VLAN の衝突がネットワークへ与える影響について 伊藤 1 光博1 細越 淳一2 八戸工業高等専門学校 教育研究支援センター 2 八戸工業高等専門学校 総合科学科 概要 八戸高専では、クライアントパソコンのネットワーク設定の簡素化や校内 LAN のセ キュリティ向上を目標に、平成 20 年 12 月より DHCP サーバにより IP アドレスの配布を 開始した。この時に発生した VLAN の衝突が DHCP サーバの停止を引き起こし、 校内 LAN が停止するトラブルが発生した。 1.はじめに 平成 19 年にネットワーク機器の更新が行なわ れて以来ネットワークが停止するような大きなト ラブルも無く、順調な運用が行われてきた。しか しSDB1)によるITリソースのチェックで、無届のパ ソコンや無線LAN APによるIPアドレスの不正利用 が目に付くようになった。特に不正無線LANのAP では、それ自身がDHCPサーバとして機能していた ため、近くに設置されているPCでのトラブルや不 正にネットワークを利用することが可能な状態と なってセキュリティ上の問題となっていた。 これらの問題に対処するために、ネットワーク 機器固有の MAC アドレスと IP アドレスを対応さ せることとエッジスイッチでの ACL 設定で対応す る方針を立てた。 本稿では、DHCP サーバによる IP アドレスの配 布を開始した直後に発生した VLAN の衝突による トラブルについて、発生状況、原因の調査、復旧 対応状況を報告する。 2.ネットワーク構成および DHCP サーバ 2.1 ネットワーク構成 教職員や教室系でのネットワーク構成は、エッ ジスイッチまでtrunkモードで、それ以降のフロ アスイッチでアクセスするVLANを定義している。 今回トラブルを起こしたネットワーク構成を図 1 へ、表 1 には本校で使用しているスイッチの形式 を示す。トラブルで衝突したVLANは学生VLANと事 務系VLANで、図中②のFirewall兼DHCPサーバはフ ランスからの短期留学生用に設置したものでトラ フィック制御やネットワーク設定の簡素化を図る ために平成 20 年 3 月より運用を開始してる。 また各スイッチでは、物理的にループ状態で接 続されたスイッチ間でループ回避のためのプロト コルであるSTP(Spanning Tree Protocol)2)が標準 で設定されている。これにより、物理的なループ が多数存在する場合でも論理的にはループを持た ないツリー構造となる。図中⑥のスイッチではレ イヤ 2 収束時間を短縮するため各ポートに対して PortFast2)と設定しSTPを無効の状態に設定した。 表1 使用しているスイッチの形式 設置呼称 型式 バックボーンセンタースイッチ CISCO Catalyst6506 エッジスイッチ CISCO Catalyst3550 フロアスイッチ A CISCO Catalyst3512 フロアスイッチ B CISCO Catalyst3508 フロアスイッチ C CISCO Catalyst2950 図1 ネットワーク構成 2.2 教職員用 DHCP サーバ 表 2 へ①の DHCPサーバの概要を示す。この DHCP サーバを用いて平成 20 年 12 月より、総合科学科 と事務系の VLAN で IP アドレスの配布を開始した。 ネットワーク機器の IP アドレス移行作業には 1 ヶ月の期間を設け、校内全域で 3 ヶ月程度を目標 に行った。また教職員用の各種サーバシステムで は IP アドレスでアクセス制限を設けていること やエッジスイッチで ACL の設定を予定しているこ とから、固定 IP アドレスを配布するよう設定し てある。 なお、他の DHCP サーバの DHCP パケットを無視 するようコアスイッチの DHCP サーバの接続ポー トを Trusted とし DHCP SNOOPING2)の設定を行なっ ている。 2.3 短期留学生用 DHCP サーバ 本校ではフランス・リール工科大学と提携して おり、毎年 4 月から約 3 ヶ月の期限で短期の留学 生が来校し、学生寮で生活を行なう。