4-3. WAN回線の速度アップと冗長化 (1) もう1本WAN回線を引く `22/11〜 * WAN回線の二重化の検討 もうインタ−ネットにつながらないとか、社内LANが使えないといったことは許されな い。いったん動かしだしたら、ノンストップで運転していかなければならない。インタ− ネットへのWANの二重化、できればやっていくのが望ましい。しかしこれまでインタ− ネット接続してきて、そんなWANに問題があってインタ−ネットに、長時間アクセスで きなかったということはない。最初、専用線 128 Kbps を引いて、その後 DA128にしたの だが。アクセスできないというのは、むしろプロバイダに入っての経路制御辺りでトラブ ルが起こった場合のようである。これは月に数回程度、何時間か止まる時があり、プロバ イダの保守体制に依存する問題である。しかしそれも初期の頃のことであり、ほとんど問 題はない。NTTの回線自体も、ほとんどトラブルはないとみてもいい。問題が起こると すれば自社のファイアウォ−ルなどマシンやル−タのトラブルだろう。 もしWAN回線を二重化するとしたら。同じプロバイダに専用線の 1.5 Mbps をメインと し、予備として DA128を引く。NTTには障害時の回線切り替えサ−ビスというのがある とのこと。これで回線は二重化できるはずだが、プロバイダそれにNTTの接続の具体的 なイメ−ジがよく湧かない。1.5 Mbps をメインじゃなくて、 DA128 を2本引くという手 もある。普段は2本の回線でアクセスし、どちらかトラブルが起きても1本はOKという。 プロバイダに 1.5 Mbps にしたいと言ったら、この提案をしてきたので実施できるのだろ う。次により安全性を高めるため、異なるプロバイダに1回線ずつ接続してインタ−ネッ ト接続の冗長化を計ること。これはプロバイダ間の経路制御の BGP-4 や DNS の設定が問 題になるのでないか。残念ながらほとんど情報はなく、まるで一般的な手法ではない。と もかくインタ−ネット接続デュアル・ホ−ミングというらしい。 参考でここ、以前に没にした記事を復活した`2h/09/S。多分技術的には、ル−タをうまく 使い VRRP( Virtual Router Redundant Protocol )というテクニックで、社内から外部へ 行くパケットの経路を制御するのだろう。 VRRP は2台のル−タの間に仮想的なル−タを 想定し、社内のホストはこのル−タに対してデフォルト経路を張るというテクニックであ る。 extreme networks 社の Summit シリ−ズに搭載されている ESRP( Extreme Standby Router Protocol )は、VRRP をより賢くしたものらしい。Cisco には HSRP( Hot Standby Routing Protocol )という VRRP 相当の機能がある。あるいは経路制御プトロコルのOSPF でも冗長構成が取れるはずである。これらの技術はWANヘのパス、社内の基幹ネットワ −ク部の二重化にも適用できるはずである。しかし正直な所やってみないと分からない。 * 2本目のラインとして ADSL か FTTH(Bフレッツ) を真剣考える DA128 を 1.5 Mbps の DA1500 にしてはどうか。でも、プロバイダのアクセスポイントが 内の場合 15 Km 区分内にない。えらく高くついてしまう。ADSL はどうか、そうこうする 内、光ファイバの FTTH も出て来た。ADSL よりBフレッツは安定している。 料金は少し 高いだけだ。Bフレッツは社内から外部のWWWアクセスに使う。 既存の DA128 は、外 向けWWWサ−ビス専用ということにしたらどうか。もう少しお金を出すなら、ATMの メガデ−タネッツ・サ−ビスという手もある。ただしプロバイダが同じ県内で、メガデ− タネッツを引いていればだが。Bフレッツ回線はユ−ザ手配である。IIJ は回線の申込み を代行するサ−ビスも始めている。毎月費用はNTTのBフレッツとプロバイダ料金がい る。IIJ のビジネスタイプ、IP1個の場合で計、毎月 89,000 円である。IPアドレス が1個でいいかは検討の余地はあるが。 * ADSL 回線の利用を考えてもいいかも知れない 2002年6月のこと。ADSLをどんどん企業の回線インフラに使って行きましょうという 流れになっている。去年の今頃からみれば、まるで変わった。専用線だとプロバイダのア クセスポイントがどこにあるか問題になる。大手のプロバイダはともかく、小さなとこだ と近くにないかも知れない。あっても 1.5 Mbps に対応できる機器やバックボ−ンを持っ ていないかも知れない。ともかくアクセスポイントが 15 Km 区分内じゃなくて 30 Km と かなると、一挙にNTTの専用線接続料金が跳ね上がってしまう。そういう場合でもADSL なら、NTTなど ADSL 回線業者が近くまで引いていれば、それを使うことができる。従 来の DA128 などはそのまま残しておいて、ADSL ラインを別に一本引き、社内からのイン タ−ネットのWWWアクセスにもっぱら使うということもできる。外へのWWWアクセス はベストエフォ−トでもいいでないか。他のメ−ルなどは従来通りとする。 * NTT東西のBフレッツについて ビジネスタイプ、ベ−シックタイプ、ファミリ−タイプ、マンションタイプがある。企業 ではビジネスタイプかベ−シックタイプどちらかと思うが、どう違うのかな。やっぱりユ −ザの集線率が違うのかな。企業ユ−ザの場合、あまり考えずに高い方のサ−ビスを選ぶ ことにしよう。ビジネスタイプには接続可能端末台数50とか同時接続セッション数4と か制限がある。このセッション数というのは、プロバイダに同時に接続できる数で、別に 気にしなくてもいい。これでユ−ザのインタ−ネットへのアクセスに、何台と制限がかか る訳ではない。接続可能端末台数は、もっと数を増やしたメニュ−も作ってもらいたい。 Bフレッツ | ビジネスタイプ | ベ−シックタイプ --------------------|----------------|------------------ 月額利用料金 | 40,000 円 | 9,000 円 接続可能端末台数 | 50 台 | 10 台 同時接続セッション数| 4 つ | 2 つ 導入時の費用: 契約料 800 円、工事費 27,100 円、それにプロバイダの工事費。 毎月の費用 : 屋内配線利用料 200 円、回線終端装置使用料 900 円。 [ NTTのサ−ビスのエリア検索 ] http://www.ntt-west.co.jp/ipnet/ip/blets/ これにBフレッツが開通している電話の市外局番が掲載されている。まだ来てない地域の 人は、NTTに予約はしておくのだと。そうすると予約ユ−ザの多い地域から、優先して 使えるようにしていく。だいたい5〜6社集まると動いてくれるらしい?。いや、そうで もないか。予約には、特に用紙がある訳でない。電話でお願いしますというだけである。 * IIJ と KDDI でのBフレッツ対応メニュ− 100 Mbps、パブリックIPアドレス1個。IPアドレス1個( 1/256C )の場合はIPアド レスの申請手数料はいらない。ダイアルアップIP接続で固定IPをずっと割り当てるよ うなものである。JPNIC ヘの申請はしないから、その費用はいらないということである。 Bフレッツ対応メニュ−| ビジネスタイプ | ベ−シックタイプ | 初期費用 ----------------------|----------------|------------------|------------ IIJ FiberAccess/F | 49,000/月 | 28,000/月 | 50,000 円 KDDI イ−サエコノミ− | 75,000/月 | 25,500/月 | 3,000 円 IIJ FiberAccess/F > ブロ−ドバンドル−タはレンタルなし、購入する。IIJが作ったのがお勧めである。IIJ SEIL/neu 2FE、オ−プンプライス 19.8 万円。CATV, ADSL, SDSL, Bフレッツ, 他光サ −ビスに対応。IPv6 対応。NAT セッション数は最大 2048。http://www.seil-nue.com/。 設定は簡単とか。自前でやっても問題ないだろう。 KDDI イ−サエコノミ− > KDDI さん、2002年10月頃、一度見積り持ってきたけど、 ル−タの値段と設定料 がえらく高かった。何か勘違いされたのかな。Bフレッツ対応ブロ−ドバンドル−タと 言うので、全部で50万円を超す値段だった。一方、初期費用はBフレッツ工事費とい うことで3千円。えらくお安いような気がしないでも。 -------------------------------------------------------------------------------- 2003年末チェックしたら "IIJ SEIL レンタルサ−ビス"、http://www.seil.jp/ とい うのがあった。IIJ 開発、PPPoE 対応ル−タ SEIL/neu 2FE のレンタル。フレッツ・ADSL とBフレッツに使える。一時費用5千円。月額5千円、センドバック保守含む。現地調整 費用 6.5万円。オンサイト保守、初期3千円、月額 4,500 円(9時〜17時)。 最低利用 期間1年。2003/12/09 からは 2FE Plusも加わった。現地調整費同じ。月額6千円、オン サイト保守、初期3千円、月額 5,500 円。2FE の Routing/Bridge 性能 30.5 Mbps、2FE Plus は 98 Mbps。