Try and Error

自宅NOCオペレータの備忘録。

17. 1月 2015 00:15
by K.YAMAGUCHI
0 コメント

JPNICよりAS番号とPIアドレスの割当を受けました

17. 1月 2015 00:15 by K.YAMAGUCHI | 0 コメント

2015年1月、JPNICよりグローバルAS番号、AS59105とPIアドレス(IPv4:103.48.31.0/24・IPv6:2001:0df2:0c00::/48)の割当を受けました。グローバルAS番号とPIアドレスを申請するに至った経緯を簡単にブログにまとめておきます。

1.何故PIアドレスとAS番号を取得しようと思ったのか

 インターネットが広く一般に普及し、我々の生活にとって無くてはならない「インフラ」の一つとなった現在、インターネットに接続する自律システム(AS)の設計、構築、運用、インターネットの基幹技術に関われる機会は非常に限られているのが現状です。(ネットワークエンジニアの方で、BGPでどこかに接続してフルルートを受けたことの有る方、少ないですよね・・・)関わる機会が比較的多いと思われるインターネットサービスプロバイダのエンジニアであっても、当然ながら安定した運用が求められる商用サービスを提供しているネットワークに触る機会、ゼロから設計、構築をする機会は限られています。その一方で、BGPをはじめとするインターネットの基幹技術の中には、実際にトラフィックの流れるネットワークを設計、構築、運用することによって見えてくる、ラボでの検証だけでは分からないノウハウが多い事も事実です。

 だったら自分でAS番号とPIアドレスを取得し、自由に設計構築運用をしながら、勉強のできる場所を自分で作ればいいじゃない! ということで、同じ志を持つ何人かのメンバーでこのチャレンジをスタートしました。

2.任意団体の立ち上げ

AS番号とPIアドレスを取得するのは殆どがインターネット関連の事業を営んでいる法人ですが、JPNICの定める要件を満たしていれば個人でも取得する事が可能です。実際、日本国内でも何人かの方が個人でAS番号とPIアドレスを取得されています。私も個人で取得する事も出来たのですが、自宅に設備を持っている仲間数名と、任意団体という形の団体を立ち上げて取得しました。任意団体の形式を取った理由は主に以下の通りです。

・シングルポイントにならない運用

 インターネットに接続するASの運用はラボでの検証などと大きく異なり、ネットワークに何らかの問題が起きると、インターネット全体に悪影響を及ぼす場合もあります。そのため、運用者と常時連絡が付き、常時運用が可能な状態である必要があるかと思います。1人でやっていると当然、仕事やプライベートの用事などでASの運用に手が出せない日も発生してきます。そのような際に何らかの問題が発生し、問題を放置した場合、他のASやインターネット全体に大きな迷惑を掛ける事になるかもしれません。そのため、複数人で運用=シングルポイントにならない環境は必須であると考えました。

・対外交渉のやりやすさ

 ASを運用するということは、他の組織(他のAS)と接続をすることになりますから、当然そこには交渉が発生することになります。他の組織(他のAS)は法人が殆どでしょうから、個人名でいきなり話しをするより「こんな団体でコミュニティ活動しています」と話しをした方が双方ともに交渉をしやすいと考えました。

・同じ興味を持っている人の活動をやりやすく

 1項で述べたとおり、インターネットの運用をする機会は非常に少ない一方、興味を持っている方も多いのではないかと思います。また、一言でASを運用すると言っても、必要な作業はBGPの設計のみならず、関連するサーバの運用やアプリケーションの開発など、幅広いため、一人では時間的にもスキル的にも限界があります。そのため同じ思いを持つ方々と運用をしたり、検証環境をの提供や勉強会の開催などをしていきたいと考えています。

任意団体の名前ですが、「自宅NOCオペレーターズグループ」としました。元々自宅にラックがある「自宅ラック」な人達の中で、ネットワークに特化した「自宅NOC」を運用しているメンバーで集まって作った団体なので、そのまんまの名前です。「自宅ラック」だと「自宅ラック勉強会」とかぶってしまいますからね。ちなみに「ネットワークオペレーターズグループ」ですが、「xxNOG」とは当面の間は名乗らない予定です。

3.今後のスケジュール

JPNICのルールでは、AS番号とPIアドレスの取得後より3ヶ月以内に他のASとマルチホーム接続することが必要です。そのためこれに向けて必要なネットワークやサーバの設計や構築を進めていくことが当面の活動になります。接続作業が一区切りした後には、勉強会の開催や様々な技術検証などにチャレンジしていきたいと考えております。

活動の内容は、AS59105のWebサイトにブログ形式でまとめていきたいと思います。皆様の役に立つように技術的に踏み込んだ内容をまとめていく予定ですので、是非ご覧頂ければと思います。また、AS59105では当ASの資源を使って何か実験や勉強などがしたい方、ピアリングをして頂ける方を随時募集しております。こちらにつきましても公式サイトをご覧ください。(上記の通り接続準備がありますので、ブログなどを書けるのはもう少し先になると思います。)

AS59105Webサイト:https://www.bgp.ne.jp/

※Webサイトの準備には若干時間がかかる予定ですのでご了承下さい。

4. 10月 2014 16:09
by K.YAMAGUCHI
0 コメント

IIJmioのFiberAccess/NFにDS-Lite方式で接続する(Ciscoルーター編)

4. 10月 2014 16:09 by K.YAMAGUCHI | 0 コメント

IIJmioのFiberAccess/NFのオプションとして、DS-Lite方式によるIPv4インターネット接続サービスが10月1日にスタートしました。IIJmioはコンシューマ向けのサービスであるためか、対応ルーターとしてIIJmioの公式サイトに掲載されている機種はBUFFALOのWXR-1900DHPとIIJのSEILシリーズだけですが、DS-Liteのベースとなる技術はIPv4overIPv6トンネルであるため、左記の方式が利用できるルーターであればDS-Lite方式によりIPv4インターネットに接続することが出来る可能性が高いと考えられます。そこで、CiscoルーターでDS-Lite方式によりIPv4インターネットに接続することが出来るかの検証を行ってみました。検証に利用したルーターはCisco2801となりますが、どこのご家庭にも1台は転がっているであろうCisco1812Jでも同様の設定で動作可能です。

IIJmio公式サイト:https://www.iijmio.jp/guide/outline/ipv6/ipv6_access/dslite/

1.DS-Liteってなに?

