パスワードを忘れた? アカウント作成
15512834 story
NTT

フレッツ光でOpenSSHを使用したファイル転送を行うと異常な速度低下が発生する 44

ストーリー by nagazou
こんなはずはない 部門より
route127 曰く、

NTT東日本のフレッツ網の仕様により、家庭用回線から特定のビットを立てたIPv6パケットは転送が保証されなくなり、パケット到達不能や異常な速度低下といった事象が発生するようである。

フレッツ光回線でscpが遅かった話
•フレッツ網はIPヘッダのDSCP値を帯域優先サービスで使用しており、契約に応じて指定された優先度以外が設定されたパケットの転送は保証されない
•OpenSSHがDSCP値を設定しないようにするためには、IPQoS noneを設定する

sshを使用したファイル転送が回線速度と比べて異常に遅い現象が起きたことから、元記事の筆者が原因を調べてみたという。ssh/scp/sftpプロトコルでファイルを転送した場合、1.1MiB/s程度しか速度が出ないのに対し、iperf3/iperf3 over ssh tunnelで帯域を計測すると850Mbps (≒101MiB/s) 以上の速度は出る。そこでネットで調べてみると、フレッツ光回線でscpができないという話題にたどり着いたとのこと。

  • by Anonymous Coward on 2021年12月13日 18時49分 (#4169099)

    ソースで参照していたのと同じIP通信網サービスのインタフェース 第三分冊 第 41 版 [flets.com](東日本電信電話株式会社)より

    2.4.3 転送優先度に関する仕様
    端末機器等は、利用するサービスに応じて、パケットに転送優先度を指定することが可能です。転送優先度識別子としてDSCP(Differentiated Services Code Point)値を使用します。DSCPの仕様についてはRFC2474を、各サービスで利用可能な転送優先度に関する仕様については、各サービスの技術規定等を参照してください。
    尚、各サービスにおいて許容されたプロトコルと転送優先度の組み合わせ以外のパケットに転送優先度を指定することは許容しません。

    「保証しません」どころか「許容しません」なので、おしおきモードが発動したと推測される。

    ここに返信
    • by Anonymous Coward

      優先度を無視するのではなく、パケットをドロップするのはどういう意図なのでしょうか?

      • by Anonymous Coward on 2021年12月13日 20時42分 (#4169172)

        パケットをドロップするのはどういう意図なのでしょうか?

        高優先パケットは「ひかり電話」や「フレッツ光ネクスト プライオ」などの追加料金
        が必要なサービス用。
        で、追加料金を払わずに高優先パケットを送信したからドロップされたわけだ。

        • by Anonymous Coward

          というか、そのひかり電話などの帯域を確保するために、高優先パケットは入り口で帯域制限してるんじゃないかな?
          じゃないと、端末側のバグや故障で高優先パケットが多量に発信された時、他の通話などに影響が出てしまいかねない。

      • by Anonymous Coward

        許容しませんって言ってるじゃん。

      • by Anonymous Coward

        例えば優先度を考慮してリーキーバケットの処理が行われても、バケットの容量超えた時点で廃棄対象だよ。
        QoSなんてそんなもんだ。

      • by Anonymous Coward

        ひとつのルータで優先度を無視しても次のルータが優先度に沿った処理をしちゃったら意味ないよね。
        優先度を勝手に付け替えてもいいけど、不正なパケットをゲートウェイで破棄した方が手っ取り早い。
        別に中の人じゃないし知らんけど。

      • by Anonymous Coward

        ひかり電話のSIPセッション確立など、正しい手続きを踏めばDSCPの設定されたパケットがやりとりされるはずですので

    • by Anonymous Coward

      非技術資料だと同じ説明されてるけど「保証」しませんと書いてあるんだよ。

      https://business.ntt-east.co.jp/service/prio/ [ntt-east.co.jp]

      > ●IPv6パケット(IPoE方式)にて、RFC2474に規定される優先度(先頭6ビットに、DSCP値:001000)を指定することで、帯域優先として転送されます。なお、帯域優先の契約帯域より大きい帯域にて転送されたパケットは保証しません。

      • by Anonymous Coward

        パケットに転送優先度を指定することは許容しません。

        転送されたパケットは保証しません。

        対象がちょっと違う。
        「パケットに優先度を指定することは許さないからそのパケットは転送しないかも」ということで特に問題は無い。

  • by shinshimashima (9763) on 2021年12月13日 18時33分 (#4169084) 日記

    フレッツでも西やけどv6オプションのネームを使ってNGN内折り返しで
    RTX1200で拠点間をL2TP/IPSecで繋ごうとしたけど全然速度出ず
    あきらめてFlets VPNワイド使ってるけど

    これが原因だったのかな?