これに対応 するため、通常の留学生が利用している VLAN を 表2 O S DHCP CPU Memory 備 考 図2 教職員用 DHCP サーバ Solaris10(x86) ISC DHCP4.0 Intel Core2Duo(3GHz) 1GB SolarisXVMによる仮想マシン 短期留学生ネットワーク 利用し、トラフックのコントロールやネットワー ク利用設定の煩雑さを解消するためにセカンダリ IP アドレス範囲を適用し、ここへ Firewall 兼 DHCP サーバを設置した。これにより学生 VLAN で は 2 種類の IP アドレスが流れる。図 2 へ留学生 ネットワークを構成を示す。 3.VLAN 衝突の発生 3.1 初期トラブル DHCP サーバから IP アドレスを配布開始して数 日後、事務職員からネットワークへ接続できな い。との連絡が入った。通常であればトラブルの 発生した原因を調査するために、 1)ネットワーク機器の動作 2)確認現場 を行なっていたが、今回はネットワークに配置さ れているスイッチの動作を SDB と NAGIOS3)で確認 したが、深刻な状況のメッセージがないことから 安易に DHCP サーバを疑った。 DHCP サーバについては、動作確認のためフォア グランドでサーバのターミナル上にログを出力さ せながら運用しており、確認したところ深刻なメ ッセージは無く通常の動作のように見えた。但し、 トラブルの報告があった時点から IP アドレスを 配布していないので DHCP サーバを再起動したと ころ IP アドレスの配布が開始され、トラブルの 発生したパソコンでも IP アドレスを取得し通信 が可能となった。 この時点で DHCP サーバの定義に不具合が見つ かったことから DHCP サーバに原因があったと判 断した。 3.2 中期トラブル 一部トラブルは発生したものの、DHCPサーバに よる IP アドレスの配布を校内全域に適用する作 業を進めていた。この期間でも、事務 VLAN の特 定のスイッチングハブに接続しているパソコンが 1~2 台/week に1度の頻度で現象が発生した。 この時点でも、スイッチングハブや DHCP サー バからの異常なメッセージを発見するには至らな かった。SDB でもスイッチングハブやネットワー クの異常を示すメッセージが無いことから深刻な 状態に無いとの判断をしていた。 これ以降は事務 VLAN に接続している特定のス イッチングハブの不具合が発生している可能性が 高いと判断し、コアスイッチとトラブルの発生し ているスイッチングハブを中心に監視を開始した が、これ以後平成 21 年 4 月まで小康状態を保つ ことになる。 3.2 大規模トラブル 平成 21 年 3 月末で、校内全域で DHCP サーバに よる IP アドレスの配布が完了した。4 月に入り、 事務 VLAN で、今まではトラブルが発生していな い部署からネットワークに接続できないとの連絡 があった。このときは校内全域でネットワーク停 止となったが、原因は DHCP サーバの停止により クライアントで IP アドレスを取得できない状態 になっていた。 このトラブルの現象を確認したところ、本来事 務 VLAN の IP アドレスを取得するはずの PC で、 学生 VLAN で短期留学生用として使用している IP アドレスが取得されていた。他の VLAN では短期 留学生用 IP アドレスは取得していないことから、 この時点で「事務 VLAN と学生 VLAN が衝突してル ープが発生している」と認識できた。 4. 緊急対応と調査 4.1 現象の整理 これまで収集した現象をまとめると 1) DHCP サーバがハングアップする。 2) 事務 VLAN で留学生用 IP アドレスを取得。 3) 他の VLAN では留学生用 IP アドレスを取得 しない。 4) SDB やスイッチなどで致命的なエラーログ は記録されていない。 となる。 これより VLAN の衝突によるループが事務 VLAN と留学生 VLAN 間で発生し、その他の VLAN では 発生していない。またネットワーク機器のハー ドウエアの障害等は発生していない。 ことができネットワークを利用することが可能と なった。 