DS-Liteは枯渇しているIPv4アドレスの延命とIPv6への円滑な移行を目的にしている、IPv4 over IPv6とCGN(Carrier Grade NAT)を組み合わせた技術で、RFC6333で仕様が標準化されています。エンドユーザ宅内にはIPv4プライベートアドレスとグローバルIPv6アドレスのみを持ち、上り通信はユーザ宅内のブロードバンドルーターであるB4(Basic Bridging BroadBand)でIPv4OverIPv6のカプセル化を行いIPv6のみのISP網内をトンネリングします。ISP側のAFTR(Address Family Transition Router)でカプセル化を解除しNAPT44を行いプライベートアドレスをグローバルアドレスに変換します。下りの通信は上記とは逆の順序でユーザ宅内に到達します。

 

ISPとしてはIPv4グローバルアドレスを複数のユーザで共有する上、ISPの網内はIPv6アドレスのみでよいため、IPv4グローバルアドレスを節約することができます。

2.DS-Liteを使うと何が良いのか

上記の通り、DS-LiteにはIPv4アドレスを節約しつつ、円滑にIPv6への移行を目指す技術であるというメリットがありますが、IPv4アドレスの節約などはISP側の話であり、エンドユーザにとってあまりメリットを感じられる事ではないと思われます。しかし、下記の通り、DS-Liteを利用することにより大幅に通信速度が向上する可能性があります。

フレッツ光ネクストの「ファミリー/マンション ハイスピードタイプ」は従来のPPPoE方式でIPv4/IPv6インターネットに接続する場合の通信速度は、「下り最大200Mbps、上り最大100Mbps」となります。一方NGN網内をIPv6で通信する場合は「下り最大1Gbps、上り最大100Mbps」となります。DS-Liteを利用した場合、前述の通りNGN網上でIPv4パケットをIPv6でカプセル化して運ぶため、IPv4についても「下り最大1Gbps、上り最大100Mbps」で通信できます。他の回線タイプ(ハイスピードでないファミリー/マンションタイプ、ギガスマートタイプ)では上記のメリットはありませんが、地域やISPによっては従来のPPPoE方式による接続は、NTTとISPの接続点の慢性的な輻輳の発生により通信速度が低下している場合もあり、DS-Liteを利用することにより速度向上が見込める場合があります。

3.CiscoルーターでDS-Lite

下記のような簡単なネットワークを作って検証を行いました。LAN側は192.168.1.0/24の1セグメントで、DHCPによりクライアントにIPアドレスを払い出します。フレッツ光ネクストファミリーハイスピードタイプはひかり電話契約無の契約です。

 

4.設定例と設定の解説

下記のような設定行うことで接続することができます。インターフェイス名やIPアドレスに関してはご利用の環境の読み替えて下さい。光電話有の契約の場合はIPv6アドレス取得に関する設定が若干異なります。

◆サンプルコンフィグ

hostname B4
!
ip dhcp excluded-address 192.168.1.0 192.168.1.9
ip dhcp excluded-address 192.168.1.200 192.168.1.255
!
ip dhcp pool DHCP
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.254 
 dns-server 8.8.8.8 
!
ipv6 unicast-routing
ipv6 cef
!
interface Tunnel0
 description To:Mfeed CGN
 ip address 192.0.0.2 255.255.255.248
 tunnel source FastEthernet0/0
 tunnel mode ipv6
 tunnel destination xxxxxx
!
interface FastEthernet0/0
 description To:IPv6NGN
 no ip address
 duplex auto
 speed auto
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd other-config-flag
!
interface FastEthernet0/1
 description To:LAN
 ip address 192.168.1.254 255.255.255.0
 duplex auto
 speed auto
!
ip route 0.0.0.0 0.0.0.0 Tunnel0
!

◆主なコマンドの解説

・Interface Tunnel0

IPv4overIPv6で利用するトンネルインタフェースを作成します。

・ip address 192.0.0.2 255.255.255.248

トンネルインタフェースのIPv4アドレスを指定します。RFC6333では192.0.0.2/29を使うように定められています。RFC違反ではありますが、unnumbered設定にしてLAN側のIPv4アドレスを使う設定にしたり、任意のIPv4プライベートアドレスを使う設定にしても動作します。

・tunnel source FastEthernet0/0

トンネルのソースアドレスにWAN側(NGNのIPv6アドレスを設定しているインタフェース)を指定します。

・tunnel mode ipv6

CiscoルータのデフォルトのトンネルモードはGREですので、IP-IPトンネル(IPv4overIPv6)に変更します。

・tunnel destination xxx

トンネルの宛先アドレスを指定します。宛先アドレスは契約者のみに公開となっていますので契約後にIIJmioのサイトで確認してください。

・ipv6 address autoconfig default

インタフェースのIPv6アドレスをSLAACにより自動設定します。最後のdefault設定はデフォルトルートを自動設定するためのコマンドです。

・ipv6 enable

リンクローカルアドレスをEUI-64形式で自動生成します。

ipv6 nd other-config-flag

CiscoルータのIPv6RAデフォルト設定は、Mフラグ0、Oフラグ0になります。RAのOフラグを1に設定しステートレスDHCPv6モードに変更、DNSサーバ情報などをDHCPv6で取得できるようにします。Tunnel Destinationに設定する宛先はNGN網内のみからのみ名前解決できるためDNSサーバを設定することは必須になります。

・ip route 0.0.0.0 0.0.0.0 Tunnel0

IPv4のデフォルトルートをトンネルインタフェースに向けます。なおIPv6のデフォルトルートは「ipv6 address autoconfig default」で自動設定されるので設定の必要はありません。

5.良くありそうなQ&A

・LAN側のIPアドレスは決められているか。

LAN側のIPアドレスはプライベートアドレスの範囲であれば、好きなIPアドレス、サブネットマスクが利用できます。複数のセグメントに分割して利用するなどの利用法も問題有りません。

・利用できないアプリケーションやプロトコルはあるか。

P2P技術を利用するアプリケーション、オンラインゲームなどを幾つか試してましたが問題無く接続できるようです。また、DS-Liteを使ったユーザ同士の通信(例えば、AさんBさん双方がIIJmioのDS-Lite接続を利用しており、2人がゲームなどで対戦する)についても問題無くできるようです。基本的にはNATをユーザ宅内でやるか、ISP側でやるかの違いですので、大抵のアプリケーションは問題ないと思われます。

・サーバー公開はできるか

サーバーは公開できません。グローバルアドレスが1つの環境では、通常ポートフォワーディングの設定(一般的にはポート解放と呼ばれる行為)を行いますが、NAPTはISP側で行っておりこの設定が行えないためです。

・グローバルアドレスは固定か

グローバルアドレスは一定の範囲で変化する事があり固定ではないようです。そのため、接続元のグローバルアドレスを元に何らかの認証をするような行為をする場合は注意したほうが良さそうです。

・通信速度は実際どの位出るか

環境によりけりですが、私の検証ではNECやYAMAHAのルータで下り250Mbps位の通信速度を確認しております。なお、ルータにとってIPv4OverIPv6トンネルの処理は比較的重い処理のようで、Cisco1812Jを含め旧式のルータでは30Mbps程度しか出ないケースもあります。カプセル化をASICで処理しているルータや比較的新しいルータを利用した方が良いと思われます。

