あるとき、VPN が急に不安定になった。VPN ルーターを再起動すると復旧するが、1 時間ほどで再び不安定になる。VPN ルーターは Allied Telesis CentreCOM AR450S、ここ暫く設定は変更していない。気付いたこととしては、不安定になると下記のようなログが頻繁に出始めるような気がする。
28 08:26:30 3 FIRE FIRE INATC ICMP 192.168.0.12 10.1.0.14 T=8 C=0
28 08:26:30 3 FIRE FIRE INATC UDP 12.34.56.78:2923 23.45.67.89:53
28 08:26:30 3 FIRE FIRE INATC TCP 192.168.0.12:45216 10.2.0.252:10050
この「FIRE FIRE INATC」でググっても役に立つ情報がヒットしないので、Allied Telesis サポートに問い合わせた。下記がその回答。
ご提示頂きました「INATC」というログですが、次のような時に記録されます。
・ファイアウォール機能で、許可したTCP通信をログに出力するよう設定をしており、該当する通信が行われた場合
・ファイアウォール機能で処理できるセッション数を超えて通信が行われた場合
お送り頂いた設定情報ではこのようなログ出力の設定はされておりませんでしたので、後者の状況と考えられます。
一時的に多くの通信が行われた結果と考えられますので、まずは、ネットワークを利用する各機器で予期せず大量の通信が行われていないか、という観点でご確認を頂ければと存じます。
また必要な通信のみでログが発生している場合は、セッション過多と思われますので、"SET FIREWALL POLICY"コマンドで、 ファイアウォール機能のセッション保持時間を短くする等をお試し頂ければと存じます。(セッションを早めに解放することで、当該事象の軽減が見込めます)
結果、これがビンゴ。実は VPN 越しにサーバー監視を行っており、つい最近、監視対象を増やしたのだった。それによりファイアウォールセッションが溢れたようだ。再起動後 1 時間すると不安定になるのも、タイムアウト初期値が 60 分であり、現在の通信量だと 1 時間弱でセッションが溢れ始めるのだろう。
そうすると次なる疑問が生じる。現在の使用セッション数はどうやって調べるのか? そしてタイムアウト値を短くする弊害はあるのか?
現在保持しているファイアウォールセッション数の確認でございますが、"SHOW FIREWALL POLICY" コマンドで表示される中に、"Number of Active Sessions" という項目がございます。こちらが、現在保持しているセッション数となります。
タイムアウトを短くする際の懸念点ですが、ご利用になれれるアプリケーションのタイムアウト時間よりも、本製品のファイアウォールセッション保持時間を短く設定していると、アプリケーションでエラーが発生するようなことがあるかもしれません。(アプリケーションの操作をしばらく中断した後に再開する場合など)
セッション保持時間を短くすることで、ルーターに負荷がかかるようなことはございませんので、この点での懸念は特にございません。
前者については、あとは最大セッション数が分かりさえすれば良い。カタログスペックでは 3000 ということは確認済み。しかし、コマンド "SHOW FEATURE LICENSE" の出力には「Firewall tier sessions licence up to 8000」とある。実動作的にも、8000 で動いているように見える。
後者は恐らく、keepalive パケットを投げないアイドル接続は切られてしまう、ということだと思われる。まさか通信中の接続まで切られるとは思えない。これも念のため確認しておく。
本製品のファイアウォールのセッション数につきまして、ご確認頂きましたとおり、ソフトウェア的な上限は、8000までとなります。ただし、安定的に運用するには、3000程度でご利用頂くことを推奨しております。
また、セッション保持につきましてもご推察の通りです。継続して通信がされていればセッション保持時間も延長されますので、通信中に強制的にセッションをクリアする動作ではございません。
全て予想通り、これにて一件落着。件のルーターは、ファイアウォールの TCP セッションタイムアウトを 10 分に変更、これで当分の間は大丈夫のはず。
毎度のことながら、Allied Telesis のサポートは丁寧で素晴らしいと感じる。恐らく、サポート人員は元技術者か、現技術者が兼任しているのではないだろうか。今までの経験から、そう感じられてならない。もちろん単に運が良いだけの可能性もあるが、YAMAHA サポートはテンプレ回答だったり時間が掛かった末に役に立たない回答だったりの経験しかないので、本質的な質の違いを感じる。
なお本件については、第三者に公開しても問題ないとの見解をサポートから得ている。
今回ご案内させて頂いた内容は、マニュアル類に記載されていない事項もあり恐縮ですが、特に社外秘事項ではございませんので、必要な方には適宜お伝え頂いて結構でございます。
ちなみに AWS の場合、サポートを通して得られた情報は基本的に公開 NG らしい。前に質問をしたとき、はっきりとそう回答されたことがある。その時は料金に絡む結構インパクトの大きい内容だったのだが、そういう訳でここでネタにできなかった。天下の AWS がその様な方針というのは、理解はできるものの、非常に残念に思う。
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。