購入する場合、豊通シスコム(株)のサイトでは 14.8万円+税。初期設 定サ−ビス6万円、保守はオンサイト(9時〜17時)で 5.6 万円、 センドバック2万円。 http://www.tsyscom.co.jp/ にセットアップ例も出ている。 -------------------------------------------------------------------------------- * いろいろ 外向けWWWサ−バが 128 Kbps のままでいいのか。Webアプリケ−ション負荷テスト ツ−ルで調べてみたら。例えば WebLOAD、http://www.techmatrix.co.jp/webload/。仮想 ユ−ザを数多く生成して負荷をかける。接続速度、SSL、Application Server などシミュ −レションする。Windows XP/NT/2000 対応。2003年の展示会でお試し版をもらった。 もう 128 Kbps のまま1本で行くという手も無きにしも有らず。別にこのスピ−ドでもい いかも。家の方がインタ−ネットへのスピ−ドは ADSL や FTTH で速い。会社より家で見 る方がはるかに速いので、会社でのWWWアクセスの私用を禁止するだとか、制限をする ソフトだとか入れる必要もない。企業で通常、情報収集するには 128 Kbps でもいいかも。 Bフレッツ接続までの繋ぎに、外から内へのWWWアクセスを速くするため、リバ−スキ ャッシュの外部サ−ビスを利用しようと考えた。128 KbpsでWWW、メ−ル、外へのアク セス全部では、今時いやはや。(株)リフレクションのでは、DNSサ−バの1次2次を変 更する必要があった。あまりDNSはいじりたくないのが本音で、止めたのだった。 (2) Bフレッツ回線を別途引くなら `22/11〜 * IIJ でBフレッツ接続イメ−ジ 既存の DA128 はメ−ルと外からのWWWアクセス、 それにDNSとWebメ−ル用にこ れまで通り使う。社内から外ヘのWWWアクセスは、Bフレッツを通るようにする。なん といっても多分、外へのWWWアクセスが一番多いと思う。プロキシ/キャッシュサ−バ のデフォルトル−トを、Bフレッツ回線に向ける。つまり NetCache のデフォルトル−ト を A.6 にする。HTTP パケットが外へ出て行く、その際のパブリックIPアドレス z2 は、 自社のDNSには登録されない/できない?。もしDNSの逆引きが相手からあると、跳 ねられることになる。しかし、WWWサイトで逆引きチェックをしているところは、あま りない。そう問題になることはないだろう。自社のWWWサ−バは、ストリ−ミングのデ −タでも流すのでなければ、128 Kbps で十分だろう。 ただ、メ−ルででかいのが流れて しまうと足を引っ張らてしまうのは仕方ない。メ−ルをBフレッツ回線の方に通すように できるのだろうか?、一度検討してみたい。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ インタ−ネット \______________________/ | | / ̄ ̄ ̄ ̄ ̄\ISP1 / ̄ ̄ ̄ ̄ ̄\ISP2 \_____/ \_____/ : : 128Kbps:DA128 IIJ:Bフレッツ ビジネス 100 Mbps : Mail-Relay WebMail :( 光ファイバの芯を1本使う ) Router ■ □WWW □ 仮想IP :z2 | |DNS | アドレス d3 ■ BB-Router ( PPPoE 対応ル−タ ) ------------------------ Y ―――→|A.6 z1| □ □ / | NAT------- | | / ------- NetScreen ファイアウォ−ルを FireWall-1|Fire1|------------ X / |Fire3| 透過型で設置する。IPアドレ ---*--- □Mail- / ------- スは透過型のため付かない。 A.1 | |Store / | --------------------------/--------------------- A | A.9 / | A.5 ↑d4 ----*---- / ---*--- NetCache( DNS-Proxy も設定 ) B.9 | | |Proxy| --------------*Layer 3| ------- << デフォルトル−ト >> |Switch | NAT-------SonicWALL PC1 の d1 -- C.1 --------------* *---------|Fire2|--------- C Fire2 の d2 -- A.9 | B.9 | |A.9 A.10-------C.1 | Layer3 の d3 -- A.6 PC2 △ → --------- ← ← △ Proxy の d4 -- A.6 d5 d2 d1 PC1 PC2 の d5 -- B.9 ‖レイヤ3スイッチ周りの等価ネットワ−ク -------------------------------------------- A | A.9 | A.5 A.9 | ---------- ---------- | A.10 |レイヤ3| |NetCache| ----------- ---------- ---------- |SonicWALL| | B.9 ----------- ------------ B | C.1 ------------- C ・PC のWWWブラウザは、プロキシを A.5 に設定する。これで HTTP/HTTPS/FTP アクセ スを NetCache が代理してくれる。それに、DNSのホスト名解決も NetCache がやっ てくれる。この場合、PC の TCP/IP でDNSの設定は関係なくなる。 ・PC のDNSの設定は A.5 とする。PC のDOSコマンドで、> ping www.iij.ad.jp と やると、ホスト名解決は A.5 の NetCache に尋ねに行く。NetCache では DNS-Proxyの 機能をするよう設定しておく。NetCache はWWWホストのDNSに尋ねに行く。 ・WWWブラウザからの FTP は、anonymous サイト専用とする。NetCache が内部で持っ ているユ−ザ名 anonymous とパスワ−ドを代わりに送出する。 ユ−ザ名を入れるサイ トにアクセスすると、一応ロッグイン画面が出るが、そこでの入力は無視される。 ・PC でデフォルトル−トを A.5 にすると、NetCache は経路制御をやってくれない。 PC のDOSコマンドで外のIPアドレス、> ping xxx とやっても反応はない。 NetCache は経路情報は持っているので、やってくれそうなのだが。 ・PC のDOSコマンドの ftp や FTP 専用コマンドを使う場合、 パケットはデフォルト 経路を辿って d1 -> d2 -> d3 と行く。この場合 Proxy サ−バは関係しない。外のFTP サイトで、指定ユ−ザ名を入れる必要がある場合、この経路が有効である。 ・レイヤ3スイッチ Summit の経路設定は。セグメント C へはいらない、 ファイアウォ −ル SonicWALL がIPアドレス変換する。セグメント B への静的ル−ト。Y への静的 ル−トも必要だろう。X へはいらないと思う。デフォルトル−トは A.6である。 ・NetScreen を Fire1, Fire2 の予備として購入する。 Fire1, Fire2 の代理をできるよ う設定し、それぞれの設定ファイルをパソコンに保存しておく。いざという時はそのフ ァイルを送り込む。普段は透過型、Bフレッツのファイアウォ−ルとして動かしておく。 ・もしBフレッツの回線が地震などで切断されたりした場合は、デフォルトル−トをこれ までの DA128 に手動で変える。Summit と Proxy を A.1 へ。下手にWAN回線を二重 化するとか、ル−タを VRRP などで冗長化するよりも、手軽で確実かも知れない。 * 新しい方法が出て来た まだ、小生の会社の地域はBフレッツがきてない。今年度中、2003年度中にNTTは 全国に引くといっているが。しかしBフレッツを引けるようになっても、上記の構成はも はや取らない。LinkProof と言ったマルチホ−ム装置を入れて、マルチホ−ム構成にする つもりでいる。2003年6月頃から百万円ぐらいで、インタ−ネット・マルチホ−ムを するための装置が出て来た。 2〜3年前から LinkProof のラドウェア社から出ていたが、 500万円位してたようである。ここしばらく、数社から安いのが発売になっているのだ。 物はリンク・ロ−ド・バランサ−とか負荷分散装置とか言っている。Bフレッツを別に1 本引くのは変わりないが、インタ−ネット・マルチホ−ムでは、より効率的なWANを組 むことができる。メ−ルも外からのWWWアクセスも、高速なBフレッツ回線に誘導でき る。これまでの DA128 は、まさに非常時のバックアップとしてのみの意味となる。 * こんなのもありかな `24/01 DNS登録のプロバイダはこれまで通り、JPNIC へのDNS1次2次の登録もこれまで通 り変更なし。DNSの設定でWWWドメイン名のIPアドレスを新規高速回線側のにする。 メ−ルリレ−のIPアドレスも同様変更する。これで外からのWWWアクセスとメ−ルは 速い方の回線を通ることになる。これまでの回線で使うのはDNSの1次サ−バだけであ る。もはや 128 Kbps も必要ないだろう。ダウンして 64 Kbps にしても構わない。 気に なるのはDNSの逆引きだが、WWWは特に問題はないだろう。