L2TP/IPsecについて

  • L2TP/IPsecとは
    L2TP自体は暗号化の仕組みを持たないが、IPsecを併用しデータの機密性や完全性を確保したVPN接続実現のための技術。2TPパケット自体はIPsecパケットの内側に包まれ隠されている。(最初にIPsecがセキュアトンネルを提供し、次にL2TPがトンネルを提供している。)

  • メリット
    (上記を言い換えたものだが)PCやスマートフォンなどからインターネット越しにルーター配下のプライベートネットワーク内端末とセキュアな通信ができる

  • デメリット
    常時、拠点間で接続を張るために使用する技術ではない。
    拠点間でのL2VPNを実現するL2TPv3とは用途が異なる。

  • L2TP/IPsecのベース技術であるL2TPv2について

  1. カプセリング対象はPPP のみ
  2. L2TPv2はCiscoが開発したL2FというトンネルプロトコルIETF が標準化したトンネルプロトコル
  3. PPPパケットをIPネットワーク上で転送するために開発され、主にISPユーザのPPPパケットをISPへ送信するのに使われていた。

エンジニアのための図解思考 再入門講座を読んで

読む経緯について
この本を読んでいた頃は詳細設計やシステム構築の仕事が多かったからか、 自分の説明が専門的な言葉だらけで冗長になりがちであったため、 人によって言葉のレベルを変え分かりやすく説明をしたいと思い本を手に取った、という経緯があったように思う(2021/12/12読む経緯について追記)

 

図解思考とは
以下本について要約すると… 自分で考え問題を解決するために使う。図に示すことで断片的な情報を纏め、纏まりごとの意味が分かるようになり、情報の過不足や間違いが分かる。情報の過不足をヒントに人は自分で考えられるようになる、らしい

 

なぜ図解思考を使うのか
作業前に必要な情報を精査しないまま作業を始めてしまうことで作業に抜けや漏れがある状態で作業を始めてしまう恐れがある。システムは要件定義から組み立て考えた方が良いことが多い。複数要素が相互に関連し合うシステムにおいては、全体像把握のために図解が必要となる。
一般的な例では初めて行きたい目的地へ地図無しで行けば、まず迷ってしまうことを考えると分かりやすい。その場その場、見える範囲でしか行き先を決められず場当たり的な行動しかできない。だが地図があり、更にその上地図上にGPSで自分の位置、目的地を明示できていれば目的地へ行くまでに必要な作業は自ずと見えてくる。(全体を俯瞰できる「鳥の目」が必要だと原著では言っている)

 

図解、読解力を上げるには
「3行ラベリングワーク」が有効らしい。ある文章の中で3行ほどの箇条書きをつくり、それぞれの行に対しラベルを付ける。ラベルを付けるために本文を正しく読み、相互に区別できる用語でラベルを考える必要がある。 上記訓練で読解力の向上が見込める。図解しなければならないほどの難しい情報は高度な読解力をまずは求められる。正確な読解ができなければ、それを図解、表現することも困難なため、読解力の向上に努める必要がある

 

実際にどのような場面で図解を使うか

  • 案件へ取り組む前にその仕事に必要な要素を洗い出すために使う
  • 取引先と1つのプロジェクトを進める際、お互いに確認済みのこと、これから確認の必要があること、期限内にやらなければならないことを共有し示すために表を用いる。(要は抜け漏れがなく仕事を進めるために)

 

今後、どのような場面で図解の思考を仕事へ活用していくか

  • 案件前に表に必要な要素を記し作業へ取り掛かってみる。必要項目を分類し漏れ、抜けを無くすのに表の活用は有効。
  • 表は同じ種類の情報を並べる(分類)のに活用でき、分類をした際空白、よく分からない、となっている箇所が漏れを表していたりする。自分はGoogleドキュメントのマークダウンで作業前に必要な要素を纏めることが多いが、今後は表も使っていきたい

