ネットワーク - みる会図書館

1. UNIX MAGAZINE 2004年8月号

VPN ツールの使い方… 2 図 30 IP トンネリングによるイ的ネットワークキ図 32 Ethernet 層をイ反想トンネルでつなぐアプリケーションアプリケーション TCP/UDP TCP/UDP インターネット Ethernet Ethernet ロ OpenVPN トンネル 10.0.0.1 peer Connection lnitiated with サーバー側 IP アドレスためしに両側のホストで相手側に対して ping を実行したり、リモートログインしたりしてみましよう。 VTun と異なり、 OpenVPN では接続に成功する前から仮想ネットワーク・インターフェイスに IP アドレスが設疋されるため、 VPN 接続が成功したか否かはログファイルを見て判断する以外になさそうです。 OpenVPN の接続を切断するには、クライアント側ホストのプロセス openvpn に TERM シグナルを送信します。これは、たとえは次のようにします。・ Red Hat Linux の場合 # pkill openvpn ・ FreeBSD の場合 # ki11a11 openvpn ・・ Ethe 「 net トンネリング次のテストは、 Ethernet 層を仮想的に接続する VPN です ( 図 32 ) 。この方式のトンネリングでは IP 以外のプロトコルも扱えるため、 AppleTaIk などの VPN を構築 ( クライアント側 ) にそれぞれ変更してください。するときに使います。また、カーネルに用意されているプ設疋ファイルの作成が終ったら、サーバーとクライアンリッジの機能と組み合わせると、イ反想的なプリッジが構築トそれぞれのホストで r 。 ot になって次のコマンドを実行できるので、 Windows の、、マイネットワーク " をプラウし、 OpenVPN のサーバープロセスを起動します。プロズすることも可能になります。プリッジ機能の使い方につグラムを起動すると、すぐに端末を切り離してデーモンプいては、前回の記事を参照してください。ロセスになるので、コマンドラインの末尾に、、 & " を付けるそれではテストを始めましよう。まず、 IP トンネリング必要はありません。のテストで起動した openvpn プロセスを停止します。そ —config /etc/openvpn/tun—test . conf # openvpn して、図 33 の内容の設定ファイルを作成し、サーバーとクライアントの両方のホストで次のコマンドを実行します。 OpenVPN が正しく起動されると、サーバー側およびクライアント側のホストのログファイルに次のようなメッ # openvpn ——config /etc/openvpn/tap—test. conf セージカ第泉され、図 30 のイ反想的なネットワークカられ今回の例では、これによって図 34 のような仮想的なネッます。トワークカられます。 10.0.0.2 クライアントトンネリングされるバケットの長し、旅図 31 IP ューザー空間 ssh openvpn ↑ ↑ ↑ socket 、 TU N socket TC P UDP ↓ Ethernet eth0 tun0 カーネル空間 sshd openvpn ↑ ↑ ↑ 、 socket UTU N 、一気 = socket UDP TCP ↓ Ethernet eth0 tu n0 バケット ssh TC P 0 enVPN UDP Ethernet ーヘッダを見ると・・・ 50 UNIX MAGAZINE 2004.8