メ−ルリレ−はひょっと かすると引っかかることがあるかも知れない。でも今のところ逆引きして、IPアドレス の一致まで厳密にチェックしている MTA は先ずないのでないか。 SPAMチェックでも 逆引きができれば、とりあえずよしというぐらいだろう。WWWも MX のメ−ルも新しい 回線側にするということ、新しいプロバイダにDNSの管理を移管せないかんのでないの か。と思うが、プロバイダに聞いたらそのままでもどちらでも構わないとのこと。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\インタ−ネット \______________________/ ISP1 | ISP2 | □―/ ̄ ̄ ̄ ̄ ̄\ ↑内外から / ̄ ̄ ̄ ̄ ̄\ ↑内から外へのWWWなど DNS-2\_____/ のDNS \_____/ : ↓問合わせ : ↓外からのWWW、メ−ル 既存低速回線: 新規高速回線: : hostA'仮想IP : hostB'仮想IP ■ □ DNS-1 ■ □ WWW | |1.3 | 2.3| Mail-Relay ------------------- ------------------- | □ hostA | □ hostB NAT変換 ------ | NAT変換 ------- | |Fire1|------- |Fire3|------- FireWall-1 ------- □ Mail-Store ------- NetScreen を通常に設置 | | | ----------------------------------------------------- (3) インタ−ネット・マルチホ−ム `23/10 * マルチホ−ム接続について 従来マルチホ−ム接続というと、プロバイダ並にAS番号なるものを取得し、パブリック IPアドレスも複数割り当ててもらって、複数のプロバイダと接続するしかなかった。自 サイトでも BGP-4 ル−タを稼働させ、 全世界のインタ−ネットのル−ティング情報をや りとりする必要があった。これはかかる費用に繁雑な手続き、技術面においてもとても大 変なことだった。先ず BGP-4ル−タが高価だったし、ある大企業の事例では、年に600 万円も運用にかかったとか。そしてできることと言えば、インタ−ネットへのWAN回線 の冗長構成である。メイン回線が切断されたら、もう1つの回線を使うようにする。ある いは、どちらか意図した回線を通るようにする。 ロ−ドバランス的なことは BGP-4 の経 路制御ではできない。もっぱらプロバイダや大学それに大企業などが、インタ−ネット接 続の維持確保に導入してきた。しかし、我々一般の企業では導入は先ず困難だった。 それで救世主のように現われたのが、LinkProof といったマルチホ−ミングを実現させる 機器である。2003年に入って価格も下がり、幾つかのメ−カから出て来た。ともかく もう1つWANを引く、高速なBフレッツ回線なんかを引く。しかし、ただ単にもう1回 線引いたのでは、DNS設定で動きが制約される。DNSに関係するアクセスは既存回線 を通ってしまう。新規回線は内部から外へのWWWアクセスにしか用いることができない。 それが、どちらでもOK、ロ−ドバランスもできる。バックアップとしても機能させるこ とができる。魔法のような装置が LinkProof といった、回線をだます機器である。 今の ところ候補は LinkProof Branch か iSurfJanus-RX/BP かである。決め手は物を買う前に どれだけ資料が手に入るか、具体的な設定が見えて来るかである。それに安定性など評判 である。しかし周囲でも知っている使ってみたという話は聞かない。 * マルチホ−ム装置を使った仕組み そのマルチホ−ム装置 LinkProof や iSurfJanus と言ったのが、 今一つどんな動作をし ているか分からなかった。ホ−ムペ−ジやパンフレットなど少ない資料から、だいたいイ メ−ジが掴めてきた。どうやらDNSが理解の鍵で、DNSをうまく利用して、マルチホ −ムの機能を実現しているようである。装置にはDNSサ−バ機能が内臓されていて、2 回線接続なら2つあり、動的にAレコ−ドや MX レコ−ドを変えるようになっている。変 更をすぐに反映させるため、ユ−ザ側のDNSサ−バのキャッシュ時間が短くなるように、 DNSの TTL 値も小さくしている。また既存のDNSサ−バを少し修正して、 マルチホ −ム装置を使うこともできるようだが、動作が限定されて来るようである。内臓DNSサ −バを使うことが推奨される。それにIPアドレスのマッピング機能もうまく用いている ようである。これは SonicWALL の設定にあるような、 内側のネットワ−クにあるWWW サ−バを SonicWALL 本体の中にあるかのように見せかける。 そんなテクニックのようで ある。LinkProof では SmartNAT、iSurfJanus では IPmapper/DNSmapper 機能である。 JPNIC のDNS登録 JPNIC のDNS登録 nix.co.jj 1.2と9.1 nix.co.jj 1.1と2.1 マルチホ−ム装置の 既存ISP / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ DNS-1,-2のAレコ− □ DNS-2 \__________/ ドの WWWは平時 2.1 |9.1 既存ISP : : 新規ISP に、Bフレッツ回線 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ : : ダウン時は 1.1に切 \_________/ DA128 の: :Bフレッツ り替わる。1.1と2.1 :既存ISP 128 Kbps: :100 Mbps は8.2 にマッピング : □ : されている。メ−ル : | :PPPoE 対応 のMXレコ−ドも同じ :Router 仮想IP ------------------- ようなことみたい。 □ ■ | 1.1| |2.1 | |1.1 |1.2 | ◆ ◆ | --------------------- | DNS-1 DNS-2 | iSurfJanus の場合 | WWW,DNS-1,Mail-Relay ------------------- 1.3| ■ | ■ WWW,Mail-Relay ------8.1 |8.2 ------ |8.2 |Fire|---------- |Fire|---------- DMZ ------ □ Mail-Store ------ □ Mail-Store | | | | --------------------- ------------------------- << 現状の接続 >> << マルチホ−ム >> これら装置の仕組みは、それぞれのWAN回線でパブリックIPアドレスを振る。これに より、パブリックIPアドレスがともかく1つでもあれば、そのIPアドレスとインタ− ネットと接続性を確保できる。つまりインタ−ネット上のホストと通信できることになる。 後はIPアドレスのマッピングや NAT 変換すればいいのである。 さらに、これらのパブ リックIPアドレスでDNSサ−バを立てる。DNSサ−バはマルチホ−ム装置に内臓さ れている。これまでの自社で運用していたDNSのプライマリと、プロバイダになっても らっていたセカンダリDNSは、この際取り止めとなる。手続きはこれまでのプロバイダ に依頼しDNSの1次、2次の登録を変更してもらう。これにより JPNICには nix.co.jj のDNSサ−バはIPアドレス 1.1 と 2.1 が登録されることになる。どうも、JPNIC の DNSサ−バにおいては、DNSの1次、2次と言う区別はないようである。ユ−ザはど ちらか 1.1 か 2.1 かのDNSサ−バを、等しく見に来ることになる。 装置内臓のDNSの設定では TTL 値を小さくしている。 DNSのWWWサ−バのIPア ドレスを切り替えた時に、外部のアクセスして来るユ−ザに、直ちにすぐに反映させるた めである。インバウンド、つまり外から来た自社のWWWサ−バへのアクセスはどうなる か。www.nix.co.jj のURLから、nix.co.jj ドメインのDNSを管理しているIPアド レスを JPNIC のDNSサ−バから引き出す。IPアドレスは 1.1 か 2.1 で、 一応 1.1 が返されたとしよう。次に 1.1 の DNS-1 サ−バに、www.nix.co.jj のIPアドレスを問 い合わせる。そして 1.1 が返される。 ここでは 1.1 は実際のWWWホスト 8.2 にマッ ピングされている。 ひょっとすると仮想IPのWWWホスト 1.2 にマッピングされるか も知れない。また、1.1 ではなく 1.x のように DNS-1 とは別なIPアドレスにWWWホ ストがあるようにしているかも知れない。外からアクセスしてくる回線は、1.1 というこ とから 128 Kbps になる。これを 2.1 にすればBフレッツ回線を通ることになる。 アウトバウンド、内部ネットワ−クから外へのアクセスはどうなるか。これは外へ出て行 く時のIPアドレスに、帰りも戻ってくる。2.1 から出ていけば、即ちBフレッツ回線を 通ってインタ−ネットへ行き、戻って来るパケットもBフレッツ回線を通って帰って来る ということである。1.1 から出て行けば、同様 128 Kbps 回線を通る。マルチホ−ム装置 は、内部から来たパケットを外へ通す際、 2.1 にするか 1.1 にするか選択できるように なっている。