24.ネットワ−クはエンドレス 24-1. ネットワ−クでネット又ネット (1) インタ−ネット回線の2本立 `2c〜 * ネットワ−クが遅いという話 ネットワ−クが慢性的に遅い状況と半年に一度ぐらい一時的に遅い状況が起こる。後者の 状況では何がしか Access などデ−タベ−スを操作している時にプチっと切れるとか、あ るものだ。そんな時にどうやって対処するか。原因をどうやって見つけるか。瞬間的なバ −ストトラフィックが発生した場合のこと。こういう突発的な混雑は MRTG のグラフを見 ても分からない。MRTG は5分平均のグラフを出すので、ならされてしまう。 慢性的に遅 い状況は MRTG で天井に張り付くグラフが出たことがある。かつて 128 Kbps でインタ− ネット接続していた時、128 Kbpsに相当する目盛りのところで張り付いていた。しかし今 はそんな低速回線ではない訳で、天井に張り付くグラフは出ることはないのでないか。 2005年頃、よい子ではインタ−ネット回線の速度を速くしようと検討していた。 CTC の NetLINK にしようかという所で終わっていた。もたもたしている内に 100Mbps ベスト エフォ−トの NetDIVE というのが出てきて、こっちを導入した。 NetDIVE はインタ−ネ ット接続サ−ビスで、 プロパイダはTCPのままで NetDIVE をトンネルしてインタ−ネ ット接続する。ル−タはTCPのレンタルでTCPと対向で IPSec VPNを張るという。変 えて外のホ−ムペ−ジの表示なんか、やや速くなったようで社内からの苦情も特段なかっ た。それでそのままにしていたのだが、月日が経ち何となく遅いという話を耳にするよう になった。社内のレイヤ3スイッチや古いスイッチを交換しても目立った改善はなかった。 確実に速度アップするプランを立てないといけない。NetLINK は保証帯域は所詮 1Mbpsで これではだめだ。NetLINK Business 1G というのも 2010/01に開始しているが、最大20 ユ−ザ共有のベストエフォ−トに変わりない。ル−タのオ−バヘッドを少しでも減らすた めVPNを使わない回線 CTC EtherLINK にするか。最大帯域 100Mbps で保証帯域10Mbps で月約50万円、TCP分は約5万円、CTC 分が45万円。 保証帯域 1Mbps でもTCP 分は変わらず、CTC 分は15万円。保証帯域 10Mbps は欲しいよな。しかし毎月50万円 も払えるか。そんな申請は中規模の企業で通るはずもない。これまでは NetDIVEでTCP 分は約5万円の計10万円弱の毎月の支払だ。5倍お金を払って何ぼ早くなるの?。 2013年に入って CTC の新たな営業さんが来るようになった。これまでの CTC の姿勢 からはだいぶお客さん寄りに方針転換があったらしい。従来トラフィックは分かりません、 計る仕組みもない。ベストエフォ−トで一体どれだけのスル−プットが出ているか皆目分 からなかった。それが今回、2回目の来社で1次集約局に繋がったル−タでのMRTGグラフ を持参し、エンジニアも同行してきた。現在のトラフィックはもう一杯一杯なのか。グラ フを一瞥したところスカスカ。特に混んでいる状況ではない。平均すると 5〜6 Mbpsは出 ている。しかし他所では 8〜10 Mbps は出ているので、ひょっとするとル−タのVPNの オ−バヘッドが影響しているかも。1次集約局から2次でもパケットの破棄はなかった。 * インタ−ネット回線やWAN回線を2重化 インタ−ネット接続ではDMZがあってサ−バを設置している場合は、そこについては簡 単ではない。ヤマハのル−タでもいっしょ、内から外へのアクセスは2重化できるが、外 から内へのアクセスは LinkProof みたいな専用の装置でないとできない。 内から外への アクセスは、社内ネットワ−クからインタ−ネットのWebサイトへ。外から内へのアク セスはDMZ上のメ−ルサ−バとか SSL-VPN装置へのアクセスが代表的。ここでの参考は [ヤマハ] の "ホ−ム>製品情報>ネットワ−ク周辺機器>設定例>インタ−ネットアクセス"。 1) WAN回線障害時に備える(自動バックアップ機能)。LAN2 ISDN S/T にISP1 ISP2接続。 社内ネットワ−クは1つで LAN1 に。ISP1 FTTH/ADSL LAN2。 3.0 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ ------------ \________________/ 1.0 | | 2.0 : : -------- --------- A: :B 1.1| |2.1 主: :副 □ □Router : : A.2| |C.2 NAT A.1: :C.1 NAT | | ------------- A.0|主 副|C.0 | Router | | | □ ------------- NAT A.1| |C.1 NAT |A.8 |A.9 -------------- ----------------------- | Router | ■ |A.7 -------------- | ------ プロバイダA側でDMZのサ |A.9 -----|Fire| −バにインタ−ネットからア ------------------ ------ クセスできる。Bは予備回線 |A.7 | でAがダウンした際に自動バ ------ ---------------- ックアップで切り替わる。 |Fire| 以下左に同じ。 2) インタ−ネット回線を2本使用し高速な接続環境を実現したい。 社内に2つのグル− プのPCがあるということで。プロバイダAとBに接続。`2d/10 もう一度調べてみた。 前に調べた時は、グル−プで利用する回線を固定するのだと思った。 だから使えない と思った。そんなことはなく柔軟な制御ができる。グル−プ分けもできる、 どちらか の回線がダウンしたらもう1つの回線に行く。 負荷分散もできるが、1つの通信が2 つの回線に振り分けられるとセッションの維持ができなくなるかも知れない。 負荷分 散の機能は専用機ではないので、できないこともあるみたいである。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ 自分の書いたので "4-3.WAN回線の速度アップ \______________/ と冗長化 ybase3.txt"。 Yamahaのル−タ マルチ A: :B 同時利用。 ホ−ミング 2001/09/20 update された記事。 十 : : 年以上前に見た記事だけど http://www.rtpro.ya NAT A.1: :C.1 NAT maha.co.jp/RT/docs/multi-homing.html この記 --------------- 事まだあった。DMZのサ−バは対象にできない。 | Router | それでよければ回線冗長化は一応やれる。`2d/10 --------------- A.9| |C.9 2010年4月22日NHK放映の「ITホワイ ---------- ----------- トボックス」で出てきたオ−バ−レイはこの構成 A.8| |C.8 だったのでないか。2重化でなくて回線を複数束 □Fire □Fire ねてもいいと言っていた。しかしオ−バ−レイと | | いう回線2重化は実際にあるのか、本当にできる ---------- ----------- のか。他で聞くことがなく、どうもかなり怪しい。 * このやり方しかないのでないか `2d/04/e FortiGate でもインタ−ネット回線やWAN回線を2重化するのは簡単にできるみたいだ。 FortiGate-50B,80C は WAN1 と WAN2 の2つWAN用ポ−トがあって以下のようにできる。 MR■ ■Web UTMの FortiGate や SonicWALL でやれる方法。 インタ−ネット | | ポリシ−ル−ティングという機能を使う。 Proxy / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ からインタ−ネットホ−ムペ−ジ Webへのアクセ \______________/ スはプロバイダBの方を通すようにする。ブラウ ◎Aプロバイダ ◎B ザからの HTTPとHTTPSパケットはNAT として B.2 : : からの発信とする。これで社内から外へのWeb MS DNS: : 利用は速くできる。しかし3つのSI業者に聞い □ □ □ □ たが、ほとんどやったことがない、使えるのか?。 | | |A.1 |B.1 -------------- ----------- この絵にはメ−ルリレ−をクラウド利用に変更し DNS |A.2 |B.2 メ−ルストアは社内にあるまま。MSとMRのやりと ■ --------------- NAT りをするため、MSは仮想IPでパブリックIPに | | | するしかない。セキュリティ的にはだいぶやらし ----------| FortiGate | いと思う。MSマシンは MR のIPとしか通信でき | | Proxy ないよう制限をかけるとか。こんな構成にしたら ■MS --------------- □ SSL-VPN 経由でメ−ルのやりとりしなくて、でき | | | てしまう。