Network」カテゴリーアーカイブ

ASA5500シリーズはunnumberedが使えない

最近,CiscoのASA5500シリーズというファイヤウォールを使う機会があります。ファイヤウォールなのですが,PPPoEのセッションも張れて,これ一台で比較的簡単にインターネット接続ができます。

スループットも充分なので,Bフレッツなどをつなぐのに重宝します。

が,このファイヤウォール,IP unnumbered には対応していません。私が使っているのはASA5520ですが,おそらく5505でも5510でも同じだと思います。そもそもunnumberedアドレスはNTT独自の技術とも聞いたことがあるので,あまり実装には熱心じゃないのかもしれません。具体的に影響受けるのは,OCNの固定IPアドレスを割り当てるタイプの接続です。

解決法は,悲しいことにunnumberedが使えるルータを挟むしかないです。

普通のダイナミックにアドレスが振られる場合は問題ないです(OCN with フレッツとか)

IPv6導入

OCN IPv6 トンネルサービス

遅ればせながらIPv6の導入を始めました。

足回りはBフレッツを使い,ISPにはOCNを使います。OCNからIPv4のグローバルを1つ割り当ててもらい,このIPv4の中にIPv6のトンネルを作ります。IPv6のグローバルアドレスももらいました。OCNでIPv6を申し込むと,2001:380:xxxx::/48というアドレスがもらえます。IPv6では128bitのアドレスを使い,通常は前半64bitがネットワーク部,後半64bitがホスト部となるので,ネットワーク部は16bit(64-48)が自由に使える空間となります。まぁv4で言うところのクラスB相当って訳です。

このサービスが月額3150円(Bフレッツの料金は別)でできるのでなかなか安いです。

ルータの設定

IPv6のトンネルをつくるに当たって,今回はCiscoの1812Jというルータを使いました。定価は118000円ですが,実売は結構安くなります。

IPv4接続

IPv6トンネルはIPv4の中につくるので,当たり前にIPv4の接続ができないといけません。Bフレッツとルータの接続は今まで通りでかまわないです。OCNからもらえるフレッツの接続名とパスワードをCHAPで認証しています。接続はルータポートのFastEthernet0を使いました。

interface FastEthernet0
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Dialer1
ip address negotiated
ip mtu 1454
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname hogehoge@hoge.ocn.ne.jp
ppp chap password hoge
!
ip route 0.0.0.0 0.0.0.0 Dialer1

抜粋ですが,こんな感じです。

LAN側は適当にVLANきって,dhcpでも動かしておくとよいです。

IPv6トンネル作成

次にv6のトンネルをつくります。

interface Tunnel0
no ip address
ipv6 address 2001:380:xxxx::1/64
tunnel source Dialer1
tunnel destination 61.207.xxx.xxx
tunnel mode ipv6ip
tunnel path-mtu-discovery

アドレスは適当に伏せておきました。IPv6のアドレス設計ってどうやって良いのかよく解りませんが,とりあえず2001:380:xxxx:0::/64をトンネル用に割り当ててみました。識者の方が読んでおられましたらつっこみをお願いします。

tunnel destination はOCNからくる書類に書いてあります。IPv6ルータ情報という名前ですね。

基本的にこれで終わりです。

確認で,pingをOCNに打ってみます。

Router#ping ipv6 2001:380::1053

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:380::1053, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/28/32 ms
Router#

IPv6 LAN側インターフェースの設定

1812Jは8個のスイッチポートがあるので,ここにLANをつくります。

Router(config)#interface range fastEthernet 2 – 9
Router(config-if-range)#switchport access vlan 100

1812JはLANポートが2から始まって9で終わります。ちょっと気持ち悪いです。

VLANの設定は以下のような感じ。

interface Vlan100
ip address 10.64.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1414
ipv6 address 2001:380:xxxx:8000::1/64
ipv6 enable
ipv6 nd prefix 2001:380:xxxx:8000::/64

とりあえず真ん中へんの8000で分けてみました。ホスト部の1は私の趣味です。デフォルトルートは1だとわかりやすい気がするので。

最後の行のipv6 nd はルータアドバタイズ(RA)の設定です。このLANに繋がるホスト(PC)にアドレスを割り当てるための設定です。IPv6ではルータがネットワーク部のアドレスをホストに広報し,ホスト部はMACアドレスから自動生成されます。このホスト部のアドレスがEUI-64といって,0011:22FF:FE33:4455のようにアドレスの真ん中に16進でFFFEがはいっているのですぐわかります。

RAをつかって自動的にアドレスが付与される方式をシスコではステートレスな自動設定と呼んでいるようです。

あとはルーティングさせるために以下の設定も入れます。

ipv6 unicast-routing
ipv6 route ::/0 Tunnel0

クライアントの設定

Windows XP

最初はWindows XP SP2 で検証を開始しました。

XPではSP1からIPv6が使えるようになっています。コマンドプロンプトからipv6 install とするか,インターフェースのプロパティからIPv6プロトコルをインストールできます。

