ふたひねりきかせたOpenFlowの利用事例 | さくらのナレッジ
ということでOpenFlow、なんですが、仮想化・抽象化されたネットワークにおけるサービスの提供といった、いわゆるSDNの手法として導入されるケースが一般的かと思います。 しかし本稿でご紹介するのはそうした事例とは全く異なるもので、OpenFlowならではのクリーンなAPIとハードウェアスイッチの処理能力を生かした、効果的なDDoSアタック防御の手法です。 以下の内容は、ネットワークエンジニア向け情報サイト、Packet Pushersのコミュニティブログに寄稿した3本の記事をさくらのナレッジ向けに書き直したものです。 お題目 大規模DDoSアタックが発生すると、さくらインターネットのネットワーク網(以下:当社ネットワーク)への複数の入口から攻撃パケットが一気に流入してきます。 こうした大量のパケット流入によるネットワーク帯域輻輳を防ぐために、以前から当社ではd/RTBHという手法で対応し
10GbE時代のネットワークI/O高速化
2015.10.3 にOSC2015 Fukuoka(@九州産業大学)で講演した資料です。 PacemakerとPostgreSQLのレプリケーション機能を組み合わせた「PG-REX」(*)は、共有ディスクを使用しない安価な構成で、商用運用にも耐える可用性を実現することができます。 このPG-REXを含むPacemakerによるクラスタ構成は初期構築後、実際の故障が発生した際にその効果を発揮しますが、ログやコマンドが複雑で、フェイルオーバの原因を突き止めたり、 その後に正しい状態に復旧する方法がわからない、といった問い合わせを受けることが多々あります。 そこで、デモでも使用しているPG-REXを例として、故障内容によるPacemakerの挙動の違い、および原因解析方法、復旧方法を、実例を挙げながら網羅的にご説明します。 * PG-REXのコミュニティも立ち上げ、普及に努めています。 コミュ
[Linux] 同一ネットワークの複数IPアドレスを割り当てる際の注意点 | EastCamp
一台のLinuxマシンに同一ネットワークの複数IPアドレスを割り当てる際には注意が必要。[Linux] 同一ネットワークの複数IPアドレスを割り当てる際の注意点 一台のLinuxマシンに同一ネットワークの複数IPアドレスを割り当てる際には注意が必要。 ARP応答に関する問題 LinuxカーネルのARPに関する仕様が以下のようになっているため。 LinuxではIPスタックの処理をカーネルが担当しているが、ARP解決要求に対する返答は以下のロジックとなっている。 クライアントからARP解決要求のブロードキャストを受信 カーネルは自身の持つIPアドレスとマッチするかを検査 ARP解決要求を受信したインタフェースのMACアドレスをARP応答として返す。 2において、このときIPアドレスがどのインタフェースにバインドされているかは特に関係が無い。 これにより、同一ネットワーク(同一ブロードキャストド
netflowでネットワークフロー解析(softflowdでサーバをセンサにする)
目次 はじめに cat2940のmonitor session設定 softflowdのインストール softflowdの起動 softflowdのフロー送信確認 softflowdの起動シェルの設定 softflowdでフロー統計データを表示させる サーバ環境 製品名 OpenBlockS 600/R CPU 600MHz(AMCC PowerPC 405EX) メモリ 1GB(DDR2 SDRAM) ストレージ 8GB(Compact Flash) はじめに サーバやPCなど、フローの送信元や送信先となる機器とは異なり、様々なトラフィックが集約されて流れるネットワーク機器ではアプリごとにどのぐらいトラフィックが流れているかの割合を調べたり、どのようなフローがネットワークを占有しているかなどを簡単に確認することができません(フィルタを細かく書いたりキャプチャ装置をはさんだりすれば可能です
Pragmatic software defined networking
The article, Fabric: A Retrospective on Evolving SDN, makes the case for a two tier software defined networking (SDN) architecture; comprising a smart edge and an efficient core. Smart edge Network Virtualization: a next generation modular platform for the data center virtual network describes the elements of the Nicira/VMware network virtualization platform which represents the current state of t
拡張されていくL2、でも、ネットワークはそれだけじゃないよね? - Simple is Beautiful
エントリーを書き始めたら前置き部分だけでちょっと長めの文章となってしまったので、グダグダ感は多少ありますが…公開しちゃいます…。最近、Blogエントリー書けていなかったもので…。3月に1つもエントリーも公開していないってのも…寂しいな、とm(_ _)m Hypervisorにおける仮想スイッチはその名の通り、論理的な(ソフトウェア)スイッチです。基本的には、L2レベルでEthernetフレームをスイッチングする処理を行います。VLANタグの付加や取り外し、トラフィックシェーピング、QoS制御、ACLコントロール、SPAN/RSPAN等々、様々な機能を提供していることもありますが、とはいっても基本はMACアドレスに基づく通信制御を行うことこそが役割といえます。そういう意味では、物理スイッチと物理サーバの関係性をそのままソフトウェア化したものが仮想スイッチと仮想マシンの関係、ともいえます。 物
小悪魔女子大生のサーバエンジニア日記 » Blog Archive » OpenSSLでSSLの様子を見てみよう!