古くて新しい接続方法だが、問題だ!。 -------------------------------- * インタ−ネット回線の見直し インタ−ネットの速度アップは。今はインタ−ネットをインタ−ネットで暗号化通信をし ている。ル−タの RTX1000 は IPSec はソフトウェアでやっている。RTX1200 はハ−ドウ ェアでやる。WANル−タを対向で交換すれば5割ぐらいスル−プットがアップするかも。 IIJの提案は簡易BGPで2回線で Active - Standby。 パブリックIPアドレスも全 面的に付け替えるというプラン。DMZ上のサ−バにもちゃんとアクセスできる。インタ −ネットから切り替わった副回線の方にもアクセスできる。 長年待ってフレッツ光系が利用可能になった。Bフレッツと呼ばれていたが、もはや名称 が変わってしまっていた。NTTのサイトで電話番号で調べたら、家庭向けが可になって いた。TCPで固定IP1個でフレッツ光ネクストの幾つかのサ−ビスは7千円前後。 KDDIのauひかりビジネス。基本料金(IP電話+インタ−ネット)、電話 3ch、固定 IPアドレス4個 7,500円+アダプタレンタル料金 700円、初期費用 39,600円。 インタ −ネットのみ利用の場合は固定IP8個が最低で 24,000円?。300 Mbps。以上、税別。 * インタ−ネット回線の見直し − いっそ無線LANの Wi-Fi はどうか 社内に無線LANの環境を構築し保守してくれるサ−ビス。 "KDDIビジネスセキュア Wi-Fi" 2013年1月28日から提供。無線LANアクセスポイントの設置管理サ−ビス。個別 対応してたのをメニュ−化した。これってインタ−ネット接続に使うことができるのかな。 タブレットやスマ−トフォンはネットワ−クケ−ブルで接続できない。一応、社外からの SSL-VPN 接続などのアクセスも検証できるようにしておきたい。Wi-Fi の無線LAN接続 にインタ−ネット接続ができるようにしておきたい。 "GMOとくとく通信" というメ−ルがしょっちゅう来る。2013/01/25 にきたメ−ル。個 人のホ−ムペ−ジで無料掲示板を昔から使っている。そのサ−ビス会社がGMO。Kindle Fire HD が0円! WiMAXまたはイ−・モバイルLTEとセットでお得!。 UQ WiMAX 接続サ−ビス、使い放題 月額3,770円とセットでKindle Fire HD 定価15,800円 が今なら0円。人気の WiMAX端末が選べるAterm WM3600R or Mobile Cube or URoad-SSIO。 こっちも emobile LTE 月額3,860円 とセットで0円、最新端末 PocketWiFi GLO4P 無料。 * フレッツ光のサ−ビス提供アリアの調査 NTTのサイトを見ると "フレッツ光 フレッツ光ライト 法人向けサ−ビス" 3つあった。 フレッツ光ネクストはフレッツ光プレミアム、Bフレッツの特徴をそのままに安定性、信 頼性を兼ね備えた... うんぬんと説明があった。TCPのアナウンスで、光ネクストエク スプレスタイプ、ス−パ−ハイスピ−ドタイプ隼を料金の値下げ、2012年10月から。 TCPの料金表をみると家庭向けは安いが法人向けはぐんと高い。固定IPアドレス1個 でフレッツ光ネクスト ビジネスタイプでは月額 68,250円。IP8個は 74,450円。 [ 法人向けサ−ビス ] "ご指定の住所では現在 フレッツ法人向けサ−ビスをご利用いただくことができません" フレッツ光ネクスト ビジネスタイプ はやぶさ [ フレッツ光 ] では ↓ "フレッツ光ネクスト ファミリ−・ス−パ−ハイスピ−ドタイプ 隼 は提供できます。" * 検討して行った過程のメモ B回線はフレッツ・ADSLでパブリックIPアドレスは8個、有効は6個。SSL-VPN の外出 先からのアクセスを想定したテストに使う程度。これまでB回線側のル−タのLANポ− トからネットワ−クケ−ブルを20メ−トル位出して自分の机のところに引いている。こ れで自分のパソコンのIPアドレスなどの設定を変えてテストしている。 A回線がダウンした場合のバックアップとして、LinkProof でインタ−ネットと通信でき るよう、自社ホ−ムペ−ジもサ−ビスできるよう、パブリックIPアドレスは8個のを確 保している。メインの回線が十分に安定していたので、LinkProof の出番はほとんどなか ったが。これからも出番はないかも知れないがそのまま継続とする、いわゆる保険です。 フレッツ・ADSL のB回線を利用して FortiGate のポリシ−ル−ティングのテストをやっ てみる。プロキシサ−バは予備のを使うことにする、一応 192.168.1.99 とする。TCP/80 パケットだけB回線に誘導する。192.168.1.99 からの宛先 TCP/80パケットのみB回線側 の FortiGate のインタ−フェ−スを通すようにポリシ−ル−ティングの設定する。 ポリシ−ル−ティングのテストでパケットの様子を確認する。 tcpdump か windump かで。 ping のパケットはどうなる。ping の ICMP パケットはA回線側になるわけでtraceroute もそうだ。B回線側で対象とするサ−バはすべてインタ−ネット上にある訳で、B回線側 を通っての ping 応答をしなくても、問題にはならないのでないか。 DNSサ−バはA回線側に自社設置している。プロキシサ−バからはDNSの問い合わせ パケットも出る。このDNSのパケットはA回線側の FortiGateのインタ−フェ−スを通 る。ICMP もA回線だし。インタ−ネット上の記述で 2007/06/19 "ポリシ−ル−ティング は使ってはいけない−とある技術者の戯言"、通信経路がややこしいと問題が起きるよと。 B回線で動作確認ができたらフレッツ・ADSL を光ファイバ系に変更するか、 もう1本光 ファイバ系を引くかする。B回線のプロパイダを変えなければ、パブリックIPアドレス はこれまでのまま使えるかも知れない。B回線のル−タのLANポ−トからは、これまで 同様インタ−ネットのテスト用のケ−ブルを出しておけばいい。 B回線はそのままでいざという時 LinkProof でバックアップ取れるようにしておく。 そ れでもう1本光ファイバ系回線を引く。NTTの光ファイバかKDDIのauを新たに引 く。どうも家庭向けのBフレッツ系は10人程度の事業者位で、それ以上の利用者だとが くっと速度低下するみたい。auひかりビジネスの方が速度アップには期待ができそう。 いっそメインのA回線を光ファイバ系に変える手もある。待ちに待ったBフレッツ系だが 家庭向けではいかがなものか。ビジネスタイプが利用可になったとしても料金が。ならば auひかりビジネスにするという手もある、これならとは思うが。もろもろ考えるとメイ ンはこれまで通り、もう1本の回線をauひかりビジネスにするのがベタ−な選択と思う。 家庭向けのBフレッツ系ではだめなのか。この判断は難しい。IIJからもこの回線での 見積りは出ている、TCPでもBフレッツ系を企業で利用しているところも多数ある。実 のところやってみなくちゃ分からない。他、検討事項として回線ダウンを避けるため回線 業者は別、プロバイダは別の方がいいかという話もある。今回提案は速度を最優先とする。 最後の検討はポリシ−ル−ティングの FortiGate への設定である、 自前でやるしかない かも。SI業者は実際問題やれるのか。かなり微妙な設定が後から出てくるかもしれない。 やりたがらない可能性が大きい。あるいは手伝いないしアドバイスという形で支援しても らう程度にするとか。それでも費用は50万円ぐらいは必要だろう。一口50万円です。 ポリシ−ル−ティングのパケットの振り分けは、ともかくできるだけ単純な振り分けにし て、動作を確実にさせることが必要だろう。テストでやろうとしているように TCP/80 だ け別回線を通すようにするだけでいいと思う。 Fortinet の技術者に接触して、複数回線 使用の冗長構成と負荷分散で他の方法もあると教えてもらったが、これらはいいだろう。 * 参考 「日経コミュニケ−ション」2013/03, P.68〜71, "ネットワ−クトラブルへの対応術 今回 > のテ−マ トラフィックの監視、ネットワ−ク管理者を悩ませるバ−スト通信問題 トラ フィック量の監視だけでは不十分 ネットワ−クの正常性を把握する"。マイクロバ−ス トを把握する MIB 値として ifInDiscards, ifOutDiscards やエラ−値を見るとか。 「Software Design」2010/09, P.74〜77, "Part2 実録!「止まらないサ−バ」を自前で極 > める 第4章回線の二重化"。Linux のパッケ−ジの iproute2 を利用すると回線別にデ フォルトル−トを指定することができる。サ−バ内部からはゲ−トウェイを複数登録す る。図4を見て、回線2本をつなぐロ−ドバランサって LinkProof のことでないのか。 (2) ポリシ−ル−ティングを試す `2d/04 * FortiGate でテストをやってみる FortiGate-60C 実機を使ってのセミナ−があった際の資料を見ると、メニュ−に[ル−タ] がありその下に [スタティックル−ト] [ポリシ−ル−ト] [Settings]、 それに [ダイナ ミックル−ティング] というのがある。 