ネットワーク技術の覚書 - Kaztan's Cafe http://www.kaztan.com/network/ 中上級を目指すネットワークSEが覚えておくべき技術メモ: マスターと島田君の技術談議 ja Copyright 2009 Sun, 05 Oct 2008 23:50:27 +0900 http://www.sixapart.com/movabletype/ http://blogs.law.harvard.edu/tech/rss 【WAN高速化装置】 Riverbed Steelheadに新モデル登場 Riverbed Technologyは、WDS(Wide-area Data Service)を実現するSteelheadの新モデル「XX50シリーズ」をWAN高速化市場に投入した。 新しいハードウェアは、下図の青字の部分。 RiOS(The Riverbed Optimization System)をベースにしたWAN帯域の最適化やアプリケーションの高速化に加え、ハードウエアのパフォーマンスを強化している。 さらに、RiOSの仮想領域にパートナーの各種サービスを搭載できる仮想サービスプラットフォームを用意し拡張性も高めている。 ]]> http://www.kaztan.com/network/archives/2008/10/05-235027.php http://www.kaztan.com/network/archives/2008/10/05-235027.php Riverbed WAN高速化装置 Sun, 05 Oct 2008 23:50:27 +0900 ハッスルサーバテスト ハッスルサーバーテスト http://www.kaztan.com/network/archives/2008/08/07-100251.php http://www.kaztan.com/network/archives/2008/08/07-100251.php MovableType Thu, 07 Aug 2008 10:02:51 +0900 【モバイル】NTTぷららがイーモバイルのMVNOを開始 NTTぷららがイーアクセスとの協業にてMVNOによるモバイル接続サービスのサービス開始を発表した。 サービス名は「高速モバイルオプション(EM)」。 下り速度はHSDPAにより最大7.2Mbps。 初期費用は2835円。 月額料金は、ぷらら会員の場合は月額5365円(端末レンタル料735円)。 ぷらら非会員の場合は月額5575円(端末レンタル料735円、ぷららISP利用料210円含む)である。 http://www.nttplala.com/news_releases/2008/jun/20080630.html http://www.kaztan.com/network/archives/2008/06/30-230213.php http://www.kaztan.com/network/archives/2008/06/30-230213.php 無線LAN、モバイル通信関係 Mon, 30 Jun 2008 23:02:13 +0900 【Cisco】 中国製Cisco製品の偽物が米政府機関に出回り発火の恐れあり 中国製のシスコ製品のニセモノが米政府機関で多数発見、FBIが本格捜査に着手  Ciscoの人に教えてもらって知った。  それにしても「中国製」「偽者」というキーワードでGoogleで検索してみると色々とヒットするね。  困ったもんだ。 島田君:  そもそも米政府機関のルータがeBayなどのオークションサイトで落札されたものが使われていることが問題だよね。  ちなみに、Cisco1721をヤフオクの落札ログで調べてみたら、ニュースにあるように24000円前後どころか平均価格7340円で売られてたよ。 ]]> http://www.kaztan.com/network/archives/2008/05/01-234945.php http://www.kaztan.com/network/archives/2008/05/01-234945.php Cisco Thu, 01 May 2008 23:49:45 +0900 【IPv6】 Vista起動時のIPv6/IPv4の動作 ■(今日のテーマ)Vista起動時のIPv6/IPv4の動作について 島田君:  Ciscoルータを使ってIPv6/IPv4のデュアルスタックのネットワークを作り、端末にはWindows Vistaを使って動作検証しようと考えているんだけど、事前に知っておいたほうがいいことってある? マスター:  VistaではIPv6がデフォルトで稼動していてIPv6がIPv4よりも優先されることとか、起動時のアドレス取得の動作順序は知っておいたほうがいいかもね。 島田君:  ぜひ教えて。 http://www.kaztan.com/network/archives/2008/04/26-231940.php http://www.kaztan.com/network/archives/2008/04/26-231940.php IPv6関係 Windows関係 Sat, 26 Apr 2008 23:19:40 +0900 【WAN高速化装置】 BlueCoatがPacketeerを買収する効果 WAN最適化ベンダーのBlue Coat,同業のPacketeerを買収へ  米Blue Coatが米Packeteerを買収、WAN最適化分野での競争力を強化  Blue Coat、競合相手 Packeteer の買収へ   マスター:  驚いたよね。  Packeteer社はTacit社からiSharedやMobilitiを買うのに多額の資金を使っているから、さらに他社を買収することはないだろうと思っていたけど、逆にBlueCoatに買収されるとは意外だったね。 