均等に割り振れば、まさにロ−ドバランス的なことになる。 128 Kbps では 遅いので、全部Bフレッツに誘導することもできるだろう。 はたまた FTP と Telnet は 128 Kbps、他はBフレッツへ。外の特定のWWWサイトだけBフレッツ、 他は 128 Kbps そんな設定もできるかも知れない。あるいは通常全部をBフレッツへ、回線故障の場合に 128 Kbps へとすれば、バックアップ回線的な設定となる。 * インタ−ネット・マルチホ−ム・ソリュ−ション LinkProof http://www.radware.co.jp/ 日本ラドウェア(株) > イスラエルの Radware 社開発。マルチホ−ミング用レイヤ7スイッチ、 負荷分散装置 とパンフレットに書いてある。2000/02/01にマクニカから Application Switch と発売 されている。当初400万円とか600万円の製品だった。国内の格安ブロ−ドバンド 回線の普及に合わせて、先行して日本で 2003/07/01 に廉価版の LinkProof Branch が 出た。99万円、50 Mbps、レイヤ2スイッチ、8ポ−ト 10/100Base-T スイッチ、QoS 帯域管理。Bフレッツ、xDSL、専用線に対応と書いてあるが PPPoE対応とは書いてない。 だいぶない PPPoE 対応で、Bフレッツやフレッツ・ADSL 回線にはル−タなしでいいと 思っていた。マルチホ−ムだけの機能を使う、50 Mbps のスル−プットがあれば十分だ とすれば Branch で構わない。Switch ΙEntry もスペックは 50 Mbps だが、性能的に は同じと考えてよい。Entry はフルの SynAppsが搭載可能ということ、筐体がレイヤ7 スイッチになっている分、価格が高くなっていると理解していい。 LinkProof の種類。Application Switch Ш は最大スル−プット 3 Gbps、Switch Πは 1 Gbps。Switch Ιは200 Mbps。Switch ΙEntry は 50 Mbps、199万円、200 Mbpsに アップ可。そして 50 Mbps の Branch がある。SynApps(シナプス)モジュ−ルというの がある。ヘルスチェック、負荷分散、帯域制御、侵入防御、DoS プロテクトかなり細か い指定、制御ができる。Ш,Π,Ιは含む。ΙEntry は追加可。Branch は限定機能搭載。 iSurfJanus-RX http://www.networld.co.jp/amplify/ > (株)ネットワ−ルド、米 Amplify.net 社の iSurfJanus-RX を 2002/08/20 より販売開 始。68万円、スル−プット 50 Mbps、3ポ−トWANと1ポ−トLAN。複数の ISP と接続して、インバウンド/アウトバウンドのトラフィックを負荷分散する。この装置 はいわば NAT 機器であって、ル−タ機能はない。RX は大規模用で、中規模用DX、小規 模用 CX タイプもある。DX は2ポ−トWAN、スル−プット 30 Mbps、26万円。 CX は2ポ−トWAN、スル−プット上がり 4 Mbps/下り 10 Mbps、19万円。 日本語マ ニュアルはない。国内 ADSL と FTTH の PPPoEに対応。Numbered と Unnumbered PPPoE にも対応。ロ−ドバランシングモ−ドとバックアップモ−ドがある。NetScreen などと VPN相互接続できるタイプのもある。 サイズは RX は1U、CX と DX は大きな弁当 箱程度。CX-VPN、DX-VPN、RX 全タイプにファイアウォ−ル機能あり。 ファイアウォ− ルの透過モ−ドも対応する。 DNSサ−バもこの装置に入っているのを使うのが望ましいみたい。WWWサ−バへの アクセスをロ−ドバランスするため。http://www.amplifinet.com/jp/FAQ/J_faqs.html を見られたし。結構充実している。DNSの設定についても説明が出ている。その後の 話、これまで売った製品の保守のため会社はあるらしいがもう販売はしてない、`25/10。 JENSのサ−ビス http://www.jens.co.jp/ 営業所は名古屋にはない > プロバイダのJENS(株)が、2003/04/03に始めたマルチホ−ミングサ−ビス。「マル チゲ−トウェイオプション」。Amplify.net 社の装置を用いる。通常時のロ−ドバラン ス、障害時の自動切替を行う。レンタル料はWAN2回線用の iSurfJanus-DXで月額3 万円、3回線用 iSurfJanus-RX/BP 6万円。初期費用5万円。RX/BP タイプは、装置の 電源などが壊れてもWAN−LANのパケットは通しましょう、素通りさせましょうと いうバイパス機能が付く。定価は RX より少し高い73万円。1本はJENSと契約の 回線、もう1本は他のプロバイダの回線でも構わない。パブリックな固定IPアドレス はそれぞれの回線で1個ずつでいい。 Bフレッツビジネスで /32 のグロ−バルアドレ ス1個のは、定価 105,000 円がキャンペ−ン 74,800 円。 Bフレッツ料金は別途必要。 /29 の6個のは130,000 円がキャンペ−ン 99,800 円。マルチホ−ム装置込みの料金。 富士通ネットワ−クソリュ−ションズ株の FNETS は、LinkProof Branch を用いたキャ ンペ−ンをやっていた。2003/09/01〜12/26。スタンダ−ドパック150万円。 富士通 提供の FENICS インタ−ネットサ−ビスのNTTのBフレッツベ−シック使用。ル−タ に導入費用含む。「日経コミュニケ−ション」2003/09/22に広告があった。2004/01/30 サイトを見たがまるでマルチホ−ミングのことは載ってなかった。もう扱ってない?。 その他マルチホ−ミング装置 > F5ネットワ−クスジャパン(株)のもある、http://www.f5networks.co.jp/、元はレイ ヤ7スイッチ?。2005/08 改めてホ−ムペ−ジ見た。これまで製品名を FirePass だと 勘違いしていた。BIG-IP Link Controller だった。ホ−ムペ−ジには LinkProof との 製品比較があって、F5の方が圧勝と記事があった。これによればハワイ大学での単純 なテスト用ネットワ−クで製品の比較を行った。結果、設定はF5の方が簡単で、トラ フィックのレポ−ト機能も上である。ケ−ブルのプラグ引き抜きテストでは LinkProof は問題を起こした。もう一つ製品を挙げておく。アルテオンの装置、モデルは2つあり 200万円弱と300万円強、Alteon Link Optimizer という。帯域制御、フィルタリ ング機能もある。ただしこの製品はあまり宣伝もされてない、どうやら取扱っていた業 者も止める方向でいるとか、あまりお勧めできそうにない。アルテオンは2000年頃、 ノ−テルネットワ−クス(株)、Nortel Networks に買収されている。 * いろいろメモ Bフレッツの 100 Mbps をつないだら、ファイアウォ−ルやル−タ、マルチホ−ムの装置 もそれなりのものを持って来ないと、その速度を活かすことができない。Bフレッツの有 効速度は 30〜40 Mbps 位は出るようである。ファイアウォ−ルのマシン Sun Ultra 10は、 10/100 Mbps の自動切り替え。LinkProof Branch は 50 Mbps。NetScreen-50 は平時 170 Mbps、VPN(3DES) 時 50 Mbps。ノキアやノ−テルの FireWall-1 アプライアンスはどうか。 IIJ FiberAccess/F サ−ビス。 申込書に 1/64C と 1/256C はIPアドレス情報は記入し ない。1/2C, 1/4C, 1/8C, 1/16C, 1/32C はいる。 ネットワ−ク構築計画、現在、半年後、 1年後に接続する予定のホスト数を記入する。Bフレッツのビジネスタイプの 1/256C は 49,000 円/月。IPアドレス申請手数料は 1/256C の場合は不要。 他は 15,000 円必要。 1/256C はIPアドレス1個だけ。IPアドレスの逆引きは、あらかじめ設定されている。 Dynamic DNS での TTL 値はいか程にしているのか。@nifty のダイナミックDNSサ−ビ スでは5分。xxx.comで月500円、xxx.atnifty.comで200円。他のプロバイダでのサ−ビス も見たが、大体短くても1分位にしてあった。通常のDNSでは TTL 値は 3600 秒(1時 間)位にしているのが多いようである。マルチホ−ム装置内臓のDNSの TTL 値を短くし ているということで、他というか普通どの程度にしているか気になったので。 2004年1月、懇意にしているSI業者の営業に、LinkProof を扱っている業者の幾つ かにコンタクトとってもらった。Branchは扱うのをやめたか扱ってないとこが何社かあっ た。Entry 以上の機種しか扱ってないとか。理由はよく分からない。設定料もヒアリング して30万円位から。ネットワ−ク設計料も50万円とかいるげな。マクニカと丸紅ソリ ュ−ションは、その時 LinkProof Branch も扱っていた。 マルチホ−ミング こんなのもあった。`24/07 の展示会にて。SecureSoft T-Series 統合 セキュリティソリュ−ション FireWall/IDS/VPN/Anti-Virus/IDPS,韓国製。インタ−ネッ トに接続する回線を二重化して、フェイルオ−バ−及びロ−ドバランスを実現するとパン フレットに書いてあった。