2. UNIX MAGAZINE 2004年8月号

連載 / 大学ネットワークのアウトソーシングワークの技術は大きく変化し、機器類の価格やネットワークの利用料もずいぶん安くなりました。そこで、私たちはネットワーク技術を活かして、、、アウトソーシング " ができないだろうかと考えました。とくに、高速アクセス回線と地域Ⅸなどの地域情報基盤を上手に利用すれば、冗長化も可能な、、停止しないシステム " が安価に構成できます。八代カ黝務する山梨県 - 立女子去麒月大学 1 では、 2002 年からインターネット・サービスの一部をアウトソーシングしています。そして、 2005 年度には、予定されている大学統合に備えて 2 つのキャンパスを分散環境で構築します。また、事務系のシステムのアウトソーシングも今年度中におこなう予定です。菊池の勤務する高知工科大学 2 でも、インターネット・サービスの一部をアウトソーシングする計画を進めており、今度の夏休み期間中に移行する予定です。本論に入る前に、私たちの立場を簡単に紹介しておきま八代は、山梨県立女子短期大学で情報委員会の委員を務めています。学内には情報センターがないため、教育研究活動に使われるネットワークの管理・運用をはじめ、教育用コンピュータの管理も一部おこなっています。菊池は、高知工科大学で情報ネットワーク委員会の委員として、開学前から大学のネットワーク構築運営にかかわっています。ネットワーク機材の管理には直接携わっていないので、システムから管理者宛に毎日届く大量のメール対象とする読者を受け取らずにすんでいます。この連載は、次のような方に読んでいただくことを念頭においています。 134 2 http://www.kochi-tech.ac ・ jp/ 1 http://www.yamanashi-ken ・ ac ・ jp/ でネットワークの運用や管理に携わってきたからです。延対象を大学に限定しているのは、私たちがもつばら大学方地域の産官学民連携における大学のあり方を考えているアウトソーシングを検討している企業の方法人を対象とする ISP などで、大学ネットワーク業務の大学のネットワーク設備および運用にかかわる技術者大学のネットワーク設備および運用の全体の責任者べで 4 大学になりますが、この連載で述べることが大学以外の学校や民間企業にどの程度応用できるのか、残念ながら判惨励ゞつきません。現在、大学を取り巻くエ竟は大きく変わり、大学自体も変化しようとしています。昨年度までの国立大学が、この 4 月から国立大学法人として独立した組織になったのは、その流れの 1 つです。さらに、すべての大学で、大学教育や社会とのかかわり方の再考、そしてコスト意識を念頭においた経営カ球められています。たとえば、ネットワークの機能や管理に関する業務はすべて大学側でおこなうほうがよいのか、といった点も考えなくてはなりません。民間企業からみれば、アウトソーシングは言い古された言葉かもしれませんが、大学ではこれから効に活用すべき手法でしよう。今回は、山梨県立女子短期大学のネットワークのアウトソーシングについて簡単に述べます。ドカンと一発 2003 年 12 月 4 日、私は外出先から SSH で大学の PC にアクセスして仕事をしていました。すると、急にキー入力ができなくなり、いきなり接続が切られました。いやな予感カ噸をよぎります。再度、接続を試みましたがやはりダメです。ダイヤルアッフ続も可能なので、その準備をしていると、拷若電話カ鴻りました。大学の事務局からです。「先生、ネットワークカ駛えないんですけど」「分かってる。いま調べるから、ちょっと待ってね」再度ダイヤルアッフ。接続の準備をしていると、今度は同僚からの電話です。「ネットワークが使えないぞ。学会の締切りがあって、 PDF をアップロードしなけりゃいけないんだけど」「うーん、いま、調べているから待っててね」本当に止められないシステムになったのだなと思いっつ、ちょっと変だなと感じました。ネットワークの接続性については、問題カきたら携帯電話にメールが届く仕組みになっているので、予兆を検知することができます。しかし、今回はいきなり接続が切れています。学内へダイヤルアップ接続を試みたのですが、こちらもダメでした。発 UNIX MAGAZINE 2004.8

