16-2. LinkProof のテスト (1) LinkProof テストその1 * 設定のポイント 基本的な LinkProof の設定は、マニュアル2の3章の"LinkProof Basic Configuration" をやっていけばよさそうである。Step1 から Step24 まである。しかしここには肝心なデ フォルト経路のことが出ていない。デフォルト経路を設定しなければ、外部にパケットは 出ていくことができない。デフォルト経路の設定については、マニュアル1の "3-41" の "To define a default router:" を見るとよい。 ハブ□ □ハブ ネットワ−クを接続したいポ−トに、とりあえずハブをつ | A | B ないで電源も入れておく。これで LinkProofの設定ができ ----|-----|----------- る。LinkProof だけではポ−トにIPアドレスを振る位は | | | | できるが、外へのル−タのIPアドレスを定義しようとし | □ □ □ | てもできない。LinkProof は接続するル−タやホストがあ | 1 2 3| | るか調べにいくようである。それでハブをとりあえずかま ------------------|---- しておく。いきなり実際のネットワ−クに LinkProofを組 |C み込んで設定を開始するという訳にはいかない。あるいは □ハブ 別に用意したダミ−のネットワ−クで設定するかである。 * テスト環境 ホスト SRV では LinkProof のどのポ−トからパケットが出て来るか、その様子を見るた め % tcpdump -n src 192.168.2.3 と % tcpdump -n src 192.168.3.3 を起動させる。 外部ネット % route add net 192.168.2 192.168.1.11 1 ワ−ク相当 SRV □ % route add net 192.168.3 192.168.1.12 1 d ―→ |.3 ←― d ----/----------------\-------- 192.168.1.0 / | | \ |.11 | .12 cisco は Cisco2514、EWS は Sun や Cobalt ------- ------- などのコンピュ−タ。両者、デフォルト経路 |cisco| | EWS | DNSの を 192.168.1.3に設定するだけ。内部ネット ------- ------- named である 192.168.4.0 ヘの静的経路はない。 |.1 |.1 192.168.2.0 | | 192.168.3.0 | -------- 内から外へのパケットは、ポ−ト(1) からは .3↑| |↑.3 192.168.2.3。ポ−ト(2)からは 192.168.3.3 ---|------|------------- からの発信となる。 | |.2 |.2 .2 | LinkProof| □(1) □(2) □(3) | ◆は WWWの 192.168.4.5 を 192.168.2.4 と Branch | ◆.4 ◆.4 | | 192.168.3.4 にマッピングする。 -----------------|------ | | 192.168.4.0 内部ネット ---------- PC は一般ユ−ザのパソコンとする。WWWは外 ワ−ク相当 | ハブ | からアクセスされるサ−バとする。PC とWWW ---------- のデフォルト・ゲ−トウェイは 192.168.4.2。 .6| |.5 PC □ ◇ WWW ( web.yyy.co.jp, mail.yyy.co.jp ) * LinkProof の設定 Windows パソコンである PC には LinkProof の管理ソフト Configwareを入れてある。ア イコンをクリックし、出た画面に 192.168.4.2 と入れて LinkProof にアクセスする。 [File]->[Wizards]->[First Time Wizard] Step 1. Global Parameters そのまま Step 2. Interfaces | IP Address | Network Mask | If Num ---|-------------|---------------|------- 1 | 192.168.2.2 | 255.255.255.0 | 1 2 | 192.168.3.2 | 255.255.255.0 | 2 3 | 192.168.4.2 | 255.255.255.0 | 3 Step 3. Community Configuration そのまま Step 4. Routing Configuration | Dest IP Address| Network Mask | Next Hop | If Num ---|----------------|---------------|----------|----------- 1 | 192.168.2.0 | 255.255.255.0 | 0.0.0.0 | 1 2 | 192.168.3.0 | 255.255.255.0 | 0.0.0.0 | 2 3 | 192.168.4.0 | 255.255.255.0 | 0.0.0.0 | 3 Step 5. Load Balancing Parameters そのまま、Dispatch Method は "Cyclic" など。 Step 6. Next Hop Routers( NHR ) | NHR Address | NHR Name | NHR Priority | NHR Mode | Tos ---|-------------|-------------|--------------|----------|----- 1 | 192.168.2.1 | cisco | 1 | Regular | 255 2 | 192.168.3.1 | EWS | 1 | Regular | 255 "NHR Priority" は 1 のままでいいだろう。値としては 1〜100 までとれる。プライ オリティ 2 の側は 1 に比べて、2倍のトラフィックを流すことができると説明には 書いてある。ただし Step 5. で Dispatch Method に "Cyclic" が選択されていると このプライオリティは有効にはならない。 Step 7. Connectivity Check は "PING" そのまま Step 8. General NAT Configuration の NAT Mode は "Enable" Step 9. Static Range NAT Table | From Local | To Local | Router IP | From Static | To Static | Redundancy | Server | Server | | NAT | NAT | Mode ---|-------------|-------------|-------------|-------------|-------------|----------- 1 | 192.168.4.5 | 192.168.4.5 | 192.168.2.1 | 192.168.2.4 | 192.168.2.4 | Regular 2 | 192.168.4.5 | 192.168.4.5 | 192.168.3.1 | 192.168.3.4 | 192.168.3.4 | Regular Step 10. Basic NAT Table なし、そのまま Step 11. Dynamic Range NAT Table | From Local IP | To Local IP | Router IP | Dynamic NAT | NAT Redundancy | | | | IP | Mode ---|---------------|-------------|-------------|-------------|--------------- 1 | 192.168.4.6 | 192.168.4.6 | 192.168.2.1 | 192.168.2.3 | Regular 2 | 192.168.4.6 | 192.168.4.6 | 192.168.3.1 | 192.168.3.3 | Regular Step 12. No NAT Table なし、そのまま Step 13. Inbound Load Balancing は "Yes" Step 14. DNS Virtual IP なし、そのまま Step 15. DNS Name To IP | Host URL | Local IP Address ---|----------------|----------------- 1 | web.yyy.co.jp | 192.168.2.5 << これら 192.168.4.5 が正しいと思う。だ 2 | mail.yyy.co.jp | 192.168.2.5 << いぶ後で気付いたので?、要確認のこと。 Step 16. General DNS Configuration なし、そのまま Step 17. Proximity は "Yes" Step 18. Dynamic Proximity Configuration の Proximity Mode は "Full Proximity Both" Step 19. NHR Table ここは状態が表示されるのみ、入力項目はない。 | NHR Address | NHR Proximity Check Stauts ---|-------------|--------------------------- 1 | 192.168.2.1 | Enable 2 | 192.168.3.1 | Enable Step 21. Select Backup Method は "Stand-alone" * 設定のポイント < Step 4. Routing Configuration > | Dest IP Address| Network Mask | Next Hop | If Num ---|----------------|---------------|-------------|------- 1 | 192.168.2.0 | 255.255.255.0 | 0.0.0.0 | 1 2 | 192.168.3.0 | 255.255.255.0 | 0.0.0.0 | 2 3 | 192.168.4.0 | 255.255.255.0 | 0.0.0.0 | 3 4 | 0.0.0.0 | 0.0.0.0 | 192.168.2.1 | 1 << この2つのデフォルト 5 | 0.0.0.0 | 0.0.0.0 | 192.168.3.1 | 2 << 経路を追加すること。 これら静的経路、デフォルト経路は [Router]->[Routing Table] でも設定できる。パケ ットの到達性を確認するには、LinkProof の RS-232C アクセスで LinkProof 内で ping コマンドが使える。