからだよ。んたく。
ちなみに、本人確認できない、住所確認できないとかいわれたの初めてです。伝票、同じ名前の免許証で。だったら、今から帰るから、その住所に持ってこいといったら出来ませんとさ。ほんまに佐川も糞。

やっと受け取り、交換、再設定。これで、IP Advancedとなりました。
解決の後、クロネコヤマト宅急便で深夜にコンビニに車で持って行って返送しました。


 その後、データシートが修正される:

その後、 シスコサポートコミュニティ C841M データシート訂正のお知らせというのが掲載され、データシートが訂正されました。

訂正対象>
Cisco 841M J シリーズデータシート
https://www.cisco.com/web/JP/smb/c800m/docs/c800mj_data_sheet_c78-732678.pdf
http://www.cisco.com/web/JP/product/hs/routers/c800isr/prodlit/data_sheet_c78-732678.html
https://www.cisco.com/web/JP/product/hs/routers/c800isr/prodlit/pdf/data_sheet_c78-732678.pdf

<訂正内容>
表 3. Cisco 800M シリーズ ISR の Cisco IOS ソフトウェア ハイレベル フィーチャ セット:
Advanced Security において、OSPFv3 が記載されておりましたが、同プロトコルは 
Advanced Security モデルである C841M-4X-JSEC/K9ではサポートされていないため、
訂正いたしました。

とりあえず、Cisco 841Mシリーズには、フューチャーセットのアップグレードパスが存在せず、買い換えしかないようで、販売店経由でといわれたものの対応しねぇ、と一点張りということなのでそのときのメールを送るなどして直接Cisco社に対応していただきました。ほんと、疲れた...
本当に商品担当の人に助けてもらわなければ解決出来なかったかと思うとぞっとします。ありがとう!

結局、昨年10月頃販売されて、おそらくそこそこの台数がでてるとおもうのだが、こういう質問がでてこないということは、誰もOSPFv3は使ってないのか?っおもう。そもそも論として、なぜ、IPv4では、OSPFもBGPも対応しているのに、IPv6だけ対応しないのか、これからIPv6が必須という時になぜはずすのかが理解出来なかったのです。そして、それにだれも気づかなかったということは、日本ではそれ以上にIPv6に対して遅れているということがいえるのではないかという感じ。あ、ちなみになぜ日本とくくっているかというと、Advanced Securityは日本限定販売のモデルだからです。日本の実情にあわせてるといっても過言ではないでしょうね。


 まとめ:

ということで、以前NetOneからCisco Start のWLC一式を購入したが、こちらは適切に保守登録がされており、ケースオープン、TACが問題なくきれるようですが、C841Mはケースオープン出来ないので電話で(ry だそうです。。。

おさっち  『こりゃ、中小企業向きでは売れませんね。』
[ コメントを読む(1) | コメントする ]

[Network][IPv6] Cisco 841M 15.5(3)M でIPv6の通信が不安定、原因は、ipv6 cef という可能性が濃厚

Ciscoサポートコミュニティーにも投稿されているが、この問題はコミュニティー上では解決せず、「サービスリクエストをオープンいただいた方がよいと思います。」という状況になっている。
同様の問題も構築中に発生し、IPv6 PPPoE でDial、SVIを数個切ってる。
DHCPv6で取得したSVI配下の端末から、ping6を送信すると、きれいに50%(2個に1つ)かならずロスするという問題があった。
いろいろと調査していく結果、Ciscoルータからpingを送信したばあいロスしない、ルータがSVIをまたいでフォワードするケースでパケットが50%きれいに落ちるという状況。

実は、cefが問題ではないかとおもい、下記のコマンドを投げた。

# no ipv6 cef
# ipv6 cef

そうすると、見事に回復。Cisco Express Forwarding(CEF; シスコ エクスプレス フォワーディング) にバグがあるのが明確となった。さて、どうしたものか....とりあえずの work around はあるものの気持ち悪い。さあ、IOSを提供してもらおうかとおもうと、また、電話で・・・かよ。。とおもうと気が滅入る。ちなみに、My Ciscoには未だに保守登録がされておらず、ケースオープンが出来ません。よって電話で(ry

[ コメントを読む(0) | コメントする ]

[Network] 841Mをつかってみて

使っている環境は、IPv4(PPPoE, OSPF, vrf, NAT), IPv6(PPPoE, OSPFv3, vrf) という構成。vrfは自宅内にゲスト環境と仕事用の環境、プライベート環境が混在しており、特定のVLANはデータセンターに繋がってるとか、ルーティングされているといったものがあり、分けないといけないことから、vrfが必須になっている。元々複数のルータを使ったり、ACLでがんばっていたもののそろそろきつくなり、vrfを採用した。

