25-3. インタ−ネットの回線とDNS `2f/05〜 (1) DNSサ−バ指定での障害対策 `2f/05,07 * 狙い DNSサ−バ指定の仕方でどこまで障害に対応できるか。インタ−ネットの回線を複数に して回線冗長化装置を用いれば回線の障害対策ができる。しかし回線冗長化装置を導入す るにはそれなりの費用と技術がいる。そうたやすくできるものではない。導入を計画して いるが実際に装置の設置稼働までには時間がかかる。それまでに何かやれることを考えた。 * プロバイダAと自社のDNSサ−バ Amazon / ̄ ̄ ̄\ DNS プロバイダAのDNSサ−バは A.c, A.d とする。自社の EC2 \___/―□E.d DNS1次は A.3。DNS2次は A.c, A.d にお願いしている。 | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ > nslookup JPNICの自社のDNS登録 \___________/ > set type=any nix.co.jj A.3 | > nix.co.jj nix.co.jj A.c A.c□―/ ̄ ̄ ̄\ | nix.co.jj A.d << これをE.dに。 A.d□―\___/―□A.e nix.co.jj A: DNSキャッ origin = ns0.nix.co.jj : シュサ−バ | : nix.co.jj nameserver = ns0.nix.co.jj 仮想◇ ■ nix.co.jj nameserver = ns1-tcp-net-ad-jj.nix.co.jj |A.3 |A.1 nix.co.jj nameserver = ns2-tcp-net-ad-jj.nix.co.jj --------------------------- ns0.nix.co.jj internet address = A.3 MR□DNS1 |A.2 ns1-tcp-net-ad-jj.nix.co.jj internet address = A.c | -------- ns2-tcp-net-ad-jj.nix.co.jj internet address = A.d -----------| | Proxy □MS -------- □ プロバイダはDNSサ−バの A.d を止めてAmazon EC2を | |.2 |.5 利用することに。 それに伴い自社DNSの制御ファイル --------------------------- も変更が必要になった。ns2-... = A.d の記述を E.d に。 プロバイダにはDNSサ−バの1次とか2次というのは無いのでないか。全部コンテンツ サ−バとして独立しているのでないか。これまでプロバイダにもDNS1次とDNS2次 のサ−バがあるものと思っていた。ここの記述 `2f/07 に見直して分かったことである。 * インタ−ネット回線とDNSの状況 自社のDNS1次サ−バは社内にある。DNS2次サ−バは契約プロバイダに持ってもら っている。プロバイダのDNSサ−バ内に、自社DNSサ−バのコピ−を持ってもらって いるということ。これは一般的なDNSサ−バの1次、2次サ−バの形態と思われる。 DNS2 はプロバイダAのDNSで、自社のDNS2次でもある。 これらは権威DNSサ− バという。DNSc はプロバイダAのキャッシュDNSサ−バである。 ずっとプロバイダA のオフィスに当初、その後はデ−タセンタ−にDNSサ−バのマシンを設置していた。 プロバイダAはDNSとキャッシュサ−バをそれぞれ1つを Amazon EC2 を利用すること にした。これに伴い自社のDNSサ−バの設定も変更することになった。プロバイダの技 術者と連携をとりながら作業をしスム−ズに変更できた。下図は変更後の様子である。 当初プロバイダからDNSを変更する旨のあっさりした文面のメ−ルが届いた。しかしよ く考えると結構大変なのでないか。えらく複雑なことになったのでないかと思った。それ で出向いて説明を聞いた。まとめて整理したら、模式的にはこんな図の状況になった。 Amazon/ ̄ ̄ ̄\―□DNS2 E.d (A.d から移設) nix.co.jj の権威DNSサ−バ EC2\___/―□DNSc E.e (キャッシュ用) は DNS1次のマシン A.3 である。 | DNS2次は接続プロバイダに依頼。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \_____________C________/ UTMのポリシ−ル−ティング P↓| |: | で HTTP,HTTPS はB回線に誘導。 DNS2 / ̄ ̄ ̄\ DNSc □:/ ̄ ̄ ̄\ DNS 名前解決の DNS はA側を通る。 □―\___/―□ DNS:\___/―□ A.c A: A.e C.d: :B B.d 自社の Proxyなどがプロバイダ : ■ : AのDNS参照先の利用は基本、 :Q↓ :↑HTTP,HTTPS DNSキャッシュサ−バである。 Web MR,DNS1 : : ◇ ◇ ■ ■ B回線とC回線経由ではDNS | |A.3 |A.1 |B.1 の A.c は利用できない。A.3も ------------------- --------------------- 利用できない、自分がそうした。 Web MR,DNS1 A.2| NAT |B.2 □ □ --------------- ポリシ−ル−テ A回線とB回線経由ではDNS | |.1 .2| WAN1 WAN2 | ィング(PolicyR) の C.d は利用できる。 C回線 ----------------|DMZ UTM | は社内からのテスト用で利用。 | LAN | Proxy IE等 □MS --------------- □ △PC B.d はB回線経由でのみ利用可。 | |.2 |.5 | しかしこれまで Proxyなどで利 ------------------------------------------------ 用した実績がない。使えるのか。 /etc/resolv.conf /etc/resolv.conf /etc/resolv.conf << Proxy サ−バのマシン ---------------- ---------------- ---------------- の LinuxでのDNSの |nameserver A.3 |nameserver A.e |nameserver B.d 利用設定 resolv.conf。 |nameserver A.c |nameserver E.e |nameserver C.d << これまで >> << これから >> << 緊急対応 >> 通常でもできるだけ速いDNS応答にするには。"これから"の指定でプロバイダが設置し たDNSキャッシュサ−バを参照先にするのはどうか。 A.e は中部地方に E.e は東京の デ−タセンタ−にある。ping の応答は 20ms ぐらいであまり違いはない。 通常の設定であるいは回線A側に障害が起きてやるのでなく、普段から "緊急対応" の設 定にしておくというのもある。Aに障害が発生しようがしまいが関係ない。ただB回線の プロバイダのDNS参照はこれまでしたことがなく、自分のパソコンで試してみないと。 "緊急対応"のDNS指定にはUTMでポリシ−ル−ティングの設定が必要である。社内か ら B.d への UDP/53 パケットは WAN2インタ−フェ−スを通って行きなさいよという設定 である。一応設定の仕方は "24-5.ネットワ−ク構築は雲の彼方に,(1)" を参照のこと。 * 回線A側に障害が起きた場合の対応 A側で自社が DDoS 攻撃を受けている様な事態。例えばプロバイダAの上流からパケット (P↓) がAに大量に来ている状況。Aから自社へプロキシサ−バのDNS参照先は "緊急 対応" に変更する。UTMのポリシ−ル−ティングの設定も Proxy のIPから B.d への UDP/53 パケットをB回線に誘導する。C.d も同様。C.d、B.d どちらを先にするか要検討 である。/etc/resolv.conf での nameserver IP の複数の記述はラウンドロビンというこ とではない。上のIPアドレスのDNSサ−バが応答なければ次を見るという動きである。 社内から外ヘのメ−ルは行かなくなる。先ずはメ−ルストアで宛先ドメイン名の名前解決 ができない。メ−ルストアのDNS参照先は主に A.3 と、念のためセカンダリとしてC.d を記載している。A.3 には問い合わせできても、A.3 からインタ−ネットのDNSに問い 合わせできない。社内のパソコンのメ−ルソフトからのメ−ルはメ−ルストアで止められ てしまう。外からのメ−ルは相手のDNS参照は DDoS のため、A.c が応えなくても E.d が応答できる。しかし自社の MR にメ−ルが来られるかは DDoS 次第ということになる。 大量パケットがAに来ているが、Aから自社へのパケットの量(Q↓) は通常とする、つま り自社への DDoS 攻撃が成されているという状況ではないと想定。"緊急対応"以外に何か やれることが有るような気がする。 