    でも普通にやってる例いっぱいあるんだよなぁ。

    #RTX1200なんて化石買い替えろという気もする。けどRTX1220が期待外れ過ぎて。買い替えで中古放出されるRTX1210に期待してたのに

    ここに返信
    • by Anonymous Coward

      #RTX1200なんて化石買い替えろという気もする。

      ついこないだも脆弱性対策ファームでてたしまだいけますって

      • by Anonymous Coward on 2021年12月13日 19時50分 (#4169144)

        RTX1200はショートパケットが絶望的に弱いんよ...L2TPだとブロードキャストパケットで結構詰まる。
        この系統の用途だと同グレードならNECのIX2215のほうが良いし、一つ下の2105でもRTX1200とほぼ同等の性能がでる。
        欠点はNECはファームウェアが公開されていないことだけ。

        ...なお、本当のおすすめは適当なNIC2ポート付いた小型PCにVyOS(とハイパーバイザ入れてお好みに応じてOPNSenseを同居)
        CPUがCeleronでもRTXやIXに対して処理速度がケタ違いだし、5年保守付きで5万円以下で買えるからRTXと同じ値段で冗長構成組める。

      • by Anonymous Coward

        2020年3月のCVE-2020-5548ですね。
        http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.01/relnote_10_01_78.txt [yamaha.co.jp]

        # とは言っても一年半前だけどね

      • 嶋大輔?

      • by Anonymous Coward

        うちじゃRTX1000って骨董品がまだ現役。
        VPNには使ってないし回線契約が100Mbpsのままなので買い換える理由がないまま今まで来てしまった。

  • by Anonymous Coward on 2021年12月13日 18時35分 (#4169087)

    フレッツ光回線でscpが遅くなかった話 [piulento.net]
    DSCP値8が優先トラヒックになるのは、旧IP Precedence値=1として解釈した場合は0よりも(というか単純に値が大きいほど)優先順位が高いからだと思うが。
    参照: https://www.infraexpert.com/study/qos5.htm [infraexpert.com]

    ここに返信
    • by Anonymous Coward

      うむ。DSCP値8は"Low-priority data"とはいえ指定なし(none)よりは優先度が高いので、逆の意味という指摘は外してますね。

  • by Anonymous Coward on 2021年12月14日 1時51分 (#4169270)

    ちょっとググってみたら、こんな情報が見つかった。
    (こっちはRTX1210とRTX810)

    備忘録: 【RTX1210】【RTX810】NTT(西)NGNにおけるIPv6通信で、パケットの優先制御情報によっては通信できなくなる問題と対応 [blogspot.com]

    ここで、2018年11月のファームウェアから、カプセル化されたパケットの優先制御情報を外側にコピーするよう修正が入っている、との情報がある。
    RTX830でも、同じ修正があるのが確認できた。

    Rev.15.02.09リリースノート [yamaha.co.jp]

    17. PIPトンネル機能で、以下の通信においてカプセル化されたパケットのIPヘッダーの、ToSフィールドおよびTraffic Classフィールドが外側のIPヘッダーにコピーされないバグを修正した。

     ・IPv4 over IPv4 ノーマルパス
     ・IPv4 over IPv6 ノーマルパス/ファストパス
     ・IPv6 over IPv4 ノーマルパス/ファストパス
     ・IPv6 over IPv6 ノーマルパス/ファストパス

    元々は正常に動いていたのが、この「バグフィックス」の余計なお世話でNGN側の仕様に合わない状態になってしまったのではないかと。
    一応、元記事によると、ip tos supersede [yamaha.co.jp] コマンドで解消できるらしい。
    ただ、YAMAHAにバグ報告して修正してもらう方がいいんじゃないかな。