島田君:  BlueCoatのSGアプライアンスはQoS機能が貧弱だから、PacketeerのPacketShaperの優れたQoS機能が欲しかったのかな。]]> http://www.kaztan.com/network/archives/2008/04/23-235050.php http://www.kaztan.com/network/archives/2008/04/23-235050.php WAN高速化装置 Wed, 23 Apr 2008 23:50:50 +0900 【セキュリティ】 PCIDSS その2 通信経路の暗号化の必要な理由について教えてもらったよね。 マスター:  そうだったね。 島田君:  その中でPCIDSSについて教えてもらったけど、PCIDSSを採用している企業ってどこがあるのかな? マスター:  国内で最初のPCIDSS完全準拠したのはヤマトシステム開発だよ。  かなり前のものだけど、以下のようなニュースが参考になる。  (参考)  国内初、PCIDSS完全準拠認定証の発行開始〜PCIDSS完全準拠企業ヤマトシステム開発へ国内初の発行〜 島田君:  へー。他には? マスター:  他には、株式会社ゼウス。  (参考)  ゼウス、全ての決済システムで国際情報セキュリティ基準「PCIDSS」に完全準拠  三井住友カード楽天もだね。]]> http://www.kaztan.com/network/archives/2008/04/21-230051.php http://www.kaztan.com/network/archives/2008/04/21-230051.php PCIDSS Mon, 21 Apr 2008 23:00:51 +0900 【ワイヤレス】 近接無線のTransferJetとWirelessHD ■(今日のテーマ)近接無線のTransferJETとWiressHD 島田君:  携帯やデジカメで撮った写真をPCへ保存するのって面倒だよね。 マスター:  確かに。 島田君:  うちの母ちゃん、携帯で写真をたくさん撮ってるけど、PCへ転送する方法なんて知るわけないし。  世の中そういう人がたくさんいると思う。  何かいい方法はないものかね。 http://www.kaztan.com/network/archives/2008/04/20-231002.php http://www.kaztan.com/network/archives/2008/04/20-231002.php 無線LAN、モバイル通信関係 Sun, 20 Apr 2008 23:10:02 +0900 【トラブル】 Ciscoルータでフレッツ光プレミアムに接続できない事象 フレッツ光プレミアムを使ってVPNを構築する案件の工事だったんだけどさ。  別の拠点では問題なく接続できていたコンフィグなのにPPPoEのセッションが張れなかったんだよ。  色々と頑張ってみたけど接続できなくて、工事は延期になっちゃった。 マスター:  接続機器は何を使っているの? 島田君:  Cisco 1812Jだよ。   マスター:  Cisco1812Jのコンフィグは何か参考にして作成したの? 島田君:  Ciscoのサイトにある『Cisco1812Jのサンプルコンフィグ』。  マスターが好きなCisco VTIを使って設計してみたんだ。 サンプルコンフィグの中の、ip mtu 1454を、フレッツ光プレミアムのMTUサイズである1438に変更すれば良いと思ったんだけどね。 具体的にはDialerインタフェースの中のこの部分。     ↓ 

!
interface Dialer1
ip unnumbered Loopback0
ip mtu 1454 → 1438に変更
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname Flet's@cisco.com
ppp chap password 0 cisco
!
マスター:  問題なく接続できていた別の拠点も、回線はフレッツ光プレミアムだったの? 島田君:  違うよ。  Bフレッツのファミリー100だよ。 マスター:  ほほー。  原因がわかったよ!]]> http://www.kaztan.com/network/archives/2008/03/29-234543.php http://www.kaztan.com/network/archives/2008/03/29-234543.php トラブル関係 Sat, 29 Mar 2008 23:45:43 +0900 【セキュリティ】 FISC 安全対策基準 ■FISC 金融システムの安全対策基準 特に暗号化の必要性について記述されている箇所を以下に示す。 [実務指針]「個人データ保護策を講ずること」として、次の措置を講じなければならない。 4−4−1 伝送データの漏洩防止策 【技29】伝送データの漏洩防止策を講ずること 暗号化・パスワード設定等データ伝送時に盗聴された場合にもデータの内容がわからないようにするための対策を講ずることが必要である。 以下の条件を満たしセキュアな環境とすることで、光ファイバーの専用線を用いることも有効 1.建物内に不正な機器が接続されていないことの確認 2.切断検知時の報告の徴求およびその分析 http://www.kaztan.com/network/archives/2008/03/24-233925.php http://www.kaztan.com/network/archives/2008/03/24-233925.php FISC安全対策基準 Mon, 24 Mar 2008 23:39:25 +0900 【セキュリティ】 PCIDSS ■ PCIDSS(The PCI Data Security Standard )について (ポイント) カード番号や情報を処理、伝送、保管するすべての企業が準拠する必要があるデータセキュリティ基準。 