例えば次のようである。 LinkProof#ping 192.168.2.1 PING: reply from 192.168.2.1 0 ms。 < Step 9. Static Range NAT Table > | From Local | To Local | Router IP | From Static | To Static | Redundancy | Server | Server | | NAT | NAT | Mode ---|-------------|-------------|-------------|-------------|-------------|----------- 1 | 192.168.4.5 | 192.168.4.5 | 192.168.2.1 | 192.168.2.4 | 192.168.2.4 | Regular 2 | 192.168.4.5 | 192.168.4.5 | 192.168.3.1 | 192.168.3.4 | 192.168.3.4 | Regular 外から内へ入って来るパケットの NAT 変換である。 内部ネットワ−クにWWWサ−バな ど外に向けてサ−ビスするものがなければ、この設定は必要ない。上記では 192.168.4.5 は 192.168.2.4 または 192.168.3.4 に対応する。つまり外から % ping 192.168.2.4 を やるとリプライが返ってくるが、実際は 192.168.4.5 が応答していることになる。 < Step 11. Dynamic Range NAT Table > | From Local IP | To Local IP | Router IP | Dynamic NAT | NAT Redundancy | | | | IP | Mode ---|---------------|-------------|-------------|-------------|--------------- 1 | 192.168.4.6 | 192.168.4.6 | 192.168.2.1 | 192.168.2.3 | Regular 2 | 192.168.4.6 | 192.168.4.6 | 192.168.3.1 | 192.168.3.3 | Regular ↑ 192.168.2.2, 3.2 を入れようとしても弾かれる。 内から外へ出て行くパケットの NAT 変換である。内部ネットワ−クのホスト192.168.4.6 からのパケットは、外へ出ていく際にル−タ 192.168.2.1 を通る場合は 192.168.2.3 と して出ていく。ル−タ 192.168.3.1 を通る場合は 192.168.2.3 として出ていく。もしル −タのIPアドレスで出ていければ、パブリックIPアドレスを節約できるのだが。 "From Local IP" と "To Local IP" は、 内部ネットワ−クのホストIPアドレスの範囲 を指定する。上記では一般のパソコンなどは、192.168.4.6 の1台だけなので、同じIP アドレスを入れた。ではこの範囲外のIPアドレスのホストはどうなるか、NAT 変換され ない、そのままのIPアドレスで外へ出ていく。 外部からアクセスされるWWWサ−バなどの 192.168.4.5 の WWW ホストは、この範囲指 定に含めなくていい。192.168.4.5 のホストは、 "Step 9. Static Range NAT Table" の 設定で 192.168.2.4 または 192.168.3.4 のIPアドレスとして外へ出ていく。 * Step 7. Connectivity Check を "SNMP" にする場合 LinkProof から外へ出て行くル−タとして、SNMP で接続性をチェックする。 ここでは2 つのル−タ、EWS と cisco があるわけだが、生きているかどうか、 LinkProof は定期的 にチェックしにいく。その方法が PING, SNMP, HTTP とあるわけである。 < EWS の設定 > % snmpd -d デバッグモ−ドで起動してみた。 Starting SNMP Agent Services! community: public *************************************** ここから下 LinkProof から SNMPメッセ Received 43 bytes from 192.168.3.2: −ジが定期的に来る。デフォルトのまま msg type: 160 だと10秒間隔である。 acl: aaaa Sent response successfully, 52 chars /etc/snmpd.conf こんなような設定 *************************************** --------------- が一般的である。 Received 43 bytes from 192.168.3.2: |get: public | < cisco の設定 > ip route 0.0.0.0 0.0.0.0 192.168.1.3 snmp-server community public RO Read Only モ−ド。 (2) LinkProof テスト続その1 * EWS での設定 ミニ・インタ−ネットとして、DNSの named デ−モンを動かす。$ /etc/named。 /etc/named.hosts -------------------------------------------------------------- |@ IN SOA ews.yyy.co.jp. satou.ews.yyy.co.jp. ( | 1 3600 3600 3600 3600 ) ; | IN NS ews.yyy.co.jp. |localhost. IN A 127.0.0.1 |ews IN A 192.168.1.12 | |web IN NS LP1 |web IN NS LP2 | |yyy.co.jp. IN MX 10 mail.yyy.co.jp. |mail IN NS LP1 |mail IN NS LP2 /etc/named.boot | -------------------------------------- |LP1 IN A 192.168.2.2 |cache . /etc/named.ca |LP2 IN A 192.168.3.2 |primary yyy.co.jp /etc/named.hosts /etc/named.ca ミニ・インタ−ネットとしてのDNSのル−トファイル。 ---------------------------------------------- |. 9999999 IN NS ews.yyy.co.jp. |ews.yyy.co.jp. 9999999 IN A 192.168.1.12 * EWS からDNSの応答をみる % nslookup > server 192.168.1.12 > set type=a > web.yyy.co.jp << EWS で動いている named のDNSから LinkProof に Name: web.yyy.co.jp web.yyy.co.jp のIPアドレスを問い合わせた。 Address: 192.168.3.4 << ここで EWS の電源を切るなり、LinkProof との間にハ > web.yyy.co.jp ブを介していれば、ハブの電源を落とす。 30秒位経 Name: web.yyy.co.jp つと LinkProof は、EWS の接続性が失われたことを認 Address: 192.168.2.4 ← 識する。IPアドレスが変わっていることに注意。 > set type=ns > web.yyy.co.jp << mail.yyy.co.jp も同じように出る。ここのとこがミソ。 Non-authoritative answer: web.yyy.co.jp nameserver = LP1.yyy.co.jp web.yyy.co.jp nameserver = LP2.yyy.co.jp Authoritative answers can be found from: web.yyy.co.jp nameserver = LP1.yyy.co.jp web.yyy.co.jp nameserver = LP2.yyy.co.jp LP1.yyy.co.jp internet address = 192.168.2.2 LP2.yyy.co.jp internet address = 192.168.3.2 > set type=mx << yyy.co.jp ドメインの MX レコ−ドは何ですか。 > yyy.co.jp yyy.co.jp preference = 10, mail exchanger = mail.yyy.co.jp > set type=a << MX レコ−ドは mail.yyy.co.jp と返答、それじゃその > mail.yyy.co.jp IPアドレスは。LinkProof に問い合わせに行く。 Name: mail.yyy.co.jp Address: 192.168.2.4 << 192.168.3.4 かどちらかが返える。 > server 192.168.3.2 << ここから下は LinkProof のポ−ト、つまり LinkProof の簡易的なDNSサ−バがあるところにアクセスした。 > set type=a > web.yyy.co.jp Name: web.yyy.co.jp Address: 192.168.3.4 > set type=ptr << 逆引きレコ−ドもみてみる。 > 192.168.3.4 4.3.168.192.in-addr.arpa name = mail.yyy.co.jp * LinkProof DNSのキャッシュ時間など LinkProof に検索しにきた相手DNSサ−バにキャッシュされる時間である。デフォルト は0秒でキャッシュされないようになっている。0秒だと自社DNSサ−バと LinkProof に www.yyy.co.jp のIPアドレスは何ですかと毎回問い合わせに来る。 mail.yyy.co.jp も同じく。多少アクセス元のDNSサ−バで覚えてもらってもいいのでないか、たとえば 5分程度でどうか。2つのポ−トをレギュラ−とバックアップで運用するなら、問題がな い限り、www.yyy.co.jp のIPアドレスは変わらない。問題が起きた時に、外部からのア クセスが5分間できなくなるということである。次の設定では10分にしてみた。 [DNS Configuration]->[Responce] ----------------------------------------- | Responce Configuration |---------------------------------------- | DNS Configuration | | DNS Responce TTL [ 600 ] << デフォルト 0。 | Two Records IN DNS Reply [ Enabled ] << デフォルト Disabled。 | URL to IP search Mode [ Both ] | ホスト EWS で実行。これでこの EWS の named に、web.yyy.co.jp は 192.168.3.4 であ ると情報が一時的に記憶、つまり600秒間キャッシュされるはずである。 % cat /etc/resolv.conf nameserver 192.168.1.12 % ping web.yyy.co.jp PING web.yyy.co.jp: 56 data bytes 64 bytes from 192.168.3.4: icmp_seq=0. time=7. ms % ps -e | grep named これで named のプロセスIDを調べる。 % kill -INT 2978 ここでは 2978 番だったとする。 % /var/tmp/named_dump.db ; Dumped at Wed Jul 7 12:41:47 2004 ; --- Cache & Data --- $ORIGIN . localhost IN A 127.0.0.1 $ORIGIN co.jp. yyy IN SOA ews.yyy.co.jp. satou.ews.yyy.co.jp. ( 1 3600 3600 3600 3600 ) IN NS ews.yyy.co.jp. IN MX 10 mail.yyy.co.jp. $ORIGIN yyy.co.jp. LP1 IN A 192.168.2.2 ; 2 LP2 IN A 192.168.3.2 ; 1 ews IN A 192.168.1.12 mail IN NS LP1.yyy.co.jp. IN NS LP2.yyy.co.jp. web IN NS LP1.yyy.co.jp. IN NS LP2.yyy.co.jp. 587 IN A 192.168.3.4 << ここがポイント。 "DNS Responce TTL" が 0 なら、 587 IN A 192.168.2.4 << このエントリは出て来ない。"Two Records IN DNS ; --- Hints --- Reply" は Enabled ゆえ、 2つレコ−ドが返って $ORIGIN . くる。Disabled だと、どちらか1つ返ってくる。 . 193828 IN NS ews.yyy.co.jp. $ORIGIN yyy.co.jp. ews 193828 IN A 192.168.1.12 ; 18 (3) LinkProof テストその2 * 設定のポイント 外‖A | B ポ−ト1番と3番はVLANで同じセグメントにする。 ---‖-----|------------- A と B セグメントは、外部ネットワ−クへ。A' は内 | ‖ | | 部ネットワ−クへつながるとする。 | □ □ □ | | 1 2 3‖ | A,B は同じ回線速度とし、例えば ADSL でロ−ドバラ -----------------‖----- ンスさせるような場合がこの例である。 内‖A' VLANの設定はマニュアル1の "APPENDIX(a)" の "Example3:VLAN Configuration" を 見ること。先ず [Device]->[VLAN Parameters] の IP VLAN Auto Config は "Enabled"に すること。一応簡単に設定の仕方を説明しておく。 [Device]->[VLAN] --------------------------------------------------------------------- | Virtual LAN Table -- 192.168.2.2 | |-------------------------------------------------------------------| | [↑] [↓] [→] [→] [□] | |-------------------------------------------------------------------| | | | Interface Number VLAN Type Protocol VLAN MAC Address | | --------------------------------------------------------------- | | 1 | 100000 | Regular | other | | | | 2 | 100001 | Regular | ip | XX:XX:XX:XX:XX:XX | | メニュ−のアイコンの左から [↑]Refresh, [↓]Set, [→]Insert, [→]Delete。 それに [□] Adding ports to VLAN である。VLANにポ−トを追加、削除するにはこのアイコ ンの Adding ports VLAN で行う。 [Device]->[VLAN] の Interface Number 100001 は、IPプロトコル用にあらかじめ作ら れているVLANである。自分でVLANを作ることができる。メニュ−の [Insert] を クリックすると、通し番号で 100002 から新しいVLANを作る。VLANと言うのは幾 つかのポ−トを同じセグメントにするということである。 * テスト環境 SRV □ |.3 ----------------------------- 192.168.1.0 |.11 | .12 ------- ------- Backup |cisco| | EWS | Regular ------- ------- DNS の named 稼働 ‖.1 |.1 192.168.2.0 ‖ | 192.168.3.0 ‖ ------- 内から外へのパケットは、ポ−ト(1) からは ‖ |↑.3 変換なし。ポ−ト(2)からは 192.168.3.3 か ---‖------|------------- らの発信とする。 | ‖.2 |.2 .2 | | □(1) □(2) □(3) | ◆はポ−ト(2)に対して WWW の 192.168.2.5 | ◆.4 ‖ | を 192.168.3.4 にマッピングする。 -----------------‖------ ‖ 192.168.2.0 内部ネット ---------- ワ−ク相当 | ハブ | ---------- .6| |.5 PC □ ◇ WWW ( web.yyy.co.jp, mail.yyy.co.jp ) PC から SRV へ ポ−ト1経由で、ping すると 192.168.2.6 から。 PC から SRV へ ポ−ト2経由で、ping すると 192.168.3.3 から。 WWW から SRV へ ポ−ト1経由で、ping すると 192.168.2.5 から。 WWW から SRV へ ポ−ト2経由で、ping すると 192.168.3.4 から。 SRV または EWS から $ ping web.yyy.co.jp とやると、先ずは 192.168.3.4 が返ってく る。EWS 経由がだめだと 192.168.2.5 から返ってくる。 * LinkProof の設定 [Device]->[VLAN Parameters] の IP VLAN Auto Config は "Enabled" にして、 [Device]->[VLAN] の Interface Number 100001 にポ−トの F-1 と F-3 を加える。 [File]->[Wizards]->[First Time Wizard] Step 1. Global Parameters そのまま Step 2. Interfaces | IP Address | Network Mask | If Num ---|-------------|---------------|------- 1 | 192.168.2.2 | 255.255.255.0 | 100001 2 | 192.168.3.2 | 255.255.255.0 | 2 Step 3. Community Configuration そのまま Step 4. Routing Configuration | Dest IP Address| Network Mask | Next Hop | If Num ---|----------------|---------------|-------------|----------- 1 | 192.168.2.0 | 255.255.255.0 | 0.0.0.0 | 100001 2 | 192.168.3.0 | 255.255.255.0 | 0.0.0.0 | 2 3 | 0.0.0.0 | 0.0.0.0 | 192.168.2.1 | 100001 4 | 0.0.0.0 | 0.0.0.0 | 192.168.3.1 | 2 Step 5. Load Balancing Parameters そのまま Dispatch Method は "Cyclic" など。 Step 6. Next Hop Routers( NHR ) | NHR Address | NHR Name | NHR Priority | NHR Mode | Tos ---|-------------|-------------|--------------|----------|----- 1 | 192.168.2.1 | cisco | 1 | Backup | 255 2 | 192.168.3.1 | EWS | 1 | Regular | 255 Step 7. Connectivity Check は "PING" この設定は [LinkProof]->[Global Parameters]->[Connection Check] の "Method" で設定できる。PING, SNMP, HTTP が選択できる。"Status" はデフォルトで Enabled になっている、これで実際チェックが働く。 Step 8. General NAT Configuration の NAT Mode は "Enable" Step 9. Static Range NAT Table | From Local | To Local | Router IP | From Static | To Static | Redundancy | Server | Server | | NAT | NAT | Mode ---|-------------|-------------|-------------|-------------|-------------|----------- 1 | 192.168.2.5 | 192.168.2.5 | 192.168.3.1 | 192.168.3.4 | 192.168.3.4 | Regular この設定は [LinkProof]->[Smart NAT]->[Static NAT] と同じ。 