ネットワーク Archive

ハードウェアがぶっこわれました。

そんなワケで、大体環境構築のため、通常より2時間早く出社です。
めちゃくちゃ早いワケではないけど、このたった2時間の違いがもうホントマジやめてください的に眠い。習慣というのは大事だね。

ハードウェア系の故障は厄介です。こういう機械って、わりとアナログな壊れ方しますよね。「使えるか使えないか」ではなくて、中途半端になんとかエラー訂正だとか再試行だとかを行ってくれるお蔭で、正常じゃないのになんとかギリギリ機能したりすると、「なんか調子わるい気がするな…」程度の問題しか起きなかったりします。んで、それに気づけないと、ある日突然システム全体を巻き込んで止まったりして。

そもそもPCとかもエラーって結構頻繁に起こってますしね、実は。「デジタルだから劣化しない！」という話がありますが、実際はデジタルでもエラーなんかでデータが壊れることはままあります。だから、CDやCD-ROMなどはエラー訂正で多少の傷があっても読み取れるようになっていたりするし、通信技術なんかはことごとく、パリティやハッシュ値といった冗長なデータをくっつけて（まあ、検算用の数値だと思ってください）、エラーがあっても正しいデータに訂正できる仕組みがあります。
あとメモリもサーバー用はECCというのがついてますが、コレも上と似たようなモノで、エラーが発生しても修復できるようにする機能です。実際にエラーが発生する頻度は、フル稼働していても1年あたり1ビット程度だそうですが、それでも正確さが求められるサーバー機では、わざわざECC付きの高いメモリを使ったりするワケですね。PC用では逆にコストが上がりすぎるため、ECCなしのメモリが使われています。

他にも、メモリは結構初期不良があるものも少なくないのですが、動作するからOKではなくて、動作してるのに何かエラーがやたら出たりする。メモリテストしてみたら異常メモリだった…なんてこともあるので注意が必要です。自作erはmemtestというメモリテストプログラムで、読み書きに異常がないかを調べる人が多いですね。

話が逸れましたが、サーバー1台だけでなくネットワークも絡んだ複雑なシステムになってくると、原因を絞り込むのが結構大変だったりします。プログラム・サーバー（OS）・サーバー（ハード）・ネットワーク・外部ネットワークのどこが原因かわからないワケですから…。そういう意味では、知識だけじゃなく経験も重要な職種だなーと思います。

個人的に、今まで兆候を感じて実際に故障した経験があるのは以下。PCで経験したものも多く含みます。

• HDDのIOが遅い（数回）。SMARTがエラーを検出するギリギリ水準以下のレベルでエラーが頻発してたので、正常稼働しているように（表示上は）見えた
• CD-ROMドライブ系で、OSインストールなどが失敗しまくったり、焼きミスが頻発（2回）。レーザー部の劣化が原因。ただ、しばらくリトライしているとレーザーが温まって成功率が高まったりするので、何度か試しているうちに「あ、大丈夫だった」と見逃してしまう危険性がある
• ルータ異常で内外の通信がやけに遅い（何度か）。トラフィックが増えると起こりがち
• 電源が時々落ちる（2，3回）。電源ユニットが安物だったり劣化してると起こる。自作ではケチりがちな部分だが、案外故障の原因になるので1万程度はかけたほうがいい

わりと、PC自作なんかで個人的に経験したものは、仕事でも時々役に立ったりしますね。

最近のネットワーク機器、買ってきて図通りに接続したら、簡単に接続できるものが多いですよね。その中で最近「コレ恐いよなぁ」と思ったのが、無線LANルータ（アクセスポイント）の設定。
無線アクセスポイント、個人どころかオフィスしかないような場所でも、暗号化も接続制限もせずに、一般開放状態、生データだだ漏れなケースって結構ありますよね。ていうかあり過ぎる。メーカーもそこまで簡単に出来ることを目指すなら、暗号化設定も「かんたん設定」の中に含めておけよ、と思うんだが…。

個人的には良くわからないものを使うのは恐いので、自動設定を使うことは普通ないのですが、説明書などを見ても

1. PCや回線に接続
2. プロバイダなどの基本的な情報の入力
3. インターネットに接続できているか確認

くらいの後に「暗号化しないとタダ乗りや情報漏れます、設定する場合の方法は…」と書いてある。でもネットにさえつながれば後は読まない人が多いのは予想されるワケで、なんでそこは簡単設定に含まれてないんだろうか。確かに予備知識のない人には少し難しいかも知れないが、公衆アクセスポイントでもない限り、無線なんて暗号化して使うのが普通だろうと思う。「かんたん設定」などを

1. PCや回線に接続
2. 暗号化設定
3. プロバイダなどの基本的な情報の入力
4. インターネットに接続できているか確認

…などといったように、暗号化を一過程として入れてしまえば、意図的にスキップや解除しない限りは開けっ放しのAPが少しは無くなるだろう。

ただ、問題はたくさんある。とにかく「かんたん」にするには複雑すぎるのだ。現行機は一般にIEEE802.11a/b/gに対応していて、暗号化もWEP64/128、WPA/WPA2あたりに対応している。WEPは脆弱性があることを注意する必要があるが、所有者の多いNintendo DSはWEPにしか対応していない。手元のAPはIEEE802.11aとb/gでキーや暗号化方式を変えられるので、ゲーム機や古いデバイスとそれ以外で通信方式を分け、WEPにしておく方（おそらくb/gのほう）はMACアドレス制限をしておかないと、WEPの脆弱性を突かれた場合、通信内容がゲームのデータ程度で漏れて問題なくても、タダ乗りされる恐れがある。