3. UNIX MAGAZINE 2004年8月号

大学ネットワークのアウトソーシンク八代ー浩、菊池豊山梨県立女子短期大学の場合ホームページ、印刷できないんですけど先日、学生カ究室にやってきて「先生、ホームページが印刷できないんですけど、助けてください」と切羽詰まった表情で訴えました。就職活動のために会社の Web ページから面接を申し込み、受付け確認の画面を印刷しようとしたらフリーズしてしまったそうです。さいわい、タスクの切替えでなんとかしのいで印刷でき、教師としての面目も保てました。大学では、春から夏にかけては就職活動のまっただなかです。ここ数年、企業は学生との連絡手段に Web やメールを使うようになりました。、、会社案内はホームページを見てください " 、、面接の受付けはホームページからおこないます " 、、エントリーシートは PDF ファイルになっているので、ダウンロードして利用してください " 、、連絡は電子メールでおこないます " といったぐあいです。もはや、 PC やネットワークカ駛いこなせない学生などは要らないということでしよう。学生のスキルも年々向上してきているので、さすがに使い方が分からなくて困るという学生はいません。その一方で、上に書いたような事情から、インターネット接続が切れてしまうと、、とっても困る " という状況カ咄てきました。これまで、大学のネットワークは、、教育と研究 " を目的として利用されてきました。ですから、「ちょっとサーバーの調子力いんでハードディスクを取り替えるから、きようは半日ばかり止めるよ」ですんでいました。しかし、現在は事務系のネットワークも運用しているため、、、昼間に停止すると、大学自体の機能が止まる " ことになります。っまり、保守作業などによるシステム停止が可能なのは、深 UNIX MAGAZINE 2004.8 夜や休日に限定されているのです。停止しないシステムシステムを停止させない方法としては、冗長化が考えられます。あるいは、べンダーの SE に常駐してもらって運用を任せ、システム監視によって予兆をみつけて事前に障害を防いだり、障害時に速やかに復旧してもらう方法もあります。しかし、システムの冗長化にはコストがかかりますし、後者の方法では、 SE の技量や人間性は寸人関係 ) にも大きく左右されます ( 事実、いろいろな未で、、すごい " SE さんの話も耳にします ) 。最近は、運用面での要求レベルが高くなり、 24 時間 365 日停止させない運用も求められるようになっています。オペレータの多くは、学外に出るときにはかならず拷電話やコンピュータ、 PHS カードを携帯しなければなりません。ゴルフ場にいるときに呼び出され、電波状況の悪いクラブハウス内で電話をコンピュータにつなぎ、復旧作業をおこなった人もいます。このようなサービスレベルを維持しようとすると、通常の、、 9 時から 5 時まで " の勤務体制ではとうてい対応しきれません。小規模な大学では、費用や人材配置などの問題で特定の人に負担がかかることが多いようです。しかし、ういった努力 ( ゴルフ場からのダイヤルアッフ。接続での作業など ) は表からはみえないので、管理職の理解が得られない場合も少なくありません。それならアウトソーシングシステムは、サーバーとクライアント、そしてそれらをつなぐネットワークで構成されています。ここ数年、ネット 133