Step 10. Basic NAT Table なし、そのまま Step 11. Dynamic Range NAT Table | From Local IP | To Local IP | Router IP | Dynamic NAT | NAT Redundancy | | | | IP | Mode ---|---------------|-------------|-------------|-------------|--------------- 1 | 192.168.2.6 | 192.168.2.6 | 192.168.3.1 | 192.168.3.3 | Regular この設定は [LinkProof]->[Smart NAT]->[Dynamic NAT] と同じ。 "NAT Redundancy Mode" は LinkProof を2台使う冗長構成での変数。 Step 12. No NAT Table | From Local | To Local | Port Number | Router Address | Server Address | Server Address | | ---|-----------------|----------------|-------------|---------------- 1 | 192.168.2.5 | 192.168.2.5 | All | 192.168.2.1 この設定は [LinkProof]->[Smart NAT]->[No NAT] と同じ。 Step 13. Inbound Load Balancing は "Yes" DNSを使ってこそ、Inbound ロ−ドバランシングが働く。 Step 14. DNS Virtual IP なし、そのまま。 これは LinkPoof を2台使って冗長構成を組む際に関係する。 Step 15. DNS Name To IP | Host URL | Local IP Address ---|----------------|----------------- 1 | web.yyy.co.jp | 192.168.2.5 2 | mail.yyy.co.jp | 192.168.2.5 Step 16. General DNS Configuration なし、そのまま Step 17. Proximity は "Yes" Step 18. Dynamic Proximity Configuration の Proximity Mode は "Full Proximity Both" Step 19. NHR Table | NHR Address | NHR Proximity Check Stauts ---|-------------|--------------------------- 1 | 192.168.2.1 | Enable 2 | 192.168.3.1 | Enable Step 21. Select Backup Method は "Stand-alone" 他に Main device と Backup device の選択肢がある。これらは LinkProof を2台 で冗長構成を組む場合の話である。 * ロ−ドバランスの設定にするには Step 6. Next Hop Routers( NHR ) で両方共 "NHR Mode" を "Regular" にする。 | NHR Address | NHR Name | NHR Priority | NHR Mode | Tos ---|-------------|-------------|--------------|----------|----- 1 | 192.168.2.1 | cisco | 1 | Regular | 255 2 | 192.168.3.1 | EWS | 1 | Regular | 255 [LinkProof]->[Load Balancing Weights] ---------------------------- | Load Balancing Weights |--------------------------- | Hops Weight [ 10 ] << actual router hops。 | Latency Weight [ 60 ] << in round-trip。 | Load Weight [ 30 ] << trafiic on a given NHR。 | Cost Weight [ 1 ] ---------------------------- デフォルトは全部、値は1になっている。とれる値は0から100である。100以上の 値を入れようとしても入らない。個々の値は、全部をト−タルして100にするとか、そ ういう訳でもない。全部のところに100と入れることもできる。"Cost Weight" という のは、回線料金を最小にするような計算をして、ロ−ドバランスさせる機能である。パン フレットでは従量制課金・負荷分散機能というような言葉が出ている。ここの典型的な設 定は Latency と Load を高めにするのがいいようである。 * 表示される経路情報について 上記までで2ヵ所デフォルト経路を設定したのが1つしか表示されない。デフォルト経路 を入れて、アイコンの [Set] なり [Refresh] なり押すと1個になってしまう。設定がな くなった訳ではなくて、表示されないだけである。どうも現在有効になっている、例えば、 外ヘは現在 192.168.3.1 を通って行く。ということでもない。多分、バグだと思う [Router]->[Routing Table] | Dest IP Address| Network Mask | Next Hop | If Num | Metric | Protocol | Type ---|----------------|---------------|-------------|--------|--------|----------|------- 1 | 0.0.0.0 | 0.0.0.0 | 192.168.3.1 | 2 | 1 | Netmgmt | Remote 2 | 192.168.2.0 | 255.255.255.0 | 0.0.0.0 | 100001 | 1 | Local | Local 3 | 192.168.3.0 | 255.255.255.0 | 0.0.0.0 | 2 | 1 | Local | Local | EWS の電源を切るなり、LinkProof と EWS の間のハブの電源を切 ↓ るなりすると、隠れていたもう1つのデフォルト経路が出て来る。 | Dest IP Address| Network Mask | Next Hop | If Num | Metric | Protocol | Type ---|----------------|---------------|-------------|--------|--------|----------|------- 1 | 0.0.0.0 | 0.0.0.0 | 192.168.2.1 | 100001 | 1 | Netmgmt | Remote 2 | 192.168.2.0 | 255.255.255.0 | 0.0.0.0 | 100001 | 1 | Local | Local LinkProof#system config このコマンドで出て来るデフォルト経路の状態は変わらない。 | net route table cdbset 0.0.0.0 0.0.0.0 192.168.3.1 -i 2 net route table cdbset 0.0.0.0 0.0.0.0 192.168.2.1 -i 100001 (4) LinkProof テストその3 * 外から内にあるサ−バへの対応 ‖ | 192.168.3.0 192.168.3.4 を 192.168.2.7 へ ---‖------|---------------- 192.168.3.5 を 192.168.2.9 へ | ‖.2 |.2 .2 | 対応させる?。 | □(1) □(2) □(3) | | ◆.4 ◆.5 ‖ | ---------------------‖----- ‖ 192.168.2.0 .6 ------------------- PC □―| ハブ | ------------------- |.7 |.9 web.yyy.co.jp ◇ WWW ◇ MAIL mail.yyy.co.jp [LinkProof]->[Smart NAT]->[No NAT]、これも 192.168.2.7 から 192.168.2.9 にしてお くこと。あるいは 192.168.2.7 と 192.168.2.9 の2つのエントリにすること。これを設 定しないと、外からは % ping 192.168.2.7 はアクセスできても、% ping web.yyy.co.jp は反応しなくなる、つまりアクセスできない。192.168.2.9, mail.yyy.co.jp も同様。 | From Local | To Local | Port Number | Router Address | Server Address | Server Address | | ---|-----------------|----------------|-------------|---------------- 1 | 192.168.2.7 | 192.168.2.9 | All | 192.168.2.1 ↑ これはポ−トの 80 とか 25 番を許可する [LinkProof]->[Smart NAT]->[Static NAT] というような意味で、全部のポ−トを許可 ----------------------------------------- する "All" が選択肢にある。 自分で番号 | Smart NAT Static Table Insert を1つ入力することもできる。 |---------------------------------------- | From Local Server IP [ 192.168.2.7 ] | To Local Server IP [ 192.168.2.9 ] | Router IP [ 192.168.3.1 ] | From Static NAT [ 192.168.3.4 ] | To Static NAT [ 192.168.3.5 ] << これダメ!。192.168.3.6 でないと | Redundancy Mode [ Regular ] 入力を受け付けてくれない。 範囲指定では、双方同じ範囲のIPアドレスでなければならない。つまり次のようにIP アドレスは1対1対応する。 192.168.2.7は192.168.3.4、192.168.2.8は192.168.3.5、192.168.2.9は192.168.3.6。 あるいは1個ずつ対応させることもできる。