http://www.securesoft.co.jp/。 マルチホ−ミング こんなのもあった。`24/09 頃もらった SonicWALLのパンフレットに載 っていた。SonicWALL の SonicOS Enhanced、WANの冗長化ができる ISP フェイルオ− バ−とWANロ−ドバランサ機能、それにハ−ドウェアフェイルオ−バ−。LinkProof を 扱っているSI業者の人が言うには、SonicWALL も実は扱ってはいるが、使えると期待し ない方がいいと言っていた。 `26/01 プロバイダの人と話していて SonicWALL の回線冗長化、使用しているところあり ますよとのこと。内から外への冗長化は使えるみたい。外から自社WWWやメ−ルサ−バ への冗長化は、どうか知らないけどとのこと。両回線ともアクティブ、WAN側トラフィ ックを最適化。Enhanced OSではDMZとWANセグメントは別になる。 我々レベルで は PRO 4060 とかの製品になる。TZ170 タイプは小規模の所での使用である。 * 参考:ここでのマルチホ−ムとはちょっと違うマルチホ−ム 2003/09 発見。Yamaha のル−タ RTX2000 Rev.7.01.17 リリ−スノ−ト。マルチホ−ミン グができるとあった。http://www.rtpro.yamaha.co.jp/RT/docs/multi-homing.html、 こ れによれば、同一宛先に対する複数の経路で負荷を分散させることができる機能と書いて ある。ル−タにWANインタ−フェ−スが2つあり、それぞれ異なるプロバイダに接続す る。パケットはそれぞれWAN側IPアドレスにNAT 変換する。経路制御は2つのプロバ イダにデフォルト経路を張る。どちらか一方がリンク・ダウンしたら残ったので通信する。 2つのWAN回線は異なるのでもいい、同じ品目・速度でなくてもいいということ。 似ているので、同じ速度の専用線などの回線を2本使って、アクセス速度を倍にするやり 方もある。IIJ の小冊子「iij.news」にも書かれていた。サ−ビスとしてはJENS(株) が提供する "Backup Option DUAL" がそうである。`23/10/20 入手のパンフレットに出て いた。ル−タ1台に同じ品目・速度の回線を2本引く。JENSインタ−ネット側はル− タ2台でそれぞれの回線と接続する。サ−ビスには2つメニュ−がある。通常は1本だけ、 もう1本はバックアップ。もう1つのメニュ−は通常は2本でトラフィック分散、メイン 回線、トラブル時はバックアップ回線だけで通信するというものである。 CentreCOM AR560S, AR550S, AR570S。これらのパンフレットで仕様を見ていて、WANの 回線を冗長化できると書いてあった。 IP-VPN や広域イ−サネットにも適用できるとある。 ならばWANに限らず社内ネットワ−クの冗長化にも使えるのでないか。WWWサ−バを もつ場合はどちらかの回線に固定するとのこと。カタログ 2010 6〜9月 によれば AR560S が新発売。AR550S と AR570S は数年前からある。 「ITホワイトボックス」で言ってい たのはこのことか。テレビで映っていたのはヤマハのル−タ RTX1200 だったが、 アライ ドテレシスの製品にも同じ機能があるということでないのか。 * 参考雑誌など 「日経コミュニケ−ション」 2002/09/16, P.134〜139 > "お手軽"マルチホ−ミングの効きめ。格安のブロ−ドバンドとの相性は?。信頼性向上 に効果はあるか。製品は上記の他に Symantec、BIG-IP、FP SuperStream を掲げていた。 第5回デ−タストレ−ジEXPO、東京ビッグサイト 2003/07/10 > (株)アイティフォ−のブ−スで配布していた LinkProof の資料1枚。LinkProofを設置 する手順としてDNSサ−バの設定を、公開サ−バのエントリを LinkProof に向ける。 (4) マルチホ−ム装置の設置 * もう一つのやり方 ここでは LinkProof Branch を用いたマルチホ−ミングについて述べる。現物を見たとこ ろ弁当箱程度の大きさである。しかも500グラムと軽い。こんなんで百万円近くもする のか。2〜3万円でもいいような気がする。上記 (3)節の絵は iSurfJanus でのやり方で ある。LinkProof でも同じことはできるが、ここでは別なやり方を取り上げる。JPNIC へ 登録している自社DNSのIPアドレスは変えないやり方である。既存のDNSサ−バの 記述を少し変更するだけである。iSurfJanusの説明を読むと、実は自社のDNSのIPア ドレスは変えないやり方も載っている。これまでのDNSサ−バは無しにして、マルチホ −ム装置の中にDNSサ−バを持つ。そしてIPアドレスをこれまでのにマッピングする のである。しかしプロバイダになってもらっているDNS2次サ−バの方は変えるしかな い。2次サ−バもマルチホ−ム装置の中に持って来なければならない。そんなことするな ら、1次の方も変えたって同じである。面白い話ではない。 * インタ−ネットのサ−バの設置例 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\インタ−ネット JPNIC の登録 \______________/ ---------------- 既存ISP| |nix.co.jj 1.3 << DNS-1。 / ̄ ̄ ̄\ hostZ 9.1 |nix.co.jj 9.1 << DNS-2。 \___/―□ DNS-2 : DA128: : 仮想IPアドレス Router ■ ◇ ◇ ◇ .1| |.3 |.4 |.5 ------------------------------ 1.0 |.2 □ □ □ ---------- | | | |FireWall|------------------- DMZ ---------- DNS-1 WWW Mail-Relay | ------------------------------ /usr/local/etc/named.hosts ------------------------------------------ |$TTL 86400 |@ IN SOA ns.nix.co.jj. katou.nix.co.jj. ( | 1997042402 3600 300 3600000 3600 ); | | IN NS ns.nix.co.jj. << DNS-1。 | IN NS hostZ.provider.ad.jp. << DNS-2。 | IN MX 10 mail.nix.co.jj. |ns IN A 1.3 |www IN A 1.4 これらサ−バの機能毎 |mail IN A 1.5 にマシンがあるとする。 * LinkProof でのDNSの動き LinkProof の中では、A レコ−ドだけ扱う簡易的なDNSサ−バが動いている、そうみな すことができる。BIND 4.x とか 8.x とかいうDNSサ−バのソフトが、装置の中で動い ている訳ではない。LinkProof では、NSレコ−ドのポインタ的な仕組みをうまく利用して いる。手元のコンピュ−タで、この動作を確認してみた。"13-6.DNSの運用と特殊技術、 (3)(4) DNS のこんなテクニック" を見られたい。 メ−ルの MX レコ−ドはどうなるのか。 MX レコ−ドも、つまりは NSレコ−ドと同じくポインタ的な動きをする。ポインタの連鎖 みたいなことで、最終的には Aレコ−ドに、IPアドレス対応に還元される。 www.nix.co.jj については LinkProof のDNSを見てネということ。 www.nix.co.jj は ホスト名ではなく、サブドメイン名と先ず扱うのがミソである。サブドメインだからとい って、必ずしも subnet, oosaka なんて名前とは限らない。www と言う名前があってもい い。つまりWWWサ−バのホストのIPアドレスについては、別にオ−ソライズ(権限委 譲)されたDNSサ−バがあるということ。 nix.co.jj のサブドメイン、sub.nix.co.jj を管理するDNSサ−バがあるのと似たようなことである。LinkProof の中でどのような 動きをしているのかはよく分からないが。 JENS(株)の "Multi Gateway Option" の1枚のパンフレットのインバウンド・ロ−ド バランスの説明図で、"DNSサ−バは「Webサ−バは別名が定義されており、 その別 名は iSurfJanus の管理するサブドメイン名である」と回答" とある。それにJENSに 問い合わせしたところ、DNS1次2次はJENSで預からしてもらうと言った。1枚の パンフレットでもそのように書かれている。 これらのことからJENSでも、LinkProof と同じようなDNS管理をすることもできるのでないか。一方20ペ−ジ位の説明資料で は、DNS1次2次は iSurfJanus 装置内で持っているように読める。 * LinkProof 設置の絵 マルチホ−ム装置の中の2つの DNS は、 自社へのWWWアクセスもメ−ルもBフレッツ を通るように設定する。もちろん内から外へのWWWなどアクセスもBフレッツを通るよ うにする。これまでの回線はDNS問い合わせと、通常のWWWとメ−ル回線のバックア ップとして機能する。FireWall の ProxyARP の設定で、 DMZにあるホストはバリアセ グメントにあるイメ−ジになる。