4. UNIX MAGAZINE 2004年8月号

http://www.ascii-store.com/ Web で OK!! 伝えるアスキーの新刊新刊げインストラクターに学ぶインストラクター新べテラン ISBN 4-7561-4501-9 パソコンのァータベース管理新べテランインストラクターに学ぶパソコンの教え方山本麻津子木村千鶴子長谷川能扶子著 A5 判 / 176 ページ定価 2 , 100 円教えるにもコツがあります新刊これからインストラクターを目指す人も、すでにインストラクターになった人にも、すぐに役立つ様々なノウハウが盛りだくさん ! インストラクションテクニック向上を目指す方は必読です。ロ B2 技術全書日本アイ・ビー・エムシステムズ・エンジニアリング株式会社日本アイ・ビー・エム株式会社編、著 B5 変型判 / 912 ページ / 定価 9 , 450 円 DB2 のすべてがここに ! 単なる機能説明にとどまらず、アプリケーション開発や運用管理、セキュリティなどに関するノウハウを日本旧 M の技術者がゼロからはじめるネットワークセロからはしめるー P 電話 0 をロケらしのるネントつ一つ ISBN 4-7561-4505-1 ・つて 0 をうたゆ・一 6 の第な問を・くプロトコルから学 & 電宿ネットワークの活用法か変わるー P 電話と一 Pv6 ・大容・・マルチメディア・リアーイムかキート「今、物入しても大文美わの・第を、・第に慶って第物しようゼロからはじめる IP 電話 &IPv6 ネットワークマガジン編集部編 A4 変判 / 192 ページ定価 1 , 764 円プロトコルから利用方法までしつかり理解できます。豊富な図版と詳細な解説で、今注目の「旧電話」と「旧 v6 」の一冊で完全網羅次世代ネットワークで必須の IP 電話ど Pv6 を詳細に解説します。 OracIe Database 10g ・・ HTML ロ B 入門今野留以著 B5 判 / 176 ページ定価 2 , 730 円 :HTML DB の基本機能とアプリケーー開発の実例を紹介データベース管理 ISBN 4-7561-4465-9 HTML ロ B 入門 DATABASE ISBN 4-7561-4491-8 ゼロからはじめるネットワークゼロからはじめるネットワークション O 「 acle Handbooks シリーズいただけます。トセルの表からダイレクトにコビー & ペーストできるなどの新機能などをすぐにお試し解説をします。 CD - ROM に 0 「 acle Database10g fo 「 Wlndows などを収録。工ク、インストールから実際の構築例までをはじめて HTML DB を使う人にもわかるようなデータベース入門 OracIe9i セロからはしめるフィアウ - ル十セキュリティーノン / ータタてもできるゝ - ー - このフつ当 0 れは . アフ′スををしいヤを : リ : っすギはファイアウを一ルウイルス策ファイアウォ 1 人ててきる、 ISBN 4-7561-4439- X 1 はれ一 0 をみ、ゼロからはじめるファイアウォ - ル十ウイルス対策ネットワークマガジン編集部編 A4 変型判 / 192 ページ定価 1 , 764 円ファイアウォールとウイルス対策は企業のネットワークを守る大きな柱です。図を多く使ったわかりやすい解説で、ファイアウォールの仕組みまでバッチリわかります。はしのての一′ト ? - つ・一旧 BN4-7561-4473- X ゼロからはじめるネットワーク管理十ネットワークマガジン編集部編 A4 変型判 / 192 ページ定価 1 , 764 円ネットワーク管理者としての心構えから管理手法、トラブルシューティングのテクニックまで網羅した本書があれば、ーある日突然ネットワーク管理を任されても大丈夫 ! まプトつ - う・・をイ 0 ・トフ、ン一 - ・ンのつニ , ラ・・つよ当ーで 0 ヤもしる 1 ァトつ一トラフルシューティングの基本第・・ならおえておをたいネットワーク管理セロからはじめる「理」っていったい何をすれはいいの ? ①トラフルシュ・ティンうネットワ - ク管理セロからはしめる 0 61 ータベ」ス人門 , を ISBN 4-7561-4196- X 〇日 CL 9 / 山田精一、尾山悟著 B5 判 / 448 ページ CD-ROM3 枚付属定価 3 , 990 円 0 「 ac 9i データベースの Ve 「 .9.2 の最新機能を紹介するとともに、インストールからデータベースの設定、データベース管理の初歩を解説します。ゼロからはじめるネットワークゼロからはじめるネットワーク OracIe Handbooks シリーズ OracIe9i セロからはじめる旧アドレス ISBN 4-7561-4378-4 はし′てー 5 っ - これならわ盻・レスルータ設定実践ドアドレーーンルーディコゼロからはじめる旧アドレス & ルーティングネットワークマガジン編集部編 A4 変型判 / 192 ページ定価 1 , 764 円多くの図版とわかりやすい文章で旧アドレスとルーティンーーグの概念や仕組み、実際の設定をすばやく理解できます。再入門・社内ネットワ - プ 0 ートハント第遥てこんなに一わったレイヤ 3 スイッチー ( らへてわかるネットワーク「構集」徹底理解 1 ( P ′田十 E ート材れによる「・・一の物りお今ときの社内ネットワークネットワーク置理をはしのまら : : : : : : 。、ラ、旧 BN4-7561-4408- X 0- トハントー第 ! 掲、イト・で、でを・ファイルラー再入門・社内ネットワークネットワークマガジン編集部編 A4 変型判 / 192 ページ定価 1 , 764 円プロードバンドを最大活用するための新しい企業のネットワークを徹底解説。レイヤ 3 ます。やサービスがしつかりわかり無線 LAN など気になる技術ユ〇 RACLE9i D 谷 BA@E ISBN 4-7561-4464-0 〒 160-8584 東京都新宿区信濃町 34 番地 JR 信濃町ビル電話 ( 03 ) 5362-3300 http ://www.ascii.co.jp/ データベース管理山田精一尾山悟著 B5 判 / 336 ページ DVD-ROMI 枚付属定価 3 , 990 円 0 「 ac を使うに当たって「知っておかなければならないこと」「知っておくとよいこと」を、なるべく・「読みやすく」「わかりやすく」解説します。株式会社アスキー

