【ネットワーク】CentreCOM 8724SL拾ってきた 
2009, December 19, Saturday, 04:25 - , HardWare, Network
投稿者 @xmms


秋葉原でCentreCOM 8724SLが980円で売ってたから「L3で1000円って安くね?」と思って買ってみました。もっとも、ジャンクとこそ書いていなかったけど、この手のものはパスワードが不明でログインできませんよ、と言うものも結構あるので下手したらログインすらできないのではないかと思っていました。まぁ、それでも1000円ならそこらで飯食ったと思えば納得できますが。

帰宅してCiscoケーブルをコンソール・amp;#124;ートにつないでみると……なんとデフォルトパスワードでログインできるではありませんか。
一応・amp;#124;ート1つ1つにケーブルをさしてLink upするか確かめてみましたが、すべての・amp;#124;ートでPingが通るところまでは確認しました。すごく面・amp;#124;でしたがw

しかもadd ssh userでSSH接続もできたので、どうやらAT-FL-02もついてきている様子。


>AT-FL-02機能一覧

AT-FL-02 (販売終了)/
 AT-FL-02-B
対応製品: <AT-FL-02>
9606SX/SC, 9606T, 8748XL, 8724XL, 8748SL, 8724SL
<AT-FL-02-B>
8748SL, 8724SL V2, 8724SL
AT-FL-10 (販売終了) 対応製品:9812T, 9812T-LM, 9816GB, 9816GB-LM
AT-FL-02/AT-FL-02-B・AT-FL-10は、ファイアウォール機能、アドレス変換機能を追加するためのソフトウェアライセンスです。


1. Firewall (ステートフル・インスペクション)
通信開始から終了までの通信セッションを監視し、送受信パケットに矛盾がないかをチェックします。また、通信していないときは・amp;#124;ートをクローズしますので外部からのアクセスを受け付けません。パケットフィルタリングと同程度の高速処理を保ちながら、より強度なセキュリティーの確保を可能にします。
2. アクセス制御 (Firewall Policy Rule)
Firewall を設定することにより外部からのアクセスが不能になりますが、このアクセス制御を設定することにより、特定のユーザーのみ Firewall を通過して LAN 内のサーバーなどにアクセスすることが可能です。制御項目はプロトコルや・amp;#124;ート番号、IP アドレス等での制御のほか、日時などによる制御も可能で、特定のユーザー/アプリケーションに対して、決められた時間内のみのアクセス許可/禁止といった制御が可能です。
3. 攻撃検出機能
Firewallはネットワークを出入りするパケットのチェックを行いますが、それでも中には攻撃を防ぎ切れない場合もあります。そこで、Firewall を通過したパケットから不正アクセスを検出する攻撃検出機能を搭載しました。これにより、DoS(Denial of Service:サービス攻撃)などの攻撃を検出し、より安全なネットワーク環境を構築することが可能になります。
[ 検出可能な攻撃 ]

DOS_Attack、HOST_Scan、SMURF_Attack、TCP_Attack、PING of Death、UDP_Attack、FRAG_Attack、PORT_Scan、SYN_Attack、IP_Spoof、LAND
[ 攻撃検出後のアクション ]

攻撃検出で検知された攻撃に対し、一刻も早く管理者に通知する機能や防御する機能を備えています。
アラーム発信
外部からL3スイッチへの不正なアタックがあった場合、下記の方法でL3スイッチの状況を管理者などへ通知し、早急な対処を可能にします。

MANAGER : L3スイッチにLOGINしている端末へ警告表示。
SNMP : SNMP Trapを送信。
ダイナミック・コンフィグレーション・チェンジ
Trigge機能と組み合わせることで、攻撃を受けたら経路情報を変更したり、一定時間は外部へのアクセスを閉鎖したりと自動的に設定情報を変更しますので、繰り返される攻撃を回避することが可能です。

