【ネットワーク】GR2k その3 導入編 
2010, January 8, Friday, 02:58 - Network
投稿者 @xmms
今日、ようやくGR2kを本格導入しました。DHCP,DNSなどは想定通り動くようになりました。

…が、問題が起きています。問題は問題でもGR2kの仕様の問題です。。。

詳しくはまた後でまとめますが、さわりだけ言えば「NAPT問題」です…。

これはIX2015を使うべきか、GRの下にほとんど触っていないAD3をぶら下げるか(きわどすぎるネットワークになりますがw)しないと、はっきり言って昔よりパフォーマンスが落ちます。物事うまくいかないものですね。

ああ、悩ましい…。

[ コメントを書く ] ( 1155 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 2.9 / 1777 )  |  
【ネットワーク】GR2k その2 MCについて 
2010, January 4, Monday, 01:16 - , HardWare, Network
投稿者 @xmms
某所で大量にCompact flashが手に入ったので、GR2kで使えるかどうか試してみました。まぁGR2kで使うのが主な目的で手に入れたのですが。



手に入ったのはADTECというところの128MBのCFです。とりあえずGRの予備スロットに挿してShow mcをしてみました。

Slot0 : primary Slot , mc-enabled
HN-F9531-MC64 [BMC64] , GR2000 format , 001c0001
39,921kB used (user Area: 39,287kB , dump Area: 634kB)
17,039kB free (user Area: 11,571kB , dump Area: 5,468kB)
56,960kB total(user Area: 50,858kB , dump Area: 6,102kB)
Slot1 : secondary Slot , mc-enabled
unknown , no GR2000 format , 00070000
0kB used (user Area: 0kB , dump Area: 0kB)
0kB free (user Area: 0kB , dump Area: 0kB)
0kB total(user Area: 0kB , dump Area: 0kB)


一応認識はされているようなので、
cd /mc1
format mc
とやってみました。

しばらくアクセスランプがちかちかしたあと、再びプロンプトになったのでShow mcを実行してみました。

Slot0 : primary Slot , mc-enabled
HN-F9531-MC64 [BMC64] , GR2000 format , 001c0001
39,921kB used (user Area: 39,287kB , dump Area: 634kB)
17,039kB free (user Area: 11,571kB , dump Area: 5,468kB)
56,960kB total(user Area: 50,858kB , dump Area: 6,102kB)
Slot1 : secondary Slot , mc-enabled
unknown , GR2000 format , 00070000
1kB used (user Area: 1kB , dump Area: 0kB)
114,400kB free (user Area: 108,298kB , dump Area: 6,102kB)
114,401kB total(user Area: 108,299kB , dump Area: 6,102kB)



おお、無事にフォーマットできたようです。カードそのものは問題ないようなのでcopy mcでOSのバックアップをとろうとしたところ、

GR2B+> copy mc
Copy OK?(Primary MC -> Secondary MC) (y/n): y
mc: illegal parameter or Compact Flash size is unmatched.

と、「サイズが合わないんですけど」と言われてしまいました。

しかし、日立の運用コマンドリファレンスによると、ファイルサイズが違う場合はcopy mcのあとに file-unitと引数をつけてくれ、とのことでした。

GR2B+> copy mc file-unit
Copy OK?(Primary MC -> Secondary MC) (y/n): y
executing...........


とりあえずCopyはできたようです。さて、問題は立ち上がるのか、ということ。

結論は…………動きました。特に問題ないようです。
今度はMC充ですね。

[ コメントを書く ] ( 1252 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 3 / 1762 )  |  
【ネットワーク】LANケーブルの再配線 
2009, December 23, Wednesday, 04:41 - Network
投稿者 @xmms
ルーターをGR2kにリプレースするとか言いながらも全く進んでいません。その理由の一つとして、LANケーブルの再配線があるのです…。

今、家ではフレッツのハイパーファミリーを契約しているのですが、ONUが非常に厄介なところにあり、これをどうにかしたいとずいぶん前から考えていました。

家の環境を言うと、まず、ONUが階段下の物置スペースにあり、ここから自分の部屋と家族用にLANケーブルが伸びています。




GR2kをここに置いてしまえば、あとは線を使い回せばいいのでそれで済むのですが、夏場に40度を超える可能性があるのでそんなところにGRを置きたくないなぁという思いから部屋にGRを持って行くことにしました。まぁ、現状こんなところにONUがあるのもどうかと思いますが。

