読者です 読者をやめる 読者になる 読者になる

L2TP/IPsecについて

  • L2TP/IPsecとは
    L2TP自体は暗号化の仕組みを持たないが、IPsecを併用しデータの機密性や完全性を確保したVPN接続実現のための技術。2TPパケット自体はIPsecパケットの内側に包まれ隠されている。(最初にIPsecがセキュアトンネルを提供し、次にL2TPがトンネルを提供している。)

  • メリット
    (上記を言い換えたものだが)PCやスマートフォンなどからインターネット越しにルーター配下のプライベートネットワーク内端末とセキュアな通信ができる

  • デメリット
    常時、拠点間で接続を張るために使用する技術ではない。
    拠点間でのL2VPNを実現するL2TPv3とは用途が異なる。

  • L2TP/IPsecのベース技術であるL2TPv2について

  1. カプセリング対象はPPP のみ
  2. L2TPv2はCiscoが開発したL2FというトンネルプロトコルIETF が標準化したトンネルプロトコル
  3. PPPパケットをIPネットワーク上で転送するために開発され、主にISPユーザのPPPパケットをISPへ送信するのに使われていた。

エンジニアのための図解思考 再入門講座を読んで

図解思考とは
自分で考えて問題を解決するために使う。図に示すことで断片的な情報を纏め、纏まりごとの意味が分かるようになり、情報の過不足や間違いが分かる。情報の過不足をヒントに、人は自分で考えられるようになる。

 

なぜ使う必要があるか
例えば作業前に必要な情報を精査しないまま作業を始めてしまうことで、作業に抜けや漏れがあるまま、作業を始めてしまう恐れがある。複数の要素が相互に関連し合うシステムの全体像を把握するためには図解が必要となる。

もっと一般的な例では初めて行く、行きたい目的地へ地図無しで行けば、まず迷ってしまうことを考えると分かりやすい。その場その場、見える範囲でしか行き先を決められず、場当たり的な行動しかできない。だが地図があり、更にその上地図上にGPSで自分の位置、目的地を明示できていれば、目的地に行くまでに必要な作業は自ずと見えてくる。(全体を俯瞰できる「鳥の目」が必要だとも原著では言っている)

 

図解力(読解力)を上げるには
「3行ラベリングワーク」が有効。ある文章の中で3行ほど箇条書きを見つけ、それぞれの行に対しラベルを付ける。ラベルを付けるためには本文を正しく読み取り、相互に区別できる用語で「ラベル」を考える必要がある。
上記の訓練で読解力の向上が見込める。図解しなければならないほどの難しい情報は、そもそも高度な読解力を、まずは求められる。正確な読解ができなければ、それを図解、表現することも困難なため、読解力の向上に努める必要がある

 

実際に、どのような場面で図解を使うか
・案件へ取り組む前に、その仕事に必要な要素を洗い出すために
・取引先と1つのプロジェクトを進める際、お互いに確認済みのこと、これから確認の必要があること、期限内にやらなければならないことを共有し示すために、表を用いる。(要は抜け、漏れがなく仕事を進めるために)

 

今後、どのような場面で図解の思考を仕事へ活用していきたいか
案件前に表に必要な要素を記し、作業へ取り掛かってみる。
必要な項目を分類し漏れ、抜けを無くすには表の活用が、とても有効的となる。同じ種類の情報を並べる(分類)するのに活用でき、分類をした際空白となっている箇所が、そのまま漏れを表したりする。自分はGoogleドキュメントのマークダウンで作業前に必要な要素を纏めることが多いが、今後は表も使っていきたい

また、自分自身必要な作業が分からなくなっており作業に時間が掛かっている、という場合は、作業に必要な項目を一先ず視覚的に分ける、ということをやっていきたい。
上記を行うのには、本によると付箋紙が有効らしい。分からない要素、項目を一先ず付箋に書き、それを分類していくなかで自分が整理できるもの、できないものが明確化され、ゴールに近づくことが多い。
仕事では自席の近くにいる方がプロジェクトの優先度を明確化するためにボードに付箋紙を貼って使っているが、私はもっとtinyな単位、まずは自分の持っているプロジェクトにおいて諸々の要素を示し必要な作業を洗い出すために、付箋やボードといったものを活用していきたいと思う。

どのレベルで冗長を考えるか

冗長化とは同じ機器を並列に並べ(同じ機能を持った機器を2つ並べていると考えると、イメージしやすいと思う)、片方が機能を停止しても、もう片方で機能を維持できるようにする、というものだ

 

冗長化させるものはハードウェアで言うと

 

ソフトウェアは簡単に言うと

  • 機能

で分けて良いと思う。後者のソフトウェアはDNS、DB、アプリケーションサーバ等あるが、最近はハードウェアの領域がソフトウェア側に吸収(例えば仮想化、laas等に)されていて、サーバは特にそれが顕著だ。ネットワークも今は物理的な機器を用いることが多いが、これも、これからは仮想化されていくだろう

 

仕事においてはハードウェアについて考えることが多いが、
特に電源には注意を払う必要があるように思える。例えばラックに使える電源の系統が1つだけだと、ラック内の機器を冗長させていても、1つの電源系統に繋がっている機器は落ちてしまう。電源の冗長についても、A、B系統の電源がラック内に敷設されていることが必要となる

arpテーブル

機器交換や入れ替えでarpテーブルのキャッシュが問題になるなら、テーブルの保持時間の長い機種が問題になりうるんだよな…Windowsは2分くらい、MacWindowsに近い時間保持している。だがCISCOのルータは1時間位保持時間があるため、こうした機器に隣接された機器が交換、入れ替えをされた際問題になるんだよな…?

『ネットワーク技術&設計入門』を読んで

2回ほど読む。各章については、

 

第1章 物理設計
第2章 論理設計
第3章 セキュリティ設計・負荷分散設計
第4章 高可用性設計
第5章 管理設計

 

と構成されているように、設計を軸に書かれている。
実際に自分で触ったことがあるファイアウォール、例えばfortigateを触ったことがあるのなら、第3章のステートフルインスペクションは、コネクションテーブルをもとに行われている、というのがfortiのポリシーを指していると分かる。本によって+α、こうした機能は通信制御機能といってFWの持つステートフルインスペクションと、ルータ・L3スイッチでできるパケットフィルタリングに大別されると分かった。以前どこかの講義でCISCOのアクセスリストについて聞いた際、fortiのポリシーと同じようなものかと私は思っていたが、コネクションとパケットベースで見れば、それは同じものではないと理解できた。

 

他にはfortiは戻りの通信は書かなくて良いと以前業務で聞かされていたが、これはベース、処理の仕方の違いに起因するものだと分かった。ステートフルインスペクションは戻りの通信を動的に処理してくれるが、パケットフィルタリングは、そのようなことはしない。戻り用の通信ルールをパケットベースで許可することはセキュリティリスクになり得るらしい。httpでクライアントに対する送信元ポート番号はデフォルトで「80」1つだが、宛先ポートはOSがランダムに選ぶ「1024~65535」となる。パケットフィルタリングでは、この宛先ポート番号を幅広く許可しなければならず、この状態でサーバを乗っ取られると、攻撃者に好きにやられてしまうそうだ。

 

この本は内容が深くセキュリティ、ステートフルインスペクションを読んだ感想だけでも長くなってしまった気がするが、次は他の項目、例えば「論理設計」を読んだ感想についても述べてみたい。