5. UNIX MAGAZINE 2004年8月号

連載 / 大学ネットワークのアウトソーシング図 3 2004 年度のインターネットキシステムウインテックコミュニケーションスインターネット PowerdCom SINET 山梨県学術研究ネットワークメール /Web/Web メール / News / ダイヤルアップ・サーバー BeX-J 日本ネットワークサービス DNS DNS 、子大護 z 立内県学山山梨県立女子短期大学学内 LAN 考えました。・サーバーは、 24 時間 365 日体制で運用する。イ呆守作業にともなってネットワークを停止する場合は、かならず事前に通知する。・サーバーには ISP の IP アドレスを付与して運用する ( 大学で停電などがあっても、中断することなく運用できるようにする ) 。・ハウジングするサーバー上で SMTP 、 POP 、 HTTP 、 RADIUS サーバーを運用する。・ NetNews および Web メールのサービスも提供する。・山梨県内在住の学生が無料でダイヤルアッフ鮟続できる環境を整える。その際、学生カ出する電話代 ( 通信費 ) は 3 分 10 円以内とする。・学内に設置する DNS サーバーのセカンダリ・サーバーを ISP 内に配置する。結果として、山梨県立女了短大のインターネット・サービスは ISP カ甘是供するサービスと同じものになりました。なかでも重要なのはダイヤルアッフ。接続です。これがあれば、たとえ大学のネットワークが停止していても、学生は電話や PHS 経由でメールの読み書きなどができます。かたちで運用されています。 BeX-J の設備は、 CATV 会社である日本ネットワークサービスに置かれています。同社ではインターネット接続サービスのほかに、光ファイバーの貸出しもおこなっています。そこで、山梨県立女子短大のインターネット接続システムでは、 BeX-J まで光ファイバーを借り、インターネット ( 実際には SINET) への接続とハウジング先の ISP までの接続を確保することにしました。入札の結果、 ISP はウインテックコミュニケーションズとなりました。のときのネットワーク構成を図 2 に示します。図の右上にある、、山梨県学術研究ネットワーク " とは、 SINET 山梨ノードに接続する組織で構成される研究ネットワークです。 BeX-J に接続し、県内の各大学と ISP のあいだを相互接続する彳難リを担っています。この接続形態では、地域 IX はハウジング・サービスを利用するための基盤であると同時に、インターネット接続 (transit) の基盤でもあります。利用者からみれば、地域 IX に接続している ISP のサービスのなかから、自分にとって必要なサービスを自由に選べることになります。サービス内容サービスの具体的な内容については、次のような条件を 138 UNIX MAGAZINE 2004.8