GRでPPPoEを喋るには今使っているONU兼ルーターに少し手を入れる必要があり、ONUのルーター機能を殺してMC(Media Converter)として使う必要があります。これだけで済めば話は早いのですが、問題は光電話を使っているので、こいつにも外部と繋がっている線を食わせる必要があるのです。




考えているプランとしては、適当に8・amp;#124;ートくらいのインテリジェントハブを夏に潰すつもりでここに置いて、・amp;#124;ート1をONUへ繋がる線にして、・amp;#124;ート2をIPフォンに食わせ、・amp;#124;ート3を2階へ持ってゆきGRに繋げてPPPoEを喋らせてGWにして、PPPoEに繋がった線をハブを隔てるかGRの・amp;#124;ート3を使うかなどしてまた1階へ持ってきて、物置のL2の・amp;#124;ート4につないで今家族の使っているネットワークを潰さないようにしようと思っています。VLAN1に・amp;#124;ート1-3、VLAN2に・amp;#124;ート4と設定しておけばストリームも起きない……はず。

まずここで線を2本部屋に引き込まないといけなくなるので物理的に面・amp;#124;です。
しかし、今日は時間があったので少し試してみようと2本目のケーブルを部屋に引き込んでみることにしました。



【プラン】まず物置側のケーブルの頭にひもを結んでおき、部屋までたぐり寄せたらそのひもにもう1本LANケーブルを結んで物置側から引っ張れば簡単にいけるんじゃね??



いざ実行

……LANケーブルたぐり寄せるのってこんなに力要りましたっけ…?

10分くらい格闘してどうにか部屋に持ってきたのですが


















ここにケーブルが2本とおらねええええええええ!!!!!111!


Get the Flash Player to see this player.



実際はもう力が果ててOTLな状態からしばらく動きたくなくなりましたけどね。
思いっきり詰め込んでひぎぃしようかとも思いましたがまず抜けなくなるのでやめておきました。

解決策:きしめんタイプのLANケーブルを使う、ケーブルをもっと細いファイバーケーブルにする、管を諦め階段を這わせる、ケーブルの頭を管を通したあとに圧着する(ただし頭をもがないと管から抜け出せない)等

とりあえずきしめんタイプのケーブルでも買ってきますかねぇ。



しかし、これではスマートではないような気がします。もしスマートにまとめるとすればIPとPPPoEセッションを2個持つようにして、家族用ネットワークはONUのルーター機能を使い、自分はまた新しく手に入れたIPをGRで受けるようにする事ですかね…。そうすれば引き込む線は1本で済むのですが。

でもそうなると、家族用ネットワークから自分のサーバにアクセスする必要ができた場合、一度WANにでないと繋がらないという素敵なことになりそうな気がw
ルーティングしても、結局はもう一本部屋に線を引き込まないといけないような…。

あれ、GRってPPPoEに使ってるNIFにIP持たせられましたっけ…?でもこれでIP持ってしまうとWAN側でそのIP使おうとしてしまう?それともPPPoEはまた新しく仮想NIFとして追加されるからそっちをいじらなければ特に問題ない?
この辺は要検証ですね…。

ああ、クリスマスはGRと過ごすことになりそうです。

[ コメントを書く ] ( 1220 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 2.9 / 1494 )  |  
【ネットワーク】CentreCOM 8724SL拾ってきた 
2009, December 19, Saturday, 04:25 - , HardWare, Network
投稿者 @xmms


秋葉原でCentreCOM 8724SLが980円で売ってたから「L3で1000円って安くね?」と思って買ってみました。もっとも、ジャンクとこそ書いていなかったけど、この手のものはパスワードが不明でログインできませんよ、と言うものも結構あるので下手したらログインすらできないのではないかと思っていました。まぁ、それでも1000円ならそこらで飯食ったと思えば納得できますが。

帰宅してCiscoケーブルをコンソール・amp;#124;ートにつないでみると……なんとデフォルトパスワードでログインできるではありませんか。
一応・amp;#124;ート1つ1つにケーブルをさしてLink upするか確かめてみましたが、すべての・amp;#124;ートでPingが通るところまでは確認しました。すごく面・amp;#124;でしたがw

しかもadd ssh userでSSH接続もできたので、どうやらAT-FL-02もついてきている様子。


>AT-FL-02機能一覧

AT-FL-02 (販売終了)/
 AT-FL-02-B
対応製品: <AT-FL-02>
9606SX/SC, 9606T, 8748XL, 8724XL, 8748SL, 8724SL
<AT-FL-02-B>
8748SL, 8724SL V2, 8724SL
AT-FL-10 (販売終了) 対応製品:9812T, 9812T-LM, 9816GB, 9816GB-LM
AT-FL-02/AT-FL-02-B・AT-FL-10は、ファイアウォール機能、アドレス変換機能を追加するためのソフトウェアライセンスです。