192.168.3.4 と .5 はパブリックIPアドレ スに相当するわけで、数少ないアドレスを有効に使うには、プライベ−トIPアドレスに 相当する 192.168.2.7 と .9 の方を連続させるのがまっとうであろう。 もうIPアドレ スを付けてしまって、なかなか変更する訳にも行かないような場合、このやり方がとれる。 Step 9. Static Range NAT Table | From Local | To Local | Router IP | From Static | To Static | Redundancy | Server | Server | | NAT | NAT | Mode ---|-------------|-------------|-------------|-------------|-------------|----------- 1 | 192.168.2.7 | 192.168.2.7 | 192.168.3.1 | 192.168.3.4 | 192.168.3.4 | Regular 2 | 192.168.2.9 | 192.168.2.9 | 192.168.3.1 | 192.168.3.5 | 192.168.3.5 | Regular * クライアント・テ−ブルについて SRV □ 以下で、例えば cisco経由にするという |.3 のは、cisco とEWS のル−タで、どちら ---------------------- 192.168.1.0 も稼働させる設定にしておいて、EWS の |.11 | .12 電源をオフするか接続ハブの電源をオフ ------- ------- するなりする。 または cisco を稼働で |cisco| | EWS | EWS をバックアップに設定するかである。 ------- ------- この場合でも、EWS の方にパケットが何 192.168.2.1 ‖ .3↑| 192.168.3.1 かの具合で流れないように、テストをや ---‖--------|-------------- るに当たっては、電源を切っておいた方 | ‖.2 |.2 .2 | が確実である。 | □(1) (2)□◆.4 □(3) | ---------------------‖----- パケットがどちらのポ−ト、NHR を通っ ‖ て出て行ったか、入って来たかは、この ---------- ハブ "Client Table"の"Next Hop Router IP" .6| |.5 を見れば分かる。 PC □ ◇ WWW [LinkProof]->[Clients]->[Client Table] | Client | Destination |Source|Destinat| Next Hop | Time | Session | Address | address |Port |ion Port| Router IP | | Type |-------------|-------------|------|--------|-------------|------|------------ a) | 192.168.2.5 | 192.168.1.3 | 0 | 0 | 192.168.3.1 | ... | Static NAT b) | 192.168.2.5 | 192.168.1.3 | 23 | 1068 | 192.168.3.1 | ... | Static NAT c) | 192.168.2.6 | 192.168.1.3 | 1458 | 80 | 192.168.3.1 | ... | Dynamic NAT d) | 192.168.2.6 | 192.168.1.3 | 1371 | 80 | 192.168.2.1 | ... | Regular d) | 192.168.2.5 | 192.168.1.3 | 23 | 1075 | 192.168.2.1 | ... | Regular a) SRV から EWS 経由で WWW に ping。ping 192.168.2.5 でも 192.168.3.4 でも表示は 同じだった。表示はしばらくすると30秒位で消える。[Refresh] で最新の状態になる。 b) SRV から EWS 経由で WWW に telnet。telnet 192.168.2.5 でも 192.168.3.4 でも表 示は同じだった。 c) PC から EWS 経由で SRV に HTTP。SRV ホストは実は、Apache でプロキシ・サ−バに している。asahi.com にアクセスしたら約50個、上記のようなのが表示されてきた。 d) PC から cisco 経由で SRV に HTTP。SRV から cisco 経由で WWW に telnetした。何 もIPアドレスの変換は行われないので、"Session Type" は "Regular" が出ている。 * テスト環境 "テストその2" とはDNSの named の場所が異なる。こちらでは内部ネットワ−クにあ る WWW ホストで稼働させている。このパタ−ンはすでに自社で named を稼働させている 場合に該当する。ここでは外部のユ−ザとして SRV ホストを想定した。 SRV ホストから web.nix.co.jp に telnet しようとすると、どのようなパケットの流れになるのか。この 動きが分かれば、LinkProof の動作を理解できたことになる。 2次DNS■ □ SRV /etc/resolv.conf | 192.168.1.0 |.3 ----------------------- ------------------------------------- |nameserver 192.168.2.5 |.11 | .12 ------- ------- % telnet web.yyy.co.jp Backup|cisco| | EWS |Regular Trying 192.168.3.4 ... ------- ------- ‖.1 |.1 192.168.2.0 ‖ | 192.168.3.0 ‖ ------- 内から外へのパケットは、ポ−ト(1) からは ‖ |↑.3 変換なし。ポ−ト(2)からは 192.168.3.3 か ---‖------|------------- らの発信とする。 | ‖.2 |.2 .2 | | □(1) □(2) □(3) | ◆はポ−ト(2)に対して WWW の 192.168.2.5 | ◆.4 ‖ | を 192.168.3.4 にマッピングする。 -----------------‖------ ‖ 192.168.2.0 内部ネット ---------- ワ−ク相当 | ハブ | ---------- .6| |.5 1次DNS (named稼働) Configware PC □ ◇ WWW web.yyy.co.jp WWW /etc/named.hosts ---------------------------------------------------------- |@ IN SOA ews.yyy.co.jp. satou.ews.yyy.co.jp. ( | 1 3600 3600 3600 3600 ) ; | IN NS ews.yyy.co.jp. WWW /etc/named.boot |localhost. IN A 127.0.0.1 ------------------------------------ |ews IN A 192.168.2.5 |cache . /etc/named.ca | |primary yyy.co.jp /etc/named.hosts |web IN NS LP1 |web IN NS LP2 WWW /etc/named.ca | --------------------------------------------- |LP1 IN A 192.168.2.2 |. 9999999 IN NS ews.yyy.co.jp. |LP2 IN A 192.168.3.2 |ews.yyy.co.jp. 9999999 IN A 192.168.2.5 * 動作の検証 SRV ホストで %telnet web.yyy.co.jp をかける SRVホストのレゾルバは web.yyy.co.jp のIPアドレスを調べるため、/etc/resolv.conf ファイルからネ−ムサ−バの 192.168.2.5 へ問い合わせる。この問い合わせは必ずcisco 経由のネットワ−クを通ることになる。 192.168.2.5 で稼働しているネ−ムサ−バは、web.yyy.co.jp については自分は直接知ら ない。NS レコ−ドを見て、LP1.nix.co.jp か LP2.nix.co.jp へ問い合わせてくれと応答 する。これらのIPアドレスも返す。どちらを返すかはラウンドロビン的なことだと思う。 とりあえず LP1.nix.co.jp の 192.168.2.2 を、SRV ホストのレゾルバに返答したとしよ う。これは LikProof のポ−トのIPアドレスであり、ここには簡易的なネ−ムサ−バが ある。改めて web.yyy.co.jp のIPアドレスはなんですかと問い合わせる。 LinkProof は今のところ NHR の cisco が "Backup"、EWS が "Regular" に設定されてい る。LinkProof は WWW ホストを、EWS 側にマッピングさせた 192.168.3.4 を返す。これ により SRV ホストは、EWS 経由のネットワ−クで WWW にアクセスする。 NHR の cisco がダウンした場合。1次DNSは cisco 経由でないと見にいけない。それ で SRV ホストは2次DNSを見にいく。そして LP1.nix.co.jp にアクセスしたとしよう、 こちらは通れないので、LP2.nix.co.jp にアクセスするという具合になる。 * 192.168.2.6 の PC の Configware ソフトで様子を見たところ [LinkProof]->[Clients]->[Client Table] Client | Destination | Source | Destination | Next Hop | Time | Session Address | address | Port | Port | Router IP | | Type ------------|-------------|--------|-------------|-------------|------|----------- 192.168.2.5 | 192.168.1.3 | 23 | 2636 | 192.168.3.1 | ... | Static NAT * NHR を cisco を "Regular"、EWS を "Backup" に変更してみた Client | Destination | Source | Destination | Next Hop | Time | Session Address | address | Port | Port | Router IP | | Type ------------|-------------|--------|-------------|-------------|------|-------- 192.168.2.5 | 192.168.1.3 | 23 | 2944 | 192.168.2.1 | ... | Regular (5) LinkProof の DNS の動き `24/06 * テスト環境 よくよく見たら(1)と(2)の記述の焼き直しだった マルチホ−ミング装置の LinkProof Branch をテストしてみた。