ProxyARP を使わなくてもマルチホ−ム装置で、 装置内 部にこんなようにIPアドレスをマッピングする、ホストがあるかのように見せることが できる機能があるようである。 インタ−ネット JPNIC の登録はそのまま。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ ---------------- \________________/ |nix.co.jj 1.3 << DNS-1。 hostZ |既存ISP |新規ISP |nix.co.jj 9.1 << DNS-2。 9.1 □―/ ̄ ̄ ̄\ / ̄ ̄ ̄\ DNS-2 \___/ \___/ : : DA128: :Bフレッツ RT100i ■ ■ RTX1000 |1.1 2.x| lp1| |lp2 --|-----------|-- マルチホ−ム装置 | □1.8 2.1□ | | ◆ ◆ | | DNS DNS | ------------------- ◇ ◇ ◇ << FireWall の ProxyARP 機能 ブリッジ接続 | 1.0 |.3 |.4 |.5 でここにあるように見える。 ---------------------------------------- 2.1 に WWW と | Mail-Relay が |1.2 □ □ □ あると見える。 ---------- | | | |FireWall|--------------------- ---------- DNS-1 WWW Mail-Relay | ---------------------------------------- LinkProof の lp2 側インタ−フェ−スのDNSサ−バは、IPアドレス 2.1 で稼働して いる。このDNSサ−バは www.nix.co.jj のIPアドレスは 2.1 としている。IPアド レス 2.1 は 1.4 にマッピングしている。1.4 は FireWall の ProxyARP の設定で、 DMZ 上にある実際のホストの代理応答をしている。 www.nix.co.jj のIPアドレスを 2.1 と しているのは、パブリックIPアドレスをBフレッツ側では、1個だけ取得するとしたか らである。複数取るのであれば、例えば別なアドレス 2.2 でも構わない。 lp1 側インタ −フェ−スのDNSサ−バは 1.8 である。こちらでも www.nix.co.jj のIPアドレスは 2.1 とする。飽くまでも自社のWWWサ−バへのアクセスは、Bフレッツ側を通るように するためである。もし、Bフレッツ回線がダウンしたら、1.8 DNSサ−バはダイナミッ クに www.nix.co.jj IPアドレスを 1.8 として、1.4 にマッピングするのである。 /usr/local/etc/named.hosts DNS-1 での記述。 ------------------------------------------- |$TTL 7200 << LinkProofを設置する前にTTL値を短 |@ IN SOA ns.nix.co.jj. katou.nix.co.jj. ( くしておかないけない。現状 86400 | 1997042403 3600 300 3600000 3600 ); 秒というのは24時間。変更1週間 |nix.co.jj. IN NS ns.nix.co.jj. 位前から2時間(7200秒)程度にする。 |nix.co.jj. IN NS hostZ.provider.ad.jp. |ns.nix.co.jj. IN A 1.3 | |www.nix.co.jj. IN NS lp1.nix.co.jj. << ラウンドロビン的にどちらかを返す。 |www.nix.co.jj. IN NS lp2.nix.co.jj. << どちらかの回線がダウンしていても | これで冗長化されていることになる。 |lp1.nix.co.jj. IN A 1.8 << 1.8 であれば従来回線、2.1 であれ |lp2.nix.co.jj. IN A 2.1 ば新規回線を通るということ。 | |nix.co.jj. IN MX 10 mail.nix.co.jj. << MXレコ−ドはこのような記述になる |mail.nix.co.jj. IN NS lp1.nix.co.jj. のでないか。13-7.の(4)(5) とは少 |mail.nix.co.jj. IN NS lp2.nix.co.jj. し記述が異なるが、このような感じ。 最初自社のDNSへの問い合わせは、DNS-1 か DNS-2 に来るのだが、 DNS-1 であればこ れまで通り従来の低速回線を通って来る。お宅のWWWサ−バのIPアドレスを教えて欲 しい。DNS-1 のDNSは www.nix.co.jj ドメインを管理している LinkProof のDNSで ある lp1.nix.co.jj か lp2.nix.co.jj に問い合わせる。通常はどちらも www.nix.co.jj のホストのIPアドレスとして 2.1 を返す。 これによりユ−ザのWWWアクセスはBフ レッツ回線の方を通ることになる。メ−ルリレ−の mail.nix.co.jj はどうなるか。これ も lp1.nix.co.jj か lp2.nix.co.jj に問い合わせる。どちらも mail.nix.co.jj のIP アドレスに 2.1 を返す。Mail-Relay サ−バは 2.1 ということになり、 電子メ−ルの送 受信もBフレッツ回線を通ることになる。Bフレッツ回線が何らかの原因でダメになった 場合、LinkProof は 2.1 でなく 1.8 を返し、従来の低速回線でWWWとメ−ルを通すと いうことになる。 ※2004年6月初めからテストを始めたのだが、パブリックIPアドレスは1個ではど うも済みそうもない。それにIPアドレスのマッピングのイメ−ジも少し違う。だいぶ 頭を捻らないと設定できそうにない。具体的な LinkProofの設定は別章を参照されたい。 (5) フレッツ・ADSL を引いてみた `24/02 と `25/02 -------------------------------------------------------------------------------- とりあえずもう1本の回線に フレッツ・ADSL を選んでみた。全然問題ない。速度的にも 小生とこでは、下り 5 Mbps ぐらい出る。MRTGでのトラフィックは数百 Kbps 程度。そう いうこで、LinkProof は ADSL 2本によるロ−ド・バランシングとしたらどうか。別にメ インとバックアップに分けることもない。両回線とも ADSL とするのが結論である。 -------------------------------------------------------------------------------- * それで新しい回線は何を選択したか 2003年初めの計画ではBフレッツを現在の DA128 に加えて引く予定だった。 それが 1年経ってもBフレッツは、自分とこの地区には来る見通しがない。2004年早々に改 めてNTTに問い合わせた。当地区は開通未定とだけのあっさりした返事。NTTはBフ レッツを2003年度中には、全国展開するという計画だったが、どうも怪しい。ADSLも 速くなったことだし、Bフレッツ来ない所は ADSL で勘弁してネということにする腹でな いのか。フレッツ・ADSL は今のところ上がりは 1 Mbps マックスだが、 これからすぐに 新しい技術でもって速度上げていくから、実質Bフレッツと遜色ないよという。そんな考 えでないのか。もう待ってはいられない。社内からもブ−イングがブ−ブ−である。 それで年明けから、回線をどうするか検討し直した訳である。またこの1年の間にマルチ ホ−ミングの装置で安い物も出てきて、実質的に検討対象になってきた。マルチホ−ミン グの装置の動きも昨年中に大方理解できた。99万円の LinkProof Branch を導入し、回 線の二重化を計ることを前提に、今後のインタ−ネットの回線を考えることにしよう。こ れからはベストエフォ−トで格安な回線を、いかにうまく使っていくかがポイントだと思 う。格安回線を複数組み合わせて信頼性を上げるのが一つ。DA64/128 はたまた DA1500と いった安定回線に格安回線を組み合わせるのが一つ。小生は DA64/128 をバックアップ的 に、そして格安高速回線をメインで使う。その制御を LinkProof で行うことを考えたい。 CTC のサ−ビスを知って、格安でなかなか悩ましいところだった。しかし最終的には小生 は選ばなかった。もうしばらく様子見する方がいいような気がした。CTC は広域イ−サネ ットのサ−ビスを後発で始め、それからインタ−ネット接続サ−ビスも開始した。パワ− ドコムなど他の広域イ−サネットの話を見聞きするに、どうも不安定なところがある。全 拠点フラットなネットワ−ク、どうもこのことがトラブルが起きやすい構造になっている ようである。IP-VPN の方がトラブルは起きにくく、安定性が高いようである。 インタ− ネットへ抜けるル−トが、この不安定なネットワ−クを通る絵を見ると、手放しで速い安 いと喜べない。そのためとりあえず IIJ のフレッツ・ADSL を選ぶことにした。 * フレッツ・ADSL を引く手順 いきなり LinkProofを設置するのでなく、この際だからいろいろテストしてみる。マルチ ホ−ムは、まだこなれた技術ではない。うまく行かないことだって考えておかなければな らない。念のため通常に2本回線を使う設定を先ずやってみる。新しい回線側にWWWサ −バを置いてみるとか試してもいい。そのため Yamaha RTX1000 も買うことにした。