※Trigger機能
日時または曜日、あるいはインターフェースのLinkUpまたはDownなど、様々なイベントにトリガーを設定できます。例えば、ルーティング経路の変更設定で、指定した時間内のみ通信を可能にすることなどができます。
4. アドレス/・amp;#124;ート変換(NAT/ENAT)機能
NAT (Network Address Translation) とは、特定のプライベートアドレスを特定のグローバルアドレスに変換する技術です。この技術によってインターネット接続に必要なグローバルアドレス不足を解消します。また、TCP/UDP プロトコルの・amp;#124;ート番号を利用し、複数のプライベートアドレスを 1つのグローバルアドレスに変換する ENAT(Enhanced-NAT)機能により複数の端末で利用することが可能となります。
通常、ネットワーク管理部門から提供される IP アドレスは固定で少ないため、このアドレスが流出すると外部からの不正アクセス(盗聴・なりすましなど)の原因となります。
NAT/ENAT 機能を使用すると、外部から内部へのアクセスは行えなくなるため、セキュリティ上もこの機能でアドレス変換することが有効です。
5. SSHサーバー/クライアント
※対応製品:8748XL、8724XL、8724SL V2、8724SL
IPネットワーク上で安全なリモートログインを可能にするSecure Shell(SSH)に対応します。本製品をSSHバージョン1(1.5)のサーバー/クライアントとして動作させることができます(IPv4 のみ)。



…あれ、結構おもしろくね??w
しかも、こいつもPPPoEがしゃべれる様子。つまりルーターにできます。


まぁ、今はまずGRを極めよう(というよりは普通に使えるようになろう)と思うのでこいつは深くいじりませんが、暇があれば遊んでみようと思います。


【おまけ】



これが本当のスタックですね!
なんというか色々とひどいことになってきました。そのうち装備品一覧でもまとめよう…。



[ 1 コメント ] ( 4351 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 3 / 1944 )  |  
【ネットワーク】GR2000 その1 
2009, December 12, Saturday, 03:08 - Network
投稿者 @xmms
現在、GR2000 2B+とMC目当てに買った1Bが今手元にあるのですが、こいつらの設定に少し時間をとられています。

目的としては、こいつにPPPoEをしゃべらせて、ショートパケットが飛び交うと血反吐を吐くONU兼ルータを純粋なONU/VoIP変換器のみの機能にしてネットワークを快適にすることです。GR2000 2Bの処理能力は1Mppsで、これはRTX1200のルーティング処理能力が120kppsと言うことを考えると家におけるルータの中ではかなり上位に入ると思います。若干民生用ではないような気がしますが。

L2スイッチでは民生でも数十Mppsというのは普通ですが、ルーティングはそれよりも複雑なのでどうしてもパケットを裁ける量というのは減ってしまうようです。480Mppsなルーターもあるみたいですがとても個人で使うようなものではないです。

まぁ、正直今でも普通に使う分には困ってないのですが、やっぱりGRとか使ってみたいじゃないですか。


ある程度まとまったら誰が得するのか分からないですが設定事例でも書こうと思うのですが、まだ自分が使いこなせていないので【とりあえず】分かったことだけでも忘れないために書き連ねていこうと思います。


【Link速度について】

とりあえず基本ルーティングとDNS/DHCPはGRに任せられるようにしたのですが、どうにも速度がおかしいと言う症状が出ました。
  _NIF2/0_PC1 192.168.1.7/24(メインサブネット)
_/ 
GR|
 ̄\_NIF2/1_PC2 172.22.2.2/24(テストサブネット)

分かりづらい図ですが、要はGRを通して通信しています。この図の通り通信したとき、PC2側でiperfを走らせるとPC1側から繋いだときは70Mbps出るのですがPC2からだと2Mbpsまで落ちてしまうという謎の状況。

Main>GR2k>Sub

:\WINDOWS\System32>R:\bin\iperf.exe -c 172.22.2.2
-----------------------------------------------------------
lient connecting to 172.22.2.2, TCP port 5001
CP window size: 64.0 KByte (default)
-----------------------------------------------------------
1916] local 192.168.1.7 port 6250 connected with 172.22.2.2 port 5001
ID] Interval Transfer Bandwidth
1916] 0.0-10.0 sec 84.8 MBytes 70.9 Mbits/sec


Sub>GR>Main
[1872] local 192.168.1.7 port 5001 connected with 172.22.2.2 port 43560
[ ID] Interval Transfer Bandwidth
[1872] 0.0-10.4 sec 2.70 MBytes 2.18 Mbits/sec


まずこれで2日悩みました。QoSが影響していないかとか、Flow filterが悪いのではないか、等、ひたすらに悩みました。
ちなみに、L2に直に刺すと900Mbps近くで通信でき、100MなL2に繋いでも90Mbpsは出ていました。

