[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:26031] Re: Samba over subnet



三つのトピックが混ざってますが、重要なのは不適切な解法がネットワークを不
必要に複雑にしている、そのせいでトラブルを招いたと言う点です。特に気づい
たのは、レイヤの分離が不十分なことです。あるレイヤの問題を別のレイヤで解
決しようとしています。

まず三つのトピックについて書きましょう。リダイレクト、Windows マシンの扱
い、サブネッティングのポリシの実装手段です。最後にちょこっと苦情をば。


リダイレクト
------------

> ということですが、リダイレクトの多くの問題点とは何でしょうか?

野村さんの今回の経験も一つの証拠になるでしょう。リダイレクトは管理者にとっ
て予測しづらい挙動を起こします。リダイレクトにはセキュリティ上の問題があ
るため、IPv6 では仕様が変更されました。リダイレクトはホストルートしかサ
ポートしません。

> 何故、行うべきでないかを説明したWebなどありませんでしょうか?

ぞんじませんが、なにせ既に廃れていますからね。私は運用経験とルータの実装
経験から理解しました。


Windows マシンの扱い
--------------------

ここで問題になっている Windows の特徴は次の 2 点です。

1. 簡易な設定では同一サブネットのホストしかブラウズできない。
2. ルーティングプロトコルを標準で持たない。

この内 2 を責めるのは酷と言うものです。同様な、あるいはもっとプアな IP 
ノードはいくらでもあります。ルーティングはルータだけがやれば良いし、実際
それは可能です。

つまり問題は 1 だけです。そして Wins を用いるという解が既にあります。結
局問題は何もないことになります。

野村さんのなにがいけなかったか。

> Local Master
> Browserで解決できる範囲に置いておくのが、トラブルを避ける一般的な方法だ

この点です。NetBIOS の問題を NetBIOS で解決することをせず、代わりにネッ
トワーク構成のトリックで逃げようとしたために不必要な複雑さを持ち込んでし
まったのです。

> これは、なかなか難しいですね。通常、インターネットへの出口とプライベート
> なダイヤルアップの受け口を持つ構成が一般的ではないですか? また、個人の

リモートアクセスサーバ (RAS)との関係について補足します。

野村さんは、RASが、遠隔の端末に割り当てる IP を RAS の直結するサブネット
から割り当て、proxy ARP を用いて遠隔の端末とパケットを交換するモデルを前
提としていませんか?ここが上記でいうトリックです。proxy ARP もまたプアな
ノードを救済するための便法に過ぎません。

RAS が遠隔の端末に割り当てるアドレスが独立のサブネットの場合、結局 
Wins が必要となることが理解できるでしょう。


サブネッティングのポリシの実装手段
----------------------------------

複雑なポリシを実装するためには、ネットワーク設計は二つの要件を満たす必要
があります。

1. ポリシを実装できる十分な機能をもつこと。
2. ポリシの変更に追随できること。

サブネットの分割は 1 に対する解です。しかし、これだけでは2 を満たしたこ
とになりません。結論から言うと解は VLAN です。

> 一つの案だとは思いますが、分散ネットワーク的な観点からは、組織別、仕事別
> にサブネットをきり、各サブネット毎に必要なサーバーやルーターを用意し、全
> 体は最低限の接続にしておくのが、モジュールの独立性を保つ観点からも有効で
> はないでしょうか? 

組織の管理単位とサブネットを一致させるという考えは間違っていません。しか
し、そのためのサービスを実装する装置まで分散してしまうという考えは間違っ
ています。変更に対して弱くなり、運用コストがかさむからです。

ポリシが分散型であるからといってネットワークの実体が分散型が好ましいとは
限らないのです。

ネットワークに頼れば頼る程、安易な配線の変更や追加はできなくなります。つ
まり LAN ケーブルも他の配線、配管同様に全て完全に管理され、いつでも任意
の線を取り出せるようにすっきりと配線されていなくてはならなくなる、という
ことです。ざるそば状の配線なんてもってのほかです。

一方で会社というのはなぜか組織変更が大好きなようで、配置がえは頻繁です。
配置がえのたびにサブネットを組み直していたら、サーバを移動していたら、配
線をやり直していたら、どうなりますか。そんなことは不可能です。

ネットワークに高度に頼るようになれば、セキュリティにも気を使うようになり
ます。部門ごとに勝手に RAS を設置するなどは御法度になります。さらに 
VPN による RAS を導入すれば、RAS を分散すること自体技術的に難しくなりし
かもメリットがありません。

ではどうするか。

答えは VLAN です。

配線は配管の都合に合わせつつ可能な限りスター状にします。RAS などの集線効
果のあるものは一箇所でサービスします。認証も一箇所でサービスします。そし
てポリシの変更に対しては物理的実体の変更は行わず、設定変更で対応します。


最後に
------

野村さんのメールは、やりとりするごとに情報が変化します。最初はサブネット
二つにローカルルータの単純な構成でしたが、やりとりを重ねるたびにルータは
増える、ノードも増える、RAS は登場する、ノード数 100 台以上の話まで出て
来ました。最初と最後のメールでは想定される規模や複雑さが全然違います。当
然ベストな解も変わります。

このように情報、とりわけやりたいことに関する情報を小出しにして、結果的に
目的が変化しているように見えてしまうやり方は、不必要なやりとりを生んでし
まいますし、他の読み手にとっても混乱や誤解のもととなります。ひとつご配慮
のほどを。

--
Naoto Shimazaki