- PR -

光プレミアム(西日本)でVPN

1
投稿者投稿内容
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2007-10-06 16:55
件の問題を抱えていましたが、無事に構築できそうなので、報告します。

◇光プレミアムについて
・NTT西日本のフレッツ網の名称で、内部網はIPv6化されています。
・網内通信は、IPSec/IPv6を使用してますので、VPN構築には注意が必要です。
・レスポンスが思ったより良いので、利用しないのは勿体ないです。
 Bフレッツ拠点同士で20ms程度なのがプレミアムだと10msです。
 Pingで63バイトで試験しました。64バイトだとWAN間のPingは疎通できません。

◇今回のVPN構成
・JuniperのSSG-140をHA構成し、本社に設置。PPPoEで接続。
・子会社、グループ会社にはSSG-5を設置。PPPoEで接続。

コード:

   (User LAN)

     |

   [L2Switch]

   |   :

[SSG140]--HA--[SSG140]

   |   :

   [L2Switch]

     |

    [CTU]

     |

    [G-PON]

     |

     |

    (IPv6網)──[G-PON]─[CTU]─[SSG5]

     |

    (IPv4網)──(Bflets)─[MDM]─[SSG5]

     |

     └───(ADSL)─[MDM]─[SSG5]

◇ポイント
・CTU設定の、Firewall機能を無効にする。
・CTU設定の、PPPoE機能をONにする。
・CTUのISP接続は、すべて切断する。
・VPN機器のWAN側インタフェースのMTUを1438バイトに設定する。
・VPN機器のMSSを1304バイトに設定する。
・WAN間のPingは、63バイト以下でないと通らない。

CTUのPPPoE機能というのが、ブリッジなのか、プロキシなのか不明ですが、
CTUの追加機能として昨年の8月から実用化されているようです。
この構築が一年半前だったらと考えると、ぞっとしました;
(UDPカプセリングすれば良いだけらしいですが、、)

MSSについては、JuniperのSSGでPPPoE設定するとデフォルトで入ります。
MTUは明示的には入りませんが、MSSが充分小さいので問題ないと思います。
OSのバージョンは、5.4.3でした。
他社の設定例では、PPPヘッダ圧縮を無効にするというのもありましたが、
SSGではそこまで追い込んでいません。

無事に開通できたものの、IPSec→PPPoE→v4/v6変換→IPSec/v6→v6/v4変換
というカプセリングや変換のオーバーヘッドがあるので、気持ち悪いのも確かですが、
それを踏まえた上で、レスポンス10msというのは、非常に魅力です。


_________________
_福田太郎_

[ メッセージ編集済み 編集者: たらお 編集日時 2007-10-06 20:11 ]
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-10-09 09:35
こんにちは。情報提供ありがとうございました。

可能ならスループットに関する情報も追加願えると幸いです。
個人的に
>v4/v6変換→IPSec/v6→v6/v4変換
ここの部分でどの程度スループットが落ちるのかが気になるところです。
実装した通信機器の性能によるので正確な情報提供は無理かと思われます
ので、感覚的な回答で結構です。

IPv4だけの場合、VPN無しだと40MbpsがVPN設定すると4〜8Mbps程度とか
大雑把な情報で十分です。
# 本音は通常のVPNにv4/v6変換が入ることでどの程度ロスが増えるのかが
# 最も知りたい部分です。
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2007-10-09 22:27
VPN経由のレスポンス/スループットは以下の通りです。

Bフレッツ拠点WAN←→プレミアム拠点WAN
 ICMP 63Byte 10ms
Bフレッツ拠点LAN←(VPN)→プレミアム拠点LAN
 ICMP 64Byte 16ms
 ICMP 100Byte 18ms
 ICMP 512Byte 20ms

OCN-ADSL拠点WAN←→プレミアム拠点WAN
 ICMP 63Byte 20ms
OCN-ADSL拠点LAN→プレミアム拠点LAN
 1MB SMB転送 約8秒

Nifty-ADSL拠点WAN←→プレミアム拠点WAN
 ICMP 63Byte 60ms  #IX経由のため遅いようです。

などと記憶してますが、もう少しマトリクスをきちんとして測りたいですね。
TCPでのスループットは、ACKの返りレスポンスが大きく影響しますね。
来週4拠点の工事を予定していますので、余裕があれば、、。

内訳は、
プレミアム拠点x2 OCN-ADSL拠点x1 Nifty-ADSL拠点x1 です。
プレミアム対地のレスポンスが楽しみです。


_________________
_福田太郎_
1

スキルアップ/キャリアアップ(JOB@IT)