プロバイダの人の話ではDNS参照先を E.e にすれ ばそれなりの応答は望めるだろうという。プロバイダと上流のネットワ−クが1本しかな ければ期待できないのではと念押しに尋ねても同様の回答だった。もう1本この際用意し たのかな。プロバイダから今、大量パケットが来てますと連絡を受けて、その際にDNS 指定を A.3 から E.e に変えてみてはどうか。実際に様子を見てみるしかなさそうだ。 大量パケットで、影響を受けやすいというプロトコルというのがあるのか。例えばDNS の問い合わせ 53/UDP がそうで、このパケットさえ別なネットワ−クで処理できれば、サ イトへのアクセスはそこそこできるとか。とりあえずDNSの応答パケットが返ってきて、 サイトのIPアドレスさえ分かれば、後はやや遅くてもそこそこ表示されるとか。これは 実際プロバイダから連絡を受けて、今 DDoS 攻撃をプロバイダが受けていますと。その時 に目ぼしいサイトにIPアドレスでアクセスしてみてどうか、その感触をみるしかないか。 確かこの確認はこれまで起こったトラブルの時にいろいろ試した中でやったと思うけど。 * いろいろメモ これをいい機会として Amazon のクラウドサ−バを見てゆきたい。どれぐらいの応答であ るとかトラブルの発生頻度であるとか。自社のDNSの1次サ−バも移行させる、移行で きるか検討したい。プロバイダの技量を借りればスム−ズな移行ができるかも知れない。 DNSの応答速度はどうやって調べたらいいか。 ping はマシンの有りかに関する応答で ある。nslookup コマンドを引き数で叩くか。単純に nslookup、dig コマンドでURLを 入れてIPアドレスが出てくるまでの時間を見ればいいだけでないのか。 プロバイダが上流とどのように繋がっているのか分かる方法はあるのか。昔のインタ−ネ ットの雑誌に日本全部のプロバイダ接続マップが付録であったけど。プロバイダAの話で はDNS2 の E.d には、プロバイダAから上流は別な回線を通るようなことを言っていた?。 プロキシサ−バでは社内のパソコンのIPアドレスの逆引きは関係ない。メ−ルストアで 関係する。自社DNSサ−バにはとりあえず社内ネットワ−クのIPアドレスの逆引き用 の記述をしている。メ−ルストアのDNS参照先は主に A.3 と念のため次に C.d を記載。 (2) いつも悩む回線のスル−プット `2f/05〜 * インタ−ネットの回線の MRTG グラフ 回線業者に自社契約の回線状況の MRTG のグラフを見せてもらったことがある。1日の5 分間平均、1週、1月、1年のグラフが出る。1日のグラフでは IN と OUTのグラフ、IN が青色で入って来る方。OUT が緑でインタ−ネットに出て行く方。インタ−ネットのサイ トを社内の人らは見るのでWebアクセスのパケットがたくさん入ってくる。10時と午 後3時の休憩時間それに昼食時にたくさんのパケットが流れている。ギザギザでピ−クは 6 Mbps とか 8 Mbps。夜間になるとがくっと流れは少なくなる。 5分毎の平均とは。MRTGでル−タなどの内部の情報を引き出す。5分毎に総受信デ−タ量、 総送信デ−タ量をとってくる。5分前の値との差分から計算する。車で例えたら分かり易 いかも知れない。1時間前に名古屋にいて何キロ地点、1時間たった今は三ヶ日にいて何 キロ地点。その差で走った距離が出て1時間で割れば時速がでる。でも名古屋から三ヶ日 まで走っている際に、車のメ−タで時速100キロの時もあれば渋滞で時速4キロの時も あるかも知れない。デ−タ量の平均値だから、つまりスル−プットが分かる。 MRTGのグラフに戻って1週のグラフは30分平均というのは。5分毎のデ−タが上で取ら れているのでそれを使うのだと思う。5分で6回分のデ−タから平均を取る。青色と緑色 のグラフに加えてダ−クグリ−ンとマゼンタ色のグラフも出ている。これらは IN と OUT での最大5分での伝送速度である。ダ−クグリ−ンとマゼンタ色のグラフ自体のプロット は30分に1回。5分毎に最大値をとっていて6回分ある。その中での最大値を、プロッ トするということである。自分で書いていてもややこしい。 1ヶ月のグラフは2時間毎にプロットする。ダ−クグリ−ンとマゼンタ色のグラフは30 分に1回とった値を使うのでないか。2時間なので30分間隔で4回分のデ−タをとって、 その最大値をとる。たくさんのデ−タを記録しなければならないので、生デ−タをそのま ま記録しているとは思えない。1年のグラフは1日毎にプロットする。ネットを見たら伝 送速度でなく伝送量と説明しているのを見たが、違うのでないか。1本の縦軸に単位が2 つあるなんて説明はどこにも見当たらない。 * インタ−ネットの回線のスル−プット 回線業者が2013年、1次集約局に繋がったル−タでのMRTGグラフを持参、現在のトラ フィックはもう一杯一杯かどうかの疑問に答えが出た。グラフを一瞥したところスカスカ。 特に混んでいる状況ではない。平均すると 5〜6 Mbpsは出ている。しかし他所では 8〜10 Mbps は出ているとの業者の話で、 ひょっとすると自社とプロバイダ−に設置したル−タ のVPN(IPSec) のオ−バヘッドが影響しているかもということだった。回線の1次集約 局から2次集約局でもパケットの破棄は無かった。2次集約局から回線網に入っていく。 持参してくれた MRTG のグラフを見るとギザギザが天井に張り付いていたりしない。ぱっ と見るところまだ十分余裕があるのだ。それでいてインタ−ネットのサイトのWebアク セスが遅い。回線速度の計測サイトでやってみても 5 Mbps前後位しか出てない。100Mbps ベストエフォ−トとは何社かで回線を共有している形である。そして回線業者のWAN接 続サ−ビスがあり、その中をプロバイダがインタ−ネット回線の足周りとして IPSec VPN で通している。 この暗号化のオ−バ−ヘッドがある程度かかっていると思われる。 しかし速度が半分になるとかいうものではないだろう。ル−タはヤマハでちょっと古めと 思われるが、これもそんなに遅くする要因になるとは思われない。何で速度が出ないのか。 どのように解釈したらいいのか。後先になったがA回線は光ファイバの 100 Mbps ベスト エフォ−トで最大スル−プット 30 Mbps。B回線は光ファイバで 300 Mbps ベストエフォ −トで最大スル−プット 90 Mbps。http://www.musen-lan.com/speed/ で計測。最大スル −プットで見たらそんなものかなとも思う。以上の話はプロバイダAの回線でのこと。 * スル−プット/帯域/速度 これらは スル−プットは1秒間に通すことができるパケットの数。そのため"スル−プット=帯域" で合っているはずである。物理的に通す単位はイサ−ネットフレ−ムか。フレ−ム長さが 長い程1回で通って行くデ−タ量は多くなる。ここではフレ−ムはパケットと同じとみな すことにしよう。フレ−ムは元々は電気信号だから光の速度で進んで行く。しかしル−タ など装置をフレ−ムが通る際の処理に時間がかかる。光ファイバのチュ−ブの中をフレ− ムが通って行く際、中の壁を跳ね返りながら行く。この屈折率も時間がかかることになる。 1個のフレ−ムの速さは光の速度に近い速度で一定でいいのでないか。この速度はネット ワ−ク速度とか回線速度というのとは別ものである。ネットワ−ク速度、回線速度、帯域 はスル−プットの意味である。ル−タやスイッチングハブのインタ−フェ−スを通過する フレ−ム(パケット)の数と思うと理解しやすいかも知れない。ル−タAは100フレ−ム /毎秒の能力がある。ル−タBは50フレ−ム/毎秒の能力。単純に 100Mbps と 50Mbps の能力の差があるといえる。フレ−ムを暗号化すると50が30フレ−ムに落ちるとか。 -------------- -------------- |Router A | |Router B | | 1 → | 1 → | : → | : → | : → | 50 → | 100 → | | | | | | -------------- -------------- MRTG のグラフはどうやって見るか。上下の軸はスル−プットのはず。 天井に張り付いて いる所があれば、それがスル−プットの上限になる。ただのぎざぎざであれば、まだ天井 に達していない。MRTG は5分平均でプロットして行くことに注意。 天井に張り付いてい るというのは、相当一杯になっているということ。やはり平均を取っているというのが癖 者だろう。入手した MRTG のグラフをぐっと見ると、1ヶ月のグラフのピ−ク値の約3倍 ぐらいがスル−プットの最高値とだいたい合っているように思う。どうだろうか。 マシンのロ−ドアベレ−ジを見るので例えば Linux の負荷、 単位時間あたりの実行待ち のジョブの数というのがある。この場合はCPU使用率ではない。これらの値を MRTG グ ラフに示すことができる。 WithPeak オプションを使えばグラフに負荷のピ−クの値を表 示することができる。MRTG を調べていてそんなことができるのだと見つけた。 平均化さ れた値では最大どれだけの値だったか分からない。 WithPeak で5分最大値のグラフは5 分の間に最大だった Load Average の値をだして、グラフ表示してくれる。 * 回線業者を通るプロバイダAのインタ−ネット接続 どこかでイン ↑ [ IPSec VPN トンネル ] タ−ネットへ -------- | -------------------- 3.0 ■ |3.2 |4.1 □Router2 〓 ---------------- 4.0 9.2: ‖IPSec VPN | :9.0 ‖暗号化トンネル プロバイダ □ 9.1: ‖9.1 と 9.2 間 |3.1 □Router1 〓 --------------------- 3.0 |2.1 |3.2 -------------------- 2.0 □Router2 9.2| 自社とプロバイダは回線業者の網を通る。こ ◇ONU2 終端装置 れまでどういうネットワ−クになっているか : よく分からなかった。プロバイダのトラブル ------:------回線業者網 でインタ−ネットにアクセスできなくなった | ONU◇ | 際、回線業者にも問い合わせして問題の切り | | | ________________ 分けの確認をやった。回線業者に教えてもら | ------ | / \ ったIPアドレスで網に直接パソコンをつな | | L3 |…………\________________/ いでインタ−ネットにアクセスした。PC2 の | ------ | インタ−ネット IPを 7.1 にしデフォルト経路を 7.2 に。 | |7.2 | | | | UNIX系のtraceroute、Windows 7 OSの | ONU◇ ‥‥|‥‥‥ ONU1〜ONU2 tracert コマンドで途中経路もだして、大方 ------:------ :7.0 ネット 7.0 ネットワ−ク図が描けた。 :7.0 : : : 7.1 PCをONU1に PC1> tracert -d 4.1 ◇ONU1 ◇―△ 付ける場合 1.1 1ms 9.1| ONU1 PC2 2.1 1ms □Router1 9.1 30ms 自社 |2.1 9.2 35ms --------------------- 2.0 3.1 32ms |2.2 4.2 37ms ---------- |FireWall| プロバイダを通るインタ−ネット接続でスル ---------- −プットの MRTG グラフを出してくれた。計 |1.1 測は 3.2 である。 グラフでは天井に張り付 --------------------- 1.0 いてはない。それでも Router1,2を変えれば | | スル−プットは速くなるという。どう理解し △Apollo △PC1 たらいいのか。なかなか難しい。 インタ−ネット回線の速度を計測するサイトBNR から traceroute コマンドを実行できる。 http://www.musen-lan.com/speed/ の画面に [TraceRoute] と言う小さなメニュ−がある。 これをクリックするとそのサイトから自社ファイアウォ−ルの出口のIPアドレスである 2.2 までの経路を表示してくれる。BNR サイトのIPアドレスから幾つか出て、3.2 が出 て 2.1 が出て 2.2 が出た。ファイアウォ−ルでNATされているので、PC1 からの発信 ではなく 2.2 からの発信になっていて、これに応答がかえって来たということである。 * MRTG のイン/アウトについて ( 以下は kansi.txt より抜粋を含む ) SNMP ソフトが動いている装置に対して入って来るパケット、出て行くパケットをみる。 --------- 先ずは Linux マシンに SNMPソフトを入れて稼働させ | Linux |SNMP てインタ−フェ−ス(a) を出入りするパケットの数を | (a) |ソフト MRTGソフト 計測する。そのデ−タを MRTG ソフトが取りに行って ----*---- ■ Linux グラフを作成する。下図はインタ−ネットヘのアクセ IN↑| ↓OUT |マシン スで、社内から外のWebへのアクセスの応答パケッ ------------------------- ト、入ってくるパケットの方が一般的に多い事を示す。 インタ−ネットへ | /\ /\OUT (a)を対象にしたMRTGグラフ。 : b|/ \/ \ ------------------- p| ___/\__ OUT↑| ↓IN s|/ IN ----*---- ------------------------> time | (b) |SNMP | Router|ソフト | /\ /\/ IN (b)を対象にしたMRTGグラフ。 | (a) | MRTGソフト b|/ \/ ----*---- ■ p| ___/\__ IN↑| ↓OUT | s|/ OUT ------------------------- ------------------------> time (3) DNSの専用キャッシュサ−バ * DNSのキャッシュサ−バ とりあえず参考になるのはこれぐらいか、「Software Design」2015/04,P.71〜100,"第2 特集 [最新]DNSの教科書"。この "第3章 BIND NSD/Unbound によるDNSサ−バの構 築"、NSD は権威DNSサ−バ機能あり、Unbound はフルリゾルバ−機能あり。 フルリゾ ルバ−はキャッシュDNSサ−バ。NSD と Unbound の開発は NLnet Labs。 P.84 にシステム構成図というのがあり VPS-Bホストには、 権威DNSサ−バとフルリゾ ルバ−が同じコンピュ−タにある。P.84〜86 BINDによるフルリゾルバ−構築(VPS-Aホス ト)。ロ−カル 127.0.0.1 からの問い合わせだけに応答するよう設定してある。P.86〜88 Unbound によるフルリゾルバ−構築(VPS-Bホスト) が記載されている。 unbound.conf の設定内容があり、127.0.0.1 でプロセス起動。 127.0.0.1 からのみ問い 合わせを許可する制限にしてある。ヒントファイルの指示が見当たらないけど。ロ−カル ル−プバックアドレスからの問い合わせのみ許可、これでどうやって社内のパソコンから DNSを問い合わせるというのだ。以上、「Software Design」2015/04 を読んでの感想。 「Software Design」2009/01、Unbound の特集記事あり。P.122〜129、"最新型DNSの実 力がわかる! Unbound 入門"。gihyo.jp サイトにも同じ記事あり。"特集 Unbound、知っ てる? この先10年を見据えたDNS" で 2008年11月12日に第1回が始まり4回まであ る。Unbound のヒントファイルについての記載はない。http://unbound.jp/。 簡易コンテンツサ−バとしての記述ができる。プライベ−トアドレスからの逆引きにはデ フォルトで決まった応答 NXDOMAIN を返す。とりあえずインスト−ルして動かせば、ロ− カルル−プバックでの利用はできるようになっているみたいだ。LAN内のホスト名の登 録もできる。だいたい分かった、設定できそうである。HPの仮想マシンでやってみるか。 気になることに、DNSキャッシュサ−バのキャッシュという事。ならばこのDNSサ− バでどれ位の時間キャッシュしておくのかという話。DNSは元のDNSで設定された時 間と言うのがあり、それでもってキャッシュ時間は決まるはずである。DNSキャッシュ サ−バなるサ−バの方でキャッシュ時間を決めるのではない。と思っているけど。 「UNIX MAGAZINE」は全部ほかってしまった。工場ならではの整理整頓運動で3年以上前か の雑誌は処分することとなって自宅に退避させたのだが、もういいやと1冊残らず捨てた。 かろうじて「Software Design」だけは死守した。 2010年まで1冊ずつ、目次だけざ っと見たら1つ記事があった。「Software Design」2014/05、P.150〜153、"チャ−リ−・ ル−トからの手紙 第7回 BIND の廃止と Unbound/LDNS の導入"。 どんな記事でも見てみよう。「日経NETWORK」2012/11,P.18〜31,"特集1いまだか らDNS再入門"、Part1 キャッシュDNSサ−バ−。P.25 が参考になる、EDNS0 拡張仕 様を使うと 512 バイトを超えるのもやりとりできる。DNSは基本的に UDP/53ポ−トを 使う、DNSメッセ−ジが 512バイトを超えたときに EDNS0 を使うか TCP に切り替えて 通信する必要がある。という記載が参考に。EDNS0( Extension Mechanisms for DNS )。 [ Unbound のヒントファイルはどうなっている ] JPRS からのアナウンスが参考になる。d.root-servers.net(D-root)のIPアドレス変更に 伴う設定変更について。初版作成 2013/01/07(Mon)。以下が関係するところの抜粋である。 -------------------------------------------------------------------------------- Unbound はデフォルトではプログラム内のル−トヒントを使用しており、ル−トヒントフ ァイルは参照していません。