フレ ッツ・ADSL、Bフレッツ、DA64/128 に対応するル−タである。 本来なら回線冗長化装置 の LinkProof が PPPoE 対応しているので、WAN用ル−タは必要ないのだ。新しい回線 側のパブリックIPアドレスも念のため8個にした。1個でもマルチホ−ム接続はできる と思われるが、しばらく8個でテストなどやってみる。のち適当な時期にIPアドレス1 個の契約に変更すればいい。IIJ のフレッツ・ADSL の最低利用期間は1ヶ月である。 ※2004年6月、LinkProof のテストを実際始めて分かった。LinkProof は PPPoE 対 応してなかった。Yamaha RTX1000 も買っておいてよかった、危ないとこだった。 * フレッツ・ADSL の申込みから開通まで IIJ に申し込んで引けるまで1ヶ月ぐらいかかった。 NTTへは IIJ に代行してもらっ た。その方がスム−ズに事が運ぶみたいである。 フレッツ・ADSL は少しでも安定を考え、 3千円プラスしてNTT24時間サポ−トも受けることにした。IIJ の申し込みは書類が 結構すごい。小冊子になっている "IIJインタ−ネットサ−ビス契約基本申込書"、 そ れに "Bフレッツ・フレッツADSL 回線発注代行依頼書"、もう1つ書類があった。運用管 理担当者の住所氏名、請求書送付先の住所氏名、銀行自動引き落としにするかなど記入す る項目はたくさんある。経理部門に依頼して社長印もぼんぼん押してもらった。 IIJ に申し込んでしばらくして、確認の電話がNTTから入った。それからNTTマ−ケ ティングアウトから ADSLモデム-MSШ がペリカン便で送って来た。 IIJ から送ってきた のは "IIJ DSL/F サ−ビスご利用の手引き"、65ペ−ジ。JPNICからの割当IPアドレス がこうなりました 192.168.50.24/29、という書類。 ル−タの設定情報としてル−タIP アドレス 192.168.50.25、PPP ロッグイン名 'へのもへ@xyz.iij.ad.jp'、PPP初期パスワ −ド 'いろは'。ADSL 電話工事2日前ぐらいに、NTT西日本から来た "はじめてのフレ ッツ設定マニュアル Bフレッツ、フレッツ・ADSL 保存版"、CD-ROM も入っていた。 初期費用は 48,000 円、毎月費用は 48,220 円である。初期費用の内訳はフレッツ・ADSL が 3,000 円、IIJ が 30,000 円、IPアドレス割当申請手数料 15,000 円。 NTTの工 事費は 2,200 円だった。後電話工事会社の分が幾らか。毎月費用の内訳は IIJ DSL/F サ −ビス 1/32C 39,800 円。フレッツ・ADSLモア24(NTT西日本の場合) 5,420 円、 タ イプ2(加入電話と共用しない)、ADSLモデムと屋内配線レンタル料含む。フレッツ・ADSL サポ−トメニュ− 3,000 円、 故障時の365日24時間受け付けの連絡先電話番号あり。 IIJ には法人ユ−ザ専用のペ−ジがある、サ−ビスオンライン http://help.iij.ad.jp/。 フレッツ・ADSL の予想速度は?。https://www.ntt-west.co.jp/open/senro/senro_user_ index.htmlの[線路情報開示システム]をクリックする。自分ところの電話番号をハイフン なしで、フルに入力する。線路条件が出て来る。○線路距離長(エンドユ−ザからNTT 収容ビル)1770 m、○伝送損失 25dB と出た。概ね良好のようである。会社の近くに住ん でいる部下の家では 2770 m の 33 dB で、2.5〜3 Mbps出ているとのことだ。会社はそれ より近い訳で 3 Mbps 以上出るのでないか。期待したい。一応 ADSL 引くことを決めたの は、あらかじめここで速度を調べてのことである。 http://flets-w.com/adsl/plan_sentaku/index.html の "線路情報開示システム" をクリ ↓ ック。 http://flets-w.com/adsl/kyori/ryuijiko.html ↓ --------------------------------- | 開示情報表示 | | ◇電話番号 052xxxyyyy << 本社では下記の値が出た。隣接する工場では | ◇線路条件 1つが 2080m,28db。もう1つが 1590m,25db。 | ○線路距離長 1780 m | (エンドユ−ザから〜 | NTT収容ビル) | ○伝送損失 25d B * ネットワ−ク接続の図とル−タの設定 : 割当IPアドレス 192.168.50.24/29 とする。 □ ADSLモデム IPアドレスの範囲 192.168.50.24〜31 | 有効なIPアドレス 192.168.50.25〜30 |.?? このIPアドレスは動的に付く ネットワ−クアドレス 192.168.50.24 □ RTX1000 ブロ−ドキャスアドレス 192.168.50.31 LAN1|.25 ネットマスクは 255.255.255.248(fffffff8) ---------------- 192.168.50.24/29 NAT|.26 WANル−タの Yamaha RTX1000 ではIPア □ NetScreen ドレの変換はせず、NetScreen で行う。この | 構成ではパブリックIPアドレスは2個使う。 ------------ 内部ネットワ−ク NetScreen のデフォルト経路 192.168.50.26。 IIJ ではこれら割り当てたIPアドレスは、IIJ のDNSサ−バに IIJの標準形式で登録 している。例えば 192.168.50.25 なら正引きは 25.50.168.192.xf.2iij.net、 逆引きは 25.50.168.192.in-addr.arpa としている。 % ping 25.50.168.192.xf.2iij.net ということ PING 25.50.168.192.xf.2iij.net (192.168.50.25): 56 data bytes 64 bytes from 202.32.175.25: icmp_seq=0 ttl=63 time=2 ms 64 bytes from 202.32.175.25: icmp_seq=1 ttl=63 time=2 ms / ̄ ̄インタ−ネット ̄ ̄ ̄\ # ip lan1 address 192.168.50.25/29 \____________/ # ip filter 1 pass * * established : # ip filter 2 pass * * icmp / ̄ IIJ ̄\―□ 指定可DNS # ip filter 3 pass * * tcp ftpdata * \____/ # ip filter 4 pass * * udp domain * :フレッツ・ADSLモア24 # ip filter 11 reject * * udp,tcp 135-139 : # ip filter 12 pass * * □ ADSLモデム-MSШ # security class 3 on off ※IPスプ−フィング | そのまま繋ぐだけ # pp select 1 対策はしてない。やる \___ pp1# pppoe use lan3 には発信元IPを記載。 LAN1 LAN2\LAN3 pp1# pp auth accept chap pap ---------------|- pp1# pp auth myname へのもへ@xyz.iij.ad.jp いろは |□□□□ □ □| RTX1000 pp1# ppp lcp mru on 1454 -|--------------- pp1# ppp ccp type none \____ pp1# ip pp mtu 1454 1 2 \3 NAT pp1# ip pp secure filter in 1 2 3 4 -------------|--- pp1# ip pp secure filter out 11 12 | □ □ □ | NetScreen pp1# pp enable 1 -------|--------- pp1# pp select none -------|--------- # ip route deafult gateway pp 1 | □ □ | ハブ # ip filter source-route on --|-------------- # ip filter directed-broadcast on ■ パソコン # save << ADSL 部だけ抜き出した図 >> << Yamaha RTX1000 の設定 >> * DA128 の方も ADSL に変更した `25/02 元々 TCP で専用線 128 Kbps を引いて、パブリックIPアドレスを取得した。その後IIJ で ADSL を引いて LinkProof で冗長回線の構成にした。そして今回 TCP の DA128をADSL にした。これでインタ−ネットの利用をまるで止めることなく、回線の速度アップと安定 化それに費用も半減させることができた。NTTの ADSL 回線は、TCP 契約で借りるとい う形ができるというのでそうしてもらった。プロバイダ料金とNTTの料金を一緒に TCP から請求、自動引き落としができるので便利である。モデムは買い取りでスペックを見る と、ADSLモデム-MS5、フレッツ・ADSLモアスペシャルなど各種プランに対応、ADSL拡張自 動設定機能搭載、ADSLリンク速度表示機能搭載。