フレッツでPPPoEを使っていると、NATセッションを酷使していない範囲では、200Mbps程度問題なく出る(フレッツのv4の上限なので問題ない)ので、パフォーマンスには特に問題ないが、一定の周期でRTTが大きくなり、1ms〜10ms強のジッターが発生する。

--- 192.168.XX.XX ping statistics ---
169 packets transmitted, 169 received, 0% packet loss, time 168439ms
rtt min/avg/max/mdev = 0.592/1.030/14.076/1.371 ms

おおよそ、30秒〜50秒程度の間隔なので、OSPFの周期ではないかと想像しているのだが、このジッターが実は結構不快感を肌で感じることが出来てしまいきつい。

また、DS-Liteを使った場合、CPUが張り付いてしまい、実効スループットは、40Mbpsも出ない。

[ コメントを読む(0) | コメントする ]

[IPv6][NTT][Internet][Network] IPoE + IIJmio + Transix + DS-Lite で実験

背景として、広域(東阪/奈)でネットワークが敷設してあり、Cisco WLCを導入し、Flex Connectで繋がっている。
Flex Connectを敷設してある拠点ではどこででも同じVLANにアクセス出来る構成となっている。

ちょっと早いが母の日にということで、iPad2をプレゼントしたので、それようのゲストWiFiを用意する必要が出来た。

ただ、既存のv4環境はVPNやDCなどと繋がっていたり、特定のサイトにアクセスが可能なネットワークとなっているため、そのまま出せない。 ip filterをすべてのサイトに対して実施するのは事実上困難であり、別の回線を用意するか、あいているグローバルIPでNATをして専用のネットワークを出すか、もしくは別途ISPを契約するしかなかった。また、友達が遊びに来た際、提供出来るネットワークも作りたかったので、環境を準備することにした。そのほかテスト用の端末や、大容量のサイズをダウンロードするときも高速なネットワークがほしいと思ったりもする。

そこで、既存の環境はそのままで、新たに Transix + DS-Lite の設定を用意すれば、別途ISPの契約もグローバルIPの消費もいらないという名案が浮かび上がり実装することにした。

ちなみに西の回線はBフレッツファミリー100なので、IPoEではないので、この方法は使えないので、東の環境で構築し、VLANをのばしたり、Flets Connectを使ったりして、西の方で提供、母親が使えるようにした。
環境は以下の通り。

Ciscoの設定は簡単で、下記のようにすればよい。このあたりは インターネットマルチフィード DS-Lite IPv4接続オプション接続確認機種情報Cisco 1812Jを参考にすればよい。

我が家では下記の通り設定した。
なお、2404:8E00::FEED:100 および 2404:8E00::FEED:101 はAFTRのアドレスだ。

 ! ONU
 ! track 100 interface GigabitEthernet0/5 line-protocol

 ! DS-LITE
 interface Tunnel1
  description MF-DS-LITE
  ip vrf forwarding guestnet
  ip address 192.0.0.2 255.255.255.252
  ip nat outside
  ip nat enable
  ip virtual-reassembly in
  tunnel source GigabitEthernet0/5
  tunnel mode ipv6
  tunnel destination 2404:8E00::FEED:100

 ! LAN IF
 interface Vlan100
  description TOKYO-GUESTNET
  ip vrf forwarding guestnet
  ip address 172.16.0.3 255.255.252.0
  ip nat inside
  ip virtual-reassembly in
  ip ospf shutdown
  ospfv3 shutdown
 ! vrrp 100 ip 172.16.0.1
 ! vrrp 100 timers learn
 ! vrrp 100 priority 90
 ! vrrp 100 track 100 decrement 254
 ip route vrf guestnet 0.0.0.0 0.0.0.0 192.0.0.1

これで、パフォーマンステストで1Gbpsぐらいの負荷をかけようとしたり、TCPセッションが何本はれるか実験をした。
そうすると、40Mbps程度しかでなく、おっせーなー、とおもいPPPoEの方が、200Mbpsぐらいでて早いじゃん・・・という無残な結果。

IIJのてくログには、 IIJmioひかりの混雑の理由とバイパス手段(IPoE・DS-Lite対応)にかいてある通り、DS-Liteのほうが早いという期待をしていたが、かなりガックシ。おっせーとおもい調べていたら、ルータのCPUが100%になっていることが判明し、このルータではないな、、、という無惨な結果。この結論はおいておいて、おもしろい遊びが出来るおもちゃを手に入れてしまったので、遊んで^H^H^H検証してみることにした。

sample configはこんな感じ。

interface Tunnel0
 description MF-DS-LITE
 ip address 192.0.0.2 255.255.255.252
 ip nat outside
 ip nat enable
 ip virtual-reassembly in
 tunnel source GigabitEthernet0/5
 tunnel mode ipv6
 tunnel destination 2404:8E00::FEED:101

interface Tunnel1
 description MF-DS-LITE
 ip vrf forwarding guestnet
 ip address 192.0.0.2 255.255.255.252
 ip nat outside
 ip nat enable
 ip virtual-reassembly in
 tunnel source GigabitEthernet0/5
 tunnel mode ipv6
 tunnel destination 2404:8E00::FEED:101