そのため、設定ファイル unbound.conf() root-hints: 行の 設定を有効にし、上記 URI から入手したル−トヒントファイルを指定した後、unbound-c ontrol reload コマンドで設定ファイルを再読み込みすることで、ル−トヒントが更新さ れます。 ※多分プログラム内に書かれているのでないかと思った、やはりそうだった。 -------------------------------------------------------------------------------- * DNSサ−バの配置の検討 DNSサ−バには2種類ある。コンテンツサ−バとキャッシュサ−バである。コンテンツ サ−バは自社のDNS情報を記載する、ホ−ムペ−ジのWebサ−バのURL名とIPア ドレスの記載。メ−ルサ−バのIPアドレスの記載。これまでDNS1次サ−バは社内に おいている。DNS2次サ−バはプロバイダAに当初からなってもらっている。1次サ− バにあるDNS情報のコピ−を2次サ−バは持つようになっている。 「Software Design」2015/04 のDNSの記事だけでは情報が足りないみたい。DNSキャ ッシュサ−バは社内LANに置くのがいいだろうと、プロバイダのエンジニアのアドバイ ス。社内のパソコンのメ−ルソフトで、パソコンのIPアドレスの逆引きをしてくるので、 これまで named の制御ファイルにそのための記述をしてきた。 Unbound でも同じことを やらないといけない。インタ−ネットで探してみよう。よさそうな記事がまず一つあった、 "キャッシュサ−バの設定 IIJ山口崇徳 DNS Summer Days 2014"、PDFファイル。 社内の幾つかのサ−バでDNSのIPアドレスを、どう指定しているか。それが一番問題 かも。DMZ上にDNSサ−バのマシンは置いている、DMZセグメントのIPアドレス かそのバリアセグメントの仮想IPアドレスか、あるいはプロバイダのDNSサ−バを指 定しているか。把握する必要がある。Active Directory が動いている Windows Serverの DNSのフォワ−ド指定もだ、社内のDNSサ−バのIPアドレスではなかった。 分からないこと。キャッシュサ−バとコンテンツサ−バの関係は。関係ないんじゃないか。 キャッシュサ−バはDNSのル−トサ−バのIPアドレスしか持ってないのでないか。ル −トDNSから問い合わせした結果をキャッシュするだけじゃないのか。そうだとすれば、 ファイアウォ−ルでは社内設置のDNSキャッシュサ−バのマシンのIPアドレスから外 への UDP/53 パケットを通すようにしておけばいい。これと似たようなことをプロバイダ Aでやっていた、DNS1次サ−バを Amazon EC2 に移行したことで。 現状の named の制御ファイルでは、 社内ネットワ−クのIPアドレスの逆引きの記述を している。 メ−ルソフトの Outlook がどうも逆引きチェックをしているのでないかと思 う。社内にネットワ−クのセグメントを増やすたびに、named の制御ファイルでも記述を 追加してきた。これをDNSの専用キャッシュサ−バにも入れなければならないのでない か。コンテンツサ−バはインタ−ネット上に出す訳だから、そこに社内のネットワ−クに ついての記述があっても仕方ない(よくないという意味)。むしろ記述を無くすべきだろう。 Amazon EC2 □DNS1 |E.d / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ 現状 MR は Sunの Solaris9 マ \______________________/ シンでメ−ルリレ−とDNSの A: | |C B: | サ−バを動かしてきた。DNS : □A.d □C.d : □B.d の1次サ−バである。 : :↑HTTP,HTTPS MR◇ ■ ■ これを Amazon EC2 に移行する |A.3 |A.1 |B.1 つもり、それがこの絵である。 -------------------- -------------------- WAN1| |WAN2 マシン MR のDNSの参照先は MR□ --------------- /etc/resolv.conf はlocalhost。 |K.1 | | ----------------| UTM | MS の FortiMail のDNS参照 DMZ| | Proxy AD IE等 先は A.3 と C.d。Fortinet 社 MS□ --------------- □ □ △PC 指定のDNS先でもいいと思う。 | | | | | ------------------------------------------------ ポリシ−ル−ティング制御で HTTP 系の社内から外部へのトラフィックはほとんどがB回 線を通る。Proxy 経由の HTTP 系パケット、Proxy が見るDNSはB回線用の B.dである。 Proxy 経由の外へのWebアクセスは回線Bだけでできるようにする、A回線とは関係し ないようにするということ。Proxy が見るDNSは、このマシンをDNSキャッシュサ− バにして自身を見るというのはどうか。Proxy サ−バのマシンにDNSキャッシュサ−バ の役目をもたせるということ。これが一番望ましいはずだ。 /etc/resolv.conf ProxyマシンにDNSキャッシュサ−バを動かして、名前 --------------------- 解決は自身を見るようにする。 このDNSが不調な場合 |nameserver 127.0.0.1 には A.3 を見るようにする。このマシンのDNSサ−バ |nameserver A.3 には逆引きなんかは、なくてもいい。 /etc/resolv.conf 現状はこんなようになっている。 回線Aがダウンすると ----------------- A.3 も A.d も機能しなくなる。DNSの応答がないとか |nameserver A.3 マシン自体の応答がないと6秒から12秒、 次のDNS |nameserver A.d サ−バを見に行くのに時間がかかる。最終的には B.d を |nameserver B.d 見に行って名前解決はできる。若干時間がかかるけど。 負荷的にどうなんだろう。プロキシサ−バにかかっている負荷の状態が問題か。余裕があ るのであればDNSサ−バは一番近いところにある訳で、名前解決には一番条件がいいと 言える。 もう1つ問題は今のプロキシサ−バはHPの仮想マシンの Linux なのでDNS も動かすことができるが、プロキシサ−バをアプライアンスにしたらDNSサ−バは動か ないだろう。アプライアンスにDNSのソフトがあらかじめビルトインされていなければ 無理だと思う。BlueCoat にDNSサ−バの機能があるかというような話になる。 DNSの1次サ−バを A.3 だったのを E.d に変更する場合のこと。JPNIC の登録をその ように変更してもらうのだが。変更の手続きはプロバイダAに依頼することになると思う。 A.3 はパブリックIPアドレスで JPNIC の登録から消してもらう。 社内のサ−バなどが DNSを A.3 や K.1 を指定しているのがある。そのためしばらくこのDNSサ−バはこ のままにしておくのがいいかも知れない。ただし外からは参照できないようにする。 JPNIC の登録を変更する時点で、プロバイダになってもらっているDNSの2次サ−バと は関係しなくなる。 プロバイダの作業でDNSの2次サ−バから A.3 のDNSサ−バに 変更があったか問い合わせるのをしなくする。多分このDNSサ−バの設定はそのままで、 特にいじる必要はないのでないか。扱いとしてはDNSキャッシュサ−バとみなしていい だろう。JPNIC の登録の変更やDNSキャッシュサ−バのことはプロバイダAさんが、す でに自社分でやっていることで特に問題めいたことはなかったようで大丈夫と思ってる。 * DNSサ−バの配置の検討続き -------------------------------------------------------------------------------- DNSキャッシュサ−バがどういうものか、やっと腹に入った。分かった。 `2f/10/21 -------------------------------------------------------------------------------- ブラウザのプロキシサ−バの指定 外のサイトへアクセスするのにURLの名前解決するだけ。逆引きなんかすることは ない。DNSキャッシュサ−バでいい。社内のホストのDNS情報など関係ない。 パソコンのネットワ−クのDNSサ−バの指定 内は Active Directory のIPアドレスを指定している。パソコンのユ−ザのアカウ ントを AD 管理している場合。そして AD は自社のDNSサ−バを指定している。 パソコンのメ−ルソフトの中では パソコンのネットワ−ク設定のDNSサ−バをみる。どうも逆引きをしているみたい。 DNSの named のログが出ていた。前はそうだったが、今はどうなのか。 * DNSサ−バのアプライアンス EasyBlocks Enterprise がどうかなと思っていたら、生産終了になってしまった。小型の アプライアンス、弁当箱程度の大きさしかなく、こんなんで大丈夫かよと思わず思ってし まうのだが、それでよかったらしい。でも残念!。"23-7.メ−ルとDNSサ−バの維持を (1)DNSサ−バはいつまでも手元に、*DNSサ−バのアプライアンスあり" に製品のこ とは書いた。改めて今回調べたのが以下。EasyBlocks のDNSの機能、 コンテンツサ− バ、キャッシュサ−バ、コンテンツ兼キャッシュサ−バから用途を選択。 EasyBlocks 単 機能ユ−ザ−ズガイド Ver1.4.4、ぷらっとホ−ム株式会社のホ−ムペ−ジより。 DNS は Unbound ではなくて BIND みたい、電話して問い合わせしようかと思ったのだが。 http://openblocks.plathome.co.jp/products/eb/dns/ に EasyBlocks DNS は 2015年9月 末に販売終了になります、プロトコルエンジン: ISC BIND9.7.x と書かれていた。 (終息 案内はこちら)を見たら、後継品は EasyBlocks IPv6 Enterprise/IPv6 をご活用ください。 (4) 悩みどころはプロキシサ−バも * プロキシサ−バはどうするか プロキシサ−バ兼Webレピュテ−ションのトレンドマイクロの IWSS を今後も使うのか、 アプライアンスの BlueCoat や i-Filter 何かにするのか、それとも他の選択肢があるの か。DNSの権威サ−バはクラウドに出すとして、DNSキャッシュサ−バは社内に設置 するのだが。DNSキャッシュとプロキシは別なマシンがいいのか、同じでいいのか。プ ロキシは今はHPの仮想マシンの Linux で動かしている、 これならDNSキャッシュは Unbound をインスト−ルして設定して動かすことができる。 Fortinet社のエンジニアと2015年9月初めに話していて、今後のネットワ−ク構築の いいヒントをもらった。Office 365 に関して pac スクリプトで MAPI のパケット制御は やらなくて済むかも知れないと思った。FortiGate がプロキシサ−バとして、よく使われ るようになって来ていますとの話。メニュ−にプロキシというがあるのは前から知ってい た。漠然とこれって一般的にいうプロキシサ−バなのかなと思っていた。 InterScan Web のプロキシ機能をこれまでプロキシサ−バに利用してきた、これでなくても構わなくなる。 Office 365 のアクセスも FortiGate のプロキシサ−バを通ってもらえばいいではないか。 pac スクリプトを個々のパソコンのブラウザに入れなくてもよくなる。FortiGate のパフ ォ−マンスの高いモデルなら、Office 365 のパケットでも問題ないのでないか。 今のフ ァイアウォ−ルの FortiGate-310B ならその処理能力はあるのでないか。 310B にはセキ ュリティのライセンスは最初から入れなかった。ファイアウォ−ルとしてだけの機能しか ない。もうライセンスは購入できない。プロキシサ−バとしてだけなら利用価値はある。 今のプロキシサ−バのIPアドレスで動かせば、これまでのプロキシサ−バのIPアドレ スは変わらないようにできる。HPの仮想サ−バも後1年で保守切れになる。仮想サ−バ の仮想マシンで動かしている InterScan Web Security、 これを止めてしまってファイア ウォ−ルで動いている FortiGate-310B と置き換える。新しく FortiGateをセキュリティ のライセンスを含めて買って、FortiSandbox と連携させWeb系ボット対策もやる。 こ れで一つシナリオが描けた。インタ−ネット周りは Fortinet 社製品でまとめられた。 プロキシサ−バをどういうものにするかにしても、いきなりこれまでのプロキシサ−バで 指定していたIPアドレスを、パソコンのブラウザでいっせいに変更するというのはでき ないというか。これまでの設定でもとりあえずプロキシは使えるようにするということが 肝心である。先ずテストの手始めとして、 手元の FortiGate-80C に比較的新しいファ− ムウェアを入れ、これでプロキシサ−バの機能を見てみるとするか。そんなに難しい設定 ではないはず、と勝手に推測する。FortiGate でDNSサ−バが動くという話も聞いたし。 * FortiGate のプロキシサ−バ機能は FortiGate のメニュ−を見ているとプロキシというのがある。実はこれはプロキシサ−バ のことである。これを使っているユ−ザさんは増えているという話を Fortinet 社のエン ジニアに2015年の9月初めに聞いた。FortiGate は多分プロキシサ−バで使えるので ないかとずっと思ってはいた。一度ぐらいテストしたことがあるような気がする。 手元の FortiGate-80C にて、バ−ジョンは v5.0,build0310 にて。 ちゃちゃっとテスト してみた。画面のメニュ−にプロキシの設定らしきのが出てない。 [システム]->[ダッシ ュボ−ド]->[Status] {フィ−チャ−} 画面で "Explicit Proxy" が OFF になっていたの を ON にした。そしたら [システム]->[ネットワ−ク] にらしきメニュ−が出てきた。 [システム]->[ネットワ−ク] ->[インタ−フェ−ス] ->[DNS] ->[Explicit Proxy] << これが出てきた。画面は下のようなの。 --------------------------------------------------------------- | Explicit Proxy オプション |-------------------------------------------------------------- | |▽Explicit Web Proxy オプション | |Explicit Proxy を有効 〆HTTP/HTTPS □FTP □PAC |インタ−フェ−スでListen 無し |HTTPポ−ト [8080 ] |HTTPSポ−ト [0 ] (HTTPポ−トを使うには0) << このままで https サイ |FTPポ−ト [0 ] (HTTPポ−トを使うには0) トにも行けた。 |PACポ−ト [0 ] (HTTPポ−トを使うには0) | | |デフォルトのファイアウォ−ルポリシ−のアクション ◎許可 ○拒否 << 許可にする。 | PAC のメニュ−がある。pacスクリプトのファイルを FortiGate 内に持つことができるの だと思う。簡単なスクリプトを書いてテストできそうである、一度やってみよう。 先ずは普通にプロキシサ−バとして使えるか。ブラウザでプロキシ指定 192.168.1.11 と して。ファイアウォ−ルで 192.168.1.11 から外ヘは任意に出て行けるようにしてあって。 [システム]->[ネットワ−ク] ->[インタ−フェ−ス] << internal の画面で "Explicit Proxy を有効 〆" にす ->[DNS] ること。wa1,wa2 は設定なしで構わない。 ->[ル−ティングテ−ブル] 上記 [DNS] の設定 ◎FortiGuardサ−バ−を利用 プライマリDNSサ−バ− [208.91.112.53 ] << これらは Fortinet社が用意している セカンダリDNSサ−バ− [208.91.112.52 ] DNSサ−バ。 どこからでも利用可。 FortiGuardへ接続 〆 緑 何か特殊なDNSサ−バで Fortinet Webフィルタリングライセンス 〆 緑 製品で有効に使えるのかと思ってた。 DNSの1次指定のDNSサ−バが無い場合に、2次指定のDNSサ−バにどういうよう にアクセスするのか動作を調べてみた。HP仮想マシンの Linux の /etc/resolv.confで DNS指定の記載でテストしたのと動きは同じだった。これについては詳しく動作をテス トしてみた "21-2.HP仮想サ−バの運用いろいろ" rinne2.txt の付録を見られたし。 * FortiGate のDNSサ−バ機能は `2f/11/m FortiGate-80C のファ−ムウェアをアップした。 現状は v5.0,build0310 (GA Patch 11)。 SCSK(株) のサイト http://www.scsk.jp/sp/fortinet/download.html から最新をダ ウンロ−ドしてみた。FortiGate-80C で使えるファ−ムウェアの最新は OS 5.2.4 だった。 D:\Users\ikken\ダウンロ−ド\FGT_80C-V5-build0688-FORTINET.out に入った。2日で動 作確認できた。この装置にはル−トDNSファイルない、DNSキャッシュサ−バにはならない。 FortiGate には Windows 7 の Mozilla Firefox ブラウザから https://192.168.1.11/へ。 [システム]->[設定]->[フィ−チャ−] でメニュ−が {侵入防御}まで表示されていた。