アカウント名:
パスワード:
トラフィックの多いサーバが収容されているデータセンターだとそこがボトルネックになりかねません.
それって、ルータの選定に失敗してるんじゃ…
そもそもデータセンターでNATするメリットってあるんですかね.<<略>>VLANで全サーバのブロードキャストドメインを分けておいて,もったいないお化けが出ないようにNAT,ということならありかもしれない.
加えて、NAT環境ならCIDRブロックの端から端まで無駄なく使うことができたりしますね。普通は少なくとも両
それって、ルータの選定に失敗してるんじゃ…いいえ.本来(なにが本来か知りませんけど)
いいえ.本来(なにが本来か知りませんけど)
まあ、NAT環境なら、本来処理すべきトラフィックで、NAT環境でないなら、そうでなない、としか言い様がないですね。
のために無駄に高価なルータを購入する必要がでてきます.
NAT環境でNAT用にルータと別の機器を準備するって手もあります。
私は,サーバ間での通信が必要だ,と主張しているのですよ.
それは知っていますが、#1357158 [srad.jp]で、
「VLANで全サーバのL3を分けておいて」と書いた方がよかったですかね.<<略>>L3でVLANを使える高いスイッチが必要になりますよね。L3は必要ないですよね.L2SWはVLANスイッチングができればいいです.
L3でVLANを使える高いスイッチが必要になりますよね。
L3SWでやってもいいし,ルータでやってもいい,どちらでもいいです.
スイッチ折り返しでいいはずがルータ折り返しになるので,トラフィックの多いサーバが収容されているデータセンターだとそこがボトルネックになりかねません.
L3は必要ないですよね.L2SWはVLANスイッチングができればいいです.
たまたまそういう技術を使った案を思いついたというだけで.<<略>>そのたった一つの案について,ここまで技術的にブレイクダウンする必要があるとは思えません.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:0)
Re: (スコア:1, 参考になる)
ルータと話せればいいだけだし(つーか、他のサーバとスイッチ経由で会話できるってだけで怖いと思うんだけどさ)
Re: (スコア:1)
Re: (スコア:1)
Re: (スコア:1)
スイッチ折り返しでいいはずがルータ折り返しになるので,トラフィックの多いサーバが収容されているデータセンターだとそこがボトルネックになりかねません.
そもそもデータセンターでNATするメリットってあるんですかね.
データセンターの管理者にとってもサーバの管理者にとってもマッピングの管理/把握が面倒になるだけのような.
VLANで全サーバのブロードキャストドメインを分けておいて,もったいないお化けが出ないようにNAT,ということならありかもしれない.
Re: (スコア:1)
それって、ルータの選定に失敗してるんじゃ…
加えて、NAT環境ならCIDRブロックの端から端まで無駄なく使うことができたりしますね。普通は少なくとも両
Re: (スコア:1)
いいえ.
本来(なにが本来か知りませんけど)ルータが処理する必要のないトラフィックですから,そのために無駄に高価なルータを購入する必要がでてきます.
>ちなみに、サーバ間で通信させたくないだけなら、マルチプルVLANってのもありますよ。
?
私は,サーバ間での通信が必要だ,と主張しているのですよ.
アドレス使用効率を高めるためのNATというのはこのご時世では有効かもしれません.まだアドレス配布もしていて,価格も上がっていない現状ではそこまでひっ迫しているという話はあまり聞こえては来ませんが,将来のために削れるところは削っておくところも出てきているんでしょうかね.
Re: (スコア:1)
まあ、NAT環境なら、本来処理すべきトラフィックで、NAT環境でないなら、そうでなない、としか言い様がないですね。
NAT環境でNAT用にルータと別の機器を準備するって手もあります。
それは知っていますが、#1357158 [srad.jp]で、
Re: (スコア:1)
「VLANで全サーバのL3を分けておいて」と書いた方がよかったですかね.確かにマルチプルVLANでもブロードキャストドメインは分かれてしまうので.
同じL3のままL2を分割してしまうと隣のサーバと通信できなくなるので,L3を分けるという話です.別コメントでVLANを分ける話が出ていたのでそれを使ってみました.
>高価なルータを買うのを避けたいとすると、
これはNATを使うメリットを考えた時の案ですからね.
必要(でかつトレードオフする)なら導入すればいいのです.
>L3でVLANを使える高いスイッチが必要になりますよね。
L3は必要ないですよね.
L2SWはVLANスイッチングができればいいです.まぁ,必要なものは買うんでしょう,VLAN+NATしたいのだとすれば.
もちろんVLANもNATも無しで(そして高価な機器を導入しなくても)ARP spoofingを解決する手段があるならそれに越したことはないとは思っていますが.
Re: (スコア:1)
ルータは既にあるから、それとL2SWを組み合わせて使えば実現不可能ではありませんが、ルータにポートを追加するか、タグVLANサブインターフェースを設定する必要がありそうです。それとNAT処理をさせるのと、どっちが良いか疑問です。
Re: (スコア:1)
おっしゃるようにL3SWでやってもいいし,ルータでやってもいい,どちらでもいいです.
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
また、#1357296 [srad.jp]では、って言ってました。これは、L2SW+(既存)ルータで実現、って話だったんですか?ルータにタグVLANを処理させるのと1:1 NATを処理させるのとでは、負荷の点で大差無いと思います。ならば、どちらの場合も「そのために無駄に高価なルータを購入する必要」(#1357176 [srad.jp])を検討すべきでは?
#1:n NAT(IP masquerade)ならまだ話は解りますが。
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
「無駄に」高価なルータを購入する必要はありません.
ちなみに私の測定した範囲ですので全ての実装でそうとは言い切れませんが,ルータでの1q tagの処理とNATの処理では,1q tagはハードウェア処理できますが,NATはIPチェックサムの再計算があるので1q tag処理のほうが圧倒的に軽いです.
ところで,最初の話は「NATが必要な(のでもうそこにある)環境」を想定されていたのですか.
NATの必要性は提示されていなかったので「無駄に高価な~」という話をしてしまいましたけど,NATが必要だという前提で話をしていたのなら,おっしゃる通りだと思います.
前提が違ったのなら結果的に議論を誤誘導してしまったわけで,#1357158 [srad.jp]はマイナスモデしてもらって沈めたほうがいいですね.
本題はあくまで「ARP spoofigを防ぐ」という話です.VLANとかNATとかどうでもいいんです.たまたまそういう技術を使った案を思いついたというだけで.
私は「ARP spoofingを防ぎつつ隣接サーバとの通信は保障し,おまけでグローバルアドレスを効率的に利用する」ための一つの案を提示しただけです.その概念的議論のために,そのたった一つの案について,ここまで技術的にブレイクダウンする必要があるとは思えません.
よりよい案があるならそれを出していただければいいですし,そもそも「ARP spoofingを防ぎつつ…」という前提に無理があるというのならそちらを指摘していただければすむ事です.
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
Re:手作業でARPテーブルを設定してARP応答はフィルタするとか (スコア:1)
などと言ったつもりはありませんよ.
ARP spoofingに直接関係ないレベル以上に掘り下げた検討は本題ではないはずだ,という趣旨です.
検討ということなら,1q tagの処理性能にしても,(L2|L3)SWやルータのコストや性能にしても,私自身はそういう評価(単独性能評価や相互接続試験など)を多くのベンダの機器で行っています.
モデルとしての有用性はともかく,技術的に非現実的だとは思っていませんが,それはこのストーリーからはオフトピです.まぁ,すでにオフトピもいいとこなんでもういいですけど.
どなたか#1357158 [srad.jp]以降沈めてもらえませんかね.