手元の FortiGate-80C ではそれらのメニュ−が 出てこない。ひょっとしてNATでなくトランスペアレントにモ−ドがなっているからか。 そうでした。 FortiGate-80C に FortiAP をつないでの無線LANのテストをしてみると いうことで、トランスペアレントのモ−ドにしたのだった。 ともかく目ぼしい情報がないか調べる。昔の雑誌にポリシ−ル−ティングの記事があった みたい「Software Design」2002/08, P.40,41 のWCR(Web Cache Redirection)ネットワ− ク構築、さわりだけで具体的な設定はなかった。「CTCテクインフォ」2002/03,VOL.36, P.23〜26, "CISCO ワンポイントレッスン第27回、ポリシ−ル−ティングを設定しよう"。 アプリケ−ションによって経路を変える。発信元IPアドレスによって経路を変える。 複数回線使っての冗長構成と負荷分散の設定で3つの方法があると書かれている。ポリシ −ル−ティングではない。「System Administration for FortiOS 4.0 MR3」 全311ペ −ジ。261ペ−ジからの "Advanced concepts" の "Dual internet connections" の説 明261〜264ペ−ジ。Ping Server を設定するのは LinkProofの回線ヘルスチェック と同じようなことである。DMZが無ければ特に考えずこの設定でもいのかも知れない。 * FortiGate-50B にてテストの準備 透過モ−ドの方がいつも使っているパソコンをそのままテストに利用できるので、つい透 過モ−ドに設定していた。FortiGate の管理用IPアドレスは {Management IP/Netmask} で [ 192.168.1.1/255.255.255.0 ] にしていた。それを下図のように NAT モ−ドにして みたい。注意点として、管理用IPアドレスにはデフォルトでは透過モ−ドでもLAN側 からでないとアクセスできない。WAN側からアクセスするには追加設定する、インタ− フェ−スの wan 設定で "アクセス" 項目に HTTPS や HTTP を入れておくこと。 | | 192.168.1.1 ファ−ムウェアバ−ジョン -------- 透過モ−ド 変更 -------- NATモ−ド 3.00,build0480 | 50B | 192.168.1.1 ----> | 50B | -------- 管理用IP -------- | | 192.168.2.1 ちゃんと順番を考えてやらないと装置にアクセスできなくなって、初期設定に戻すしかな くなる。Operation Mode [Transparent ▽] を [NAT ▽] にして、IPアドレスはそのま まで Device [wan1 ▽] にした。この時、WAN側からアクセスに HTTPSを入れてなかっ たので ping しか通らなかった。LAN側の internal はIPアドレスそのものが付いて なかった。仕方ないので RS-232C でつないで下記のようにコマンドを打った。 しかし順 番の問題ではない。透過モ−ドでは internal にそもそもIPアドレスは付けられない。 FGT50Bxxxx # get system interface << wan1 はちゃんとIPアドレスが付いてあった が internal は 0.0.0.0 になっていた。 FGT50Bxxxx # config system interface (interface)# edit internal (internal)# set ip 192.168.2.1/24 (internal)# end << 設定の適用と設定の保存がこれで成される。 以上の注意事項は FortiGate-80C で、2015/02時点でのファ−ムウェアでも変わらなかっ た。加えて分かったのは、透過モ−ドで wan側のネットワ−クケ−ブルを抜いた、あるい は多分デフォルトゲ−トウェイの装置が見つからない状態で。パソコンは internal 側に あって FortiGate 画面が反応しなくなった。 できそうな気がするし関係ない気がするの だが出来なかった。パソコンを wan 側においての試しもしてみないといけなかったな。 * テスト環境 適当に設定して触ってみれば動作が分かるのでないかと思ってやってみた。2時間ぐらい 触ってだいたい分かった。まあこんなもんだ。細かな詰めはその後にやるとして、ざくっ とはその気になれば1日もあればやれてしまうものだ。単純には宛先IPアドレスがどこ どこのは wan2 を通って行ってちょうだい。宛先ポ−ト番号がこれこれは wan2 を通って 行ってちょうだいという話だ。しかしいろいろやってみて、ポリシ−のル−ル適用がすご く微妙である。動作がなかなかちゃんと把握できない。パケットフィルタリングのル−ル の順番みたいなことなのだが、それだけの事ではなさそうである。 [ル−タ]->[スタティック] FORIGATE. 50B の画面 _____________________________________________________ |[システム] | スタティックル−ト\ ポリシ−ル−ト\ |[ル−タ] |--------------------- ---------------- | [スタティック]|------------------------------------------------------ | | 新規ル−ティングポリシ− | | |-----------------------------------------------------| | | 受信トラフィックのマッチング条件: | | | プロトコル [0 ] | | | 受信インタフェ−ス [internal ▽] | a | | 送信元アドレス/マスク [0.0.0.0/0.0.0.0 ] | b | | 宛先アドレス/マスク [0.0.0.0/0.0.0.0 ] | c | | 宛先ポ−ト 送信元:[1 ] 宛先:[65535] | d | | トラフィック変更先: | | | 送信インタフェ−ス [internal ▽] | e | | ゲ−トウェイアドレス [0.0.0.0 ] | f | |-----------------------------------------------------| | | ( OK ) ( キャンセル ) | | ------------------------------------------------------- プロトコルは [0] でいいみたい。HTTP が 80 というプロトコルのことはでなくて、IP パケットのヘッダ−部のプロトコル区分のことのようである。ICMP が 1、TCP が 6、UDP が 17番である。だから [6] を指定しておくかここのフィ−ルドは無視するということで [0] のままにしておくかである。 | Proxy MS Qube3 一時テスト用 192.168.3.0 は既存の社内LAN L3□ ◆ ◆ □ Qube3以外無し でインタ−ネットへもアクセスで .10| |.6 |.2 |.2 きる。192.168.2.0 は適当に作っ -------------------- ---------- 192.168.2.0 た一時的なネットワ−ク。 192.168.3.0 | | wan1|.11 |.1 wan2 [ファイアウォ−ル]->[ポリシ−] NAT ------------ NAT lan->wan1 all all ANY ACCEPT |FortiGate | lan->wan2 all all ANY ACCEPT PC○ ------------ .7| | .99 192.168.1.0 ブラウザのプロキシの設定はこう ------------------------ したテストでは十分に注意したい。 PC のブラウザのIEのプロキシサ−バの設定 ------------------------------------------------------------- |〆プロキシサ−バを利用するうんぬん | アドレス [192.168.3.6 ] ポ−ト [80 ] {詳細設定} | □ロ−カルアドレスにはプロキシサ−バ−を使用しない | |プロキシの設定 例外 | 次で始まるアドレスにはプロキシを使用しない [ 192.168.*.* ] << 空にした。 * テストその1 受信a 送信e 送信元b 宛先c 宛先ポ−トd ゲ−トウェイf 1) lan wan1 0.0.0.0 192.168.3.6 443,443 192.168.3.10 2) lan wan2 0.0.0.0 0.0.0.0 80,80 192.168.2.2 << 注。 3) lan wan1 0.0.0.0 0.0.0.0 110,110 192.168.3.10 4) lan wan1 0.0.0.0 0.0.0.0 25,25 192.168.3.10 注のところ、適当に架空のゲ−トウェイ 192.168.2.10 とかにしたら、PC から Qube3 に アクセスできなくなった。