Windowsパソコンとの戦い!from仙台ブログ内を検索する
Google
 
Web pcnet.seesaa.net

Google パックの特長
・Google が選んだおすすめソフトウェア
・無料。 トライアルでもスパイウェアでもありません
・数回のクリックですぐにご利用いただけます
googlepacks.gif

2006年01月12日

Path MTU Black Hole

まいど、どうもです。最近、手あれがひどいです(>_<)前にも東京に1年間出張へ行っていたとき、手あれになりました。皮膚科に行くと、「何か薬品扱っていますか?」といわれましたが、もちろん扱っていません。家で食器洗いをするくらいです。

確かにシャンプーを薬品とすると、シャンプーを替えたことが気になりますね。あとは、手を洗ったあとにちゃんと拭いていないと荒れるようです。もしかしたら、冬は脱皮の時期なのかもしれませんけどね・・・。

1月14日(土)は恒例の「どんと祭」がありますね。みなさんは行かれるでしょうか?
大崎八幡宮 松焚祭
塩竈神社 松明祭
竹駒神社 どんと祭
愛宕神社 どんと祭
その他、詳しくは宮城県のホームページでご確認ください


さて、今日はネットワーク関連のお話させていただきましょう!
今回、本支店間をNTTのBフレッツグループアクセスを利用してIP-VPNを構築しました。ルータ間のICMPによる通信は問題なく共有サーバとの接続もOKでした。

数日後、ある特定の本店サーバと通信できない、通信が異常終了してしまうということが発生しました。今回IPsecを利用しているので、通信が途切れてしまうのはそのせいでした。ライフタイムでSAが切断されてしまうのです。それは前にブログで書いたようにキープアライブの設定をすることで回避できました。

しかし、本店サーバとの通信ができないのはすぐに分かりませんでした。そのため、本支店間のルータのデータをスニッフィングしました。すると、支店から本店サーバへの通信(SYN)は通過しているのですが、本店サーバから支店ルータへの戻り(ACK)がないことが分かりました。

他の本店サーバとの通信は正常である特定のサーバのみ通信ができないということが判明したので、このサーバに何かありそうだなということになりました。色々と探っていくと、またまたIPsecに行き当たりました。

IPsecで暗号化されたパケットは、元のパケットに比べて長くなります。元のパケットの長さがMTUに近いときには、パケットのフラグメントが必要になります。そこで、本店サーバでは、Path MTU Discoveryという方法で、なるべくフラグメントが起きないようにパケットの長さを抑制することが必要になります。

Path MTU Discoveryは、 DFビットというフラグを立てたパケットを送信します。 DFとはフラグメントの禁止を意味します。今回の場合、本店のルータは、DFビットを立てたパケットのフラグメントが必要なので、本店サーバに対してICMPを返します。本店サーバは、このICMPを受け取ることでパケットが長すぎることを知り、パケットをより短い長さに抑制するはずです。

ここで分かったのがこの本店サーバではFireWallでICMPは遮断され、Path MTU Discoveryを行えないことでした。ここで、ようやく問題は「Path MTU Black Hole」だと確定したのでした。

通常、IPsecを利用しない場合のMSSは次のように設定します。

pingをDFビットをセットして実行し、応答が返る最大サイズを確認してください。
最大サイズを特定できた時点で、TCP MSS調整機能を使用します。
>ping 192.168.100.100 -f -l 1472

ping の -f オプションは、「フラグメントしない」オプションです。

Reply from 192.168.100.100: bytes=1472 time=1ms TTL=127の場合

上記のように応答がある場合は、最適値を求めるために1づつ増やしていきます。1づつ増やしていき「Packet needs to be fragmented but DF set」のメッセージが表示された場合は、通信ができていないということですから、その1つ前の値が最適値になります。


「Packet needs to be fragmented but DF set」の場合
フラグメント化する必要があるということですので、最適値を求めるために1づつ減らしていきます。1づつ減らしていき「Reply from 192.168.100.100: bytes=1365 time=1ms TTL=127」のように通信ができるようになったところが最適値になります。


ネットワークのMTUは以下のようになります。
MTU =「最適値+8(ICMPヘッダ)+20(IPヘッダ)」

ネットワークのMSSは以下のようになります。
MSS = MTU - 40(TCP/IPヘッダ)


今回はさらにIPsec利用時ということであり、さらに小さな値になりました。

Bフレッツ(MTU=1454)、3DES/SHA1使用
1454 - 12(SHA1) - 8(3DES) - 8(ESP) - 20(IPv4) = 1406byte

MTU = (1406 / 8 の整数部) × 8 - 2= 1398byte
MSS = 1398 - 40 = 1358byte


(参考)
Path MTU Discovery Black Hole 問題と対処
MTU/RWIN入門編


以上は仕事の話でした。実際に家庭で変更するときは是非、簡単なツールを利用することをおすすめします。僕が使ってみて簡単でしたのは「EditMTU」です。

MTU1.jpg

[自動設定]の画面を選択して、速度とサイトを選んで「設定開始」ボタンを押すだけで最適な数値をパソコンにセットしてくれます。簡単ですなぁ〜(^o^)丿

ここらへんでおやすみなさいm(__)m

皆さんの力でベスト10入りをお願いします!!
banner_03.gif

posted by たかし at 23:13 | 宮城 ☀ | Comment(3) | TrackBack(0) | SEのお仕事
この記事へのコメント
こんにちはー。
最近、超専門的ですね(^^;
ぶっちゃけ、学校より勉強になりますわw

てか、たかしサンは家で食器洗いをされるんですか〜。家庭的ですね☆
僕も手荒れがひどくて、こっちのひび割れが治ったと思ったらあっちがひび割れしてって感じです;
お互い頑張りましょうwww
ではでは〜
Posted by chicago at 2006年01月12日 23:59
まいどです。

最近は仕事中心の生活になってしまい、備忘録もかねてブログに残しているような感じです。まぁ、なんとなく雰囲気をつかんでもらえれば良いかなと思っています。

僕は家事は嫌いじゃない方で自分でやります。でも、面倒くさがりなので、さぼりも多いですけど・・・。

手あれは参るね、パソコンのキーボードが原因なのかなぁと少し思います。指先だけ荒れているから!

これからもよろしくお願いしまっす(^o^)丿
Posted by たかし at 2006年01月13日 22:07
グッチ ブレスレット メンズ
Posted by gucci マテラッセ 財布 at 2013年07月17日 09:54
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。