最後になりますが、本記事はIIJmioの公式見解ではなくあくまで個人で検証を行った結果となりますので、サポートセンターなどに問い合わせはされませんようお願いいたします。

21. 9月 2014 23:40
by K.YAMAGUCHI
0 コメント

PyConJP2014チュートリアル会場のネットワーク構築

21. 9月 2014 23:40 by K.YAMAGUCHI | 0 コメント

2014年9月12日~15日に開催されたPyConJP2014の会場ネットワークを構築するボランティアをやってきました。カンファレンス会場で構築したネットワークの詳細や技術的な部分については、こちらのCodeZineの記事などのメディア掲載しておりますので、このブログでは9月12日に開催されたチュートリアル会場のネットワークについて解説していきたいと思います。

1.チュートリアル会場

 9月12日に開催されたチュートリアルの会場は、様々な事情により、カンファレンスが開催されたプラザ平成とは別会場となりました。その為プラザ平成とは全く別に設計や構築を行う必要がありました。会場には既設で有線のインターネットがあり、新規にフレッツを引いたりすることは難しいとのことなので、それをそのまま利用する前提で設計を進めましたが、それにはいくつか問題がありました。

・会場の担当者の方はネットワークに余り詳しくなく具体的な仕様は不明。
・あくまでサービスとして提供しているようなものらしく、動作保証やサポートなどはない。

その為、会場既設のネットワークをそのまま利用して無線LANを構築するには以下のようなリスクが想定されました。

・ルータ-が家庭用安価なBBルーターなどを利用している場合、NATの最大セッション数などが不足する可能性がある。
・DHCPのプールアドレス数は不明なため、IPアドレスが枯渇する可能性がある。
・SSHのポートが塞がれているなど何らかのフィルタが掛っていた場合、ハンズオンに支障が出る可能性がある。
・何らかの障害が発生した場合に迅速なサポートが受けられない可能性がある。

さらに、設営時間が60分程とかなり限られた時間となっており、複数の機器を持ち込んでの現地での調整などを行うには時間が全く足りない状況でした。この問題を以下の方法を使って解決することとしました。 また、会場の電波状態が想定より良かったため、接続方法としてLTE対応のルーターを利用する方式も検討しましたが、LTEは周囲の電波環境に左右される(例えば近隣で大きなイベントや事件などがあり、トラフィックがバーストすると同一基地局を利用した通信速度は低下する)ので避けることとしました。

2.VPNを使用したコネクティビティ確保

 上記の問題を解決するため、ソフトイーサ株式会社のVPN製品である、PacketixVPNを利用して下図のような構成でコネクティビティを確保することにしました。7月に開催したDNS勉強会の際も利用した方法に似ている方法で、下図のように会場外のNOCにフレッツを引込みインターネットに接続、PacketixVPNを利用して会場とNOCの間にトンネルを張り、会場のクライアントはトンネル経由を経由して、NOCのフレッツよりインターネットに接続する方式となります。

【会場ネットワーク構成イメージ】 

PacketiXVPNは443など絶対に空いているであろうポートを利用してVPNを張る事ができ、この方法を利用すれば、NATのセッション数、DHCPのアドレスプール数、各種フィルタリングなどの数多くの問題を回避可能と考えました。もちろん、会場の既設ネットワーク自体がダウンするような自体が発生すれば対応不能となってしまいますが、そのようなリスクは余り高くは無いと考え、会場側承諾の上、上記の方式を採用することとしました。なお、フレッツに接続する為に利用するルーターは後述のSA-W1と同じく、株式会社インターネットイニシアティブの仮想ルーター、SEIL x86を利用しました。

3.SA-W1の利用

 無線アクセスポイントは、株式会社インターネットイニシアティブよりSA-W1をお借りし利用しました。SA-W1は通常の無線アクセスポイントとは異なり、予めクラウド上のSACMコントロールパネルで設定を仕込んでおくと、ネットワークに接続して電源を入れるだけで、自動的にSACMへ接続。自身の設定を取得して動作します。言い方を変えるとクラウド型のWLCとも呼ぶことができると思います。今回のチュートリアルでは設営時間が非常に限られており、会場に持込む機器を減らしたい(WLCのハードウエアなどは持ち込みたくない)事から、SA-W1が最適な状況でした。

【無線アクセスポイント SA-W1】

参考:http://www.sacm.jp/

 また、カンファレンスの行われたプラザ平成とチュートリアルは会場が異なり、設計も2カ所分必要だったこともあり、SACMを利用したSA-W1の利用はホットステージなどの事前構築工数の削減に大きく寄与しました。さらに、万一2項のPacktiXVPNが当日うまく繋がらない事態となった場合には、予め用意しておいたConfigテンプレートを切替えるだけで、会場の既設ネットワークに直接APを接続することができ、最悪の場合のリカバリー手段も確保できました。

 なお、SA-W1は2.4GHzにしか対応していないという大きな欠点がありましたが、事前調査の際に会場の2.4GHz帯の電波状況が比較的良かった事、最大でも人数は100人程度なので2.4GHzでも耐えられるレベルと判断し採用を決定しました。

4.オペレーション

 今回、設営の省力化のため、監視サーバーなどのサーバー類もフレッツ接続を行っているNOCの仮想マシン上で動作させることとし、会場への持込は行わない事としました。会場では仮想環境上にある各種監視ツールにターミナルやブラウザを利用して接続し、情報を表示するだけです。死活監視やトラフィック情報の表示は一定の制限があるものの、SACMのコントロールパネル上でも行うことができ、最終的には構築を省略する事も可能だったと考えています。

【オペレーションの様子 オペレーターはNOCメンバーの秋山さん(現役の学生さんです)】

 上記のような様々な努力の甲斐があり、構築作業の大幅な省力化を実現することができ、限られた時間で無事に設営を完了し、チュートリアルの参加者の方が着席する際にはネットワークが利用できる状態にすることができました。またトラフィックが一時的にバーストした際に、会場側の回線の帯域の問題と思われるトラブル(PacketiXVPNのセッションが一時的に不安定となる)がありましたが、その他の大きな問題は無くチュートリアルを終えることができました。

参考までにチュートリアルのトラフィック量は下記の通りとなります。(何れも双方向合計値) IPv6の転送量が比較的伸びているのは主要なサイトのIPv6対応が進んでいる証拠の一つだと考えられます。