WANル−タは Yamaha RTX1000 でレン タル、TCP とはパブリックIPアドレスをそのまま使うためVPN接続するという。切り 替え前日にDNSの設定を以下のようにし、LinkProof はパケットを全部 IIJ側を通すよ うにしておいた。当日は、TCP の人が設定したル−タを持ってきて、向こうと電話でもの の5分、ル−タと経路制御を調整して無事切り替え作業は終わった。 ADSL の種類はモアスペシャルとのこと。 これは下り 44Mbps、上り 5Mbps とかうたって いる。すごい速い。それで一体どのぐらい速度が出ているのか。ADSL網はVPN張ってい るので、フレッツの計測サイトは意味がない。LinkProof の管理用にしたポ−トにパソコ ンをつなぎ、ftp.iij.ad.jp など幾つかの所で速度を計ってみた。まだ LinkProofは外ヘ のパケットは全部 IIJ側に流す設定のままである。しかしこの管理用ポ−トにつないだパ ソコンからは全部 TCP 側を通り、あえて "Grouping" 機能で指定しても IIJ 側へは行か なかった。ともかくこのパソコンから http://www.musen-lan.com/speed/にて計ったとこ ろ、"下り" 推定転送速度 2494.7 Kbps (2.49Mbps) 311.2 KB/sec、"上り" デ−タサイズ 600 KB (ADSL回線などのブロ−ドバンド) で、デ−タ転送速度 669.7 Kbps (83.7KB/sec)。 もうちょっと出てもいいような気がするが。管理用にしたポ−トは、LinkProof へのアク セスを制限する話である。詳しくは "16.ネットワ−ク装置1.5" を見られたい。 /usr/local/etc/named.hosts DA128 止めて ADSLに変更する際の一時的なDNSの設定 -------------------------------------------------------------------------------- |$TTL 360000 ; 検索に来たDNSがキャッシュする時間。 |@ IN SOA ns.nix.co.jj. netmaster.nix.co.jj. ( | 1997042404 ; シリアル番号。 | 3600 ; DNS2次サ−バがコピ−しに来る時間。 | 300 ; DNS2次サ−バのリトライの時間。 | 3600000 ; DNS2次サ−バがデ−タを失う時間。 | 300 ) ; 検索に失敗したデ−タを記憶する時間。 | IN NS ns.nix.co.jj. << 自ドメインの1次ネ−ムサ−バ。 | IN NS hostZ.provider.ad.jp. << 自ドメインの2次ネ−ムサ−バ。 | IN MX 0 mail.nix.co.jj. << 対外メ−ルサ−バ(メ−ルリレ−)。 |localhost. IN A 127.0.0.1 |hostA IN A 202.241.128.3 |ns IN A 202.241.128.3 << ネ−ムサ−バ。 |mail IN A 202.241.128.3 << メ−ルサ−バ。 |www IN A 202.241.128.3 << WWWサ−バ。 |hostG IN A 202.241.128.2 * 先に引いたフレッツ・ADSL の実際の速度ついて [ Windows 98 パソコンを NetScreen の下につなげた ] http://www.musen-lan.com/speed BNR スピ−ドテスト( ダウンロ−ド速度) ----- 推定転送速度 0.471 Mbps アップロ−ド(テストデ−タサイズ 600 KB) --- 1.02 Mbps http://www.bspeedtest.jp/ 推定最大スル−プット --- 1.9 とか 2.0 Mbps。こちらが Windows 98 だと認識して いた。Windows 98/Me はブロ−ドバンドに向いていません。Windows のアップグレ− ドも検討して下さい。とメッセ−ジが出ていた。 http://bb.softbankbb.co.jp/の[サポ−ト情報]->[通信速度チェック] BB Speed Checker 下り 2 Mbps、上がり 931 Kbps。周辺の速度の目安みたいなのも分かり、ここらあた りでは 7〜8 Mbps は出るらしい。。 [ Windows 98 パソコンを直接 ADSLモデムにつなげた ] http://www.speedtest.flets/ ダウンロ−ド速度、平均速度=2.711 Mbps とか 3.272 Mbps。フレッツ網内に設けら れた計測用のサイト。インタ−ネットを通らないので速い。フレッツ網での純粋速度。 --- ただし上の3ヶ所でも同様計ったが、速度はほとんど変わらなかった --- "はじめてのフレッツ設定マニュアル" にはさんであった CD-ROMを、パソコンにインスト −ルした。何や結構時間かかった。パソコンのアイコンの "フレッツ接続ツ−ル" をクリ ックすると、下のような画面のメニュ−が出てくる。[フレッツ速度計測サイト]をダブル クリックすると、WWWブラウザが起動して、http://www.speedtest.flets/ に接続する。 ドメイン名が flets なんていうのは、まさに特殊なドメインで、パソコンを直接 ADSLモ デムにつなげないことには、このアクセスはできない。またはル−タでマルチセッション の設定をするかである。ここでは直接つなげた。[フレッツ速度計測サイト]を、右ボタン でメニュ−を出して "プロパティ" をクリックすると、PPPoE のロッグイン情報のユ−ザ 名 speedtest@speedtest.flets、パスワ−ド **** が見える。ちなみにパソコンのTCP/IP の設定、デフォルトゲ−トウェイとかホストIPアドレスは無視される。下画面の [IIJ] は [新規プロファイルの作成] で、IIJ にインタ−ネット接続するメニュ−を作った。 -------------- ----- ---------------- ------------ -------------- |新規プロファ| |IIJ| |フレッツ・コミ| |フレッツ・| |フレッツ速度| |イルの作成 | | | |ュニケ−ション| |スクウェア| |計測サイト | -------------- ----- ---------------- ------------ -------------- [ Windows 98 では速度がでない ] Windows 98 は Gateway Solo でだいぶ前のになる。PCMCIA の 3Com イ−サネットカ−ド 10 Mbps。3Com なら 2〜3 Mbps しか出ないということはないだろう。Windows 98 のOS が ADSL 回線のスル−プットを活かすことができない。NetScreen を介してのテストでは 間のハブを 100 Mbps 対応のスイッチングハブに変えてみたりもしたが、速度に変化はな かった。こんなもんか?。いやおかしい、特に http://www.musen-lan.com/speed での下 りの速度がおかしい。上がりより下りの方が遅いということはないぞ。パソコンを別なの を接続して計ってみた、Windows 2000 Professional である。そしたら速い速い。距離と 伝送損失からして、なかなか良好な値ではないか。musen-lan の下り速度も 3 Mbps とか 値が出てきた。softbankbb では上がり 1 Mbps 程度と変わりなかったが、下りは 5 Mbps ぐらい出ていた。Windows 95/98/Me はブロ−ドバンドには向いてないということらしい。 * ネットワ−クのスル−プットについて `2h/12/s 参考に追記 1Mbps 1000Kbit/sec 1000/8=125KB/sec 1MB ファイル=1024KB /125 = 8.192 sec 5MB ファイル=5*1024KB /125 = 40.96 sec 10MBファイル=10*1024KB /125 = 81.92 sec File | 500Kbps 700Kbps 1Mbps 5Mbps 715kbps/8 =89.375、5MBファイル -----|----------------------------------- =5*1024KB/89.375= 57.287 sec。 1MB | 16.38 11.703 8.192 1.638 5MB | 81.92 58.515 40.96 8.192 10MB | 163.84 117.029 81.92 16.384 [ 転送時間試算 ] 100 Kbps として 1 Mbyte のファイルを送るには、 1 Mbyte ファイルは 1000*1024 =1024000 byte。 100 kbps = 100*1000 = 100000 bit で約82秒。 ----------------------------------- 28.8 Kbpsは 28800 bps のこと。 1Mbyte = 1000*1024*8 = 8192000 bit 9900KB のファイルを 500 Kbps で転送すると。 9900 Kbytes *1024 = 10137600 bytes * 8 = 81100800 bit 500 Kbps = 500*1000 = 500000 bps (bit/sec) 81100800 (bit) /500000 (bit/sec) = 162.2 sec 実際は 340 sec かかった、実際の転送時間は 81100800/340 = 238.5 Kbps。