アカウント名:
パスワード:
トラフィックの多いサーバが収容されているデータセンターだとそこがボトルネックになりかねません.
そもそもデータセンターでNATするメリットってあるんですかね.<<略>>VLANで全サーバのブロードキャストドメインを分けておいて,もったいないお化けが出ないようにNAT,ということならありかもしれない.
それって、ルータの選定に失敗してるんじゃ…いいえ.本来(なにが本来か知りませんけど)
それって、ルータの選定に失敗してるんじゃ…
のために無駄に高価なルータを購入する必要がでてきます.
私は,サーバ間での通信が必要だ,と主張しているのですよ.
VLANで全サーバのブロードキャストドメインを分けておいて,
「VLANで全サーバのL3を分けておいて」と書いた方がよかったですかね.<<略>>L3でVLANを使える高いスイッチが必要になりますよね。L3は必要ないですよね.L2SWはVLANスイッチングができればいいです.
L3でVLANを使える高いスイッチが必要になりますよね。
L3SWでやってもいいし,ルータでやってもいい,どちらでもいいです.
スイッチ折り返しでいいはずがルータ折り返しになるので,トラフィックの多いサーバが収容されているデータセンターだとそこがボトルネックになりかねません.
L3は必要ないですよね.L2SWはVLANスイッチングができればいいです.
たまたまそういう技術を使った案を思いついたというだけで.<<略>>そのたった一つの案について,ここまで技術的にブレイクダウンする必要があるとは思えません.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:0)
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1, 参考になる)
ルータと話せればいいだけだし(つーか、他のサーバとスイッチ経由で会話できるってだけで怖いと思うんだけどさ)
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
スイッチ折り返しでいいはずがルータ折り返しになるので,トラフィックの多いサーバが収容されているデータセンターだとそこがボトルネックになりかねません.
そもそもデータセンターでNATするメリットってあるんですかね.
データセンターの管理者にとってもサーバの管理者にとってもマッピングの管理/把握が面倒になるだけのような.
VLANで全サーバのブロードキャストドメインを分けておいて,もったいないお化けが出ないようにNAT,ということならありかもしれない.
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
あと、ルータなどのネットワーク機器や冗長化・負荷分散システムのアドレスを取られずに済むとか。
ちなみに、サーバ間で通信させたくないだけなら、マルチプルVLAN [allied-telesis.co.jp]ってのもありますよ。
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
いいえ.
本来(なにが本来か知りませんけど)ルータが処理する必要のないトラフィックですから,そのために無駄に高価なルータを購入する必要がでてきます.
>ちなみに、サーバ間で通信させたくないだけなら、マルチプルVLANってのもありますよ。
?
私は,サーバ間での通信が必要だ,と主張しているのですよ.
アドレス使用効率を高めるためのNATというのはこのご時世では有効かもしれません.まだアドレス配布もしていて,価格も上がっていない現状ではそこまでひっ迫しているという話はあまり聞こえては来ませんが,将来のために削れるところは削っておくところも出てきているんでしょうかね.
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
「VLANで全サーバのブロードキャストドメインを分け」る意味は何ですか?高価なルータを買うのを避けたいとすると、なおさら意図が読めないんですが。少なくとも、L2の安いスイッチで済むところが、L3でVLANを使える高いスイッチが必要になりますよね。
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
「VLANで全サーバのL3を分けておいて」と書いた方がよかったですかね.確かにマルチプルVLANでもブロードキャストドメインは分かれてしまうので.
同じL3のままL2を分割してしまうと隣のサーバと通信できなくなるので,L3を分けるという話です.別コメントでVLANを分ける話が出ていたのでそれを使ってみました.
>高価なルータを買うのを避けたいとすると、
これはNATを使うメリットを考えた時の案ですからね.
必要(でかつトレードオフする)なら導入すればいいのです.
>L3でVLANを使える高いスイッチが必要になりますよね。
L3は必要ないですよね.
L2SWはVLANスイッチングができればいいです.まぁ,必要なものは買うんでしょう,VLAN+NATしたいのだとすれば.
もちろんVLANもNATも無しで(そして高価な機器を導入しなくても)ARP spoofingを解決する手段があるならそれに越したことはないとは思っていますが.
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
ルータは既にあるから、それとL2SWを組み合わせて使えば実現不可能ではありませんが、ルータにポートを追加するか、タグVLANサブインターフェースを設定する必要がありそうです。それとNAT処理をさせるのと、どっちが良いか疑問です。
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
おっしゃるようにL3SWでやってもいいし,ルータでやってもいい,どちらでもいいです.
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
また、#1357296 [srad.jp]では、 って言ってました。これは、L2SW+(既存)ルータで実現、って話だったんですか?ルータにタグVLANを処理させるのと1:1 NATを処理させるのとでは、負荷の点で大差無いと思います。ならば、どちらの場合も「そのために無駄に高価なルータを購入する必要」(#1357176 [srad.jp])を検討すべきでは?
#1:n NAT(IP masquerade)ならまだ話は解りますが。
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
「無駄に」高価なルータを購入する必要はありません.
ちなみに私の測定した範囲ですので全ての実装でそうとは言い切れませんが,ルータでの1q tagの処理とNATの処理では,1q tagはハードウェア処理できますが,NATはIPチェックサムの再計算があるので1q tag処理のほうが圧倒的に軽いです.
ところで,最初の話は「NATが必要な(のでもうそこにある)環境」を想定されていたのですか.
NATの必要性は提示されていなかったので「無駄に高価な~」という話をしてしまいましたけど,NATが必要だという前提で話をしていたのなら,おっしゃる通りだと思います.
前提が違ったのなら結果的に議論を誤誘導してしまったわけで,#1357158 [srad.jp]はマイナスモデしてもらって沈めたほうがいいですね.
本題はあくまで「ARP spoofigを防ぐ」という話です.VLANとかNATとかどうでもいいんです.たまたまそういう技術を使った案を思いついたというだけで.
私は「ARP spoofingを防ぎつつ隣接サーバとの通信は保障し,おまけでグローバルアドレスを効率的に利用する」ための一つの案を提示しただけです.その概念的議論のために,そのたった一つの案について,ここまで技術的にブレイクダウンする必要があるとは思えません.
よりよい案があるならそれを出していただければいいですし,そもそも「ARP spoofingを防ぎつつ…」という前提に無理があるというのならそちらを指摘していただければすむ事です.
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
などと言ったつもりはありませんよ.
ARP spoofingに直接関係ないレベル以上に掘り下げた検討は本題ではないはずだ,という趣旨です.
検討ということなら,1q tagの処理性能にしても,(L2|L3)SWやルータのコストや性能にしても,私自身はそういう評価(単独性能評価や相互接続試験など)を多くのベンダの機器で行っています.
モデルとしての有用性はともかく,技術的に非現実的だとは思っていませんが,それはこのストーリーからはオフトピです.まぁ,すでにオフトピもいいとこなんでもういいですけど.
どなたか#1357158 [srad.jp]以降沈めてもらえませんかね.
Re: (スコア:0)
むしろこちらを問題にしてほしい
まあ、こういう安かろう悪かろうなところはいい加減なんだろうな