ちゃんと存在しているコンピュ−タなりインタ−フェ−スなり でないとダメということか。 PC のブラウザでプロキシを 192.168.3.6 にすれば、HTTPS サイトにはアクセスができる。 ここで 443 を 80 にすると、Qube3 の HTTP アクセスができなくなる。1) のル−ルで宛 先ポ−ト 80 がル−ルに合致して、それより下には見に行かないということらしい。 PC から MS のメ−ルストアにはアクセスできない。2)のル−ルで 宛先 が 0.0.0.0 にな っているので、そこでル−ルが合致して、それより下には見に行かないということらしい。 * テストその2 ( ブラウザのプロキシサ−バの設定なしで ) ____________________________________ |[システム] | スタティックル−ト\ ポリシ−ル−ト |[ル−タ] | ---------------------------------------- | [スタティック]| (新規作成) | | |------------------------------------------------------------| | | IP マスク ゲ−トウェイ デバイス ディスタンス | | |------------------------------------------------------------| | A) | 0.0.0.0 0.0.0.0 192.168.3.10 wan1 10 | | |------------------------------------------------------------- 受信a 送信e 送信元b 宛先c 宛先ポ−トd ゲ−トウェイf 1) lan wan1 0.0.0.0 192.168.3.6 443,443 192.168.3.10 2) lan wan2 0.0.0.0 192.168.2.2 80,80 192.168.2.2 ル−ルは b,c,d の3つがあり独立しているということではなくて、 &条件のようである。 アクセス先が 192.168.3.6 でポ−トが 443 番ならば wan1 を通って行きなさいよ。 インタ−ネットのサイト、ヤフ−でも上記ル−ルでアクセスできた。ル−ル 1) と 2) に は合致しない。ル−ル A) に合致してアクセスができる。 A) を消すとアクセスできなく なった。スタティックル−トはグロ−バルル−ルと解釈すればいいのだろう。 1) のル−ルの宛先ポ−ト 443 を 80 にしてみた。ヤフ−のサイトは 80 ポ−ト番号に合 致するが、アクセス先は 192.168.3.6 でないので 1) のル−ルには合致せず、A) のル− ルでアクセスできたということになる。 * テストその3 ( スタティックル−トの設定有る無しは関係なし ) [A] PC> telnet 192.168.2.2 OK 受信a 送信e 送信元b 宛先c 宛先ポ−トd ゲ−トウェイf 1) lan wan2 0.0.0.0 192.168.2.2 800,800 192.168.2.2 [B] PC> telnet 192.168.2.2 OK 受信a 送信e 送信元b 宛先c 宛先ポ−トd ゲ−トウェイf 1) lan wan2 0.0.0.0 192.168.2.9 800,800 192.168.2.2 [C] PC> telnet 192.168.2.2 NG 受信a 送信e 送信元b 宛先c 宛先ポ−トd ゲ−トウェイf 1) lan wan1 0.0.0.0 192.168.2.2 800,800 192.168.3.10 ポリシ−のル−ルの解釈は。A:宛先IPアドレスだけ合致していればいいということで、 許可したのか。B:宛先IPアドレスと宛先ポ−ト両方が合致してなくて、暗黙のル−ル で許可したのか。それとも疑わしきは罰せずという暗黙のル−ルがあるのか。 宛先IPアドレスだけ合致していればいいということで許可したという仮定で、宛先IP アドレスだけが合致すれば wan1 の方へ誘導することになるはず。結果アクセスできない はず。それで分かった事は、並列的な&条件ではなく直列的な&条件になっているのだぞ。 | -------------- 合致 |宛先アドレス|-------> 送信インタ−フェ−スへ -------------- | 違う -------------- 合致 | 宛先ポ−ト |-------> 送信インタ−フェ−スへ -------------- | 違う [D] 挙動がどうもおかしい! 受信a 送信e 送信元b 宛先c 宛先ポ−トd ゲ−トウェイf 1) lan wan1 0.0.0.0 0.0.0.0 1,65535 192.168.3.10 スタティックル−トの設定なしで。PC からメ−ルやりとりできた。Qube3のWeb画面で た、IPアドレスにて。URLにてヤフ−でなかった。スタティックル−トの設定 A) を やったらURLにてヤフ−は出た。一体どういうこと。動作確認が振り出しに戻った感じ。 * より実践に即した確認テスト | MS Qube3 UTMでは単純なポリシ−でパケットを振 L3□ ◆ □ り分けることが肝要だろう。Proxy サ−バ .10| |.2 .2| 192.168.2.0 192.168.1.6 からのパケットは、全部wan2 ------------------ ----------- 側を通すようにすることとか。 192.168.3.0 | | wan1|.11 |.1 wan2 192.168.2.2 へのアクセスって、本当にポ NAT ------------ NAT リシ−ル−ティングでパケットは飛んで行 |FortiGate | っているのだろうか。ただの静的経路でも ○PC ------------ ◆Proxy パケットは行けるような気がしてしまう。 .7| .99| .6|192.168.1.0 ------------------------------- Proxy はDNSの問い合わせをやるし。ホ−ムペ−ジのレピュテ−ションもやる。実際の プロキシサ−バは HTTP の 80 パケットだけ扱っているのではない。HTTPS の暗号化パケ ット 443 とか、おかしなポ−ト番号の 8080 とか 8888 とか、 取引先の要求でいろんな ポ−ト番号も扱うようになっている。FortiGate でログを取って、パケットがどこからど こへ流れているか見ることができないか。これができればパケットキャプチャ用のコンピ ュ−タをかまして windump や tcpdump でパケットを調べなくても分かる。プロキシサ− バは FortiGate のLAN側にあるのが実際のネットワ−ク構成になる。 プロキシサ−バ を Qube3 とか適当なマシンで仕立てることができないか。 * FortiGate 設定のメモ [ FortiGate-80C にて ] ファ−ムウェア v5.0,build3608(GA Patch 7) にて。高度なル−ティング [On] にしない と、ポリシ−ル−トのメニュ−画面は出てこない。ファイアウォ−ルオブジェクトのアド レスの作成でタイプというのがあり、サブネット/FQDN/地域/IP範囲 が選べる。"地域"を クリックすると国ということで "Afghanisitan" が先ずでてきた。ファイアウォ−ル内外 のマシンを1つずつマシンを指定するのは、タイプは "サブネット" でいい。 [ ポリシ−ル−トの事 ] FortiGate-50B のWebの管理画面でポリシ−ル−トの設定のところで、管理画面の (?) をクリックすると、別画面が出てきて {Adding a route policy} の説明が出てくる。 Destination Ports To perform policy routing based on the port on which the packet is received, type the same port number in the From and To fields. If you want policy routing to apply to a range of ports, type the starting point number in the From field and endpoint number in the To field. Zero values disable this feature. 0.0.0.0 というのは任意のIPアドレスとかいう意味ではなくて、無視するのでないのか。 説明に "A value of 0.0.0.0/0.0.0.0 disables the feature." と書かれている。それに [ポリシ−ル−ト] 設定画面の {宛先ポ−ト} の {送信元:[1 ] 宛先:[65535]}、この意味 が違うのでないかとちょっと思うのだが、いや問題ないか。言い回しが悪いだけだ。 [ FortiGate-310B では ] ファ−ムウェアバ−ジョン v4.0 何がし。ググった [システム]->[ル−タ] ら220ペ−ジのドキュメントがあった。