【ネットワーク】GR2000 その4 導入、そしてNAT/NAPT 
しばらくGRにPPPoEを喋らせて様子を見てみたわけですが、正直不安定でした。結論から言うと、もうルータをIX2015にしてしまったので、詳しい数値などのログは残っていないのですが、とりあえず起きてしまった問題をまとめます。


【症状1】 速度が出ない


昔はRadish等で速度判定をしたときは60-70Mbpsはでていたのですが、GRでは15Mbps程度になってしまいました。前回速度が出なかったときは、GRがFullduplexになっていてもL2のリンクがAutoだとHalfduplexになってしまっていてCRCエラーが出てしまっていた、ということがありましたが、それに関してはもうProcurve 2524でDuplexを固定してあるので問題ないと思います。

現に、GRのNIF2-3を介してiperfを走らせてみても90-97Mbpsはコンスタントにでていました。

【考察】 PPPoEの設定がおかしい?


MTU,MSSに関しても一応設定を見てみたのですが、特に問題はなさそうでした。
試しにMTUとMSSを1400等の設定にしても速度が変化することはありませんでした。
認証方式が間違っているのかと思いCHAP,PAP両方で試しましたが、そもそも認証が通らなければPPPリンクは確立しないのでこれは見当違いだと判断し、他の設定を見ることにしました。

何度か速度ベンチをしている内に、あることに気がつきました。インターネットから転送しているとき、Telnetのヒストリのレス・amp;#124;ンスが若干遅くなるのです。

気になったのでshow rm cpu secとCPU使用率を確認してみると、WANから転送しているときに80-100%に達していました。


【考察2】 PPPoEがSW処理?


気になったのでググってみると、どうやら同じような問題を抱えている人がいたみたいです。
情報によると、GRはPPPoEは処理ASICを持っているらしいのですがNAT/NAPTがCPU処理のため、どうがんばっても1数Mbps程度らしいです。
確かに、WANへはNATを使って接続しているのでこれに該当します。

詳しい説明はWikiに投げますが、簡単にNAT/NAPTの説明をすると、「一つのグローバルIPでLAN全体のマシンを通信させる」という技術で、電気店に売っているブロードバンドルーターの主な役割はこれです。IPマスカレードとも呼ばれています。

要はこの技術が使えないと、複数のマシンを通信させることができないので一般家庭で使うのが難しくなります。もっとも、GR2000そのものはBGPやOSPF等を使うような規模のネットワークの処理をする機械なので、NATなんて使うことは想定されていないようなものなのですが。

【検証】NAT/NAPTの動き



一応、ローカルエリアでNAPTを使って実験をしてみました。

設定:テスト的にfe20を外部・amp;#124;ートとして、fe20からfe21にあるマシンに接続
nif2/0=fe20 ;192.168.1.0/24,nif-ip-addr=192.168.1.1
nif2/1=fe21; 192.168.2.0/24,nif-ip-addr=192.168.2.1
nif2/2=fe22;192.168.3.0/24,nif-ip-addr=192.168.3.1
nif2/3=fe23;192.168.4.0/24,nif-ip-addr=192.168.4.1
nat {
inside_interface fe21;
inside_interface fe22;
inside_interface fe23;
outside_interface fe20 {
static_napt auto 192.168.2.2/32 port 5001;
 napt 192.168.2.0/24 auto;
 napt 192.168.3.0/24 auto;
 napt 192.168.4.0/24 auto;
};



この設定は、内部(FE21-23)から外部(FE20)に繋ぎに行くときはFE20の192.168.1.1というIPを使い接続しに行き、外部から内部に入るにはFE20のアドレスである192.168.1.1に向かってアクセスし、そして・amp;#124;ート5001にアクセスがあるとFE21に繋がっている192.168.2.2に向かわせる、という設定です。

Iperfを使うと、ローカルであっても15Mbps程度しかでず、CPUの使用率は高いという状況になりました。この事から、やはりNAT/NAPTは使ってはいけないと言うことが分かりました。

もしGRをどうしても使いたいという場合、所有機器の中ではAlteon AD3がNAPTを使えそうな雰囲気がある?ので、AD3でIP変換をさせないといけないみたいです。カオスなネットワークは避けたいのですが…。



【症状2】 繋がらないサイトがある


次に起きてしまった問題は、家族のマシンからYahooは繋がるのに繋がらないサイトがでてしまう、ネトゲが動かない、等の問題が起きました。
IP割り振りに関してはGRでDHCPを吐かせているのですが、その線をX40に繋いでみると何故か自分のX40からはつながり、そのほかのVersaPro,その他家族マシンからは繋がらないという事態になりました。FW等もすべて切ってありましたが駄目でした。


自分の部屋からのマシンからはすべて繋がるので、Proxyを作ることによりごまかせましたが、この事態に関しては本当になんでこうなったのか不明のままです。


結論としては、やっぱりNAT/NAPTの処理はおまけで、その程度の規模のネットワークであれば他のルータ(RTXやらNetgenesisやら)を使え、ということだと思います。

[ 2 コメント ] ( 18494 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 2.9 / 1805 )  |  

<<最初へ <戻る | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 進む> 最後へ>>