6. UNIX MAGAZINE 2004年8月号

図 3 NetScreen の IPsec トンネル構成イメーントンネ丿レ : インターフェイス・物理インターフェイス物理インターフェイス LAN-A になっています。 Point-to-Point インターネット基本的なイメージは図 3 に示したとおりで、両方の Net- Screen 上で IPsec トンネル設疋をおこなったイ反想インターフェイス ( トンネル・インターフェイス ) を作成します。各 NetScreen 上では、トンネル・インターフェイス間を point-to-point の仮想専用線として扱うことができます。あとはルータの設疋と同じで、バケットをトンネル・インターフェイスへ転送するだけです。なお、 NetScreen には、仮想インターフェイスやルーティングを使わずにポリシーベース、つまり、バケットの送信元や j 当言先、プロトコルに応じて IPsec トンネルを利用する機能もあります。乗鞍コロナ観測所側の NetScreen には、イ反想ルータとして Trust ルータと Untrust ルータ、そして、 Trust ルータでは Trust ゾーンと Trust 用物理インターフェイス、 Untrust ルータでは Untrust ゾーンと Untrust 用物理インターフェイスを設疋します。 92 とに異なります。 6 イ磨誤ルータやインターフェイスの数は、 NetScreen の製結やライセンスご観測所内のネットワーク ( 133.40. X / 24 ) とルータ用インタ用インターフェイス ( 員 . 召 . C. D ) を、 Trust ルータには、 Untrust ルータには、衛星回線側のネットワークとルー数のルータを構成できるということです 6 簡単にいえば、物理的な筐体は 1 つですが、内部的に複タでは個別にルーティング・テープルが管理されています。ルータ ) を割り当てることができます。また、各仮想ルー想 ) インターフェイスの割当てや、論理的なルータ ( 仮想のゾーンに対して、物理 ( 実 ) インターフェイス / 論理 ( 仮い " ネットワークを Untrust ゾーンと呼びます。これらネットワーク・セグメントを Trust ゾーン、、、信頼しな NetScreen では、内部のネットワークなど、、信頼する " トンネル : インターフェイス・ UNIX MAGAZ 工 NE 2004.8 のです。「 Windows Update の儀式をとりおこなう」山中で静かに熟成していた Windows マシンに対して、のではなく、写真 8 のとおりです。そうです。人里離れた感に浸りつつメールを読み、 web サーフィンを楽しむ」「山頂からの景色を堪能しつつ熱いコーヒーを飲み、達成そこで、常日妾続を開始するにあたって、ムが飛んでくると防ぎようがありません。こそ、ハワイのマウナケア山頂から乗鞍山頂めがけてワーしたがって、先月の続きというわけではありませんが、それたので、インターネットからの脅威に対して無防備でした。これまで、乗鞍コロナ観測所は常日妾続環境ではなかっセキュリティ・アップテート国立天文台内のネットワークとして接続されます。以上の設定により、乗鞍コロナ観測所のネットワークは信許可のポリシー設疋をおこないます。定します。また、 Trust ルータから Untrust ルータへ通 Untrust ルータでは、デフォルト糸各を衛星ルータ側へ設デフォルト糸登各をトンネル・インターフェイスへ向けます。次はルーティングの設疋です。ます、 Trust ルータ上で図 4 のようなイメージになります。この時点での NetScreen の論理的なルータ構成は、をおこないます。ゾーンへと割り当てます。三鷹側でも、これと同様の設定れをトンネル・インターフェイスに割り当て、さらに Trust Screen をゲートウェイとする IPsec 設疋をおこない、こそして、 IPsec トンネル用に、三鷹キャンパス側の Net- ターフェイス ( 133.40. X. 1 と定 ) を割り当てます。 LAN-B インターフェイス物理インターフェイス物理

7. UNIX MAGAZINE 2004年8月号

VPN ツールの使い方… 2 図 22 新しぐ勛口されたローカルエリアキ LAN または高速インターネットローカルエリア接統 1 図 23 Windows 用反想ネットワーク・アダブタ ↓ n カルエリア接続 2 のプ 0 バティ全般認証詳細設定接続の方法 : TAP-W1n32 Adapter この接ま次の項目を使用します 0 ・ @] M os 。負ネットワーク用ク - ンい @ V 物 Brldge p 猷引ローカルエリア続 2 ②区プロバティー・一 ~ 鳶構成 0 … 図 25 右クリックでされるメニュー間く Start OpenVP N on th is conf ig f ile プロバティ⑧ 名前の変更 ( 迎削除ショートカットの作成⑧ コビー 0 切り取り送る ) プログラムから問く ( 印 ... AMD PCNET Family FCI Etherne.. 有効ロカルエリア続 1 LAN または高速インターネラト図 26 ローカルエリア ) X が消える @) aMicrosoft ネットワーク用ファイルとプリンタ共有インストール ~ 説明ロ統時に通知領こインジケータを表示する図 24 OpenVPN の言ファイルフォルダロー加し工リア接続 2 有効 TAP-Wln32 d 叩 t README sa mp le.ovpn tun—test 中で、、こらで再起動したほうがええで " というメッセージが表示されますが、再起動しなくても動くようです。刻も早く使いたくてうずうずしている人は、そのままテストを始めてもよいでしよう。なにごとにも慎重な人、あるいは気持ちと時間に余裕のある人は、メッセージに従って Windows を再起動しましよう。インストールカ鮗ると、、、ネットワーク接続 " に新しいネットワーク・アダブタカ胙成されます。ただし、初期状態ではケープルが接続されていないことを示す、、 x " マークが表示されています ( 図 22 ) 。プロバティを見ると、、、 TAP- Ⅵⅱ n32 Adapter" と表示されていて ( 図 23 ) 、 OpenVPN のイ反想ネットワーク・アダブタであることが分かります。 Red Hat Linux や FreeBSD では、 OpenVPN のプロセスを起動するとイ反想ネットワーク・アダブタが自動的に作成されますが、 Windows では必要な数をあらかじめ 48 作っておかなければならないようです。仮想ネットワーク・アダブタを作成するには、スタートメニューから、、すべてのプログラム " を選び、、、 Open- VPN" の、、 Add a new TAP-Win32 virtual ethernet adapter" をクリックします。 Windows を再起動する必要はありませんが、その時点でつながっている OpenVPN の接続は切れてしまいます。 Windows 版 OpenVPN では、設疋ファイルの保存用に次のフォルダカ胙られます。 C:*Program Files*OpenVPN*config このフォルダは、スタートメニューから、、すべてのプログラム " を選び、、、 OpenVPN" の OpenVPN configu- ration file directory" から開くこともできます。 W ⅲ d 。 ws 専用のオプションもいくつかありますが、設定ファイルの書き方は基本的に UNIX 版と同じなので OS の違いを意籤ずに書くことができます (GUI で定できないのは、、、 Windows らしくない " のかもしれません ) 。・ ovpn" という拡張子を付けて保存設疋ファイルには、します。この拡張子をもつファイルは、図 24 の右端のようなアイコン 3 で表示されます ( 図 24 では、ファイルの拡張子は表示されていません ) 。中央にある、、 sample ・ ovpn は、あらかじめ用意されているサンカレファイルです。 3 私には、ピラミッドにル勅ゞぶつかろうとしているように見えます。 UNIX MAGAZINE 2004.8

