「NW屋」をめぐるTL の mmasuda 個人的まとめ(2023/8)

タマゴケ @s5ml

ネットワークの分割ってなんなんやろな…（哲学） つよつよの皆さん、「何のために」ネットワークの分割をするのか説明できますか？ ホスト毎に/32で分割しちゃダメな理由とか。 技術面でもビジネス面でもいいです

タマゴケ @s5ml

ホストの追加の度にNW設定するのが大変？でもビジネスにおいて勝手にホスト追加していい場面ってある？ DHCPサーバの管理が大変？そんなに違いが出るのかな？

タマゴケ @s5ml

細かくNW切るのはユーザ毎にNW区切るNTTのフレッツをイメージしていましたが、フレッツは/30みたいです（v4の場合）。 /32じゃ通信できねーじゃねーか。皆さんツッコミありがとう

タマゴケ @s5ml

皆さんのリプありがたいのですが、なんか私が感じるモヤモヤを上手く言語化できないな… A「粒度は要件、用途による」 B「では要件、用途に合わせて難しい運用でも耐えてください」 A「運用で耐えられる粒度にすべき」 B「ではその粒度を教えてください」 A「要件、用途ｒｙ って話がループしません？ twitter.com/s5ml/status/16…

タマゴケ @s5ml

セキュリティの考慮を挙げる人結構いる一方、細かいと管理が大変と言う人もそこそこいる。 管理が大変だからセキュリティ割り切るとか、アリなの？ twitter.com/s5ml/status/16…

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

@s5ml 1 node / 1 network な構成はVLAN やSDN を使えば実現(運用)可能だけど構築&運用コストがそれなりにかかりますね。 但しユースケース次第ではうまく構成できればそれらのコストを上回るメリットが得られることもあるかと。 例えば端末VPN は/24で振らずに/32 で振るのが良いケースが以下略。

タマゴケ @s5ml

セキュリティ、障害耐性のために分割粒度は小さくすべきって意見が多い わかった、では全NWを/30で区切る運用にしよう。ホスト側もNWの数だけアドレス管理が必要になるけど、セキュリティ、障害耐性の為なら仕方ない NW担当も管理が大変とかワガママ言ってないで、運用方法考えて。 これでいい？ twitter.com/s5ml/status/16…

タマゴケ @s5ml

ブロードキャストドメインを狭くすることもメリットがあるということなので、/30運用は適切なはずだ 反論ある人は、NW、ホストの管理コストがセキュリティ、障害耐性メリットを上回るほど影響ある閾値を答えてくれ

タマゴケ @s5ml

「セキュリティ」「障害耐性」「ブロードキャスト」「管理大変」とかを具体化しないと、いつまでも空中戦になりそう 例えば 2層スタック構成でホスト数100程度ならば ・ブロードキャスト→通信量はゴミレベル ・障害耐性→スタックで冗長化 ・管理→慣れている構成 ここまでを最低保証にするとか

タマゴケ @s5ml

これ以上の細分化はセキュリティを高めるかも知れないが、ホスト側でのアドレス管理の煩雑さに見合わない[要出典] ブロードキャスト→もはや気にするオーダーではない 障害耐性→機器構成が同じなら変わらない とか。こういう議論をしたい

タマゴケ @s5ml

この件なんでグダグダ言うかっていうと、NW屋はどこか特徴的な文化があって、理詰めの議論ができない。 利用側での判断を促すくせに、こちらから条件提示すると文句言ってくる。 twitter.com/s5ml/status/16…

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

「NW屋はどこか特徴的な文化があって、理詰めの議論ができない」という点でいろいろ自分の過去の経験(嫌な思い出含む)を思い出したので、超長文覚悟でいくつか書いてみたいと思う。 (続) twitter.com/s5ml/status/16…

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

以下はすべて自分の偏見です。あとこの一連のスレッドを全部読んで判断してください(抜き出されるとかなりおかしなことになると思うので)。あと十分な推敲をしていないので読みずらいと思いますが、それはTwitter(X)向けの文書クオリティということで容赦願います。 (続く)

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

まず大前提として世の中の大部分のネットワークエンジニアという人々はネットワーク機器会社メーカーが製造・販売しているネットワーク機器というある種の「ブラックボックス」の機能を組み合わせて、必要とされる通信環境を実現するという仕事になります。 (続く)

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

そしてその「ブラックボックス」と対峙するということに起因していろんな問題が起きていると思っています。 まず一般論として以下があろうかと思います。 (続く)

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

・精緻な仕組みには複雑な実装を必要とする ・複雑な実装には不具合が紛れ込んでいる(ことが多い) ・複雑な実装を組み合わせることによって顕在化する発生頻度がレアな不具合を引き当てることがある (続く)

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

・一般的なネットワーク機器メーカーはその手の「複雑な実装を組み合わせることによって顕在化する発生頻度がレアな"不具合"」にたいする修正は後回しにされがち(ただし超重要顧客を除く)そもそも「不具合ではなくて仕様である」と回答されることも多い (続く)

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

・もちろん販売されるネットワーク機器は「ブラックボックス」なのでソースコードへのアクセスもできないのでメーカーが対応してくれないと「回避策」を取るしかない 修羅場を潜り抜けたネットワークエンジニアはだいたいこういう事例にぶつかって痛い目にあったことが多数あるために(続く)

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

「複雑な実装を組み合わせて要件を十全に満たす」よりも「世の中で広く使われて「実戦検証済み」な平凡な実装(設計)で要件をそこそこ満たす」方を選びたくなりがちな傾向があろうかと思います(自分はまさにそうです)。 (続く)

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

上記のような結果として「NW屋はどこか特徴的な文化があって、理詰めの議論ができない」という印象を持たれることはおそらくあるのだろうと自分でも思う次第です。 まぁ上記のような態度を「エンジニアとして"怠慢"」だと言われればその批判はおそらく正しいのだとは思います。 (続く)

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

ただし「事前に十全な検証をする(運用面で問題洗い出しも含む！)」ということは十分にコストのかかることだということは気に留めておいてほしいとは思います。 (続く)

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

なお昨今ホワイトボックスネットワークが脚光を浴びているのはその手の「ブラックボックス」に起因する様々な「問題」への解決への処方箋という側面もあるのだと思っています(そちら方面は詳しくないので間違っているかも)。 以上個人的偏見に基づく妄言でした。 (続く)

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

そのうえで「なんで/30 分割しないの？」という話だけど、個人的には「その本来の要件は"マルチプルVLAN”使えばほぼ実現可能じゃないですかね？」と言いたいところ。"マルチプルVLAN”はもう20年以上普通に実装されていて「実戦検証済」で安心して使えるからそっちに「逃げたい」ですね。 (続く)

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

(参考:マルチプルVLAN / プライベートVLAN) allied-telesis.co.jp/solution/vlan/ rtpro.yamaha.co.jp/SW/docs/swx320… cisco.com/c/ja_jp/suppor… infraexpert.com/study/vlanz12.… (続く)

mmasuda 💉x6 💙💛 https://fedibird.com/@mmasuda @mmasuda

追記 セキュリティ初学者が陥りがちではあるんだが、セキュリティを気にするときに「完全性」「機密性」ばかりに気を取られて「可用性」を疎かにしてはいけないよねとお気持ち。国家的な諜報情報機関のならいざ知らず一般的にはセキュリティのために情報システムがあるのではないよねと思う。 (終わり)