1. Firewall (ステートフル・インスペクション)
通信開始から終了までの通信セッションを監視し、送受信パケットに矛盾がないかをチェックします。また、通信していないときは・amp;#124;ートをクローズしますので外部からのアクセスを受け付けません。パケットフィルタリングと同程度の高速処理を保ちながら、より強度なセキュリティーの確保を可能にします。
2. アクセス制御 (Firewall Policy Rule)
Firewall を設定することにより外部からのアクセスが不能になりますが、このアクセス制御を設定することにより、特定のユーザーのみ Firewall を通過して LAN 内のサーバーなどにアクセスすることが可能です。制御項目はプロトコルや・amp;#124;ート番号、IP アドレス等での制御のほか、日時などによる制御も可能で、特定のユーザー/アプリケーションに対して、決められた時間内のみのアクセス許可/禁止といった制御が可能です。
3. 攻撃検出機能
Firewallはネットワークを出入りするパケットのチェックを行いますが、それでも中には攻撃を防ぎ切れない場合もあります。そこで、Firewall を通過したパケットから不正アクセスを検出する攻撃検出機能を搭載しました。これにより、DoS(Denial of Service:サービス攻撃)などの攻撃を検出し、より安全なネットワーク環境を構築することが可能になります。
[ 検出可能な攻撃 ]

DOS_Attack、HOST_Scan、SMURF_Attack、TCP_Attack、PING of Death、UDP_Attack、FRAG_Attack、PORT_Scan、SYN_Attack、IP_Spoof、LAND
[ 攻撃検出後のアクション ]

攻撃検出で検知された攻撃に対し、一刻も早く管理者に通知する機能や防御する機能を備えています。
アラーム発信
外部からL3スイッチへの不正なアタックがあった場合、下記の方法でL3スイッチの状況を管理者などへ通知し、早急な対処を可能にします。

MANAGER : L3スイッチにLOGINしている端末へ警告表示。
SNMP : SNMP Trapを送信。
ダイナミック・コンフィグレーション・チェンジ
Trigge機能と組み合わせることで、攻撃を受けたら経路情報を変更したり、一定時間は外部へのアクセスを閉鎖したりと自動的に設定情報を変更しますので、繰り返される攻撃を回避することが可能です。

※Trigger機能
日時または曜日、あるいはインターフェースのLinkUpまたはDownなど、様々なイベントにトリガーを設定できます。例えば、ルーティング経路の変更設定で、指定した時間内のみ通信を可能にすることなどができます。
4. アドレス/・amp;#124;ート変換(NAT/ENAT)機能
NAT (Network Address Translation) とは、特定のプライベートアドレスを特定のグローバルアドレスに変換する技術です。この技術によってインターネット接続に必要なグローバルアドレス不足を解消します。また、TCP/UDP プロトコルの・amp;#124;ート番号を利用し、複数のプライベートアドレスを 1つのグローバルアドレスに変換する ENAT(Enhanced-NAT)機能により複数の端末で利用することが可能となります。
通常、ネットワーク管理部門から提供される IP アドレスは固定で少ないため、このアドレスが流出すると外部からの不正アクセス(盗聴・なりすましなど)の原因となります。
NAT/ENAT 機能を使用すると、外部から内部へのアクセスは行えなくなるため、セキュリティ上もこの機能でアドレス変換することが有効です。
5. SSHサーバー/クライアント
※対応製品:8748XL、8724XL、8724SL V2、8724SL
IPネットワーク上で安全なリモートログインを可能にするSecure Shell(SSH)に対応します。本製品をSSHバージョン1(1.5)のサーバー/クライアントとして動作させることができます(IPv4 のみ)。



…あれ、結構おもしろくね??w
しかも、こいつもPPPoEがしゃべれる様子。つまりルーターにできます。


まぁ、今はまずGRを極めよう(というよりは普通に使えるようになろう)と思うのでこいつは深くいじりませんが、暇があれば遊んでみようと思います。


【おまけ】



これが本当のスタックですね!
なんというか色々とひどいことになってきました。そのうち装備品一覧でもまとめよう…。



[ 1 コメント ] ( 4351 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 3 / 1944 )  |  
【ネットワーク】GR2000 その1 
2009, December 12, Saturday, 03:08 - Network
投稿者 @xmms
現在、GR2000 2B+とMC目当てに買った1Bが今手元にあるのですが、こいつらの設定に少し時間をとられています。