自分自身、必要な作業が分からなくなって作業に時間が掛かっているという場合は作業に必要な項目を一先ず視覚的に分ける、ということはやっていきたい。 上記を行うのには付箋紙が有効らしい。分からない要素、項目を一先ず付箋に書き、それを分類していくなかで自分が整理できるもの、できないものが明確化され、ゴールに近づくことが多いと。 仕事で会社の人がプロジェクトの優先度を明確化するためにボードに付箋紙を貼って使っているが、私はもっとtinyな単位、まずは自分の持っているプロジェクトにおいて諸々の要素を示し必要な作業を洗い出すために、付箋やボードといったものを活用していきたいと思う。

どのレベルで冗長を考えるか

冗長は同じ機器、機能を並列に並べ、片方が機能を停止しても、もう片方で機能を維持できるようにする、と考えると分かりやすいと思う

 

冗長化対象はハードウェアで言うと

ソフトウェアで言うと

  • 機能

で分けて良いと考えている。後者のソフトウェアはDNS、DB、アプリケーションサーバ等あるが、最近はハードウェア領域がソフトウェア側で吸収(仮想化、laaS、例えばAWS等に)されている。ネットワークも今は物理的な機器を用いることが多いが、これも、これからは仮想化されていくと考えている

 

仕事においては冗長対象はハードウェアという側面で考えることが多いが、
特に電源には注意を払う必要があるように思える。例えばラックに使える電源の系統が1つだけだとラック内の機器を冗長させても、その電源が落ちればそれに繋がっている機器は全て落ちてしまう。電源冗長を考えるなら、A、B系統と2系統の電源がラック内に敷設されていることが必要となる

arpテーブルについて

機器交換でarpテーブルのキャッシュが問題になる場合、
機器によってテーブルの保持時間に違いがあるのが問題になり得る、で良かったか…クライアント端末、Windowsは2分、MacWindowsに近い時間でテーブルを保持している。一方、CISCOルータは1時間位保持時間があるため、保持期間が違う機器に隣接された機器が交換、入れ替えをされた際問題になる、で良かったか…

『ネットワーク技術&設計入門』を読んで

2回ほど読む。各章は、

  • 第1章 物理設計
  • 第2章 論理設計
  • 第3章 セキュリティ設計・負荷分散設計
  • 第4章 高可用性設計
  • 第5章 管理設計

と構成され設計を軸に書かれている。 上記のように全体の章について一通り書いたが、 以下所感は第3章のごく一部分の話となる。 第3章のステートフルインスペクションの話で、コネクションテーブルをもとに行われているのがfortigateで言うポリシーを指していると、fortigateを触ったことがあると分かると思う。ポリシーは通信制御機能といい、Firewallのステートフルインスペクションと、ルータ・L3スイッチでできるパケットフィルタリングに大別されると本書により分かった。以前どこかの講義でCISCOのアクセスリストについて聞いた際、fortigateのポリシーと同じようなものかと私は思っていたが、コネクションとパケットベースで考えていくと、それは同じものではないと理解できた。

他にはfortigateは戻りの通信は書かなくて良いと以前業務で聞かされていたが、これはベース、処理方法の違いに起因するからだと分かった。ステートフルインスペクションは戻りの通信を動的に処理してくれるが、パケットフィルタリングはそのようなことはしない。戻り用の通信ルールをパケットベースで許可することはセキュリティリスクになり得るらしい。httpでクライアントに対する送信元ポート番号はデフォルトで「80」1つだが、宛先ポートはOSがランダムに選ぶ「1024~65535」となる。パケットフィルタリングではこの宛先ポート番号を幅広く許可しなければならず、この状態でサーバを乗っ取られると攻撃者に好きにやられてしまうそうだ。

セキュリティ、ステートフルインスペクションについての感想を上述したが。機会があれば他の項目、例えば論理設計を読んだ感想についても述べてみたい。