そ のすぐ下に (さらに表示) というのがあってこれをクリックすると、(さらに表示)の下に たくさんメニュ−がでてきた。メニュ−の {DNSデ−タベ−ス} OFF になっていたのを ON にしたら、[システム]->[ネットワ−ク]->[DNSサ−バ] というメニュ−が出た。 ------------------------------------------------- | DNSゾ−ンの作成 |------------------------------------------------ |タイプ ◎マスタ− ○スレ−ブ |確認 ○パブリック ◎シャド− |DNSゾ−ン [ ] << internal 例えば記入、ただの識別名。 |ドメイン名 [ ] << nix.co.jj 記入。 |プライマリ−マスタ− | のホスト名 [dns ] 以下は既 |連絡先Emailアドレス [hostmaster ] にこうな |TTL(秒) [86400 ] っていた。 |権威 [有効 ▽] ------------------------------------------------- ------------------------------------------------- | DNSエントリの作成 |------------------------------------------------ |タイプ [アドレス(A) ▽] << この他 NS,CNAME,MX,PTR レコ−ドがある。 |ホスト名 [test1 ] << test1.nix.co.jj を定義したということ。 |IPアドレス [192.168.1.12 ] |TTL(秒) [0 ](Zone TTLを使うには 0 にしてください。) | [ OK ][キャンセル] ------------------------------------------------- [システム]->[ネットワ−ク]->[DNSサ−バ] FortiGate FortiMail ---------------------------------------- | 80C 200D |インタ−フェ−ス上のDNSサ−ビス FireWall□ □ □ △PC |==================================== | |.11 |.12 | | □ インタ−フェ−ス モ−ド ------------------------------------ |------------------------------------ | □ internal 再帰検索 << "DNSデ−タベ−スのみ参照" と |------------------------------------ "システムのDNSサ−バに転送" もあり。 | |DNSデ−タベ−ス |============================================================= | □ DNSゾ−ン ドメイン名 タイプ 確認 TTL エントリ数 |------------------------------------------------------------- | □ internal nix.co.jj マスタ シャド− 86400 1 |------------------------------------------------------------- [ポリシ−&オブジェクト] |-[ポリシ−] | |-- IPv4 internal - internal で all all ALL 〆ACCEPT NAT無効。 | |-- Explictプロキシ 何も設定なしにて、これはなくても関係ないみたい。 | |-- プロキシオプション プロトコル ポ−トマッピングは全項目に〆が入っていた。 [システム] |--[ネットワ−ク] | |-- インタ−フェ−ス internal を利用、〆Explicit Web プロキシを有効。 | |-- WANリンクロ−ドバランス | |-- DNS FortiGuard サ−バを利用の場合は 208.91.112.53 と 52。 | |-- DNSサ−バ | |-- Explictプロキシ 上の設定で、有効に 〆HTTP / HTTPS 他。 Listen するインタ−フェ−ス internal。 FortiGate-80C を DNSサ−バとして動作を確認する。この装置内には DNSのル−トファイ ルは入ってないのでないか。外のURLは [システム]->[ネットワ−ク]->[DNS] を見る。 [システム]->[ネットワ−ク]->[DNS] でDNS指定をまるでなしにした、◎詳細 0.0.0.0 に。 127.0.0.1 は入力を跳ねられた。外のURLの名前解決はまるでできなかった。 [システム]->[ネットワ−ク]->[DNSサ−バ] の {インタ−フェ−ス上の DNSサ−ビス} の モ−ドを 再帰検索、DNSデ−タベ−スのみ参照、システムのDNSサ−バに転送 でテスト。 再帰検索など3つのモ−ドで、名前解決の挙動は一緒みたい。 DNSデ−タベ−スのみ参照 は www.asahi.com などはダメで、test1.nix.co.jj しか名前解決できないと思うのだが。 パソコンのDOS画面で > ping www.asahi.com や www.iij.ad.jp とやる。 この画面で は名前解決を多分キャッシュしてないはずなので、挙動がブラウザより分かり易い。 FortiGate のコンソ−ル画面で # exec ping www.iij.ad.jp をやってみる。内部DNSサ− バに登録したので # exec ping test1.nix.co.jj もやってみる。 パソコンのブラウザでプロキシ指定を 192.168.1.11 とする。 この場合 DNS はパソコン のインタ−フェ−ス設定は見ない。192.168.1.11 である FortiGate-80C の DNS を見る。 注.再帰検索うんぬんのところ、DNSゾ−ンの作成の確認で◎シャド− のこと。日を改め て再度確認すること。DNSのル−トファイルが装置内に有るか無いかの確認もすること。 * 新たにDNSに絡む設定が判明 `2g/03/M ファイアウォ−ルの FortiGate で、ライセンス情報の表示がずっと "接続不可"になって いた。この FortiGate は純粋にファイアウォ−ルとしてだけで使っている。 ポリシ−の ル−ルだけしか設定してない。そのため特に機能的には全然問題はなかった。しかし気持 ち悪いなとは思っていた。"接続不可"になっている理由が分かった。社内の特定パソコン に対して、外の FQDN 指定したマシンにのみアクセスをする設定をしようとしてわかった。 LAN->WAN のポリシ−で設定したところアクセスできない。 どうも名前解決ができてない 雰囲気だった。それで FortiGate 画面の CLIコンソ−ルから # exec ping www.xx.yy.zz が "Unable to resolve hostname." と出た。 FortiGate 自身から他へ FQDN でアクセスするのにDNSの名前解決ができていないこと が明らかになった。FortiGate のライセンスはDNSパケットも利用するので"接続不可" ということになっていたのだろう。[システム]->[ネットワ−ク]->[オプション] 画面で "プライマリDNSサ−バ" は自社のを書いている。多分ポリシ−でそれなりのル−ルを作ら ないといけないのだろう。DNSサ−バのマシンはDMZ上に設置しWAN上に仮想IP アドレスを振っている。果て、ポリシ−のどこにパケットを通す許可を設ければいいのか。 LAN->WAN ではないだろうし、分からん。手元のテスト用の FortiGate-80C でいろいろや ってみるか。幸い LinkProof のテストで Cobalt Qube3 とかまだ手元にある。 参考になるかも、"24-7.未来へ繋ぐイントラネット構築,(2)サンドボックスでよりセキュ アに" 以下の記事。FortiGate-80Cが手元にテスト機としてある。[システム]->[ダッシュ ボ−ド]->[Status]を見たら "サポ−ト契約 Registration 接続不可" となっていた。80C は透過型で設置した。管理用のIPアドレスがファイアウォ−ルのル−ルに入ってなくて パケットが止められていた。INTERNAL->WAN へこのIPアドレスを HTTP を通すようにし た。すぐにサポ−ト契約が有効になった。名前解決の設定ができん、どう設定したらいい か分からん。元々はSI業者にファイアウォ−ルの置き換えをやってもらって、安定する まで数ヶ月かかって、結局やっつけ仕事した名残りがこんな所にも残っていたという話だ。 "プライマリDNSサ−バ" を Fortinet 社の 208.91.112.53 にしてみた。 装置にログイン し直したら警告画面が出てきた "Attention: Device Registration Incomplete"。とりあ えず画面上の (X) で抜けた。ライセンス情報のサポ−ト契約 Registration は"ライセン スなし[登録]" に変わっていた。