この章の "DNS のこんな テクニック" での DNS の動作検証は、 まさにこの装置の設定のため検討したことである。 ここではマルチホ−ミングの動作を見るため、以下ようなネットワ−ク構成を組んでみた。 レイヤ3スイッチを入れたことにより、お払い箱となった Cisco2514、それに未だ捨てず 置いている Apollo コンピュ−タを用いた。 Apollo のネットワ−ク・インタ−フェ−ス は 10Base2 のBNCコネクタと、Apollo 特有のト−クンリングのアタッチメントである。 このため Apollo 1台では下図のようなゲ−トウェイとはできない。実際はト−クンリン グを介して2台の Apollo を使っている。 LinkProof Branch の8個のポ−トのインタ− フェ−スは?。最初パンフレットを見て PPPoE 対応とかで、 どうやってテストしようか と思った。しかし実のところ単なる 10Base-T と 100Base-TX 対応のポ−トだった。その ままイ−サネット・ケ−ブルをつなげばいいだけである。 % route add net 192.168.2 192.168.1.11 1 indy □ % route add net 192.168.3 192.168.1.12 1 d ―→ |.3 ←― d ---/----------------\-------- 192.168.1.0 / | | \ |.11 | .12 cisco は Cisco2514、apolloは Apollo コン ------- -------- ピュ−タを利用した。両者、デフォルト経路 |cisco| |apollo| DNSの を 192.168.1.3に設定するだけ。内部ネット ------- -------- named である 192.168.4.0 ヘの静的経路はない。 |.1 |.1 192.168.2.0 | | 192.168.3.0 | -------- 内から外へのパケットは、ポ−ト(1) からは .3↑| |↑.3 192.168.2.3。ポ−ト(2)からは 192.168.3.3 ---|------|----------------- からの発信とする。 | |.2 |.2 .2 | LinkProof| □(1) □(2) □ … □ | ◆は WWWの 192.168.4.5 を 192.168.2.4 と Branch | ◆.4 ◆.4 |(3) (8)| 192.168.3.4 にマッピングする。 -----------------|---------- | 192.168.4.0 内部ネット ---------- PC は一般ユ−ザのパソコンとする。WWWは外 ワ−ク相当 | ハブ | からアクセスされるサ−バとする。PC とWWW ---------- のデフォルト・ゲ−トウェイは 192.168.4.2。 .6| |.5 PC □ ◇ WWW ( web.nix.co.jj, mail.nix.co.jj ) 上の図はいわばミニ・インタ−ネットである。apolloではこのミニインタ−ネットの DNS サ−バが稼働し、indy はどこか外にあるWWWサ−バという具合である。ホストindy で は LinkProof からのパケットの様子をみるため、次のようにtcpdumpをスタンバイさせた。 これで LinkProof のどのインタ−フェ−スからパケットが出たか知ることができる。 % tcpdump -n src 192.168.2.3 と % tcpdump -n src 192.168.3.3 を起動させる。 * LinkProof の設定 Windows パソコンである PC には、LinkProof の管理ソフトである Configware を入れた。 アイコンをクリックし、出た画面に 192.168.4.2 と入れて LinkProof にアクセスして以 下のように設定していく。ただし、このまま設定しても LinkProofはちゃんと稼働しない。 LinkProof の基本的な設定をするための参考には、付属 CD-ROM に入っているマニュアル の "LinkProof Quick Start Guide" の3章 "LinkProof Basic Configuration" をやって いけばよさそうである。Step1 から Step24 まである。しかしここには肝心なことが抜け ている。それに気付くまでどれだけ試行錯誤したか。各自がんばってもらいたい。これだ けでも、出来ないということだけでもかなりのヒントになるはずである。 Step 1. Global Parameters そのまま [File]->[Wizards]->[First Time Wizard] を順番にやっていく。 Step 2. Interfaces | IP Address | Network Mask | If Num ---|-------------|---------------|------- 1 | 192.168.2.2 | 255.255.255.0 | 1 2 | 192.168.3.2 | 255.255.255.0 | 2 3 | 192.168.4.2 | 255.255.255.0 | 3 Step 3. Community Configuration そのまま Step 4. Routing Configuration | Dest IP Address| Network Mask | Next Hop | If Num ---|----------------|---------------|----------|------- 1 | 192.168.2.0 | 255.255.255.0 | 0.0.0.0 | 1 2 | 192.168.3.0 | 255.255.255.0 | 0.0.0.0 | 2 3 | 192.168.4.0 | 255.255.255.0 | 0.0.0.0 | 3 Step 5. Load Balancing Parameters そのまま Dispatch Method は "Cyclic" など。 Step 6. Next Hop Routers( NHR ) | NHR Address | NHR Name | NHR Priority | NHR Mode | Tos ---|-------------|-------------|--------------|----------|---- 1 | 192.168.2.1 | cisco | 1 | Regular | 255 2 | 192.168.3.1 | apollo | 1 | Regular | 255 Step 7. Connectivity Check は "SNMP" Step 8. General NAT Configuration の NAT Mode は "Enable" Step 9. Static Range NAT Table | From Local | To Local | Router IP | From Static | To Static | Redundancy | Server | Server | | NAT | NAT | Mode ---|-------------|-------------|-------------|-------------|-------------|----------- 1 | 192.168.4.5 | 192.168.4.5 | 192.168.2.1 | 192.168.2.4 | 192.168.2.4 | Regular 2 | 192.168.4.5 | 192.168.4.5 | 192.168.3.1 | 192.168.3.4 | 192.168.3.4 | Regular Step 10. Basic NAT Table なし、そのまま Step 11. Dynamic Range NAT Table | From Local IP | To Local IP | Router IP | Dynamic NAT | NAT Redundancy | | | | IP | Mode ---|---------------|-------------|-------------|-------------|--------------- 1 | 192.168.4.6 | 192.168.4.6 | 192.168.2.1 | 192.168.2.3 | Regular 2 | 192.168.4.6 | 192.168.4.6 | 192.168.3.1 | 192.168.3.3 | Regular Step 12. No NAT Table なし、そのまま Step 13. Inbound Load Balancing は "Yes" Step 14. DNS Virtual IP なし、そのまま Step 15. DNS Name To IP | Host URL | Local IP Address ---|----------------|----------------- 1 | web.nix.co.jj | 192.168.2.5 << これら 192.168.4.5 が正しいと思う。だいぶ 2 | mail.nix.co.jj | 192.168.2.5 << 後で気付いたので?、要確認のこと。 Step 16. General DNS Configuration なし、そのまま Step 17. Proximity は "Yes" Step 18. Dynamic Proximity Configuration の Proximity Mode は "Full Proximity Both" Step 19. NHR Table | NHR Address | NHR Proximity Check Stauts ---|-------------|--------------------------- 1 | 192.168.2.1 | Enable 2 | 192.168.3.1 | Enable Step 21. Select Backup Method は "Stand-alone" * apollo での設定 /etc/named.hosts ---------------------------------------------------------------- |@ IN SOA apollo.nix.co.jj. katou.apollo.nix.co.jj. ( | 1 3600 3600 3600 3600 ) ; | IN NS apollo.nix.co.jj. ミニ・インタ−ネットとしてDNSの named |localhost. IN A 127.0.0.1 デ−モンを動かす、$ /etc/named。 |apollo IN A 192.168.1.12 | /etc/named.boot |web IN NS LP1 ------------------------------------- |web IN NS LP2 |cache . /etc/named.ca |nix.co.jj. IN MX 10 mail.nix.co.jj. |primary nix.co.jj /etc/named.hosts |mail IN NS LP1 |mail IN NS LP2 /etc/named.ca | ------------------------------------------------ |LP1 IN A 192.168.2.2 |. 9999999 IN NS apollo.nix.co.jj. |LP2 IN A 192.168.3.2 |apollo.nix.co.jj. 9999999 IN A 192.168.1.12 LinkProof から外へ出て行くル−タに、SNMP プロトコルで LinkProof の接続性をチェッ クする。つまり Apollo コンピュ−タで、コミュニティ名 "public" で snmpdデ−モンを 動かす。これは Step 7. Connectivity Check は "SNMP" にしたことによる。デフォルト は "PING" である。Cisco2514 の方は "PING" でもいいのだが、 Apollo の 192.168.3.1 インタ−フェ−スが、なぜか ping コマンドに応答しない。このことはだいぶ前から分か っていた、Apollo の 10Base2 インタ−フェ−ス側の仕様がどうも問題のようである。そ れで仕方ないので SNMP にしたという訳である。$ /etc/snmpd -d デバッグモ−ドで起動。 * apollo から DNS の応答をみる /etc/resolv.conf ------------------------- |nameserver 192.168.1.12 $ nslookup << 192.168.1.12 の DNSサ−バで、逆引きファイルを設定 > server 192.168.1.12 しておかないと、nslookup コマンドは普通うまく働か ない。しかし Apollo では何とか使うことができる。 > set type=a > web.nix.co.jj << apollo で動いている named の DNS から LinkProofに Name: web.nix.co.jj web.nix.co.jj のIPアドレスを問い合わせた。 Address: 192.168.3.4 << ここで apollo の電源を切るなり、LinkProofとの間に > web.nix.co.jj ハブを介していれば、ハブの電源を落とす。 30秒位 Name: web.nix.co.jj 経つと LinkProof は、apolloの接続性が失われたこと Address: 192.168.2.4 を認識する。IPアドレスが変わっていることに注意。 > set type=ns > web.nix.co.jj << mail.nix.co.jj も同じように出る。ここのとこがミソ。 Non-authoritative answer: web.nix.co.jj nameserver = LP1.nix.co.jj web.nix.co.jj nameserver = LP2.nix.co.jj Authoritative answers can be found from: web.nix.co.jj nameserver = LP1.nix.co.jj web.nix.co.jj nameserver = LP2.nix.co.jj LP1.nix.co.jj internet address = 192.168.2.2 LP2.nix.co.jj internet address = 192.168.3.2 > set type=mx << nix.co.jj ドメインの MX レコ−ドは何ですか。 > nix.co.jj nix.co.jj preference = 10, mail exchanger = mail.nix.co.jj > set type=a << MX レコ−ドは mail.nix.co.jj と返答あり、それじゃ > mail.nix.co.jj そのIPアドレスは。LinkProof に問い合わせに行く。 Name: mail.nix.co.jj Address: 192.168.2.4 << LinkProof から 192.168.3.4 かどちらかが返答される。 ------------------------------------------------------------------------------------ [ 付録 ] 各ステップの解説 * Step 5. Load Balancing Parameters について ------------------------------------ | Dispatch Method は [ Cyclic ] \ [LinkProof]->[Global Configuration]-> | Client Aging Time [ 60 ] / [General] でも設定。 | Open New ... [ 無効 ] \ | Select New ... [ 無効 ] | | Session Tracking [ Enabled ] | [LinkProof]->[Global Configuration]-> | Client Mode [ Layer3 ] | [Client Table] でも設定。 | Tos Type [ Disabled ] / "Dispatch Method" は "Cyclic" がデフォルトになっている。 "Cyclic" は Round Robin により交互にポ−トにパケットを送出する。 他に "Least amount of traffic"(最小トラ フィック量)、"Fewest numbers of users"(最小ユ−ザ数)、"Fewest Bytes Number"(最小 バイト数) それに Windows NT 何がしがある。よく使われるのは最小ユ−ザ数か最小バイ ト数である。"Dispatch Method" で "Cyclic" が有効な場合は NHR が両方とも"Regular" である場合である。どちらかが "Backup" だと、"Cyclic" 指定は無効になる。 "Client Mode" は "Layer3" がデフォルトである。他 "Layer4" などある。レイヤ3だと IPアドレス単位、つまりあるホストから外へのアクセスは同じポ−トを通って出ていこ うとする。同じポ−トを使う判断は、LinkProof 内にテ−ブルが作られ、あるIPアドレ スはどのポ−トを使っているかある時間登録される。この時間が "Client Aging Time"で ある。デフォルトは60秒になっている。 "Client Mode" が "Layer4" のレイヤ4だと、IPアドレスとポ−トでの単位になる。同 じホストから外へポ−ト80番でアクセスするのと25番でアクセスするのは別ものとみ なす。ロ−ドバランシングが働くと80番の方はポ−ト1、25番の方はポ−ト2を通す といったことができる。80番の HTTP アクセスが高負荷だとすれば、25番のメ−ルは 空いている別なポ−トでアクセスするという。 * Step 7. Connectivity Check について どちらかのリンクが途切れると、もう一方に代わるまでだいたい30秒から1分ぐらいか かる。このパラメ−タが、"Polling Interval 10" と "Number of Retries 5"である。デ フォルトの値であるが、10秒間隔で NHRであるル−タに生きているかチェックしにいく。 返事がないと、このチェックを5回繰り返す。つまり50秒たったら、ル−タは死んでい ると判断し、生きている方のル−タだけになる。 ------------------------------------------ | Check Connectivity Status [ Enabled ] | Check Connectivity Method [ SNMP ] << ここでは SNMP と PING だけある。 | Polling Interval [ 10 ] | Number of Retries [ 5 ] | SNMP Object ID [ 1.3.x.x. ] | SNMP Community [ public ] ------------------------------------------ 例えばポ−ト1を Regular、ポ−ト2を Backup で稼働させていたとする。内外のアクス スは、この間ポ−ト1経由を通っている。分かりやすく内側のネットワ−クにあるパソコ ンから外側にあるWWWにアクセスしてたとしよう。手元のテスト環境では、同じサイト asahi.com にアクセスした。ここでポ−ト1側の NHR の電源を切ると、 1分程度通信が できなくなる。その後ポ−ト2経由でアクセスできるようになる。さらにポ−ト1側 NHR の電源をオンにしたらどうなるか。電源をオンにしたところで、1分程してポ−ト1が復 旧したと LinkProof は認識する。しかし、現在ポ−ト2を経由しているので、 そのまま ポ−ト2を通ろうとする。これは現在アクセスしているのが "Client Table" に登録され るためである。多分その登録された存在時間 "Client Aging Time"、デフォルトは60秒、 を過ぎると登録から抹消される。それから後のアクセスはポ−ト1を経由するようになる。 "Client Aging Time" の間にアクセスがあると、その時点からまた60秒伸びるというこ とになり、ずっとポ−ト2を経由するということになる。 * Step 18. Dynamic Proximity Configuration について ------------------------------------------------- | Proximity Mode [ Full Proximity Both ] | Proximity Aging Period [ 2880 ] | Check Retries [ 2 ] | Check Interval [ 5 ] | Hops Weight [ 1 ] << actual router hops。 | Latency Weight [ 1 ] << in round-trip。 | Load Weight [ 1 ] << traffic on a given NHR。 "Proximity Mode" は Inbound, Outbound, Both, No Proximity, Static Proximity があ る。Inbound は外から内へ、Outbound は内から外へのパケットである。Both はその両方 である。Proximity は近接性、つまりどちらのポ−ト経由が近いのか、速く到達できるの かといったことである。それを値として、動的に計算し判断しましょうというのが、この Dynamic Proximity である。そうでなくどちらを通すかは決めてしまいましょうというの が、Static Proximity である。 Dynamic Proximity は Hops(ホップ数)、Latency(遅延)、 Load(NHR のル−タ負荷) の値によって計算される。ここでの設定は [LinkProof]->[Load Balancing Weights] で変更できる、ここでのメニュ−には "Cost Weight" パラメ−タも 加わっている。"Cost Weight" は複数回線での全体料金を最小にしようという働きである。 * Step 20. Static Proximity について Dynamic Proximity でなく Static Proximity でパケットを通すポ−トを決める場合であ る。Proximity、近接性を手動設定する。外部の特定のホストにアクセスするのに、 あら かじめどのル−タを通って行かせるのか指定する。上記では cisco と EWS の2つのル− タがある。この設定では3つのル−タまで指定できる。 指定できるIPアドレスは NHR1, NHR2, NHR3 のところでドロップ・ダウンで選ぶようになっている。 つまり外のあるサ− バに内からアクセスするのに、こっちの経路の方が速いと思えば、そのように設定できる わけである。テストその1、その2で言えば、 cisco と EWS の2つの回線が同じ速度と して、cisco 側のプロバイダのホ−ムペ−ジに頻繁アクセスするなら、NHR1 は cisco の IPアドレス、NHR2 には EWS のIPアドレスを指定する。 動作をテストその1、その2の環境で確認した。NHR の EWS を "Regular" に、cisco を "Backup" にして、以下のように設定した。わざと "Backup"回線の方を通るかテストした のである。NHR1,2,3 は 192.168.2.1 か192.168.3.1 か空をドロップ・ダウンで選ぶ。こ れで内部ネットにある PC から 192.168.1.3 に ping する。192.168.1.3 の SRV ホスト で tcpdump でどこからパケットが来ているか、 あるいは "Client Table" でも知ること ができる。この設定は特定のパケットを、どこを通すかということで、Dynamic NAT など 他の設定より優先される。しかしそもそも NHR1 ル−タがダウンした場合は、この設定は 無視される。以下 From Address は 0.0.0.0 の任意IPアドレスとしたが、 例えばテス トその2では外に出て行く代表IPアドレスとして、192.168.2.6 としても一緒である。 [LinkProof]->[Proximity]->[Static Proximity] | From Address | To Address | NHR1 | NHR2 | NHR3 ---|--------------|-------------|-------------|-------------|------------ 1 | 0.0.0.0 | 192.168.1.3 | 192.168.2.1 | 192.168.2.1 | * Step 10. Basic NAT Table について | From Local | To Local |Port | Router | From NAT | To NAT | Basic |Server Address|Server Address|Number| Address| Address | Address | NAT Mode ---|--------------|--------------|------|--------|----------|---------|--------- | | | | | | | これは Static NAT の設定によく似ている。英文の説明を直訳すると、Basic NAT はロ− カルのIPアドレスの範囲と宛先のアプリケ−ションに基づき、時々のユ−ザのため1対 1のマッピング変換をする。Basic NAT はソ−ス・ポ−トが変換されない任意のアプリケ −ションに有効である。それゆえクライアントのIPアドレスが、Dynamic NAT を使って 変換されるようなのには用いることはできない。?、意味がよく分からないが。 * Step 5 についての補足 [LinkProof]->[NHR Advanced Configuration]->[Aging By Application Port] について。 Step 5 での "Client Mode" が "Layer3" では働かない。ポ−トまで扱う "Layer4" でな いとだめである。例えば80番ポ−トの HTTP アクセスは、LinkProof に登録しておく時 間を指定したのにできる。多分 Step 5 での "Client Aging Time" が、今のところ "60" になっているが、それとは別に80番ポ−トは "600"にするというようにできるのだろう。 * "Full Path Health Monitoring" について [ インタ−ネットでの接続 ] □ [ 上記テスト環境 ] |.3 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ -------------------- 192.168.1.0 \__________/ |.11 |.12 |1.9 |2.9 Backup □ cisco □ EWS2 (snmpd) □ □ プロバイダ側 |.1 |.2 : : にあるル−タ | ---------- 192.168.9.0 : : 192.168.2.0| |.1 □ □ NHR のル−タ | Regular □ EWS (snmpd) |1.1 |2.1 | |192.168.3.1 ------------------- ------------------- | LinkProof | | LinkProof | ------------------- ------------------- これまでの LinkProof の設定では、 実際のインタ−ネット接続のイメ−ジは左図のよう にになる。NHR のル−タの接続性のチェックは 1.1 と 2.1 のル−タを調べる。プロバイ ダ側にあるル−タはチェックしない。この状態で、プロバイダ側のル−タが停止したとし ても LinkProof はその異常を検出することはできない。 プロバイダ側のル−タもチェッ クさせようというのが、"Full Path Health Monitoring" の設定である。マニュアル1の "APPENDIX(a)" の設定例でも実施するように推奨している。 もし 1.1 のル−タを Regular、2.1 を Backup とした場合、 1.9 のル−タが故障とかし たらどうなるか。1.1 と 2.1 しかル−タの状態をチェックしない。 1.9 はチェックしな いため、Backup のル−タに切り替わらない。つまり通信不能になってしまう。 これまで プロバイダ側のル−タがおかしくて通信できなかったことは、実のところ一度もない。こ の設定はあまりシビアに考える必要はないかも知れない。 ただし実際のインタ−ネット接続で、プロバイダのル−タのIPアドレスは明示的には教 えてもらえないことが多いかも知れない。その場合は traceroute コマンドなどで調べて みよう。それに SNMP は先ず対応しないと思った方がいいだろう。 PING でさえ応答させ ないようル−タを設定している場合だって、実際あった。 上記のテスト環境で実際に動作を確認してみた。テスト環境は実際は、このようにEWS を 2台用いている。ここでの確認テストには好都合だった。"Step 7. Connectivity Check" は "SNMP" であるとする。LinkProof からは EWS に SNMP パケットを送り、 生きている かチェックする。加えて EWS2 にも SNMP パケットを送り、同様チェックするのである。 [LinkProof]->[Next Hop Router Table] --------------------------------------------------------------------- | [↑] [↓] [〆] [→] [→] [〇] [※] [□] [◇] |-------------------------------------------------------------------- | NHR Address NHR Name Admin Status Operational Status | ----------------------------------------------------------------- | 1| 192.168.2.1 | cisco | Enabled | Active | | 2| 192.168.3.1 | EWS | Enabled | Active | | ----------------------------------------------------------------- --------------------------------------------------------------------- チェックのタ−ゲットとして EWS2 を加えるには、 上の表の "192.168.3.1" のところを クリックし、[※]の "Full path health monitor" をクリックする。すると以下のような 追加画面が現われる。"192.168.9.2" を [Insert] で追加する。 | Check Address | Operational Status ---|---------------|-------------------- 1 | 192.168.3.1 | Active 2 | 192.168.9.2 | Active << アイコンの [Insert] で追加する。 | Check Address | Operational Status ---|---------------|-------------------- 1 | 192.168.9.2 | NotInService << EWS2 の snmpd を止めたら。上のTableの 2 | 192.168.3.1 | Active "192.168.3.1"部も NotInService になる。 EWS2 の電源を切っても同じようになる。