30.10.10 / webのこと / Author: aico telnetでSSLの様子を見てみましょう! telnet www.directorz.co.jp 443と入れて、GET / HTTP/1.0と入れます。 telnet www.directorz.co.jp 443 GET / HTTP/1.0 すると、サーバ側からこのように返ってきます。 <!DOCTYPE HTML PUBLIC “-//IETF//DTD HTML 2.0//EN”> <html><head> <title>400 Bad Request</title> </head><body> <h1>Bad Request</h1> <p>Your browser sent a request that this server could not understand.<br /> Reason: You’r
L1スイッチの使い道 - sanonosa システム管理コラム集
L2~L4スイッチあたりは馴染みがある人が多いと思いますが、L1スイッチについては聞いたことすらない人も多いのではないでしょうか。L1スイッチは大規模サイトでは必須と言っても過言ではないくらい重要となります。というわけで今回はL1スイッチについて記してみます。 【L1スイッチとは?】 L1スイッチとは、物理層で切り替え(スイッチ)することのできるネットワーク機器となります。ある意味パッチパネルでの切り替えを電気的に行える機械とも言えます。かつ市販されているL1スイッチではメーカー毎に様々な機能が付加されている場合が多いです。 ※余談ですが、レピータHUBもレイヤー1に該当しますが、レピータHUB自体にスイッチ機能はないのでレピータHUBがL1スイッチかと問われると微妙な気がします。 【L1スイッチのよくある使い道: ログ分析&IDS】 大規模サイトでよく使われる用途としてはログ分析&IDS
さくらのVPSでiPhone用の野良WiFi通信傍受対策のL2TP/IPsec(VPN)を設定したメモ(CentOS5) - nori_no のメモ
野良WiFiの危険性については、こちら[FONなど野良WiFiの通信内容傍受の危険性について - nori_no のメモ]に書いた通りですが、さくらのVPSを借りたので、iPhone で FON などの野良WiFiに接続したときの盗聴対策用 L2TP/IPSec (VPN)サーバの設定をしてみました。 ※見よう見まねで設定していますので、突っ込み歓迎です。 L2TP/IPsecについては先日試したところ失敗したので[とりあえずPPTPで設定していた]のですが、今回は何とか成功しました。 ただし、PPTPの時のように確認できるすべての環境で接続可能とする事はできませんでした(「WindowsXPでの接続不具合」の項参照)ので、まだ改善の余地があるのだと思います。 openswan, xl2tpd のインストール 設定方針として、CentOS5.5の標準カーネルはそのまま(2.6.18)として
リモートのマシンで、iptablesでなんかいじる前に保険をかけておく - (ひ)メモ
#!/bin/sh # 保険をかける # echo '/root/clear-iptab' | at now + 3min # とか # echo '/root/clear-iptab' | at 13:00 # で。 # # そしたら iptables でなんかいじって、 # iptables ... (as you like) # 成功したら at の job を削除しておわり。 # atq # atrm N # 失敗したら正座して祈る。 iptables -F iptables -X iptables -Z iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT 追記: 2010-01-09 http://ya.maya.st/d/201001a.html#s20100107_1 で言
連載 IPv6 入門 - 第一回 IPv6 の概要
