LL Decade のトラヒック解析について


LL decadeに参加してきました。

LL Decade

LLには以前観客として参加したことはありますが、今回はネットワークチーム(LLNOC)として参加しました。前回のLLで手がまわらなかったネットワーク監視系でのお手伝いということで声をかけていただいて、sFlowを集めてのトラヒック解析を担当しました。

sFlow周りのネットワーク構成はこんな感じ。実際のNW構成よりかなり簡略化して書いてます。

トラヒック情報のsFlowはセンタースイッチのAX3640S と PoEスイッチの X600(2台)からだしています。sFlowを集めてトラヒック解析するフローコレクタ(今回はGenieATM)は同じ会場内に置くのが常套手段ですが、なにせ今回はNW設置作業に許された時間は1時間だけ。その短時間のうちに設定調整作業をするのは厳しいので、今回はコレクタを会場に持ち込まずにリモートサイトに置き、会場とリモートサイト間をVPNでつないで、sFlowはVPNを経由して送ることにしました。

当日のトラヒック例。googleが多いですね。

VPNはVyattaのOpenVPNを使いました。Vyattaのコンフィグはこんなかんじです。ポイントは2つ。

1.VPNのエンドポイントのうち会場側vyattaがグローバルアドレスを持っていないので、会場側VyattaからVPNを張りに行く形になります。リモート側のVyattaはVPN開始を待ち受けています。
2.MTUサイズを小さめにしておく。デフォルトだと大きめパケットを通過しないことがあったので、今回はopenvpn-option で調整。あまり厳密にかんがえずにえいっで1280にしてます。

Vyattaのコンフィグ。

■会場側Vyatta(vyatta-site)

 interfaces {
     ethernet eth0 {
         address 10.3.2.1/24
         duplex auto
         speed auto
     }
     openvpn vtun0 {
         description LL2012
         local-address 10.0.0.2
         mode site-to-site
         openvpn-option "--fragment 1280 --mssfix"
         remote-address 10.0.0.1
         remote-host 61.x.y.z
         shared-secret-key-file /etc/openvpn/key.psk
     }
 }
 protocols {
     static {
         interface-route 192.168.253.0/24 {
             next-hop-interface vtun0 {
             }
         }
     }
}

■リモートサイト側(vyatta-remote)のVyatta設定。

interfaces {
     ethernet eth4 {
         address 61.x.y.z/28
         duplex auto
         smp_affinity auto
         speed auto
     }
     ethernet eth5 {
         address 192.168.253.1/24
         duplex auto
         smp_affinity auto
         speed auto
     }
     openvpn vtun0 {
         description LL2012
         local-address 10.0.0.1
         mode site-to-site
         openvpn-option "--fragment 1280 --mssfix"
         remote-address 10.0.0.2
         shared-secret-key-file /etc/openvpn/key.psk
     }
 }
 protocols {
     static {
        interface-route 10.3.0.0/16 {
             next-hop-interface vtun0 {
             }
         }
     }
}

Leave a Reply

Your email address will not be published. Required fields are marked *