IPv4転送量:15.2GByte
IPv6転送量: 3.7GByte

5.終わりに

カンファレンスネットワークでは、設営時間が限られている事や会場に制限がある事も多く、様々な機器を会場に持ち込んで利用することが必ずしも最適ではないケースも数多くあります。管理機能をクラウド上や会場外のNOCに設置された機器にシフトしてしまうことにより、工数を大幅に削減することができるかと思います。今後も他のカンファレンスでネットワークを構築するような事があれば、積極的にこのような方式を採用していければと思います。

12. 7月 2014 10:35
by K.YAMAGUCHI
0 コメント

DNS勉強会の会場ネットワークを構築してきた

12. 7月 2014 10:35 by K.YAMAGUCHI | 0 コメント

7月5日(土)に渋谷のGMOインターネット様で開催した自宅ラック勉強会のDNS勉強会「夏のDNS祭り2014 入門セミナ&ハンズオン」の会場ネットワークを構築してきました。来場者の皆様にご利用頂いたネットワーク構築の舞台裏をご紹介したいと思います。今までブログなどでコメントした事はありませんでしたが、私をはじめ6人のメンバーで2014年9月に開催予定のPyConJP2014の会場NOCチームを担当しています。そのPyConJP2014のNOCメンバーの一部、私の他、小林さん金井さん中村さんの4名のチームでネットワークの構築を担当しました。

1.何故ネットワークを作ったのか

会場をご提供して頂いたGMOインターネット様にはゲスト用無線LANがあり、それをそのままお借りする事もできましたが、以下の理由により今回はお借りせずに勉強会スタッフ・NOCメンバーで構築を行いました。

A.PyCon2014で利用する機器やサーバーソフトウエアのテストを行いたかった。

 PyConJP2014の会場ネットワークではMikroTikのRouterBoardシリーズの無線APを一部に利用する事を計画しています。RouterBoardシリーズの無線APは国内の大規模カンファレンスなどでの実績は少ないので、比較的規模の小さい勉強会で先ずはテストをしてみることとしました。なお、RouterBoardシリーズに関しては後述の通り、不具合と思われる様々な事象が発生し、PyConJP2014の会場ネットワークでの採用は見送ることとなりました。

B.IPv4/IPv6デュアルスタックによるネットワークを提供したかった。

 計画段階ではIPv6/IPv4デュアルスタックの環境がハンズオンに必要となることを想定しており、会場のゲスト用無線LANにIPv6環境が無かったために提供を計画しました。最終的にハンズオンの内容としてはデュアルスタック必須ではなくなりましたが、今の時代IPv6接続は絶対に提供したい!というメンバーの思いで提供が決定しました。

C.イベントネットワーク構築が初めてのメンバーのデビュー戦の場として

 PyConJP2014のNOCメンバーにはイベントネットワーク未経験のメンバーが数名入っています。初めてでいきなり500人規模のカンファレンスネットワークを構築することには不安があるので、比較的小規模の環境で未経験のメンバーにカンファレンスネットワーク作りのイメージを掴んで貰いたいという思いで、未経験メンバーを中心にチームを編成しました。

2.構築と運用

会場ネットワークの提供が決まったのは、会場の下見が完了し、GMOインターネット様に許可を頂いた開催4日前。各メンバー共に本業があるため構築作業は各自帰宅してからの時間だけ。超短納期のデスマプロジェクト、どんな条件でも俺らはコネクティビティを提供する!と誓ってプロジェクトスタートです。今回のネットワークの上位はインターネットへの直接接続ではなく、GMOインターネット様のゲスト用有線LANネットワークです。上位のネットワークの仕様は詳しく教えて頂いていなかったので、2つのケースを想定して構成を準備しました。最終的には上位ネットワークのMACアドレス数制限などは無さそうだったので、2段NATによる影響を考慮し、【構成2:NATルーター無しのL2フラット構成】を採用することとしました。

【構成1:NATルーターを使った2段NAT構成】
会場の上位ネットワークのポートでMACアドレス数制限などが掛っている事を想定した2段NAT構成

【構成2:NATルーター無しのL2フラット構成】
会場の上位ネットワークをそのまま使う(DHCPやDNSは会場側の設備をそのまま利用)構成

IPv6に関しては現地に環境が無かったので、会場外に引き込んだ「IIJmio FiberAccess/DFサービス」をVPNを利用して会場で利用できる仕組みを緊急で作りました。

【写真:会場外に緊急設置したIPv6 VPNサーバー】

勉強会前日はSkypeで連絡を取り合いながら各自自宅でホットステージ。週末の為、仕事の疲れで寝落ちするメンバーが出たりして作業は順調に進まず、就寝したのは朝5時、L2スイッチのコンフィグが終わってないなど不安の残る状態で当日を迎えました。

当日は10:15に会場に入場し構築をスタートしました。作業時間は2時間、ケーブリングはみんなで、コンフィグレーションは無線担当、AP担当、サーバー担当と分かれて行いました。

【写真:会場に仮設したサーバーとCatalystスイッチを設定中】

勉強会開催中は、RouterBoardに起因するもの、準備や検討が不十分だったこに起因するも、カンファレンスネットワークお馴染みの問題まで様々な問題が発生しました。(NOCメンバーもゆっくりハンズオンに参加したい思いがありましたが、それどころじゃなかったり・・・)

・BPDUガードでポートがブロッキング

RouterBoardのAPはデフォルト状態でスパニングツリープロトコルが動作しています。その仕様を知らずにAPをそのままスイッチに接続したため、アップリンクポートがブロッキング状態になりポートがシャットダウンされてしまいました。予想外の仕様だったこともあり、スパニングツリーを停止する方法が分からずRouterBoardユーザ会の方に電話連絡を取り、設定方法を教えて頂き、APのスパニングツリーを停止することができました。(事前の検証不足だったと言われればそれまでなのですが、STPがデフォルト動作しているAPは今までではじめて見た気がします)

・無線APを接続したポートでMACフラッピングが発生

RouterBoardの無線APを接続したスイッチのポートとアップリンクポートの間でMACアドレスフラッピングが発生しているとのログが出続けました。限られた時間の中で解析を行いましたが原因が掴めず、実際の通信に影響を与えていなかった為、そのまま利用する事としました。後日の調査ではRouterBoardのブリッジ周りに起因するバグである可能性がある可能性が高そうです。(2014年9月現在、やはりバグであるとの可能性が高く修正の準備が進んでいるようです)

・野良DHCPサーバーが発生

イベントネットワークではお馴染みの野良DHCPサーバー、今回も発生しました。dhcp snoopingの設定をAPに事前に仕込んでおいたので大きな問題にはならずに済みました。

・野良RAとブロードキャストストームが発生

勉強会開催中にIPv6のRAを出す端末、ブロードキャストストームが発生しました。原因を解析している途中に自然消滅し以後問題は発生しなくなったので当日は特に対応を行いませんでした。後々の解析でRouterBoardのAP自体が何らかの原因により左記のような事象を発生させていた事が分かりました。