何が悪いのか全く分からなかったのですが、show interface ethと打つと、NIF2/1側のステータスが
<In line error counter>
CRC errors : 9822 Symbol errors : 0
Alignment : 0 Short frames : 0
Fragments : 7523 Long frames : 0
Jabber : 0 SQE test errors : 0

と、CRCエラーが起きていてフラグメントを起こしていました。NIF2/0側では起きていなかったので、もしやNIFが壊れている?と絶望していたのですが、同じ設定を流し込んだ1Bでも同じようになったのでやはり設定がおかしいのではないかと悩みました。


しかし、ここであることに気がつきました。
9424Tの・amp;#124;ートのステータスLEDが通常であれば緑とオレンジになるはずが両方ともオレンジなのです。これは、100/Half-duplexでリンクしていると言うことです。

GR側でline nif21 type 100M_full_duplexとコマンドを打ってもL2側には反映されず。仕方がないのでL2で
set switch port 20 speed=100mfull
と手動で打ち込み、PC2側もリンク速度を100mfullに設定してみると、無事に上り下り95Mbps出るようになりました。

確認で色々なスイッチ(ノンインテリ含む)で試したところ、やはりどの設定でもスイッチ側が100mhalfとして認識してしまう様子です。何故だ。



CentreCom 8216XL2での出来事。右側がFullでLinkしたときで、左側がHalfでLinkしたときになります。もちろん左側はGRです。このほかにも前まで使っていたBuffaroやPlanexの雑魚ハブでもこの症状は起きました。と言うかFullかHalfのどちらでLinkしてるのか分からないのですが、実験すると前と同じ結果になりました。非管理L2だとこれを強制的に100Mfullにできないのでどうしようもないです。みんなインテリなL2を使いましょうね。

まだまだ受難は続く…のは勘弁して欲しいなぁと思います

[ 1 コメント ] ( 2368 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 2.9 / 1895 )  |  
1000Base-LX・1000Base-SXまとめ 
2009, November 23, Monday, 04:20 - , HardWare, Network
投稿者 @xmms
ジャンク屋で何故かIntelの謎ファイバーNICが大量に投げ売りされていたので2枚ほど買ってもらいました




買った当時はNICの名前はおろかコネクタの規格すらも分かっていなかったので、とりあえずその手のものが置いてあるOTTOネットワーク専門店に行って外カーゴの中にあるジャンクなケーブルたちを適当に漁ったところ、コネクタに合いそうなケーブルが何本かあったのでクロスケーブルっぽいのを1本買ってきました。

そして調べたところ、これはIntel Pro1000/MFだとわかり、使用している規格は1000Base-LXだと判明しました。

1000Base-LXとか1000Base-SXはよく聞くのですが、実際は「名前だけしっています」状態でこの二つがどう違うのか、あまり理解していませんでした。もっとも、普通の人が家庭で使うような規格ではないのですが。

なのでひたすらググる。そして分かったことは以下の通り。



・SXとLXは同じレーザーでも波長が違うため互換性はない。変換するにはメディアコンバータが必要。

・SXは短波レーザーのため伝搬距離が短く、LXは長波レーザーを使うので伝搬距離が長い。

・SXとLXは光ファイバーを使うが、光ファイバーには2種類ある。SXはMMF(MultiModeFiber)を使い、LXはMMFとSMF(SingleModeFiber)が使える。

・MMFとSMFの違いは、屈折率分布にある。MMFは屈折率分布が広く、光がケーブルの中を進む途中に何度もバウンドしてしまう(イメージ)ので伝搬距離が短く、SMFは屈折率分布が狭いため光はケーブルの中をまっすぐ進めるので伝搬距離が長くなる。(参考:住友電工Optigate:光ファイバケーブルの基礎知識

・その代わりMMFはケーブルの価格が安く、SMFはケーブルの価格が高い。

・SMFにもMMFにも主に2種類のコネクタがある。一つはSCコネクタと呼ばれるもので、ファイバーの間隔が広い。もう一つはLCコネクタと呼ばれるもので、最近のものはこちらを使っていることが多い。(参考:アクセスケーブル株式会社)