大方 RIP, | OSPF,BGPの設定に関しての記述だった。「Advanced |---- [スタティックル−ト] Routing FortiOS Handbook v3 for FortiOS 4.0 | |-- [スタティックル−ト] MR3」13〜39 ペ−ジの "Advanced Static routing" | |-- [ポリシ−ル−ト] が関係しそうなところ。この中の"Policy routing" | の説明は36〜38ペ−ジにある。以前のバ−ジョンと |--- [ダイナミックル−ティング] の違いは、設定に Type of Service の項目が1つ | |-- [RIP] 増えたぐらいでないのか。この ToSフィ−ルドとい | |-- [OSPF] うのが帯域制御で主に用いられる。 (3) Active Directory もやっぱり `2d/06〜 * Active Directory もやっぱり Active Directory と CIFS の所。AD とファイル共有の様子は。権利なしのユ−ザ。多分 AD が動いてないと、権利なしのユ−ザでも見れる所が見れないのでないか。AD に問い合 わせしないと、そのユ−ザが権利があるなしは判定できないはずだから。社内ポ−タルサ イトからファイル共有へのリンクはどうか。AD を見るようにしていると、 ファイル共有 ヘのリンクを認識しないのでないか。RDP でアクセスした場合はどうなのか。これも認識 しなかった。タブレットから自分のパソコンに RDPしてファイル共有にアクセスできない。 Aventail でだったか FortiGate だったかで AD を参照するのを、ちゃっとテストしたこ とがあった。 AD が動いている Windows Server のIPアドレスを入れて登録しているア カウントのユ−ザ名をキ−入力したと思う、そしたらすぐに何やら返してきた。なる程こ れで AD を利用した訳だと思った。どうやったのだったか。FortiGate ではなかったみた い。"19-3.LDAPによるユ−ザID管理,(4)FortiGateでLDAP連携を試す1"、ldp_base.txt。 いやもっと手近かなメ−ルソフトの Outlook でも、AD でメ−ルアドレスを探せるはず。 「Software Design」2013/02,P.94〜103,"緊急レポ−トSamba 4.0.0がやってきた! Samba による Active Directory ドメインの構築"。Samba 4.0 は Active Directory の Domain Service 機能を実装したことが最大の特徴。2007年12月にEUから独占禁止法違反により 情報開示が義務づけられ、これで開発が加速した。Samba で Active Directory のテスト をやることになる。ブラックボックスをリバ−スエンジニアリングして解析したのでなく、 開示情報を元に開発できるようになったのなら、互換性も信頼できるぞ。 この記事も追加しておく。「日経NETWORK」2013/01,"編集部が選ぶ注目ニュ−ス"。 から 2012年12月11日、オ−プンソ−スのファイル/プリント/認証サ−バ− Samba 4.0 正 式リリ−ス。Active Directory 互換サ−バ−機能を搭載。 マイクロソフトの公開ドキュ メントにより、Samba Team とマイクロソフトが相互運用性のテストを協力して開発。 そ れで Active Directory 相当の機能はどのレベルまでなの。例えば Windows 2003 Server 相当とか言う表現が当たっているのかどうか分からないのだが。 * Active Directory は Kerberos から Active Directory はずっと難しいもんだと思ってきたが、 その気になればそんなに難し くはないかも知れない。目ぼしい記事を時間のある時、例えば病院の待合室で時間を潰さ ないかん時とか、一度なめるように読んでいけば理解できるぞ。 とりあえずは Kerberos のことから攻めてみるか。Kerberos、ケルベロスと発音する、はずっと地獄の門番と思っ ていたが違った。地獄の門番と書かれているのもあるが誤訳とのことである。頭は犬の頭 が3つあって体は蛇という。死者と生者を判断する冥界の番犬である。ハリ−ポッタ−と 賢者の石の中で登場するフラッフィ−という怪獣は Kerberos をモデルにしてるらしい。 [ Windows Server での Kerberos のポリシ− ] 1) サ−ビスチケットの最長有効期間 2) チケットの最長有効期間 3) ユ−ザチケットを更新できる最長有効期間 AD 利用のために Kerberos 認証でなく旧来の NTLMv2 認証を使うこともできる。Windows NT LAN Manager を略して NTLM。 Kerberos は Windows NT の後のユ−ザ認証の仕組みで、 実は30年以上前からある。昔のファイアウォ−ルの本を見ると説明が出ている。 ドメインコントロ−ラと通信できなくてもパソコンがチケットを持っていれば、共有フォ ルダなどにアクセスはできる。PDC( Primary Domain Controller )、バックアップの BDC は Windows NT 時代のこと、今のドメインコントロ−ラは複数台あっても対等である。 チケットはどうもファイルで存在するのではなくメモリにあるらしい。それでパソコンの 電源を切ったらチケットは無くなると思われる。再起動すると新しいチケットが発行され る。だから多分、グル−プポリシ−を変更したのをすぐに反映したければ再起動してみる。 チケットはパソコン内に保持している。どれだけの期間保持するのか。そのチケットをみ ることはできないか。どこにあるのか、そして内容は。klist は Windows Server 2008か らOSの標準コマンドになった、Kerberos でユ−ザ認証した情報をサ−バから表示する。 チケットを提示さえすれば、認証機関に問い合わせしなくても入場を許す。考えてみれば、 一般の現実世界はそうなっている。印鑑証明書や住民票を役場で取ってそれでいろいろな 手続きをする。いちいち住民票が有効かどうか役場に問い合わせたりはしない。 ユ−ザ認証は Kerberos によるチケットが発行され有効期限がある、パソコンを止めたら チケットは消えるらしい。チケットはパソコンのメモリにある。 Windows Server の方に、 そのパソコン用に発行したチケットの情報、チケット発行の履歴は残るみたい。 チケットはログオンした際にパソコンに発行される。その時点でのユ−ザの権限なんかが チケットに書き込まれるのでないか。AD で権限を変更すると、 その時にまたチケットは 発行しないのでないか。それで矛盾が生じてしまう。 [ 本や雑誌で Kerberos のことを調べてみた ] 名古屋駅前の本屋で見たけど、Windows Server 2008 とか 2012 とかの本が5〜6冊あっ た。でも Kerberos についてはまるで載ってなかった。 「NETWORK magazine」2008/09, P.136〜143, "最新 Windows Server で学ぶサ−バOS入 門 第7回:ユ−ザ−登録とコンピュ−タ登録"。認証と承認。kerberos認証のこと。 「Active Directory と Linux によるシステム構築ガイド」絶版。第Π部統合認証 第5章 Kerberos 統合認証 P.122〜154。ひょっとして必要になるかもと思い買っておいた。 「3分間NetWorking」 http://www5ebiglobe.ne.jp/%257eaji/3min/index.html。 すごいサイト発見。この人、本も幾つか出版。補講第4回から8回が Kerberos の説明。 * Windows キャッシュということ Windows キャッシュという言葉を 2013/06/06 とあるSI業者の営業さんから初めて聞い た。キャッシュされたログオン。外出していたりしてドメインコントロ−ラと通信できな い、Active Directory にアクセスできない場合、キャッシュされたログオン情報を使う。 一度ユ−ザ認証されるとパソコンには認証されたという情報がキャッシュされる。この情 報はパソコンを止めても消えないようである。デフォルトでは10人までのログオン情報 を記憶する。記憶させないようには AD 側で設定する。人という表現はおかしいかも。 Windows 7 でもまだある機能。レジストリ値 CachedLogonCount デフォルトは10。ノ−ト パソコンを外に持って行ってロ−カルでログオンして、VPNで社内に入り AD 認証をす る。その時にキャッシュしていた情報を使う。便利な機能ではあるが危険性もある。 Windows XP では [コントロ−ル パネル] 画面の[管理ツ−ル]->[ロ−カル セキュリティ ポリシ−] の [ロ−カル セキュリティ設定] 画面、その中の [ロ−カル ポリシ−]->[セ キュリティ オプション]->{対話型ログオン:ドメインコントロ−ラが使用できない場合に 使用する、前回ログオンのキャッシュ数 10 ログオン}。 ファイル共有に一度アクセスすると、ユ−ザ名とパスワ−ドを覚える。時としてこれも困 ったことになる。