最終的にネットワークの疎通確認が完了し、来場者の皆様が接続できる状態となったのは13:00頃。来場者の皆様の入場が始まるのとほぼ同時位でした。途中、近くのビックカメラにバッファローのAPを買いに走ろうか・・・という議論があるなど緊迫したひとときもありましたが、「どんな環境でも快適なネットワークを皆様に届けたい!」というNOCメンバーの熱い思いで乗り切りました。

【IPv4トラフィック】(監視装置の制限上、グラフは取得できていません)

勉強会終了までの総転送量は13.6GB

【IPv6トラフィック】(取得インターフェイスの関係上、送信がインターネットから会場へのトラフィックを指します)

勉強会終了までの総転送量は400MB

3.終わりに

この度、勉強会会場を提供頂きネットワーク構築を許可して頂きましたGMOインターネット様、構築作業中にメンバーにアドバイスを頂いたRouterBoardユーザ会の皆様、当日会場の準備ご協力頂きましたスタッフの皆様にあらためましてお礼を申し上げます。また、無理なご要望でご迷惑をお掛け致しました事をお詫び致します。今後も勉強会などでお世話になる機会がありましたらご協力頂けますと幸いです。また、今回の反省を生かし、9月のPyConJP2014の会場ネットワーク構築にはNOCチームメンバー一同万全の体制で臨みたいと思います。

16. 6月 2014 02:05
by K.YAMAGUCHI
0 コメント

FireflyPerimeterでJunosリモートラボを作ってみた

16. 6月 2014 02:05 by K.YAMAGUCHI | 0 コメント

JNCIA/JNCISの勉強用に使える環境が欲しいのと、いつもの勉強会メンバーより要望があったので、Fireflyの評価版を使ってJunosのリモートラボを自宅の検証環境に作って見ました。

1.Fireflyとは

Firefly Perimeterは、仮想マシンで利用可能なJuniperSRXをベースにした仮想ファイアウォールで、SRXシリーズとほぼ同等の機能、。KVMとVMware版が提供されており、以下のJuniperのサイトより誰でも評価版をダウンロードして利用することができます。

http://www.juniper.net/jp/jp/products-services/security/firefly-perimeter/#evaluation

2.ラボ構成

下記のネットワーク図のような構成になっています。2台の仮想PC(CentOS6.5)にはvNICが2本接続されており、ラボバックボーン経由でインターネットに接続しています。利用者はvSphereクライアントからvCenterにアクセスしてFirefly/Linuxのコンソールを直接操作するか、2台の仮想PCにSSHでリモートアクセス、踏み台にしてFireflyに接続します。ラボ内(Firefly間)は独立したセグメント(10.255.0.0/16)が予約されており、利用者は好きなIPアドレスを設定して利用することができます。課題や正解なども特に容易していないので、BGPを回しても良し、NATしても良し、何を設定してどう使うかは利用者次第ということになります。近日中にIPv6対応(ラボバックボーン側)とHA構成検証用のFirefly2~3の間の渡り線の追加を行う予定です。本構成でJNCIA-Junosの凡その範囲、JNCISの一部範囲の学習には対応できるのかなと思います。

利用者が自由にvCenterで物理構成を変えられるようにするのがベストとは思ったのですが、利用終了後の設定の復旧やトラブル発生時の切り分けなど管理が面倒なので、「物理構成は変えないでね」という運用ルールのもとで使う事としました。cisco packet tracerのようなイメージで利用者がWeb画面上などで自由にvSwitchの配線を繋ぎかえられるシステムが作れると非常に便利なのですが、OSSなどでそのような制御ができるソフトウエアはあるのでしょうか。何か情報をお持ちの方が居ましたらご教示いただければと思います。JNCISの試験問題的にこんな構成の方が良いよというアドバイスもお待ちしております。

3.仮想ルーターについて、利用方法について

Junosの動作する機器は元々国内の中古市場での流通が少なく、実験・学習環境用として複数台を確保するのは比較的大変でしたが、Fireflyの評価版のリリースにより利用が楽になりました。一昔前はネットワーク機器のコマンドを叩いて見たければまずは高価な実機の確保でしたが、仮想環境で何でも出来る時代、便利になったものです。

私とトンネル接続経由で繋がっている人VPNで繋がっている人は24時間いつでも自由に利用できますので、勉強や検証などに活用頂ければと思います。少なくとも評価期限の間はこのまま使えるようにしておきます。将来的には操作性などをもう少し工夫して広く自宅ラックメンバーが使えるように出来たらと考えています。

15. 4月 2014 23:00
by K.YAMAGUCHI
0 コメント

CiscoWLC(CT-2504)のBugを踏む

15. 4月 2014 23:00 by K.YAMAGUCHI | 0 コメント

WLCの同じBugを2連続で踏みました。
2月に友人に貸出していたCT-2504で踏んでいたBugが自宅のプライマリCT-2504でも発生しました。
今年、自宅環境での5件目のBugIDになります。昨年はBugの引きが良い人と不名誉な称号を一部の人から与えられましたが、今年も健在なようです。 

1.発生した事象

Version7.4.110.0を利用しているWLC(CT-2504)がWatchdogによる異常を検知し突然リブートし、ライセンスが評価ライセンスのみしか表示されなくなりました。WLCの仕様では購入時にバンドルされているBase Licenceは削除変更できないので明らかに異常な事象となります。

ライセンス状況の確認にはshow license allコマンドを利用します。
その他、 show license permanent、show license in-use、show license statusでもライセンス状況の確認ができます。

(Cisco Controller) >show license all 

License Store: Evaluation License Storage
StoreIndex:  0	Feature: base-ap-count                     Version: 1.0
	License Type: Evaluation
	License State: Active, In Use
	    Evaluation total period:  8 weeks  4 days 
	    Evaluation period left:  8 weeks  3 days 
	    Expiry date: Thu Apr 24 13:55:54 2014
	License Count: 50 /50 (Active/In-use)
	License Priority: High

(Cisco Controller) >

Web画面でも評価ライセンスのみとなっているのが確認できます。

2.解決策

TACにCaseOpenして新しいライセンスを発行して貰いました。
TACにはshow license udiコマンドの結果を提出する必要があります。
再発行して貰ったライセンスを投入した後、ライセンスの優先順位をHighに変更します。
ライセンスの優先順位の変更を反映するためにはWLCの再起動が必要になります。 

3.Bug情報

下記のBugに該当するようです。

CSCul68057:CF driver change for 5508/WiSM2/2504

WLCに内蔵されているフラッシュメモリ(CFカード)のドライバの不具合により、フラッシュへの書き込みが失敗した事によるものです。ワークアラウンドはCT-2504の場合Version7.4.121.0以降またはVersion7.6以降へのアップグレードとなります。 今週末にもアップグレードを実施予定です。