自社のDNSサ−バのIPアドレスではだめだったとい うことか、ライセンスに関しては。それで名前解決はできるようになったかと言えば、そ れはだめだった。FortiGate にログインする度に警告画面が出るので "何某notification future login" に〆入れ (X) で抜けた。 画面の [Register Now] をクリックしても問題 が起きるとは思えないが、しばらくはこのまま現状維持としよう。 "プライマリDNSサ−バ" は自社のDNSサ−バである 202.241.128.3 に戻して、 数日し て FortiGate にログインしたところ、サポ−ト契約は Registration Registered になっ ていた。その下の Hardware Support なども緑の〆に変わり、期限もこの先の有効期限の 年月日になっていた。FortiGate のコンソ−ル画面でダメ元で# exec ping www.xx.yy.zz やった、先ずダメ。"プライマリDNSサ−バ" をDMZ上のDNSサ−バのIPアドレスに した。変更はすぐに有効になる。そしたら www.iij.ad.jp や www.asahi.com は名前解決 して応答が返った。ポリシ−のル−ル設定をよく見直すこと。不可解なのは何故か利用プ ロバイダの FQDN は応答がない。ひょっとしてここを自身、見ていてダメと思ったのかも。 (5) インタ−ネット回線の最終形は * LinkProof 設定の基本指針は LinkProof とポリシ−ル−ティングの技術、両方を使うと装置の設定が複雑になり過ぎる のでないか。現実的に維持管理して行くことを考えると、どちらか一つだけにした方がい いと思う。そうなると LinkProof だけを用いるしかない。 2つないし3つのインタ−ネ ット回線を LinkProof から出すようにする。問題は LinkProof を設定できるSI業者が 限られていること。前回 LinkProof を導入してから10年以上経っているのだが、 未だ に LinkProof の設置設定は難しいままである。 なんせDNSの深い動作の理解が必要と され、出入りしているSI業者の優秀なネットワ−ク・エンジニアでさえ、LinkProof の 動作に関しては誤って理解している。 中部地区のSI業者に一人 LinkProof の設定がで きそうな人がいるらしい。とりあえずこの人物に接触してみるとするか。 * LinkProof のモデルの選定は LinkProof の機能は自分がだいぶ前に動作検証した時と基本的には変わってないとも聞い た。ラドウェア社からちょっとだけ詳しい説明資料を入手した。ざっと見たところ設定は ほとんど以前と同じようなことみたいである。 ロ−ドバランサの Alteon に LinkProof の機能と WAF の機能が入ると聞いた。1台でイ ンタ−ネット回線接続とDMZのところを面倒みてしまうという。なかなか興味深い製品 である。しかしいつそれらの機能が追加されるか、今のところ分からない。 LinkProof のモデルを選ぶのに回線速度、回線のスル−プットは重要である。最大の回線 のスル−プットで回線1が 40 Mbps、回線2が 80 Mbps とすると合わせて 120 Mbps。モ デルは少なくともこの値以上でないと、まずいのでないか。 LinkProof のモデルを選ぶのは回線速度(スル−プット)の最大値を知ることが必要である。 最大の回線のスル−プットは http://www.musen-lan.com/speed/、例えばこうした回線速 度を計測してくれるサイトで何度か計ってみればいい。 MRTGのグラフを漫然と見ていても選定の指標は得られない。最大の値が指標には必要であ る。回線速度の最大値である。だいたい MRTG の1ヶ月のグラフとかで、最大値の倍ぐら いが、回線速度の計測サイトで得られる値にどうも近いようである。 LinkProof の動きとして例えばモデル 108 では 100 Mbps を装置が超えた分は、 単純に パケットがカットされるということらしい。 モデルは一番下位の 108 でいいだろうと漠 然と思っていたが、そう単純な話ではなさそうだということが分かって来た。 一番下位のモデルでも値段は結構する。次のモデルは 200 Mbps までで 208、値段はイン タ−ネットで調べたら通販のあるサイトで約330万円とか。設定費用は軽く100万円 と言うところか。きちんと面倒みてもらうとしたら200万円取られてもおかしくない。 電源冗長化モデルというのがあるが、モデル 208 で70万円ぐらい高い、 どうなってい るのか。電源冗長化については特段の仕様がある訳でなく、ただの電源コンセントの二重 取りでしかない。それで70万円もプラスされるとは信じ難い。 200 Mbps のモデルの上は 1 Gbps で、 エンドユ−ザヘの販売価格としては10万円位プ ラスになるだけらしい。ならばいっそ 1 Gbps モデルの 1008 にした方がよさそうである。 これなら安気して回線ポ−トに大き目のスル−プットを割り振っておくことができる。 OnDemand Switch VL は モデル 108,208,1008,2008,4008 がある。筐体は同じでライセン スでスル−プットが決まる。1Uフルサイズ、重量 7.2 Kg、電源冗長化モデルは 8.6 Kg。 以上の検討でモデルは 1008 とする。後からライセンス変更するのでなく最初から選ぶ。 Alteon に LinkProof の機能が入った製品が出るのはまだみたい、2015/07/末。秋ぐらい には出て来るかもしれないが間に合わない。出たからといってすぐに飛びつく訳にはいか ないし。いろいろ盛りだくさんの機能で、しばらくは設定をやれる人が実際いないかも。 パンフレットによれば送信先と送信元のIPアドレス、Port番号、Host Name でパケット を振り分けることができる。Host Name はURL指定ということでもあるが、これは要確 認。URL指定できないと Office 365 利用などで困る場合があるかも知れない。 DMZありの回線冗長化は本当に LinkProof しかないのか。 F5社の Link Controller がDNSを使った回線負荷分散ができる、BIG-IP装置にライセンスを追加しても可。しか し LinkProof の技術は 2004年頃に特許を取得している代物、F5はどこまでできるのか。 LinkProof を2台使っての冗長構成と言うのが扱っているSI業者の推奨である。その構 成図を入手して見てみたが、どうも実際のネットワ−ク構成が分からない。2つの装置が 並んで1本ずつケ−ブルが出てあわさってまた離れてル−タにいく。どういう構成だ!。 * このプランで決まりでいいか / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ UTMのポリシ−ル−ティング機能 \____________________/ はポリシRと短く言うこともあると :A :B : する。UTMはここでは FortiGate。 : : : □R1 □R2 : 回線Aは最初に引いたものでパブリ | | : ックIPはここの。今は光ファイバ ------------- : で 100 Mbps ベストエフォ−ト。 仮想IP | LinkProof | : ◇MR ◇Q3 ------------- : 回線Bは別プロバイダで、これも光 | | | :C ファイバで 300 Mbps ベストエフォ ------------------------------------- : −ト。最大スル−プット 90 Mbps。 | □R3 □MR □Q3 ----------------- | 回線Cも別プロバイダ。フレッツの | | |UTM FireWall| | ADSL。社内から外を通って SSL-VPN -------------| | ------ の動作確認やテストに利用している。 | FortiGate | Proxy |ハブ| □MS ----------------- □ ------ 回線BのパブリックIPは4個のを | | | 契約していると認識した。漫然と回 ------------------------------------- 線Bでいいやと思っていたがダメ!。 | | ↓ PC△ △IEでプロキシ指定 回線CはIP8個で先ずこれを使う。 Q3 は Cobalt Qube3 でテスト用に一時的に設置してみる。 LinkProof では Q3 をWeb サ−バで設定して動作を確認してみる。DNSの設定のことはできうる限り慎重にやりた い。LinkProof の仮想IPアドレスのマシンの設定はテストで Q3 だけにするという事。 Proxy サ−バのIPアドレスから外へのアクセスは、発信元IPアドレスの制御によりB 回線を通す。この設定では HTTP 系パケットだけでなくDNSのパケットもB回線を通る がそれで問題ないか。これまではずっとDNSパケットはA回線を通っている。 パケットの2つの回線の振り分けはそんなに危惧しなくてもいいのでないか。ポリシRの 設定は FortiGate では生きている。現状ではB回線はポリシRで HTTP系パケットを誘導 している。