こんにちは。Windows プラットフォーム サポートの勝尾です。 本シリーズでは、Windows Server 2008 / Vista 以降の OS で標準搭載された IPv6 について解説します。 IPv6 の必要性については、IPv4 のグローバルアドレス枯渇や NAT による延命措置を根本的に解決するテクノロジーとして何年も前から唱えられてきました。それにも関わらず、エンタープライズネットワークにおいて IPv6 の必要性やメリットを身近に感じることはなく、今のところ導入事例もほとんどないというのが実情かと思います。ネットワーク機器側の対応に比べ、端末 (OS やアプリケーション) 側での対応が遅れていたことや IPv6 導入の決め手となるアプリケーションの不在という点が要因として挙げられるのではないかと思います。 しかしながら、Windows Server 2008/Windo
こんなに便利だったなんて…試してわかったWiMAXの本当の魅力 : らばQ
こんなに便利だったなんて…試してわかったWiMAXの本当の魅力 テレビCMやIT系ニュースでもよく見かける、UQコミュニケーションズの提供するモバイルWiMAX(ワイマックス)。最新の通信方式を使った、理論値では下り最大40Mbps、上り10Mbpsの現在最速※のモバイルデータ通信サービスです。 ※あくまで理論値であり、実際の速度は状況により異なります。 と、これだけ聞いて「なんだ、また新しい通信会社ができたのか」と思っただけだったのですが、いざその中身を知り実際に試してみると、今までのモバイルサービスとは比べものにならないくらい魅力的なサービスでした。 モバイラーはもちろん、携帯ゲーム機やPDA、パソコンを数多く持っていたり、家と外でネット代がかさんでいる人、逆に滅多にネットを使わない人にも最強と言えるWiMAXの魅力は続きからどうぞ。 今までの常識が全く通用しない、全く新しいサービス形
Kazuho@Cybozu Labs: TCP通信ではデータの送信をまとめて行うべき、もうひとつの理由(& サーバのベンチマーク手法の話)
TCP通信をするプログラムを書く際に「データの送信はまとめて1回で」行うべき、というのは鉄則と言っていい、と思います。その理由としては、パケット数を最小限に抑えることでオーバーヘッドを少なくするためだと一般に説明されますが、自分はもうひとつポイントがあると考えています。次のグラフを見てください。 グラフは、一定量のデータを転送するのにかかる時間と使用するブロックサイズ(1回のwrite(2)で書き込むサイズ)の関係を表したものです注1。 ホスト間のTCP通信を行っている場合は、TCPのバッファが有効に機能するので、ブロックサイズ(=パケット数の逆数)による速度の変化は、ほぼありません。一方、同一ホスト上で通信を行うと、ブロックサイズと反比例して所要時間が反比例の関係にあることがわかります。 原因は、同一ホスト上の通信では、送信プロセスがwrite(2)を呼ぶたびにコンテクストスイッチが発生
ウノウラボ Unoh Labs: サーバのネットワーク速度の調査/測定方法
こんにちは。kyagi です。先日データセンタ内のサーバ群のうち、なぜか特定の1台だけネットワークの速度が極端に遅いという問題がありました。今回はサーバマシンのネットワーク速度の測定方法と原因についてお話しします。同様のトラブルが発生している方のお役に立てば幸いです。問題解決までの手順としては以下になります。 1. 現在の状態を調べる 2. ハード/ソフト含めて考えられる原因をいくつか挙げる 3. 原因について改善されるまでひとつひとつ検証していく まず現在の NIC の HW 情報とドライバを lspci で調査します。ここでは Broadcom の NetXtreme BCM5722 という NIC を使用していることがわかります。 # lspci -vvv | grep Ether 01:00.0 Ethernet controller: Broadcom Corporation
PCユーザーも、前からこういうの待っていた──3G無線LANルータ「Pocket WiFi」の可能性