IPv6はvrfを切らず、ipv4だけ vrf をきった。
その上で、DS-Liteのtunnelを2つ作成、検証。

検証1: 何セッション使えるか(NATセッション数)

サーバー側にダミーのポートを準備、接続出来る状態にする。CE配下の各vrf毎に同一のサーバーにncでソケットオープンし、何個開けるか実験、サーバー側でnetstatの数を集計

結果:BR側の出口のv4アドレスはどちらも同じ、合計 1012 しか使えなかった。
ちなみに、AFTRは同じにしているが、別のケースは検証してない(いや、しろよ・・・ていうか、するべきだなぁ)

検証2: vmware上に構築したvyosでパフォーマンスおよびセッション数の検証および検証1環境と同時に使用
検証1では無惨な結果だったので、vmware上にvyosをあんちょこで展開し環境構築。でDS-LiteのCEを実装、5分ぐらいで出来た。
configは下記のような感じ。

set interfaces ethernet eth1 address '172.16.0.2/22'
set interfaces ethernet eth1 duplex 'auto'
set interfaces ethernet eth1 hw-id '00:0c:29:8d:07:92'
set interfaces ethernet eth1 smp_affinity 'auto'
set interfaces ethernet eth1 speed 'auto'
set interfaces tunnel tun0 address '192.0.0.2/30'
set interfaces tunnel tun0 encapsulation 'ipip6'
set interfaces tunnel tun0 local-ip '2409:10:xx:xx::xx:xx:xx'
set interfaces tunnel tun0 multicast 'disable'
set interfaces tunnel tun0 remote-ip '2404:8e00::feed:100'
set protocols static interface-route 0.0.0.0/0 next-hop-interface 'tun0'

結果: 600Mbpsぐらいでた出る。
この状況で、Ciscoルータをゲートウェイに向けた端末と、vyosをゲートウェイに向けた端末を比べてみると、出口のv4アドレスが違うことが判明。セッションもおのおので独立していることから、CE側のIPv6のアドレス毎に決まるようで、prefixの割り当て毎にポート数が割り当てられるのではないようだ。
また、一定の間隔でTCPセッションを張りっぱなしにしておくと、出口のv4は変わらないが、通信が無くなり、しばらくセッションがいなくなると、次の通信の段階で出口のv4アドレスが変わっていることが判明した。こうやってアドレスを共有し、切りつめているようだ。

すなわち、Ciscoの遅いルータで環境を構築するぐらいならば、DS-Liteを実装したvm箱をたくさん用意すれば、高速な箱が完成、セキュアに独立したインターネット出口を用意できる。これは、案件や用件、利用者毎に準備すれば、回線を複数引かなくてもよく、独立したおのおののネットワークが構築可能だ。

また、フレッツ IPv6オプションを契約すれば、NTT東西はまたげないものの閉域網内で折り返し通信が可能。この上でIPv6 VPNを張り、代表となる回線にTransixやJPNEなどのIPoEを開通、DS-LiteやMAP-Eなどで出て行けば、1Gほぼフルに使えるISPができあがり。セッション数が足りなければ、違うIPv6アドレスでCEをつくればいくらでもセッション数は増やせる。増やした場合、ロードバランスするVMもしくは、ソースアドレスルーティングをして、内部でルータ振り分けをするルータを作れば完成。これで高品質な広帯域のインターネット接続が確保出来るという寸法。

ちなみに、IPoEのIPv6アドレスの固定は保証されていないものの実質固定。その中でルート的なサーバーを何台かに分散して持たせておけば、DDNS的なことも出来るだろう。ISPの契約も1つで、後は回線だけでよい。こういうおもしろいことも出来るおもちゃ。
こういう高品質の上にストレージネットワークを作ってもいいね。低レイテンシーだそいろいろと遊べそうだ。とおもったら、登君が 「OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト」サービスを公開というのを作っていた。ちなみにこのネタで遊んで他のはプレスリリースを出す前だ。考えることは同じだなぁ。


 まとめ:

まとめると次のような感じ。

テストをして遊んだ後、vyosがmaster、cisco(guestnet用vrfを作成)がbackupとして冗長、メンテナンスや障害時も無停止でメンテナンス出来るようにした。パフォーマンスは落ちるけど...

[ コメントを読む(0) | コメントする ]

Diary for 1 day(s)
Powered by hns-2.19.6, HyperNikkiSystem Project




(c) Copyright 1998-2014 tomocha. All rights reserved.