    ここに返信
    • by Anonymous Coward

      それは果たしてYAMAHA RTXの問題なのか?
      それはそれで正しい挙動なのだから、フレッツ網の実装に合わせてFW修正してもらうのは筋違いな気がする
      とは言えNTT東西が動くとは思えないし、日本のフレッツ網のためにOpenSSHのデフォルト設定を変えてもらうのもアレだな

      • by Anonymous Coward

        YAMAHA RTXは対応回線にフレッツを掲げているので、接続先がフレッツ網の場合のデフォルト設定の切り替えを実装するのはそう筋違いではなさそうです

  • by Anonymous Coward on 2021年12月13日 18時17分 (#4169078)

    今夏、うちでも同じような状態になったけど、非NTTの予備の回線を使ったらまともな速度で
    アップロードできたので、すっかり忘れてた。
    後で試してみよう。

    ここに返信
  • by Anonymous Coward on 2021年12月13日 18時33分 (#4169085)

    ntpdはデフォルトでDSCP設定するので、DHCPv6で降ってきたNTPサーバを設定しても同期できないとかあるね

    まぁ、ちゃんと網の仕様を読まずに雑な設定のルータを繋ぐ方が悪いんだけど

    ここに返信
    • by Anonymous Coward

      インターネットに閉域網の都合を押し付けるのはちょっと…。外から来たDSCP=8のパケットはちゃんと処理してくれるの?

      • by Anonymous Coward

        それは接続されている相手網との契約によるのでは?

        • by Anonymous Coward

          世界中のどこからパケットが飛んでくるかわからないのに?

          • by Anonymous Coward

            接続している相手の網は全て既知であり、かつ契約に基づいて接続している。

      • by Anonymous Coward

        DSCP=8のパケットを確実に受信したかったら、PPPoE接続にして下さい。PPP〜L2TPの
        土管になってるから、DSCPは無視されますよ。

        • by Anonymous Coward

          NGN内に設置されてるNTTのNTPサーバにPPPoEでつながるわけないでしょ

          • by Anonymous Coward

            #4169089は「外から来たDSCP=8のパケット」って言ってんじゃん。
            NGN内のサーバーからじゃなく、インターネットからのパケットの話でしょ。

        • by Anonymous Coward

          閉域網という想定で設計していたネットワークをネイティブ方式だとかIPoEだとか言ってインターネットにつないじゃったのが根本的な問題?

          • by Anonymous Coward

            閉域網という想定で設計していたネットワークをネイティブ方式だとかIPoEだとか言ってインターネットにつないじゃったのが根本的な問題?

            元々の問題はL2TP終端装置が高価だからかな?
            1ユーザ当たりのトラフィックが急増してL2TP終端コストが無視できなくなったから、
            L2TP終端しない方式として、NGNのDSCP=0のサービスをそのままインターネット接続
            に使うIPoE接続が選択肢に加わった、ということ。

            DSCPは透過されるが低スループットのPPPoEか、高スループットだがDSCP=0に制限
            されるIPoEか、うまく使い分けないと。

            • by Anonymous Coward

              元々はフレッツでIPv6を提供する手段として浮上した話じゃなかったっけ? すでに閉域とは言え全国的なIPv6網を張り巡らせているのにNTT法の規制のせいでトンネルしなければならないのは馬鹿げている、みたいな。スループットが問題になりだしたのは実際にIPoEがサービスインするより後だったはずだけど。

              で、DSCPを独自の目的で使ってるんですけど直接インターネットにつないじゃっていいんですかー、みたいな観点の話はまったく出ていなかったと思う

  • by Anonymous Coward on 2021年12月13日 18時58分 (#4169107)

    VPN上、表示規格以上の速度差を感じる事も有る
    偶に真反対の時も
    ま~、、ベストエフォート?

    ここに返信
  • by Anonymous Coward on 2021年12月14日 9時35分 (#4169375)

    VMware ESXiでもSSH/SCPが使えて、vCenterがない環境でのバックアップやファイル転送に使うんだけど、
    これが管理系通信とiSCSI/NFSストレージへの通信に対する保証の理由で意図的なスループット抑制が入ってるんだ。
    一応世代を追うごとに抑制速度自体は緩くなっているんだけど、そこら辺を知らないで古いESXの環境を触ると痛い目見る。
    ちなみに、vSphere Client経由だとさらに遅いのでそれよりかはマシというのがまた辛い。

    ここに返信
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...