rundll32.exe でキャッシュを消すことができるらしい。 実行モジュ− ルは C:\WINDOWS\system32 と C:\WINDOWS\ServicePackFiles\i386 にある。 * Active Directory のグル−プポリシ−の反映について グル−プポリシ−をすぐに適用させる Windows のコマンド。 クライアントであるパソコ ンにはすぐにやらない。更新は90分。再度ログオンするか。もう少し調べたら90分で はなく、規程の更新時間90分とオフセット0から30分を足した時間に反映されるとの こと。一度にたくさんの更新があった場合に負荷をばらすため。インタ−ネットで書いて あるのを見ると、うまく行かない場合はこれこれやれとか記述があったりする。マイクロ ソフトのOSにありがちな事で、そういうのをうまくやるのがノウハウなのだ!。 gpupdate /target:{コンピュ−タ名|ユ−ザ−名} などオプションあり。 アットマ−ク・アイティの記事「@IT総合トップ> Windows Server Insider > Windows TIPS」。gpupdate でグル−プポリシ−の適用を強制する 2005/09/17、対象OS Windows XP, Windows Server 2003。 手元の Windows XP でコマンド打ってみた --------------------------------------------------------------------------- |> gpupdate /? |Microsoft(R) Windows(R) Operating System Group Policy Refresh Utility v5.1 |(C) Microsoft Corporation. All rights reserved. | |説明: グル−プポリシ−の設定を最新の情報に更新します。 |文法: GPUpdate [/Target:{Computer | User}][/Force][/Wait:<値>] | [/Logoff][/Boot][/Sync] |パラメ−タ: |値 説明 |/Target:{Computer | User} うんたら以下でてくる | | GPO の適用状況を確認する --------------------------------------------------------------------------- |> gpresult /v |Microsoft(R) Windows(R) Operating System Group Policy Result tool v2.0 |(C) Microsoft Corporation. All rights reserved. | | | 前回のグル−プ ポリシ−の適用時: 2013/07/09 at 10:36:43 | グル−プ ポリシ−の適用元: server.domain.nix.local | グル−プ ポリシ−の低速リンクのしきい値: 500 kbps | | アットマ−ク・アイティの記事「@IT総合トップ> Windows Server Insider > Windows TIPS」。グル−プポリシ−管理を強力に支援する GPMC を活用する、2008/06/06更新、対 象OSは Windows XP Professional, Windows Server 2003 ほか。 Microsoft は LDAP 操作のためのGUIツ−ルを用意している、LDPと言う名前。Windows Server プラットフォ−ムの Support Tools に入っている。 Microsoft Product Support サイトを詳しくは見ること。情報を見るだけなら Outlook Express なんかでもできる。 * パソコンでの AD のキャッシュについて パソコンでDNSのIPアドレスを AD にしていて、 AD 連携の Access のデ−タ?を出 していた。それからDNSのIPアドレスを変更した。作業はロ−カルエリア接続のアイ コンでネットワ−ク接続を無効にして、DNSのIPアドレスを変えて直ぐ有効にした。 --------------------------------- これで1時間ちょい経ってから Access にアクセ | Microsoft Access | スしたらデ−タは表示できた。この時点のDNS |-------------------------------| は AD を向いてない、覚えていたということにな | /!\ ディスクまたはネット | る。パソコンをここで再起動させたら、下記のエ |  ̄ ̄ ̄ ワ−クのエラ−です。 | ラ−になった。つまり覚えていたのがクリアされ | [ OK ] [ ヘルプ ] | たということである。以上 Windows XP でのこと。 --------------------------------- * Outlook Express で Active Directory を利用してみる [ツ−ル]->[アカウント] の画面をだして [ディレクトリ サ−ビス] をクリックする。ア カウントに "Active Directory" を始め"VeriSign インタ−ネット ディレクトリ サ−ビ ス" などが既にある。ここに自社の Active Directory のサ−バ情報を登録する。ここで は ActiveD_NIX という名前で登録してみた。検索ベ−スの書き方がポイントか。 ------------------------------------------ ------------------------------------- | 全般 | 詳細設定 | | 全般 | 詳細設定 | | ----------------------------------| |------- | | ディレクトリ サ−ビス アカウント | |サ−バ−のポ−ト番号 | | [ ActiveD_NIX ] | | ディレクトリサ−ビス(LDAP) [389 ] | | | | □このサ−バ−はセキュリティで | |サ−バ−情報 | | 保護された接続(SSL)が必要 | | サ−バ−名: [ 192.168.1.x ] | |検索 | | 〆このサ−バ−はログオンが必要 | | 検索のタイムアウト1分 表示数[100]| | アカウント名: [ adminidesu ] | | | | パスワ−ド: [ ********* ] | | 検索ベ−ス[dc=ad1,dc=nix,dc=local]| | | | | |□メ−ル送信時に名前をサ−バ−で確認する| | □簡易検索フィルタを使用する | ------------------------------------------ ------------------------------------- (dc) ad1 C++のポインタみたいな LDAP 検索のクエリの記述。いっぺ | んちゃんと勉強しないと。「Software Design」2003/04, P.82 (dc) nix からの "バ−チャルドメインと LDAPでらくらくシステム管理" | なんかを読み直してみた。そして以下のように、いろいろ指定 (dc) local して、どういうようにエントリが出てくるか見てみた。 | | | ------------------- ※fortim 以下に local 直下にあるエントリと同 | | じ名前は有ってはならない。一番下の階層にあ (cn) user1 user2 (ou) fortim るエントリは全体で一意でなければならない。 | (cn) user3 user4 zuser1 [ツ−ル]->[アドレス帳] で {人の検索} 人の検索 名前:[ user1 ] とやると登録されて いる情報の内、電子メ−ルアドレス 勤務先電話番号 自宅電話番号、クリックすればもっ と多くの項目がプロパティとして出て来る。殆どは空で今後も使われることはなさそう。 fortim 以下を検索対象にするには検索ベ−ス [ ou=fortim,dc=ad1,dc=nix,dc=local ]と する。これで user1, user2 は検索しても出てこない。検索ベ−スそのままで、検索指定 は 名前:["user1"], [ zus* ],[ user1 ] というのはだめ、[ zuse ],[ zuser1 ] はOK。 組織ベ−スの OU の付け方、ポリシベ−スの OU の付け方。組織ベ−スだと複雑になりや すい、ポリシベ−スがいいだろうとの話。OU に対して GPO を適用する。適用を Windows では "リンク" とよぶ。OU 以外にドメイン、サイト。オブジェクト、エントリ、ユ−ザ。 (4) ネットワ−ク統合を検討しておく `2d/09 -------------------------------------------------------------------------------- 昨今、1つの企業がこの先そのまま持続して行くという前提は考えない方がいいかも知れ ない。むしろ吸収、合併、子会社化、あるいは消滅してしまうことなど想定すべきだろう。 大手家電メ−カに就職した大学の同期は、会社そのものがなくなってしまい、関連会社を 転々とさせられることになっている。