こんなところで OSPF 喋んないで～

とある組織の一部分のネットワークの経路制御に OSPFを使っていることが判明
＃といっても、それは周知のことで、今回私が知ったというだけの話。
えぇー、あんな（どんなかは正確には知らないけど）ちっちゃいネットワークでOSPF 使うの？
プログラマの私は、ひょっとして最近はちっちゃいネットワークでもOSPF を使うのが当然なのか？
と思って、ネットワーク屋のMさんに、こっそり聞いたところ、やっぱり普通はこんなとこでは
使わないらしい。自分が時代に取り残されているわけじゃないことが分かってほっとした。

なんで、OSPF なんか使うことになっちゃったか、無理やり想像することはできる
1.ネットワーク機器の障害時にも稼動するよう複数経路用意する必要がある
2.同じく、動的な経路制御プロトコルを動かす必要がある
3.RIP2 よりも、OSPF の方が収束にかかる時間が短い

おいおい、2. までは我慢してやる
（そういう時こそ　スイッチ使えと言いたいが http://blog.so-net.ne.jp/nakagami/2005-04-24 ）
それにしたって 3. はないだろう。つーか、今回くらいのネットワークならサブネットマスクの
集約なんかしてやる必要ないんだから RIP2 とは言わず RIP 使っとけ！

OSPF を流すことを決めた人は、携帯電話のマニュアルをすみからすみまで読んで
すべての機能を使いこなさないと納得しない人だろうな。

私は、 OSPF の設計とか設定って RIP に比べたら断然難しいと思っているんだけど、
（私はやったことないけど）
実際はそんなことなくて RIP2 より OSPF のほうが断然いいから、と言って
OSPF を使う流派があるんだろうか

スイッチ、スイッチ、スイッチ

とある組織（ISP とかじゃなくて普通の会社）の一部のネットワークについて
「こうなっています」と言って見せられた表は、IPアドレス域に VLAN 名 tag番号等が
ずらずらっと書いてあった。

「す、すげぇ。サブネットが切ってない」と、
IOS の動くルーターさえ触ったことがなくて、やったことと言えば、大昔に FreeBSD で
Ethernet Card を2枚さして、経路固定でルータにしてたくらいの単なるプログラマ（私）は思った。

CISCO の Catalyst の教科書みたいな本には書いてあったけど、
本当にこういうデザインをする世界ってあるんだ・・・
っていうか、最近はほとんどこんな風にやるんだろうなぁ。

しかし、「じゃ xx.xx.xx.xx/24 のサブネットの経路をそっちに向ければいいですね」
というようなことをメールで（伝言ゲームで）確認したら、はっきりした回答が返ってこない。
＃単なる確認のためだったので、別にそれでもよかったんだけど
ひょっとして、 IP の経路制御がよくわかってないんじゃないの？という疑念を持った。
（相手は、ネットワークの専門家なんだけど）

多分、カタログ性能的にはスイッチのほうが良いので、今後もスイッチを中心にした
デザインが中心になるんだろうけど、例えば、思わぬポートが思わぬ VLAN に属してたり
変なところでフレームをループさせちゃったりしてトラブルも多いんでないの？
（そういう時のデバッグも大変そうだし）
まず、単純なルーターと単純な Ethernet スイッチでの構成を検討して、それで性能が
足りないから Catalyst にしようっていうならわかるけど、いきなりっていうのは、
それほど好きでもないのにフェラーリを勝手苦労するようなもんではなかろうか

NEC、無許可PCの接続を防止する手のひらサイズのセキュリティアプライアンス

Linux Box であることとは関係なく、非常に興味深い製品
http://enterprise.watch.impress.co.jp/cda/security/2005/04/21/5126.html
http://it.nikkei.co.jp/it/news/index.cfm?i=2005042109739j0
http://www.nec.co.jp/press/ja/0504/2101.html

どうやって、許可/無許可を判断するんだろうか？（MAC アドレス？）
MACアドレスは、簡単に偽装できることはおいておいても、
今は、ハブも全部スイッチだからネットワークのパケットを覗くだけじゃだめだよね。

やっぱ、PC に専用のソフトを入れるんだろうか。
はやりに乗った製品なので、そこそこには売れるんだろうけど管理も大変そうだし、
（PCに専用ソフトを入れるんだったら）お金もかかりそう

プレスリリースだけでは、どういう仕組みで監視できるかわからなかった。誰か教えて

追記 kinnekoさんのところで反応あり
http://d.hatena.ne.jp/kinneko/20050422/p9
ARP テーブルを汚しちゃうっていうのは、ちょっと面白いとおもった。
ARP なら PC に特別なソフトを入れなくてもいいね。
＃kinnekoさんは予想してたけど、私は思いつかなかった
こういうののニュースを会社の偉い人が見て「これを導入しよう」っていうことになって
ひどい目にあう人がいっぱいいそう。機器の値段のことは問題じゃなくて、
ネットワーク内にある MAC アドレスのリストを保守することの大変さに比べて
得られる効果（気休め程度？）の少なさを考えたら、他にもっとすることがあるんじゃないかと。
まぁ、セキュリティ製品って、そんなんが多いよねと思う今日この頃

さらに思いついたことを追記
ARP に対して、この装置が不正な返事を返すにしても、正しいホストも返事をしているわけだから
この製品は「未承認ホストの不正接続防止に失敗することもあるし、成功することもある」
っていうことだろうなぁ。お客さんは、そんな説明で納得してくれるのかなぁ。
不正な MAC アドレスからの ARP要求があったことを管理者に通知はできるわけだけど。