MasterCardとVISAが開発し、その他のカードブランドも支持。 2005年1月に初版発行され、2006年9月にv1.1が発行されている。 世界中が対象で、具体的な要件となっており異業種からも注目されている。 企業はカード取り扱い件数に応じてLevel1〜Level4に分類され監査条件が定められている。 http://www.kaztan.com/network/archives/2008/03/24-111156.php http://www.kaztan.com/network/archives/2008/03/24-111156.php PCIDSS Mon, 24 Mar 2008 11:11:56 +0900 【VPN】 通信経路の暗号化が必要な理由 ■ (今日のテーマ)通信経路の暗号化が必要な理由 マスター:  いらっしゃい! 島田君:  今日もマスターに相談があるんだ。 マスター:  どうしたの? 島田君:  今週末にA銀行様と次期ネットワーク構築の打ち合わせがあるんだよ。  議題は通信経路の暗号化についてなんだけど、暗号化が必要となる根拠って何が考えられるのかな? http://www.kaztan.com/network/archives/2008/03/24-005254.php http://www.kaztan.com/network/archives/2008/03/24-005254.php VPN Mon, 24 Mar 2008 00:52:54 +0900 【VPN】 IPsecフラグメントの問題と対策 その5 ■IPsec化の前にフラグメントをする場合 島田君:  ちわー。  今夜もIPsecの実践的な技術について教えて。 マスター:  今回はIPsec化の前にフラグメントをする方法について解説するよ。 島田君:  待ってました。 マスター:  ここまでの話は、GREでカプセリングした後やIPsec化後にフラグメントが発生するから、色々と問題が出てきたんだよね。  実はCiscoでは2004年頃にはその問題に気づいていて対策を取ってるんだ。 島田君:  何?まじで? マスター:  LAF(Lool Ahead Fragmentation)といって、IOSは12.2(13)Tから対応している機能だよ。  パケットをIPsec処理する際に、元のパケット長に84byte(ESPオーバヘッドの最大値)を追加したパケット長をチェックし、これがPath MTUサイズを超えていればIPsec処理前にフラグメントを実行するというものだよ。  このLAFにより、受信側の処理パフォーマンスが7200VXRを使った場合に12Mbpsから70Mbpsに向上したという報告もある。 島田君:  なんだ、最初からこれを使えばよかったんじゃないの? マスター:  そうとも限らないんだよ。  なぜかというと、LAFはトンネルモードでしか機能せず、トランスポートモードでは使えないからなんだ。  ヘッダ効率の面からはトンネルモードよりもトランスポートモードのほうが良いので、最適なIP MTU値を手動で計算したほうが良い場合もあるでしょ。 http://www.kaztan.com/network/archives/2008/03/21-001116.php http://www.kaztan.com/network/archives/2008/03/21-001116.php IPsec VPN Fri, 21 Mar 2008 00:11:16 +0900 【VPN】 IPsecフラグメントの問題と対策 その4 ■復習 島田君:  ちわーっす。今夜もIPsecのフラグメントの問題とその対策について教えて。 マスター:  いいよ。  これまでの内容は複雑だから、一度復習しておこうか。 島田君:  いいよ。 マスター:  IPsecを使うとフラグメントが発生するのはどうしてだった? 島田君:  そりゃ、元のIPパケットに対してESPヘッダやESP認証、新しいIPヘッダ、パディングなどのオーバヘッドが付加されてパケットのサイズが大きくなってしまうからだよ。  そのパケットサイズが送信インタフェース(トンネルインタフェースや物理インタフェース)のIP MTUサイズを超えた時にフラグメントされてしまう。 マスター:  その通り。  フラグメントが発生すると、どんな影響が出るんだった? 島田君:  受信側のルータではIPsecの複合化処理に加えてパケットの再組み立て処理が入るのでCPU負荷が高くなる。  パケットの再組み立て処理はソフトウェア処理だからだよね。 マスター:  その通り。  では対策にはどんなものがあった? http://www.kaztan.com/network/archives/2008/03/20-203848.php http://www.kaztan.com/network/archives/2008/03/20-203848.php IPsec VPN Thu, 20 Mar 2008 20:38:48 +0900 【VPN】 IPsecフラグメントの問題と対策 その3 マスター:  その通り。  通知を受けとった側は、通知されたMSSの大きさでTCPのストリームを細切れにし、TCPヘッダをつけて相手に送るんだ。 島田君:  理解できたよ。  ところで、肝心のMSSの調整ってどうやるの?]]> http://www.kaztan.com/network/archives/2008/03/19-213635.php http://www.kaztan.com/network/archives/2008/03/19-213635.php IPsec VPN Wed, 19 Mar 2008 21:36:35 +0900