まだ子会社になる位なら有難い話だと言える。日本 企業はアジアの中で優位性が消滅してきている。いつアジアの企業に買収されるかも知れ ない。もはや他山の石ではない。一応ここでは対等レベルでの子会社化を想定し、ドメイ ン名は独自のままで、2社のネットワ−クをどうやって統合したらいいか検討してみる。 -------------------------------------------------------------------------------- * ネットワ−ク統合のやり方を考える 2つのネットワ−クを統合するということ。単純には1つのネットワ−クになること。親 会社のネットワ−クの一部となること、WANの一部になること。インタ−ネットは親会 社の方からの利用とする。ドメイン名は維持するものの、メ−ルサ−バなんかも親会社の を利用することになる。Active Directory があれば親会社の AD に入ることになる。 2社が同じキャリアを利用していれば、同じWANに接続しているということ。WANサ −ビスの会社は網の中で、1つの会社用でVPNを作っている。L2スイッチでグル−プ を作っているとか。WANの会社が、網の中で2社の接続を橋渡しするようなサ−ビスが あれば、ないみたいだが。時おりやってくる CTC の営業さんにどうですかと話した。 ネットワ−ク統合までの暫定として、お互い既存のネットワ−クのままで相互に情報をや りとりするには。人の相互異動が生じるだろう。元の会社のファイル共有の情報をみたい ということもあるだろう。今やどこの会社でも Active Directory を何がしか導入してい るケ−スがほとんどと思われる。そうなると AD でのユ−ザ認証が問題になってくる。 既存ネットワ−クのままで、相手社内のサ−バを利用するには。IPSec か SSL-VPNで入り 込む。そして RAS または RDP でみかけ相手ネットワ−クの中のパソコンになる、そして 相手 AD でユ−ザ認証をする。AD 認証のキャッシュを長くするとか、 ケルベロスのチケ ットの有効時間を半年とかぐっと長くしてしまうとか。よく分からないがそんなやり方も。 2つのネットワ−クを一緒にしてしまうのと、サ−ビスを一緒にしてしまうというのがあ る。サ−ビスを一緒にできるならネットワ−クを一緒にすることはない。ファイル共有や メ−ルのクラウドのサ−ビスを利用することにすれば、という話。何も考えず、ただネッ トワ−ク統合ありきで事を進めるのはいかがなものか。何をしたいかが重要である。 SSL-VPN 装置の利用でなら相手ネットワ−クの AD でユ−ザ認証すれば、相手方のパソコ ンとして振る舞えるのでないか。一時的な画面になるとか。Windows パソコンはできると して、iPad や Android のスマ−トデバイスはどうなのか。 Aventail を手配したSI業 者に優秀な営業さんがいて、この事を確認したくて会ったらできますと答えてくれた。 どうしても2つのネットワ−クを完全に1つにしたいという場合。 AD は全面的に作り直 しになる。統合点にファイアウォ−ルをかましてNATするとかは無しとすると、プライ ベ−トIPアドレスでかちあうのは付け直さなければならない。これを回避する技術が出 てきた。柔軟なネットワ−ク構成を取ることができる OpenFlow である。検討の価値あり。 物理的な接続方法は。WAN経由かインタ−ネット経由かで、専用線やダ−クファイバで 直接接続。WAN経由は IP-VPN か広域イ−サネット。IPSec VPN はWAN経由でもあり。 暗号化通信では IPSec VPN か SSL-VPN の利用か。SSL-VPN はパソコンと拠点との間での 利用。IPSec は拠点間それに拠点とパソコンとの間での利用。後先になったがこれも重要。 * SSL-VPN でネットワ−クの統合 双方の会社ではDMZに SSL-VPN 装置を設置していて、 社内リソ−スへのリモ−トアク セスの環境を作っているものとする。普通は社外からパソコンなどデバイスで社内にアク セスするのだが、いわゆる相手会社の中も社外になる訳で、自社の社内から相手の社内へ アクセスするのに相手側設置の SSL-VPN 装置を利用する。 とりあえずはこのプランで相互の社内リソ−スを利用する。しかしあくまでもインタ−ネ ット経由のアクセスである。これをより安全安心しかも速くしよう。2社間で直接回線を 引くかWANで接続し SSL-VPN 装置でやりとりする。これにはDMZの SSL-VPN 装置を 利用できなくはないが、専用に1台設けた方がいいだろう。1台で双方向に利用ができる。 インタ−ネット経由に比べネットワ−クの安全性は高まるため、装置や本人認証を緩くす ることができる。SSL-VPN 装置が代表IPアドレスのようになるので、ネットワ−クのセ グメントのIPアドレスはそのままで済むかも知れない。SSL-VPN 装置だけでだめならプ ロキシサ−バも設ければ、IPアドレスを多くのパソコンで変更せずに済むかも知れない。 よく知られてないが SSL-VPN装置ではユ−ザ認証の解釈に2つある。パソコンにログオン した時点での権限が SSL-VPN アクセスしても継続される。FirePass の動作はデフォルト でそうなっていた。もう1つは SSL-VPN アクセスして、相手 ADによりユ−ザ認証した権 限が有効になる。これができないとインタ−ネットカフェから SSL-VPN が利用できない。 FileSVR_A AD SSL-VPN AD FileSVR_B INTRA_B ◇ □ ■ Router Router □ ◇ ◇ 1.0 | | | --- --- | | | 3.0 -------------------------------| |〜〜〜〜| |----------------------------------- | A社 --- --- | B社 | □ □ □ 2.0 | 2.0 | 4.0 | ----------- ----------- ----------- ※A社の 2.0 セグメントのPCからB社の 2.0 セグメントへはアクセスできない。 A社用 B社用 それぞれの会社に -------------- -------------------- -------------------- はファイル共有サ | 最初の画面 | |A社利用のB社資源| |B社利用のA社資源| −バがあって、AD |------------| |------------------| |------------------| を参照してユ−ザ | A社用 | | FileSVR_B | | FileSVR_A | の利用制限をする | B社用 | | INTRA_B | | | ようにしている。 -------------- -------------------- -------------------- A社、B社のパソコンのブラウザから SSL-VPN 装置にアクセスすると、 メニュ−画面を 先ず出すことにする。画面にはA社用とB社用というのを用意する。A社のパソコンでは B社用の画面を選び、B社の AD でユ−ザ認証を受ける。それにパスするとB社の AD 連 携のファイル共有サ−バやイントラなどのサ−バにアクセスができる。 * 2社間での Active Directory 利用は ・2社の Active Directory のフォレストを設計し直す。Active Directory の設定を社内 の全部のパソコンで変更する。 2社の社内のIPアドレスが同じセグメントは全部つけ 直す。たいがいどこの会社でも 192.168.x.x 辺りを付けているのでないか。 ・Active Directory フェデレ−ションサ−ビス(ADFS) を使う。2社の Active Directory 間で信頼関係を結ぶ。最近ではクラウドサ−ビスのユ−ザ認証に利用されている。 ADFS は Windows Server 2003 R2, Enterprise Edition で提供された。かなり昔からある。 ・2社の Active Directory 間でただの信頼関係を結ぶ。 フォレストル−トドメイン同士 で信頼関係を結ぶというのがある。 Active Directory 2003 の本を見たら書いてあった。 どうも信頼関係と言うのは、他の指定した AD サ−バも見るよということらしい。 ・Windows Server 2008 と Windows 7 Enterprise などで新たにできた DirectAccess機能 はどうか。DirectAccess で社外から社内に安全にアクセスできるという説明を見た。こ れを使うとWANがいらないとかの絵も見た。IPv6 と関係するのかなと思うが。 ・あらかじめ信頼関係を結んでおけば自社 Active Directory でユ−ザ認証をすれば、 相 手のWebアプリケ−ションにアクセスできる。 クラウドのサ−ビスでユ−ザ認証する のに社内の Active Directory を利用するのに ADFS を使う。何かニュアンスが違う?。 * 2社の間で専用線を引くということ NTTの専用線では回線を1本、A社とB社の間で引くという話である。