今年はもうBugを踏まない事を願うばかりです。そしてこのような時にどうしようもなくなるので(特にアプライアンス系の)保守契約はケチらずに結んでおくべきです。※CT-2504のSmartNet8×5NBD保守契約で年間2万円程です。

25. 12月 2013 18:12
by K.YAMAGUCHI
0 コメント

JiniperルーターのOS再インストール方法

25. 12月 2013 18:12 by K.YAMAGUCHI | 0 コメント

Junosのアップデートに失敗しJuniperのルーターのJunosが起動しなくなり再インストールを試みたので方法をメモしておきます。

◆はじめに

JuniperMシリーズルーターのJunosがとアップデートの失敗により起動しなくなったので再インストールを行いました。
再インストールには最低限以下の物品が必要になります。

CFカードに書き込み可能なドライブ(USB接続のCFカードリーダーなど)
PCMCIAとCFカードの変換アダプター 
1GB程度の容量のあるCFカード 

なお、Junos10.x以降をインストール(バージョンアップ)する場合はRoutingEngineに搭載されているCFの容量が不足する場合があります。(M10i、M7iのRE400、RE850には256MBのCFカードが内臓されていますので1GB以上の容量があるものに交換する必要があります。) 

◆インストールイメージのダウンロード

Juniperのサイトにアクセスしインストールイメージをダウンロードします。
新規インストールに必要なイメージは「Install Media」の方になります。
機種やバージョンによって必要なフラッシュやメモリの容量が異なるので要件を満たしているかReleaseNoteで確認しましょう。

◆CFカードへのOSイメージファイルのの書き込み

ダウンロードしたディスクイメージはWindows環境ではそのまま書き込む事ができませんので、Cygwinなどのツールが必要になります。
CygwinをインストールしたWindowsPCにUSB接続などのCFカードリーダーを接続しCygwinを起動します。

下記のコマンドを入力しディスクイメージをCFカードに書き込みます。
(ファイル保存先のパスなどは必要に応じて読み替えて下さい) 

NetworkOps@NWS1211 ~
$ cd c:

NetworkOps@NWS1211 /cygdrive/c
$ dd if=install-media-9.3R4.4-export of=/dev/sdb bs=64k
3398+1 レコード入力
3398+1 レコード出力
222715904 バイト (223 MB) コピーされました、 218.362 秒、 1.0 MB/秒

◆ルーターへの再インストール

ルーターの電源をオフにした状態でRoutingEngineのPCカードスロットに作成したCFを差し込みます。

ルーターの電源を入れると以下のようなメッセージが表示されCFカードよりインストーラーの起動が始まります。 

PCMCIA ATA Flash Card
Compact Flash
Primary IDE Hard Disk
Ethernet
Boot Sequence is reseted due to a PowerUp

Trying to Boot from PCMCIA ATA Flash Card
CD Loader 1.00
Building the boot loader arguments

インストールを開始するかどうかの確認メッセージが表示されますのでyを入力してEnterを押下します。
RoutingEngineのHDDに保存されたログファイルなどを含め全てのファイルが消去されますので注意してください。 

WARNING: The installation will erase the contents of your disks.
Do you wish to continue (y/n)?

インストールが完了すると以下のようなメッセージが表示され再起動を求められます。

Eject the installation media and hit [Enter] to reboot?

CFカードを抜いてEnterを押下するとルーターが再起動されます。
再起動後、正常にJunosが起動しコマンド入力ができるようになれば作業は完了です。 

9. 11月 2013 19:17
by K.YAMAGUCHI
0 コメント

RIPE Atlasを導入してみた

9. 11月 2013 19:17 by K.YAMAGUCHI | 0 コメント

RIPE NCCのインターネット計測システム、RIPE Atlasを自宅に導入してみました。

◆RIPE Atlasについて

 RIPC NCCの実験的なインターネット計測システムで、数千のプローブを世界中に設置してインターネット上の様々な情報を可視化することを目的としています。個人でも自宅にプローブを設置することにより、プロジェクトに協力することができます。

※RIPC NCC :ヨーロッパや中東地域を管轄するインターネットレジストリ。日本ではAPNICがこれにあたる。

◆入手方法

RIPE NCCに登録すれば個人でも無料で1個Probeを入手することができます。

1.RIPEアカウントの作成とRIPE Atlasの申込

https://atlas.ripe.net/にアクセスし、Get Involved > Host a Probe を選択します。
Step1-create oneを選択しログインページへ移動します。既にアカウントを持っている人はそのままログイン、持っていない人はcleck here to create oneを選択し必要事項を入力してアカウントを作成します。 ログインするとApply for a RIPE Atlas Probeのページが開きますので、必要事項を入力してSubmitをクリックします。

 

① 個人の場合はResidential/Consumerを選びます。
② 利用しているISP名を記入します。
③ 利用している回線の通信速度を選択します。
④ AS番号とネットワークアドレスの入力欄です。分からない人や非固定IPの人は書かなくても大丈夫です。
  ※IPv4は/24以上、IPv6は/48以上でないと入力できないようです。
⑤ Please send it to me by postを選択し、下の入力欄に住所を英語で記入します。 

 

⑤GoogleMapで設置場所(自宅や会社)を指定します。
⑥24時間プローブを稼働させられる人はチェックを入れます。
⑦プローブを公開にしたい人はチェックを入れます。
⑧利用規約を読み承諾の上チェックを入れます。 

3.Probeの受取

 私の場合は申込後10日ほどで、発送先の住所を再確認するメールが、返信後1週間程で国際郵便でプローブが到着しました。(メールには英語で返信する必要がありますが、住所と名前だけですので英語が苦手な人もGoogle翻訳などで何とかなると思います。)

◆ハードウエア

TP-LinkのTL-MR3020というモバイルルーターを利用しており、小型のUSBメモリ中にインストールされている独自開発のソフトウエアが起動する仕組みになっているようです。電源はUSBより供給します。

http://www.tp-link.com/en/products/details/?model=TL-MR3020 

◆初期設定

初期設定はDHCPでアドレスが付与されるネットワークで行う必要があります。起動後しばらくしてRIPE Atlasのページにログインし、My Atlas>Probesを選択、My ProbesのStatusがConnectedになっていれば接続成功です。

固定IPアドレスを設定するには、上記の画面で自分のプローブを選択し、Probe's SettingsからNetwork Configurationを開き、任意の値を入力しUpdateをクリックして保存します。保存が完了したら設定した固定アドレスのセグメントにプローブを接続すれば完了です。