うまくポリシRから LinkProof 側に誘導、変更できるのでないか。 このプランはUTMでのポリシ−ル−ティングを使わない。できるだけ構成はシンプルに しないとトラブルが起きた際に結局のところ訳が分からずに、おろおろするだけになり兼 ねない。一応机上のプランで、やはりポリシRも使うとか実際にどうするかはまだ検討。 A回線は最大 30 Mbps、B回線は最大 90 Mbps でるとしよう。 インタ−ネット回線の計 測サイトにて何度もやってみてのこと。回線のスル−プットである。A回線とB回線はプ ロバイダは違う、足周り回線の業者は同じで光ファイバは束ねた芯線をそれぞれ使う。 メ−ル環境を Office 365 に移行した際は、HTTP アクセスだけど Proxy サ−バは通さな いように pac スクリプトで制御する。 Office 365 サイトのURLへは LinkProof のホ スト名認識でB回線を通すようにする。 A回線は混んではいないがスル−プットは出ない。ル−タを変えてどれぐらいになるかだ が、30 が 90 Mbps になったりはしない。 30 が 40 になったところ体感的には 90 Mbps よりはかなり遅い感じだろう。直感的には10%か15%アップぐらいでないか。 B回線が外へのWebアクセスと Office 365 へのアクセスで一杯になった場合、Web アクセスをAにすれば済むかといえば、多分だめだろう。もう1本回線を引くしかないか。 その際にポリシRを使うか、LinkProof に回線を繋げるかはまた検討がいる。 となると LinkProofの購入、手配、設置などに関しては新しく回線を引くことはない。回 線の手配だけでも結構厄介なことがある。いや残念、B回線はパブリックIPアドレスが 4つしかない。これでは LinkProof では回線をつなぐだけでDMZ用途に使えない。 回線Bのこと。KDDI auひかり ビジネス、300 Mbps ベストエフォ−ト。 固定IPアドレ スは全部で4個 7,500円、アダプタ 700円、業者管理費 1,000円、電話は最低の 3chあり。 IP4個の 1Gbps は16,100円。300Mbps/1Gbps でIP8個は25,100円、16個 41,000円。 * A回線のル−タの交換 現状ほとんどの外へのWebアクセスはUTMのポリシRによりB回線を通る。交換する ル−タはA回線のであり、パケットはメ−ルと外からの自社のWebサ−バのアクセス位 である。あまり影響はない。平日の定時後で作業をしてもいい。プロバイダと交換のタイ ミングを計って、せ−のでやる。まあプロバイダとしては何かのトラブル発生を考慮して、 作業時間は1時間はみてくれと言うだろうが。いやそんなこと言わなかった、作業はもの の1分。片方ずつ交換しても大丈夫という。新旧で設定の互換性があるようにしたという。 ル−タを交換すると回線速度がアップするはず。自分の感触としては15%ぐらいアップ するのでないかと思う。SI業者のエンジニアさんは変わらないのでないかという意見だ が、IPSec VPN の暗号化の負荷がそもそも大きくかかっているからと。まあ、ともかくや ってみないと分からない。ル−タはレンタルなので交換には費用はかからない。手元には WAN回線で使っていたヤマハの RTX1200 がある。 物としてはこれでもいいと思うのだ けど。レンタル品の故障した場合の対応とかどうなるか分からないのでやはり交換か。 RTX1000 を Yamaha RTX1210 に。Tera Term でパソコンと本体のコンソ−ルに RS-232Cで つないでみた。それで電源スイッチ入れてどれぐらいの時間で立ち上がるかみた。25秒 ぐらいだった。コンソ−ルからログが出てきて最後 "Memory 256Mbytes, 3LAN, 1BRI" が 出たら起動完了。リタ−ンキ−を押すと Password: 表示がでる。音はまるでない。 夕方 6時きっかりに置き換えるため、ラックの傍にノ−トパソコンを置いて、パソコンの時計 を見てやることに。パソコンの時計を合わすため 'time.windows.com' と同期させた。 `2f/11/m に交換しました。 RTX1210 の電源を入れておいて決めた時間にネットワ−クケ −ブルを差し換えた。ちょっともたついて1分位かかったか。プロバイダ側のル−タも同 時刻に換えた。ネゴシエ−ションもあって6時きっかりに作業を始めて6時3分ちょいに 導通を確認した。http://www.musen-lan.com/speed/ でスル−プットを30分位前から見 ていた。最高値で下り 31.18Mbps、上がり 21.85Mbps。かなりばらつきはある。交換して すぐに下り 50.18Mbps、上がり 76.19Mbps で、交換の効果がずばりありました。 ル−タ交換した翌日まで前のル−タはそのままにしておいた。もし何らかのトラブルが生 じていた場合に、すぐに戻せるようにということで。朝一でスル−プットをまた計ってみ た。下りが1 Mbps 出ない、500Kbps とか 700Kbps とかしか出ない。上がりは 50 Mbpsと か最初から出た。一体どういうことだ。9時半ぐらいになり下りもだんだんスピ−ドが出 てきた。4Mbps、21Mbps、31Mbps と。OKこれで前のル−タをラックから取り外した。計 測は http://speed.rbbtoday.com/ でも念のため計ってみようと思った。郵便番号、回線 種類、プロバイダなど選択したが、Java のバ−ジョンが合わなくて実行できなかった。 * 社内からテスト利用の回線の事 テスト利用の回線が1本ある、NTTのフレッツ・ADSL。サ−バル−ムのラックにあるル −タからケ−ブルを伸ばして自分のいる傍まで。そしてハブにつないで直接インタ−ネッ トへアクセスできる環境を用意している。たまに利用するだけだが。元は10年ほど前に LinkProof を導入しようとして入れた回線である。 この回線を今回の LinkProof 設置の 一助にしよう。とりあえず LinkProof には回線AとCで動作確認してはどうか。 それで よければ回線BをパブリックIPを増やすなり、別に回線を引くなり考えるとするか。 テスト利用の回線はパブリックIPアドレスは8個である。8個あればたいがい大丈夫と 思っていた。しかし LinkProof には3個いる。 これではDMZのサ−バの数に足らない。 いっそこの回線はやめるか。月に4万円近く払っている。B回線はパブリックIPは4個 で空はない、インタ−ネット接続するにはどうしても4個いる。ブロ−ドキャスト、ネッ トワ−クそのもの、ル−タとファイアウォ−ルに。B回線の契約を変えてIPアドレスを 増やすか。多分B用ル−タは交換で、パブリックIPアドレスも別なのが振られるだろう。 * IIJ インタ−ネット回線の種類 [ IIJ FiberAccess/F サ−ビス ] http://www.iij.ad.jp/biz/faf/ NTT東日本・西日本のフレッツ光に対応する。IIJ 回線マネ−ジメント/F サ−ビス を 併せて利用すれば、IIJ がNTTの回線契約に保守窓口も代わりにやってくれる。NTT のフレッツ光の種類。Bフレッツ、フレッツ光ネクスト、フレッツ光ライト、フレッツ光 プレミアム。そしてファミリ−・マンションタイプ、ベ−シックタイプ、ビジネスタイプ。 1/256C のビジネスタイプ月49,000円、ベ−シックタイプ月28,000円、初期費用 50,000円。 他ビジネスタイプで 1/64C 有効IPアドレス2個 63,000円、1/32C 有効IPアドレス6 個 84,000円、1/16C 有効IPアドレス14個 105,000円。 NTTの光ファイバの回線料 金は入ってない。SEILレンタルサ−ビス ギガビット対応 SEIL/X1 月6,800円。 [ IIJ FiberAccess/U サ−ビス ] http://www.iij.ad.jp/biz/fau/ アルテリア・ネットワ−クス株式会社のUCOM光アクセス回線(アクセスゲ−トウェイ) を利用する。最大 100Mbps。IIJ が回線の手配から保守窓口までやる。契約IPアドレス は 1/256C、1/64C、1/32C。1/32C は月額45,000円、初期費用は同じで 50,000円。これら の費用はアルテリア・ネットワ−クスの光回線利用料金も含む。 株式会社UCOMは丸紅アクセスソリュ−ションズ株式会社と合併して2014年2月よ りアルテリア・ネットワ−クス株式会社になった。NTT東西の光フレッツ提供エリアを カバ−する。この会社自体もインタ−ネット接続のサ−ビスをしていて、サ−ビスエリア 検索で郵便番号を入れたら、該当住所デ−タが存在しないか、未対応エリアと出た。 [ IIJ DSL/Fサ−ビス ] http://www.iij.ad.jp/biz/dslf/ NTT東日本・西日本のフレッツ・ADSL 回線利用。1/32CはIPアドレス8個分の契約で 月39,800円、ル−タは別。1/16C はIPアドレス16個で月49,800円。利用可能IPアド レスは2個減ることに注意。IPアドレスを後からは増やしたり変更はできない。IPア ドレスを増やすには今の契約を一旦解約して新規申込みという手順になる。