PCユーザーも、前からこういうの待っていた──3G無線LANルータ「Pocket WiFi」の可能性(1/2 ページ) イー・モバイルは10月29日、3Gデータ通信機能を内蔵する小型無線LANルータ「Pocket WiFi」(D25HW)を発表、11月18日に発売する。 スペックの詳細や価格については「イー・モバイル、上り最大5.8Mbpsの3G対応モバイルWi-Fiルータ「Pocket WiFi」」を参照願いたいが、3G回線をルーティングし、無線LANで共有できる特徴により、これまで1台のPCでのみ利用できたデータ通信をPC以外の無線LAN搭載機器──例えばiPod touchやニンテンドーDSi、PSPなど──でも出先で利用できるようになるのが最大の特徴だ。国内においては、イー・モバイルのサービスエリア全域が自宅や公衆無線LANサービスと同様の“無線LANエリア”になるイメージで、似た
「WEP」はもう危険? 家庭の無線LANセキュリティ対策を考える
無線LANの暗号化方式「WEP」が、わずか10秒で解読されるという発表がコンピュータセキュリティシンポジウム2008で行われた。今回の特集ではWEPの危険性を踏まえた上で、家庭内で行える無線LANのセキュリティ対策について考えていく。 ■ 「WEPは約10秒で解読できる」と大学教授が発表 2008年10月に開催された「コンピュータセキュリティシンポジウム2008」で、神戸大学と広島大学のグループから無線LANの暗号化方式である「WEP」の解読にわずか10秒で成功したという興味深い発表がなされた(関連記事)。 無線LANは、電波を利用することで、面倒な配線をすることなくPCやゲーム機などをネットワークに接続することができるという利便性を持つ反面、そのセキュリティも問題になりがちだった。PCやゲーム機の間を流れるデータが電波の形で存在するため、これを盗聴することでその内容が第三者にも見えてしま
[ネットワーク編]仮想ネットワークを物理ネットワークと同じに考えてはいけない
最近は仮想化技術の普及がめざましく,仮想マシンと仮想マシンの間,もしくは仮想マシンと物理マシンの間に仮想スイッチが介在するようなネットワークが増えている。もちろん,仮想マシン自体のネットワーク・インタフェース・カード(NIC)も仮想化されている。しかし,仮想化されたスイッチやNICで構成するネットワークでは気を付けることが多い。仮想ネットワークを物理ネットワークと同じに考えてはいけないのである。 物理ネットワークと接合するセグメントを広範囲にしてはいけない 仮想スイッチや仮想NICの動作に関するトラブルは,基本的にL2(レイヤー2)レベルの現象である。対策としては,セグメントを分けることが基本になる。仮想スイッチの動作に起因する具体的なトラブルの例をもとに説明しよう。 この環境では,フラッディングという通信の増大によって,広域イーネット網のネットワーク性能が著しく低下するという現象が発生し
![[ネットワーク編]仮想ネットワークを物理ネットワークと同じに考えてはいけない](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
イー・モバイルが通信速度を一気に3倍に引き上げ、次世代PHS「XGP」やWiMAXに猛追
データ通信サービスをメインに事業を展開している携帯電話会社のイー・モバイルが通信速度を一気に現在の3倍に引き上げることが明らかになりました。 いよいよUQ WiMAXが提供する「WiMAX」や、ウィルコムの次世代PHS「XGP」といった次世代高速通信サービスが本格的に開始されますが、イー・モバイルは通信速度を一気に引き上げることで対抗するようです。 ※12:27に追記しました 詳細は以下から。 携帯回線データ通信の受信速度3倍に イー・モバイル モバイル-最新ニュース:IT-PLUS 日本経済新聞社の報道によると、イー・モバイルは8月上旬から通信サービスの速度を現在の約3倍に引き上げるそうです。 これは現行の第三世代携帯電話(3G)に無線の変調方式などを改良するといった応用を加えた「HSPA+」という通信規格を国内で初めて導入することにより実現するもので、データ受信速度が現行の最大7.2M
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
LANケーブル配線.com| データセンターの安定稼動を実現する技術情報サイト
新潟