◆どんな情報が見られるのか

見られる情報は多数ありますが、その中からいくつかをご紹介します。

1.各DNSルートサーバーへのRTT

m.rootへのRTT

2.各DNSルートサーバーへのTraceRoute

i.rootへのTraceRoute

3.Debogon対象だったアドレス(84.205.83.1)への到達性

84.205.83.1へのPingによる到達性

◆標準以外の計測先の追加

任意の宛先(UDM)を登録して計測を行うことも可能です。My Atlas>Measurements>New Measurmentsをクリックして計測先を作成します。任意の宛先への計測には「クレジット」が必要になります。 クレジットはプローブの稼働時間に応じて(24時間連続稼働すると21,600クレジットが貯まる)溜まっていき、UDMでPingやTraceRouteを行う度に消費(pingは1回につき3クレジットを消費)されます。

biglobe (ping.mesh.ad.jp)へのUDM

◆世界のプローブ稼働状況

2013年11月10日現在世界では4280個のプローブが稼働しています。殆どが欧州と米国ですが、日本では40個程のProbeが稼働しているようです。IPv4のASカバー率は4%程、IPv6のASカバー率は7%程のようです。

◆活用方法は?

RIPE Atlasは可視化ツールの1つですので、得られたデータをどう活用するかというのが難しい部分ですが、個人としては「自宅ネットワークの簡易監視ツールとして、特定ホストまでのRTTをチェックすることによりISPの回線品質のチェック」などが現実的な活用法なのかなと思います。
また、自分の利用しているISPがBGPでどこと繋がっていて、どのようなPrefixを広告しているか、 二次三次ISPを利用している人は上流はどこなのかなどなど、ISP間の繋がりを眺めて見るツールとしても面白いと思います。

日本ではIIJやOCNなど一部の有名ISPにしかプローブが存在しないようで、AS17955のAvisNetに繋がっているプローブも世界で私だけです。小規模ISPを利用している方など、世界で始めて&世界に貢献している気分になれるチャンスですので是非AtlasProbeを申し込んでみてはいかがでしょうか?

16. 9月 2013 18:22
by K.YAMAGUCHI
1 コメント

自宅ラック勉強会15.0 RouterBoard勉強会Vol.1 に参加しました

16. 9月 2013 18:22 by K.YAMAGUCHI | 1 コメント

ラトビア生まれのかわいいルーター、RouterBoardの勉強会に参加してきました。
自宅ラック勉強会としては珍しく、 RouterBoardの日本代理店の方に来て頂き説明をして頂きました。

当日の資料はメインスピーカーの@kometchtechさんが下記URLで公開してくれています。
http://kometchtech.blog45.fc2.com/blog-entry-1235.html 

【勉強会の様子】

◆RouterBoardとは

RouterBoardはラトビアのリガにあるネットワーク機器メーカー、MikroTikが販売する組み込み向けを想定したネットワーク機器基盤です。同社が開発しているRouterOSを組み込んだ完成品のルーター、無線APとして販売される「RouterBoard」、上位製品の「CloudCoreRouter」などの製品があります。
日本での代理店はCIO+さんとなっており、下記のサイトより問い合わせの上購入することができます。現在では少ない取り扱い商品のラインナップは今後拡充していくとのことです。無線APに関しては電波法の関係上販売できない製品もあるとのことです。

MikroTik公式サイト:http://routerboard.com/
日本公式サイト:http://routerboard.jp/

◆RouterBoardの特徴

勉強会でご説明頂いた内容よりRouterBoardの特徴を簡単にまとめてみます。

【ハードウエア】

・CCRはTile(16or32コア)、RB1000~2000系列はPPC、下位モデルはMIPS系のプロセッサを搭載。
・CCRはCPUのみでASICやEthernetコントローラーは搭載していない。
・他のモデルはEthernetコントローラーにAtheros系のチップを搭載。
・CCRは16GBまで(ノートPC用のDDR3SO-DIMM)メモリを増設することも可能。
・一部のモデルはトラフィック状況などを把握できるタッチパネルLCDを搭載。 

【ソフトウエア】

・RouterBoardにはRouterOSが組み込まれて販売されているが他のOSの導入も可能。
・RouterOSはLinuxをベースにしており最新版は6.4。
・ルーティングやVPNなどの基本的な機能の他にOpenFlowやIPv6などにも対応。
・トラフィックモニターやパケットスニファなどの簡易的なモニタリングや解析機能を搭載している。
・(通常の利用では必要無いと思うが)パッケージを追加することで機能拡張も可能。
・RouterOSはPCなどでも使用できるx86版のラインナップも。  
・下位の機種はコンソールポートが無くWebブラウザ上で設定する事が基本。
・WinBOXという設定用のWindowsアプリケーションも用意されている。 

◆ハンズオン

各チームテーマを決めてハンズオンみたいな流れだったので・・・VPN経由でのパフォーマンス測定にチャレンジしてみました。
下記のように2台のCCR間をIPsecVPNで接続しトラフィックジェネレータで負荷を掛けてスループットを測定します。

【ハンズオンの環境】

【インターフェイス設定画面+トラフィック表示】

コマンドラインでの設定も可能だがWebGUIの完成度が高いのでWebGUIで設定した方が分かりやすい。WebGUIとほぼ同等の画面構成のWinBOXという設定用のアプリケーションも用意されているが、Webブラウザ経由の設定の方が細かい部分が分かりやすい。CLIは他社の機器と異なる部分の多いコマンド形態なので慣れるまで時間が掛かるかもしれない。 

【VPN負荷試験時のスループット:約550Mbps】

VPNスループットは550Mbps程。双方の機種が違うので純粋な評価にはならないが、1100のCPUがほぼ100%で張り付いて居たこと、CCR1016のCPUが60%程度の使用率であったことを考慮すると、550MbpsはRB1100の限界と見るべきでCCRはさらに高いポテンシャルがあると考えられる。

 

【VPN負荷試験時のスループット:約80Kbps】 

◆まとめ、第二回勉強会に向けて

勉強会では短時間のハンズオンのみで十分な評価が行えませんでしたが、価格、性能、機能、どれを取っても中小企業の基幹ルータークラスの用途では十分使える実力のあるルーターなのではないかと思います。気になる点はASIC(CCRはEthernetコントローラも)持っていないので、CPUでソフトウエア処理している事によりどの程度のレイテンシが乗ってくるかがありますが、一般的な中小企業のオフィスではそこまで低遅延を求められるケースは少ないので適材適所の使い方をすれば、遅延はそこまで大きな問題とならないと考えられます。

