Metaphorical Dream

2007年 07月 31日 ( 1 )

しょぼッ

Condition:通勤ラッシュ時間帯の改札口で帯域制御してやりたい

鯖チーム。

鯖チームってくらいだから、客に納入したPKI周りのことには詳しいと思ってた。
けど、タイトルの通りだった。

Internet側からVPN装置(VPNゲートウェイ)にアクセスしてくるユーザと、相互(蔵鯖)TLS認証をするとかのMtgを行った。

蔵側にはICカードにCertを埋め込むとかの作業が発生し、鯖チーム下請けの担当ベンダがやるらしい。
んで、鯖側(VPN装置)はうちらが入れてるらしいため、鯖側にもCertが必要らしく、TLS認証の接続テストをやりたいとのこと。

「了解!じゃあ、まずはVPN装置でCSR生成するからDNくださいな。それから、IPsecのポリシー・・・。」
といった具合に話が進んでハズなのよ!本来ならば。
※1
CSR=Certificate Signing Request(証明書署名要求)
DN=Distinguished Name(識別名 証明書のサブジェクトに記載されてる奴)

なのに、
「鯖チームは「VPN装置に必要な情報を確認して連絡するから。」の一点張り。
「最低でもCNだけは決めてもらわないと。。。」と切り替えしても、
「確認する。」の一点張り。
※2
CN=CommonName(通常Web鯖に埋め込むときはFQDNと一致させる。)

「お前ら、やめちまえ。」ってオレの心は叫んでた(涙)
一度でいいから、半べそかきながらでも、OpenSSL使って自前の認証局を構築してくれ!と言いってやりたい(笑)

って、オレはこんなことを書きたかったんじゃない!
今はちょいとかじったQoSを消化すべく、Dynamipsを使ってゴリゴリお勉強中。

Precedence
0=Routine
1=Priority
2=Immediate
3=Flash
4=Flash Override
5=Critical
6=Internetwork Control
7=Network Control
優先制御はおいといて。

トークンバケットアルゴリズムがようやく理解できるようになってきた。
でないと、policeやrate-limitコマンド、FRTSが攻略できん。

police 20000000 3750000 conform-action set-prec-transmit exceed-action drop
[police CIR Bc conform-action 動作1 exceed-action 動作2]

こんな↑コマンドを覚えるだけじゃ、CIRやBcにどんな値を入れたとき(入ってたとき)、どんな動作をするか?イメージできんのよ。
さらに上記の設定が有効であることを検証するため、ExPingやNetMi(負荷アプリ)のパケットサイズを、何バイトにしたらPrecedenceを書き換え始めて、何バイトにしたらドロップを始めるか?とか、実行間隔を何msにしたらいいか?とか、わからんのよ。

なので、お勉強中ってことなわけです。

[PR]
by mdesign21 | 2007-07-31 23:40 | Diary