・同じ規格同士(1000Base-LXなら1000Base-LX同士)でなら片方がSCコネクタで、もう片方がLCコネクタという組み合わせでもいい。

・NICのコネクタはTX/RX固定なので、2芯のものを使う場合はクロス・ストレートを間違えると乙る。一応1芯ずつのものもある。





これである程度の基礎はわかったのでいざ動作確認。実験用マシン2台にそれぞれMFを刺してクロスケーブルで直結します。



実はまた新たにDFIのLANPARTY LT X48-T2RをIYHしているのですがそれはまた今度に。。


電源をつけたところ、無事に認識され、しっかりとレーザーも出ていました。



そして肝心の転送速度はと言うと

DFI X48(E3200@4GHz)>Gigabyte GA-P35-DS3R(PentiumDualCore E6300@3.33GHz)
------------------------------------------------------------
Client connecting to 169.254.234.215, TCP port 5001
TCP window size: 64.0 KByte (default)
------------------------------------------------------------
[1916] local 169.254.139.203 port 1095 connected with 169.254.234.215 port 5001
[ ID] Interval Transfer Bandwidth
[1916] 0.0-10.0 sec 635 MBytes 532 Mbits/sec

その逆
------------------------------------------------------------
Server listening on TCP port 5001
TCP window size: 87.0 KByte (default)
------------------------------------------------------------
[1876] local 169.254.139.203 port 5001 connected with 169.254.234.215 port 1034
[ ID] Interval Transfer Bandwidth
[1876] 0.0-10.0 sec 884 MBytes 742 Mbits/sec


という感じで、どう見てもPCIのボトルネックが出ています。まぁ、元々PCI-Xで使うべきNICなのでしょうがないかと思います。うーん、実際にPCI-Xで使ったらどの程度速くなるのかすごく気になります…。しかし、何故かここ最近PCI-Xのボードが異常に増えました。


まぁ、SXとLXの違いを理解できただけでも十分にこのNICの価値はあったと思います。勉強代としては教科書買うよりも安いですし。
そしてまた一つ、知識が増えました。睡眠時間と引き替えに…。






<訂正>
1000MFにもSXとLXが存在する様子。
http://www.intel.com/Assets/PDF/prodbri ... _mf-lx.pdf

これはもしかしたらSXかもしれないです。




そう思い確認したところ、ラベルに850nm波長のレーザーという表記があったので、これはSXですね。
最初は分からなかった事が分かるようになったときの快感


しかし、この辺のものをいじり出すとお金の減りが異常に早くなります。
それと、この辺のことを調べるだけでも結構時間がかかるので時間も足りないです…。

[ 1 コメント ] ( 1795 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 2.9 / 1872 )  |  
Alteon AceDirector 3 
2009, November 1, Sunday, 00:32 - , HardWare, Network
投稿者 @xmms
がジャンク屋で500円だったので買ってみた。
通電だけはジャンク屋で確認できたので、もしかしたら…という淡い期待を抱きながら家に運んできました。玄関先で親が「また何買ってきたんだこいつは…」という顔をされたけど無言でスルーされました。

そして早速RS232Cケーブルでコンソールにログイン。どうでもいいですがここ最近DB9Fケーブルが異常に増えました。ストレート・クロス・RJ45(いわゆるCiscoケーブル)含めて6本ありますw多分Proの人はもっとあると思いますがw
昔は「こんなレガシーIF誰が使うんだよw」とか思っていましたがまさか自分がこうなるとは…。


電源をつけてみるとコンソールに文字が吐かれてきました…が、パスワードがかかっていてログインできず。Boot時にESCを押すことによりカーネルのメンテナンスに入れるのですが、それにはadminでログインできました。某Alliedの初期L2SWでは、Boot時にコンソールからログインすることによりパスワードがかかっていても出荷状態に戻す事ができるのですが、これは出来そうにありませんでした。

ちなみに、Alliedのでも最近のものではこれはできなくなっているので、パスワードを忘れると本社に送るしかなくなります。

想定の範囲内だったのでとりあえず本体をばらしてみることにしました。






中身は専用の設計になっていましたが、1000Base-SXのIFだけはPCI-Xで繋がっていたので、これを摘出して普通のマシンに刺して使えるか試すことにしました。



すると3ComのGigabit-Ether Server Adapterとして認識され、接続一覧に出てきたので普通に使えるみたいです。



まぁ、本体にはログインできませんでしたが1000Base-SXのNICを500円で買ったと思う事にしましたw

誰かPasswd解析できる人募集しますw

【追記】
Nortelに取説がなかったのであきらめていたら、富士ゼロックスに取説がありました

PDF
http://www.fujixerox.co.jp/np/product/p ... 6-A_00.pdf

全て英語ですがもうこの手のには慣れました。。。

これによるとKernel MaintenanceメニューからやはりFactory defaultに戻せるみたいだったのでやったところ、無事にログインできました!