ルータの設定が終わっていればルータアドバタイズの機能で自動的にアドレスが決定するはずなんですが,待てど暮らせどv6のアドレスが降られる様子がありません(ipconfigで確認)。ipv6 renew というコマンドがあるらしいので試してみましたがだめです。EtherealをつかいRAが届いているか確認してみましたが,パケットは到着しています。

結局最後まで接続できませんでした。

Mac OS X

WindowsでうまくいかないのでMacで試しました。

あっけないくらいすぐにできました。そもそもIPv6がデフォルトでenableになっているようなので,すぐに使えました。

PPPoE

自分用メモ

PADI PPPoE Active Discovery Initiation

PADO PPPoE Active Discovery Offer

PADR PPPoE Active Discovery Request

PADS PPPoE Active Discovery Session-Confirmation

PADT PPPoE Active Discovery Terminate

通常はPADI→PADO→PADR→PADSといってPPP確立する

何らかの事情があってPADTがでて切断されることもある。BフレッツやADSLだといきなり切断したりして,セッションが残ってしまったときなどにあり得る。この場合はセッションが消えるまで暫く待つ。噂によると10?20分。

(追記)どうやらLCPを使って1分に1回監視しているようです。5回以上応答がないとセッションをリセットするようです。ということで,6分待てば繋がるようになるはず。

追跡用クッキー

いつ頃からか忘れましたけど,あちこちのサイトで2o7.netが発行するクッキーを喰わされるようになりました。軽く調べただけですけど,どうやらユーザがどのサイトに行ったのかをサイト間を超えて追跡するためのクッキーのようです。リンクからやってきた場合,リファラとか見れば判りますが,複数サイトを越えた場合や,ブラウザがリファラを削ると追跡できなくなるので,クッキーで追いかけるのが目的のようです。

で,当然気持ち悪いのでこのクッキーは全部不許可としました(^^;。

RSAカンファレンス

今年もやってきましたRSAカンファレンス。会場は東京プリンスです。

今日記憶に残ったことばは
「21世紀に入ってから6年間で作られた情報は,それまでの情報全てより多い」

「戦略は細部に宿る」

です。

なかなか深いです。

Internet Week 2006

今日はセキュリティDay

ちょっと前まではウイルスやクラッキングの話が多かったのですが,最近はBotの話が多いですね。Botに感染していても,ウイルスなどと違って対策ソフトで検出できないから怖いです。Botの研究者も怖いって言ってました。それを聞いてさらに怖くなりました(^^;。

NISCからは山口英さん。相変わらずこの方の話は面白いです。言えないことも沢山ありそうで,行間を読むように聞かないといけないですけど。。。

Internet Week 2006

今日は一日 web2.0 の話題を聞いてきました。

よく判ったのが,みんなが考えているweb2.0は,それぞれ想いによってかなり違う物だと感じました。とにかくGoogleがキーワードなのも面白いです。

(めも)Plagger

情報通信研究機構(NICT)のNTP

NICTがNTPサービスをはじめました。さっそく,試してみましたが,今まで使っていたmfeedとdelayやjitterは変わらないようです。

remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
-ntp1.jst.mfeed. fs-monntp1.mfee  2 u  327  68m  377   49.011   -0.799   0.271
+ntp2.jst.mfeed. fs-monntp1.mfee  2 u  324  68m  377   50.689   -1.593   1.043
+ntp3.jst.mfeed. fs-monntp1.mfee  2 u  317  68m  377   49.623   -1.311   0.913
-ns.airnet.ne.jp ntp1.jst.mfeed.  3 u  510  68m  377   48.571    0.430   0.079
ntp-b2.nict.go. 0.0.0.0         16 u    -  68m    0    0.000    0.000 4000.00
*ntp-b2.nict.go. .PPS.            1 u 1013  68m  377   51.401   -1.085   0.104
-ntp-b3.nict.go. .PPS.            1 u  312  68m  377   54.254   -2.368   1.277

最近知ったんですが,ntp.confには同じサーバを書いていいんですね。知りませんでした。勝手にラウンドロビンしてくれるようです。上の例では1個失敗していますけど。。。

server          ntp.nict.jp             maxpoll 12
server          ntp.nict.jp             maxpoll 12
server          ntp.nict.jp             maxpoll 12

インターネット時刻機能のポーリング間隔を調整する方法

WindowsXPにはNTPクライアント機能がついているが,更新間隔がデフォルトで7日になっている。あまりに長いので結構ずれる。

場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient

SpecialPollInterval

ここの値を変える。単位は秒。