謎のアドベントカレンダー、第 11 話です。
それは、複数拠点で同じセグメント(サブネット)を使っていた頃の話
筆者の職場では昔、数人〜十数人規模の拠点を増やす際にはセグメント(サブネット)を分けず、同じサブネット内に収容していました。
(フレッツ光のオプションサービスと、それに特化した LAN 間接続装置を組み合わせて。ただし NTT の東西を跨ぐ拠点を除く)
難しい設定も不要で楽ちんだったので、筆者以外の情シスメンバーが扱うことを想定して導入しました。
ある日のこと、複数の拠点から「LAN が繋がらなくなった」との連絡が。
サーバー室の LAN 間接続装置を見ると、LAN ポートの ACT ランプが激しく点滅しています。
とにかく何とかしないといけません。
仕方がないので全ての拠点を切断→ 1 つずつ戻して原因拠点の切り分け
をしていたところ、ある 1 つの拠点の偉い人から電話が掛かってきました。
「仕事にならんからネットを切るな」「早くなんとかしろ」 と。
そう言われてもどうしようもないので適当にごまかして(?)調査を続けたところ、まさにその拠点が怪しい、ということに。
発見。
まんまコレでした。
話を聞くと、その拠点にいたガジェット好きの A さんが、外れてぶら下がったままの LAN ケーブルを見つけて、
「たぶんこの HUB から外れたんだろうな。刺しておこう。ヨシ!」
とやってしまったそうです。
(本人は障害に気づかず直後に外出)
その後
- 社内への注意喚起
- エッジ用のスイッチング HUB をループ防止機能を持ったものに置き換え
- ちょうどその頃出回り始めたので
- 上位の L3SW でループ軽減対策
- DoS っぽいアクセスパターンの場合に遮断
を行いました。
ただ、件の LAN 間接続装置もループ検出・遮断機能があったはず。
ですが、「同じ MAC アドレスが自分側(LDB)と対向側(FDB)に見つかったら遮断」のようなものだったと記憶しており、このケース(対向側だけでループ)に効くものではありませんでした。
ループ防止機能を過信してはダメです。
そのため、数年後の見直しの際に、単一拠点で何かあっても別拠点に波及しないよう、複数拠点で同じセグメント(サブネット)を使わないように再構成しました。
ヨシ!
12 日目の記事に続きます。