また DHCP サーバが起動してまもなく、図 3 の 記録が残された。これは DHCP リクエストパケッ トが留学生 VLAN の Gateway アドレスを通ってき ており不適切なネットワークとの警告記録であり、 ネットワーク上のどこかで VLAN の衝突が存在し ていることを示している。 4.3 VLAN 衝突箇所の特定と復旧 調査は DHCP サーバで検出した情報をバックボー ンセンタースイッチにて、どのエッジスイッチか ら検出されているか確認することから開始した。 この結果より図 4 に示すネットワーク機器接続図 のゼミナール棟・エッジスイッチであることが判 明した。この後はエッジスイッチで同様の手順で 調査を進めたところ学生寮(北辰寮)フロアスイッ チで、異なる VLAN から図 3 に示した MAC アドレ スが検出された。 現場へ出向き物理配線を確認したところ、学生 寮フロアスイッチから寮内別棟にある保健室に問 題があることがわかった。保健室内では 100Mbps のリピータハブが設置されており、事務 VLAN、学 生 VLAN のシールの張られた UTP ケーブルが接続 されていた。この UTP ケーブルは、保健室にて事 務 VLAN で使用する目的で配線し、 一方の学生 VLAN 4.2 応急処置による対応 学生 VLAN と事務 VLAN を除き、DHCP サーバの停 止による IP アドレスの未取得が原因と考えられ たので、一時的に短期留学生用 DHCP サーバを停 止し、教職員用 DHCP サーバをデバックモードで 再起動し、所定の IP アドレスを配布するよう対 応を行なった。 この処置により所定の IP アドレスを取得する DHCPREQUEST for 172.16.24.107 from 00:00:e2:72:ae:08 via 172.16.88.1: wrong network. DHCPNAK on 172.16.24.107 to 00:00:e2:72:ae:08 via 172.16.88.1 図3 DHCP サーバのログ 図4 ネットワーク機器接続図 用 UTP ケーブルは、将来隣接する自習室でネット ワークを利用するために先行敷設しており、利用 準備が整うまではどこにも接続せず保健室内で管 理することになっていた。誰かが気をきかして、 未接続の UTP ケーブルをハブに差し込んでくれた ものと推測された。 復旧に当たっては、学生 VLAN 用 UTP ケーブル を利用できないようフロアスイッチポートを停止 設定し、ケーブル端子にも表示をつけることで対 応した。 5 おわりに 今回のトラブルは発生から校内全域の停止まで 5 ヶ月を要している。VLAN 衝突の原因である配線 は、平成 19 年 11 月に工事が完了している。平成 20 年 3 月に短期留学生用 DHCP サーバを稼動して いるが、この時点でトラブルは発生していない。 平成 20 年 12 月から開始した DHCP サーバによ る IP アドレスの配布により VLAN の衝突による影 響が現われ、DHCP サーバのダウンにまで至ってし まった。逆の見方をすると、DHCP サーバを稼動し ていなければ VLAN の衝突を把握することが出来 なかったと考えられる。 またトラブル初期の調査で、ネットワーク監視 装置、ネットワーク機器や DHCP サーバのログ等 を確認していたにも関わらずトラブル原因の発見 に至らなかったことが悔やまれる。 今後はトラブルに対し以下の 3 点がネットワー ク管理にとって最も基本的なことであることを再 認識させられた。 1) 小さなトラブルでも注意深く対応すること。 2) 先入観を持たず対応すること。 3) ネットワーク監視装置を過信せず、詳細な調 査を行なうこと。 参考文献 [1] 伊藤・細越: ”SDB試用による校内LANの運用状 況調査”, 八戸工業高等専門学校紀要第39号, 2004. [2] シスコシステムズ㈱: ”Cisco Catalyst LAN教科 書”,2002. [3] 伊藤・細越: ”NAGIOSを用いたネットワーク サービスの監視について”, 八戸工業高等専門 学校紀要第40号,2005.
© Copyright 2025 Paperzz