次回勉強会の時(それまでに実機が買えれば自宅で)には以下の項目にチャレンジしてみたいと思います。

・ルーティング機能とパフォーマンス
OSPFやBGPなどの動的ルーティングの機能確認とパフォーマンス測定。 

・IPv6のサポートとパフォーマンス
IPv6PPPoE、IPv6トンネル、DNS、DHCPv6辺りの機能確認。

・レイテンシとパケットドロップ
CPU処理によりどの程度レイテンシが発生するか、高負荷時にパケットドロップがどの程度発生するか。

・セキュリティ
ACLやパケットフィルタリングの操作性や使用感。

・OpneFlow
OpenFlowの機能確認。

自宅用にどの機種をIYHするかですが、CCRはお試し購入にはちょっと高いので・・・RB2011UAS-RMを検討しています。1Uラックマウント、LCD付き、SFP×1、Giga×5、FastEther×5で約1万円とスペック的にかなりバランスの取れた機種です。

22. 6月 2013 12:31
by K.YAMAGUCHI
0 コメント

自宅サーバーラックを42Uにアップグレード

22. 6月 2013 12:31 by K.YAMAGUCHI | 0 コメント

ブログの最初の記事にも書いた通り、自宅DCのネットワーク機器やサーバーは全て36Uの19インチラックに搭載しています。
この36Uのラックが手狭になってきたので、先日42Uに交換したのでその詳細をブログにまとめておきます。 

1.更新を考えたきかっけ

 サーバーやネットワーク機器の台数が増え続け空きスペースが足りなくなったこと(今後も機器は増える見込みであり、さくらインターネットなどのクラウドに置いているサービスも何れは自宅にプライベートクラウドを構築して集約したい)、36Uラックの総搭載重量は150㎏までで既に超過している状況だったので耐久性が心配であった事が理由です。

 本来であればラックを「増設」、ネットワークラックとサーバーラックを分割し、サーバーラック側のネットワーク機器はTop of Rackスイッチのみとし、配線の最適化をしたかった所ですが、自宅のサーバー室は作業スペースと倉庫も兼ねて6畳しかないため、やむを得ず増設ではなく42U化を選択しました。

2.ラックの選定

 自宅サーバー室は通常の家庭用エアコンによる空調(サーバー用でも床吹きでもない)のため、特別な空調設備が無くてもサーバーの冷却が可能であるラックが可能であるラックが条件になります。ベストなのはオープンラックでしょうが、側面や配線が丸見えとなるため、余り見た目の良いものではありません。そこで、左右の側面パネルは付いているが、扉はパンチングメッシュタイプで通気性の良いタイプとすることにしました。

 当初はAPCや河村電器の製品を中心に新品で探していましたが、どれも15万円~20万円近くするため中古のラックを調達することにしました。(自宅DCとしては限られた予算の中で運用しているため予算はルーターやサーバーなどシステムの性能に直結する部分に集中投入したいものです。)最終的にHP製の中古42Uサーバーラック(HPラック10000 G2シリーズ)を購入することとしました。

3.作業計画

 他の方に貸しているシステムがあることや、メールサーバーなど停止の影響が大きいサーバーがある事を考えると、システムの停止から再開までを最長でも1日で終わらせる必要がありました。そのため、作業の実施は1名では不可と判断し、お手伝いを@taka_stackさん、@Cryshiiさんにお願いすることにしました。色々と検討した結果9:30作業開始の17:00作業終了の計画を立てました。

4.作業当日

【9:00】 集合

【9:15】 システム停止作業

【9:30】 ラック解体作業

ネットワーク機器からケーブルを抜き上の方の機器から順に取り外して行きます。

<コンソールドロワ、1Uサーバーのスライドレールは慣れていないと取り外しに苦労します>

<UPSは2人で取り外し。APCのUPSの取付ネジはインチネジのため他のネジと混ざらないように要注意です>

【11:30】 ラック搬入作業

11:00頃に運送業者が到着しラックを自宅玄関まで搬入。ラックを傾けないとエレベーターに入らなかったりで玄関まで移動するのに一苦労でした。玄関の扉の高さが微妙に足りずにラックが通らなかった為、ラックを横倒しにして搬入しました。余りの重さにその場から動かすのが困難だったため、サイドパネルなどを取り外してラックを解体します。 

<天板やサイドパネルを全て外してラックを解体して移動>

【12:30】 新ラック設置作業

ラックの位置を決めてレベラーを下してラックを固定します。 今回は耐震固定は行っていませんが42Uクラスになると架台固定や免震などの耐震対策を行うのがベストです。一般家庭だと架台固定や免震は難しいと思うのでスタビライザ取付程度は最低限行っておくと良いかと思います。

【14:00】 機器搭載作業

ラック搭載図に従って下のユニットから順番に機器を搭載していきます。途中で時間切れとなったのでケーブルコスメの一部は後日作業とします。ケーブルコスメは時間が掛かるので十分に時間を確保しておきたいところです。
 

<ケーブルコスメ作業は難しい、技術よりもセンスが大事かも?>

【16:00】 機器起動開始・動作確認

【18:30】 片付け

予定より1時間半程オーバーして作業終了です。
うまく行ったことも行かなかった事もありますが、今回の作業の教訓をまとめてみます。

◆作業人数を確保。

重量のある機器を大型ラックに設置する場合は、支える人2人+固定する人の3人は最低ライン、ラックの移動を伴う場合は4人程度居ても良いでしょう。事前に友人などに手伝いをお願いするか、ATNDで自宅ラックな人を募集して作業人数を確保しておきましょう。この辺は仕事で搭載作業をするときと変わらないですね。

◆運送費はケチらない。

建物の1階から自室までの搬入スペースの制約がある人は多少費用的に無理してでも運送業者に搬入を依頼しておきましょう。狭い廊下やエレベーターで慣れない者がラックを傾けたり回したりはかなり大変です。ちなみに今回の運送費は室内までの搬入込のチャーター便で約50000円掛かっています。

◆養生材を十分に用意。

ラックを移動する際には床を傷つけます。重量物なので一般的な梱包材(プチプチ)のようなものは破れてしまって役立たないので、青ベニやプラダンボールなどを準備しておきましょう。ホームセンターなどで1枚500円~1000円程で売られています。

◆ドキュメントは事前に用意。

作業を円滑に進めるために事前にドキュメント類は作っておきましょう。作業をしながら口頭であーでもないこーでもないとやっていると意外と時間を取られてしまいます。

◆インパクトドライバーを用意。

ラック本体のネジはきつい場合が多く手回しでは対応できない場合があるのでインパクトドライバーを用意しておきましょう。手回しドライバーではネジが回らない為マウントアングルの位置変更ができず苦労しました。

<作業完了後のラックの様子 : サーバー系>

<作業完了後のラックの様子 : ネットワーク系>

上記の通り苦労すれば42Uが入りますが・・・一般家庭では36(37)U程度のラックに止めておいた方が無難かもしれません。
最後になりましたが、お手伝い頂いた@taka_stackさん、@Cryshiiさん、ありがとうございました。