NTTでもADSL 回線やBフレッツ光回線はそうでないというか、これらで専用線的には使えない。何らか のWANサ−ビスの足周り回線として利用することになる。KDDIやNTTコミュニケ −ションズといったWANである。A社とB社がそれぞれWANにアクセスする回線を引 いて契約し料金を支払う。1本A社とB社の間で線をひくというイメ−ジではない。これ は直感的でないので案外忘れられていることである。そして見かけA社とB社が直接つな がっているかのようになっているということ。関連会社とこうやってネットワ−ク接続す る場合、回線費用は折半するのか子会社が持つのかとか取り決めが必要である。`2e/10 * これまでいろいろ検討した 両社の間で情報のやりとりをするということで、個々のやりたいこと、できればうれしい ことなどヒアリングして問題を一般的に捉えるように整理してみた。個々のやりたいこと はサ−バとしてはWebサ−バかファイル共有サ−バか個別サ−バに仕分けできる。そし て制約条件も幾つかみえてきた。ユ−ザ認証は装置内登録のアカウント情報を使うのかそ れとも Active Directory サ−バを参照しに行くのか。それぞれのロ−カルネットワ−ク はそのままにする事にする、するとIPアドレスがかちあっているのもある。両者を結ぶ ネットワ−クをWANで作る、そこのIPアドレスは異なるセグメントにする。 [a] SSL-VPN R R [a]のような SSL-VPN 装置を設置して、双方向に -------■--------◇〜〜◇-------- SSL-VPN 装置を利用できるか、要確認。もしこれ ができれば SSL-VPN装置はパケットフィルタリン グみたいに使える。Aventailは片方向のみと確認。 [b] SSL-VPN ■ [a] で双方向の利用がダメな場合は [b]の形なら | UTM R R 双方向でも利用できる。お互い安全性確保のため -----------□----◇〜〜◇-------- UTM をかました方が望ましい。その後、双方で同 じIPアドレスのセグメントは難有りと分かった。 パソコンをロ−カルユ−ザでログオンして SSL-VPN を利用する。 SSL-VPN ではユ−ザ認 証の照合をする際に相手社内の AD を見るようにする。ログオンは AD 認証していても構 わない。SSL-VPN で AD を単にユ−ザ認証をするためだけに用いる場合、 AD 管理された ファイル共有サ−バにはアクセスはそもそもできない、とこんなことを自分で書いていた がどういう意味だったか忘れた。AD 認証をシングルサインオン的に使えばOKだったか。 (5) OpenFlow でネットワ−ク新設計 `2d/02〜 -------------------------------------------------------------------------------- ネットワ−クの再設計でなく OpenFlow、SDN で新設計。 当初はふ−んと思っていただけ だが、2つの会社のネットワ−ク統合ということに対して、ひょっとして有効に利用でき るのでないかと分かり始めて関心が湧いてきた。ネットワ−クの作り方が変わる、必然的 に変わって行くと思っていいだろう。3年先を見据えて勉強を始めるべきである。`2d/09 -------------------------------------------------------------------------------- * OpenFlow 皆目分からない時点で OpenFlow ってどうなの。OpenFlow は規格か?。一般企業で利用するのはまだ先の話なの か。皆目見当が付かない状態だったので、2012年の6月だったかの Interopで専門ブ −スがあったので、話を聞くことにした。ブ−ス取り付きのブロケ−ド社に先ず寄った。 ブロケ−ド社のブ−スにて。OpenFlow は規格でないと聞く、 柔軟なネットワ−クが組め ると。2010年11月から販売、これまで国内で100社導入?。ブロケ−ド社のL2スイッ チのモデル 6450。OpenFlow はL2スイッチでの事かな?。ファブリックって何だ。 ブロケ−ド社の営業が 2012/08/E にやってきた。持参資料には OpenFlow, SDN というの はなく、やはりファブリック。業界初の Ethernet Fabric スイッチ、Brocade VDX。仮想 サ−バの仮想ポ−トをいじるのに便利だとか力説してた。まるで理解できなかった。 * NEC名古屋の展示会で話を聞いた NEC名古屋の展示会にて。展示していた人に、つまりはタグVLANをもっと柔軟した ものと理解していいですかと問うた。説明員の人はそうだと答えた。物理ネットワ−クが 違っても、同じIPアドレスをつけることができる。ポ−ト番号も見るタグVLANだと 思えばいい。パロアルトのようなアプリケ−ションファイアウォ−ルは、パケットの中身 まで認識して振り分ける。OpenFlow はパケットにタグを付けて振り分ける。`2d/02 2011年4月、世界に先駆けてNECが商用製品を発売した。NECの 2012年12月 の パンフレットで、ProgrammableFlow コントロ−ラ2U、ProgrammableFlow スイッチ1U。 UNIVERGE PFシリ−ズ。OpenFlow 技術をベ−スに SDNを実現し、ネットワ−クをシンプル 化・仮想化・可視化することで、先進的で効率的なネットワ−クを実現します。ネットワ −ク装置と OpenFlow ソフトウェアを制御するコントロ−ラの組み合わせで使用する。 SI業者にネットワ−ク設定を依頼してたのが、OpenFlowなら簡単なので自前でやるよう にしたとかいう事例も出てきている。レイヤ3スイッチなんか触ったことのない素人さん を連れてきても、OpenFlow ならネットワ−クを作ることができる。 ネットワ−クの作り 方ががらっと変わる。ソフトウェアでネットワ−クを制御するのだから、プログラム次第 で何とでも成るということ。まだ先の話と思う必要なし、もう使っていけばいいと思う。 * OpenFlow が一体何か分かって来た ル−タがソフトウェアでパケットの経路制御していた。レイヤ3スイッチはハ−ドウェア でパケットの経路制御していた。そして OpenFlow はソフトウェアでパケットの通信制御 をする。経路制御だけでなくいろいろできるので通信という表現にした。レイヤ7スイッ チとか出てきた段階で、パケットを操作するのは何でもありになってきたのでないか。 社内にお客さん用の無線LAN、スマ−トデバイス用の無線LAN、既存パソコンやノ− トパソコン用の有線LAN。タグVLANを多用することになっていく。これまでのレイ ヤ3スイッチで単純にセグメントを分ければいいということでは無くなってくる。そうな ると OpenFlow を搭載したネットワ−ク装置が便利ということになってくる。 SDN(Software-Defined Network) はたった今まで "Software Defense Network" だと思っ ていた。アメリカかどこかの国の戦略防衛システムも SDNに似た3文字だったのでないか。 シスコ社も似たようなのを提唱してたぞ。調べてみました。シスコ社は自己防衛型ネット ワ−ク SDN( Self-Defending Network )というのだった、最近は提唱してない?。`2d/02 * 雑誌からの情報収集 「IIJ・news」February 2013 vol.114,"特集IT Topics 2013" の最初にSDN掲載。SDN はア メリカ ONF( Open Networking Foundation )を中心に1年程前から提唱されている新しい ネットワ−キングの概念。NECがコアメンバになっている。OpenFlowを推進。今までの ところではクラウド事業者、大規模ECサイトの運営者などの特定ニ−ズ。 他の雑誌は「日経コミュニケ−ション」 2012/02, P.12〜27, "[特集]等身大のOpenFlow"。 「日経コミュニケ−ション」 2011/11, P.8〜25, "[ 特集 ] 進化するネットワ−ク仮想化 Software Defined Network"。 「Software Design」2012/01, P.17〜75, "第1特集:もし OpenFlow でやれと言われたら SDN、仮想化、ネットワ−クはどうなるの?"。 「日経NETWORK」2013/05, P.26〜47,"特集1:世界で一番わかりやすいSDNの話"、 OpenFlow プロトコル誕生の歴史、OpenFlow = SDN ではない。 P.70〜75, "実機で覚える ファブリックネットの作り方"、米ブロケ−ド社の製品を例に実態をみる、 ここには SDN や OpenFlow の文字はないが、柔軟なネットワ−クを作ることのようである。 「日経コミュニケ−ション」 2013/09, P.8〜29, "[特集]:ユ−ザ−視点で浮き彫りにする SDNの理想と現実"、企業ではSDNはネットワ−ク運用コスト削減が目的。 P.66〜71, "第5回:SDNのすべて クラウドからエンタ−プライズまでInteropで見えた最新のユ− スケ−ス"、Interop のデモ SDN Show Case、少数だがWANで適用事例がでてきた。