目的としては、こいつにPPPoEをしゃべらせて、ショートパケットが飛び交うと血反吐を吐くONU兼ルータを純粋なONU/VoIP変換器のみの機能にしてネットワークを快適にすることです。GR2000 2Bの処理能力は1Mppsで、これはRTX1200のルーティング処理能力が120kppsと言うことを考えると家におけるルータの中ではかなり上位に入ると思います。若干民生用ではないような気がしますが。

L2スイッチでは民生でも数十Mppsというのは普通ですが、ルーティングはそれよりも複雑なのでどうしてもパケットを裁ける量というのは減ってしまうようです。480Mppsなルーターもあるみたいですがとても個人で使うようなものではないです。

まぁ、正直今でも普通に使う分には困ってないのですが、やっぱりGRとか使ってみたいじゃないですか。


ある程度まとまったら誰が得するのか分からないですが設定事例でも書こうと思うのですが、まだ自分が使いこなせていないので【とりあえず】分かったことだけでも忘れないために書き連ねていこうと思います。


【Link速度について】

とりあえず基本ルーティングとDNS/DHCPはGRに任せられるようにしたのですが、どうにも速度がおかしいと言う症状が出ました。
  _NIF2/0_PC1 192.168.1.7/24(メインサブネット)
_/ 
GR|
 ̄\_NIF2/1_PC2 172.22.2.2/24(テストサブネット)

分かりづらい図ですが、要はGRを通して通信しています。この図の通り通信したとき、PC2側でiperfを走らせるとPC1側から繋いだときは70Mbps出るのですがPC2からだと2Mbpsまで落ちてしまうという謎の状況。

Main>GR2k>Sub

:\WINDOWS\System32>R:\bin\iperf.exe -c 172.22.2.2
-----------------------------------------------------------
lient connecting to 172.22.2.2, TCP port 5001
CP window size: 64.0 KByte (default)
-----------------------------------------------------------
1916] local 192.168.1.7 port 6250 connected with 172.22.2.2 port 5001
ID] Interval Transfer Bandwidth
1916] 0.0-10.0 sec 84.8 MBytes 70.9 Mbits/sec


Sub>GR>Main
[1872] local 192.168.1.7 port 5001 connected with 172.22.2.2 port 43560
[ ID] Interval Transfer Bandwidth
[1872] 0.0-10.4 sec 2.70 MBytes 2.18 Mbits/sec


まずこれで2日悩みました。QoSが影響していないかとか、Flow filterが悪いのではないか、等、ひたすらに悩みました。
ちなみに、L2に直に刺すと900Mbps近くで通信でき、100MなL2に繋いでも90Mbpsは出ていました。

何が悪いのか全く分からなかったのですが、show interface ethと打つと、NIF2/1側のステータスが
<In line error counter>
CRC errors : 9822 Symbol errors : 0
Alignment : 0 Short frames : 0
Fragments : 7523 Long frames : 0
Jabber : 0 SQE test errors : 0

と、CRCエラーが起きていてフラグメントを起こしていました。NIF2/0側では起きていなかったので、もしやNIFが壊れている?と絶望していたのですが、同じ設定を流し込んだ1Bでも同じようになったのでやはり設定がおかしいのではないかと悩みました。


しかし、ここであることに気がつきました。
9424Tの・amp;#124;ートのステータスLEDが通常であれば緑とオレンジになるはずが両方ともオレンジなのです。これは、100/Half-duplexでリンクしていると言うことです。

GR側でline nif21 type 100M_full_duplexとコマンドを打ってもL2側には反映されず。仕方がないのでL2で
set switch port 20 speed=100mfull
と手動で打ち込み、PC2側もリンク速度を100mfullに設定してみると、無事に上り下り95Mbps出るようになりました。

確認で色々なスイッチ(ノンインテリ含む)で試したところ、やはりどの設定でもスイッチ側が100mhalfとして認識してしまう様子です。何故だ。



CentreCom 8216XL2での出来事。右側がFullでLinkしたときで、左側がHalfでLinkしたときになります。もちろん左側はGRです。このほかにも前まで使っていたBuffaroやPlanexの雑魚ハブでもこの症状は起きました。と言うかFullかHalfのどちらでLinkしてるのか分からないのですが、実験すると前と同じ結果になりました。非管理L2だとこれを強制的に100Mfullにできないのでどうしようもないです。みんなインテリなL2を使いましょうね。

まだまだ受難は続く…のは勘弁して欲しいなぁと思います

[ 1 コメント ] ( 2368 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 2.9 / 1895 )  |  

<<最初へ <戻る | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 進む> 最後へ>>