さて、じゃあ「かんたん設定」の中でこれを分かりやすく説明しようか、といってもたぶん無理だ。少なくとも無線LANの規格が複数あること、暗号化方式が複数あること、WEPの脆弱性、盗聴の可能性、タダ乗りの危険性、それ以前になぜタダ乗りされることが危険なのか、程度まで理解している必要がある。「かんたん」どころか、分厚いマニュアルを読むのと変わらない。

一方で、そのような予備知識のない人にとってみれば、「え？無線LAN対応って書いてるけど、それだけじゃダメなの？」「電波なんて見えないから盗聴できないでしょ」「タダ乗りされてもネットタダで使われるだけだし、常時接続だから別に損しないし…」といったところじゃないだろうか。

インターネット人口が急増しはじめ、ISPや回線業者、PCメーカーがこぞって宣伝し始めたのを目の当たりにしていた頃は、（おいおい、そんなノリでPC買って最初だけ業者が設定したって、後でトラブルが起きたらどうすんの…売ったら終わりとは無責任な売り方だなぁ）と、そんな状況に批判的なイヤなガキだった。でも、今だって普通の人がワケわかんないものを「簡単だ」といって売るのは無責任な話だと思う。
ネットが普及した恩恵のほうが大きいじゃないか、と言われそうだが、それも疑ってかかる必要があると思う。例えば生産性がそれで倍になったところで、労働時間は同じで２倍の仕事をさせられるだけだ。むしろ自動化が難しく人の手が介入せざるをえない部分に無理がかかるようになったり、盲目的な生産性向上指向に歯止めが掛からなくなってきているように思う。まあ早い話、便利になったけど、じゃあ１０年前より幸せになったか？ということが重要なワケで。技術の進歩＝人の幸せではまったくない。

そんな中でクレジット情報だの名簿だの犯罪歴リストだの国家機密書類だの…がボロボロ漏れてるのを見ると、専門かどうかという以前に、免許のない人にフグと包丁渡して食えっていうくらい無責任な話だと思うんだけどね…。普及させるなら、予備知識がない人であっても安全に使えることが最低限必要なことだと思うのだが。もちろん、それが出来た技術であれば、等しく誰もが恩恵を受けられるようになればいいと思うけどね。

今日はサーバーの話ではなく、故障したネットワーク機材の入れ替えをやったのですが、短時間ネットワークが止まるんだし、どうせなら邪魔なスイッチもとっぱらっちゃえ、ということで、社内LANの構成と機材を変更しました。しかし、止まってる間はさすがにハラハラもんですが、予定通りリンクしたときは「やっぱ楽しいなぁチクショー」って感じですね。

…というつながりで、今日はネタもないのでえらく簡単な話になりますが、リピータハブとスイッチングハブの違いです。

そういえば、数年前からシェアードハブ（リピータハブ）は店頭からめっきり姿を消して、普通に「イーサネットハブください』といったらまず間違いなくスイッチングハブが出てくるようになってますが、このふたつの違い、ご存知ですか？（今回はえらく低レベルな話ですが）

たとえば昔、途中に（シェアード）ハブをかませた場合、イーサネットの性質上、同じネットワークのすべてのPCに対してデータを送信してしまっていました。まあ、LANケーブルといっても結局はただの線ですから、つながっている部分すべてに電気信号が流れちゃうワケですよね。ところがこの方式だと、LAN上に複数のPCがある場合、誰かが回線を使っている間は、他の人は通信に待ちが生じるワケです。また、同時に通信を始めると当然衝突が起こるので、その場合は最初からデータを送り直す必要があります。基本的にイーサネットではCSMA/CDという方法で衝突を回避していますが、それでも同じネットワークに接続する人が増えれば増えるほど、通信待ち時間が伸びたり、衝突の確率が上がるなど、通信速度低下の原因になるワケです。

そこで現在主流になっているのがスイッチングハブ（スイッチ）で、例えば４ポートあるスイッチのポート１につないであるPCからポート４のPCにデータを送る場合、ポート２・３にはデータを送らないようになっています。また、ポート１→４、２→３という通信が同時に発生した場合でも、それぞれ別の経路をつくって同時に通信することが可能となっています。どうやって通信先を制限しているかというと、スイッチの中には接続されている端末のMACアドレステーブルが保持されるので、どこからどこへ宛てた通信なのかを判別して通信先を限定しているワケです。

さて、ハブを延長などのために用いられている方もおられますが、スイッチは経路判別処理を行う分、PCを１台しかつながない＝通信に待ちや衝突が起こらない場合に接続すると、リピータハブに較べてスループットは低下します。ですが、上のような理由から、２台以上で同時に通信する場合には、格段にスイッチのほうが高速になるワケです。

ところで、シェアードハブ（リピータハブ）は文字通りすべてのノードで回線をshareしている性質上、あて先以外のPCにもデータが送信されます。通常は自分宛でないデータは破棄されるのですが、パケットキャプチャソフトなどを使うと、あて先に関係なく、届いたすべてのパケットを受信することができてしまいます。悪用すれば盗聴などもできてしまいますが、ネットワーク管理という点では、妙なパケットが飛んでいないかなどを調べるのに結構役立つことがあるようです。

しかし前述のとおり、今シェアードハブはまず見かけることがありません。じゃあネットワーク監視するときゃどうすんの？となりますが、現在はインテリジェントハブなどというものを使うと、指定したポート（またはすべてのポート）のデータを、あて先ポートだけでなく、指定したポートにも送信するよう設定することが出来ます（ポートミラーリング）。…が、高いんだよなコレ… orz