しかしあることに気がつきました。




何故かIF7のLEDがつきっぱなしという

RS232で初期設定をしてIP Interfaceを有効にしてTelnetしてみると、ログインできました。
そしてログ

>> Information# link
------------------------------------------------------------------
Port Speed Duplex Flow Ctrl Link
---- ----- -------- --TX-----RX-- ------
1 100 full yes yes up
2 10/100 any yes yes down
3 10/100 any yes yes down
4 10/100 any yes yes down
5 10/100 any yes yes down
6 10/100 any yes yes down
7 10/100 any yes yes inoperative
8 10/100 any yes yes down
9 1000 full yes yes down

IF7がジャンクな子でした。まぁ、それ以外は今のところ普通に動いているように見えるのでよしとします。しばらく暇つぶしには困らなさそうです。

ぶっちゃけ何に使っていいのか分からないというのが本音ですがwwww

【更に追記】
商品説明のPDFがあった
http://sysdoc.doors.ch/NORTEL/webos_jp.pdf
この鯖をロードバランシングさせても一般公開してないからそこまでトラフィックないしなぁww
まぁできることは多いに越したことないですよね

[ 1 コメント ] ( 1098 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 3 / 1837 )  |  
蟹チーミング 
2009, August 7, Friday, 07:00 - , HardWare, Network
投稿者 @xmms
今自分が使っているこのマザーボード、Realtekの8111Bチップを2つもっているのですが、これを買った当初はネットワークの知識がなかったので「まぁ予備についているんだろう」くらいに思っていました。
しかし、最近になって「何でこれIFが2つついてるのに回線の冗長化できないの?」と思うようになり、気になってGigabyteのWEBページを見てみたところ、

# Integrated Dual LAN with Teaming function
と書いてあるじゃないですか。これを見て俺歓喜! ちなみに、言語が日本語だと
# Gigabit Ethernet LAN 搭載
と、ちーみんぐについては全く言及がないです。しね!!!!!

そして次の試練。Realtekのチーミングドライバなんて聞いたことないですが、本当に存在するでしょうか。

グーグル先生に聞いてみたところ、Realtek Windows Diagnostic Program と言うものを使うとチームを作成できるようです。
早速RealtekのSoftwareページを見てみるも、何故か8111B向けのものは存在するようだけど供給されておらず。8110SC向けのプログラムは供給されていたので無理矢理インスコしてみるも、動かずでした。当たり前ですよね^^;

そしてさらに調べると、どうやらM/B付属のドライバCDのみからのインスコになるらしいです。

しかし重大問題が。M/B付属のドライバCDが見つからないのです。何故かM/Bのでかい箱の中に入っていませんでした。
ただ、使ったのは確実なので「部屋のどこかにある」という状況になりました。

部屋のどこかと言っても、この部屋のカオスさは半端ないので大捜索タイム。1時間くらい探した後、ようやく電源の入ってた箱の中から出てきました。意味不明すぎてしまった時の自分を殴り飛ばしたいです。

この際、ATIのドライバCDが4枚とnVidiaのドライバCDが2枚出てきたのはまた別の話。

このメインマシンには光学ドライブがついていないのでサブマシンのドライブにCDを入れ共有してCDをみてみると、確かにチーミングドライバは存在しました。わかんねえよこんなの…




ドライバをインスコして再起動をすると、無事にチーミングができるようになりました。

が、やはりハブが・amp;#124;ートトランクに対応していないので結局は意味がないです。
やっぱりHPのハブ買うしかないですよね…。


[ 1 コメント ] ( 1132 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 2.9 / 1737 )  |  

<<最初へ <戻る | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 進む> 最後へ>>