8. UNIX MAGAZINE 2004年8月号

PPTP プログラムと OpenVPN ・・図 7 /etc/ppp/0Ptions ・ pptpd の言諚例 (Linux) lock name pptpd nobsdcomp auth pr oxyarp require—mschap—v2 refuse—mschap require¯mppe require—mppe-128 nomppe-40 nomppe—stateful 同じネットワークに接続されているかのように振る舞う図 8 /etc/ppp/chap-secrets の言列 (Linux) IPaddr # account server password 図 6 pptpd. conf の言綻例 (Linux/FreeBSD) pptpd aa867544b0 panda pptpd f472dCe357 lesser option /etc/ppp/options ・ pptpd # FreeBSD では不要 pptpd d042d9708f raccoon localip 192.168.0.90 remoteip 192 .168.0.100 ー 109 たとき、 remoteip に設定されたアドレス範囲から未使がインターネットを介して通信することは想定していませ用のものを自動的に選んでクライアントに割り当てます。ん。当り前ですが、勉強のために実環境のネットワークを ( ューザーに対して固定的に割り当てることもできます ) 。使うのはやめましよう。図 6 の設定例では、サーバー側の IP アドレスにはつねにこでのテストは、図 5 のように仮想 LAN 接続をお 192.168.0.90 を言定します。こないます。このテストでは、 PPTP クライアントが以上で pptpd. conf ファイルの編集は終りです。その他 PPTP サーバーと同じネットワークに接続されているかの設疋項目の詳細については、 pptpd. conf のマニュアルのように振る舞います。を参照してください。クライアント側の OS が Windows の場合、サーバー側 Red Hat Linux では /usr/sbin/pppd を利用するたの LAN ( 図 5 の例では 192.168.0.0 / 24 ) に仮想的に接続め、その設定ファイルである /etc/ppp/options ・ pptpd できるのであれば、その LAN に接続されたほかの Win- を編集します。 dows システムを、、マイネットワーク " からプラウズでき options ・ pptpd の設定例を図 7 に示します。このファそうな気がしますが、残念ながらそれはできません。なぜイルでは、 PPP セッションの認証や暗号化方式に関するなら、 pppd が SMB のプロードキャストを中継しないか設定をおこないます。ポイントは、、 name " で始まる行でらです。ただし、プラウズはできませんが、たとえば、、ネッす。この名前は chap-secrets ファイルで使用するので億トワークドライプの割り当て " の設疋画面や、 net use コえておきましよう。とくに理由がなければ、デフォルトのマンドの引数に pptpd のままでかまいません。次の chap-secrets ファイルは、 PPTP 接続を許可する \ \ 192 .168 . 0 .2Ysirasaki ューザーのアカウント情報を登録します。設定例を図 8 にのような共有名を指定すれば、ネットワーク・ドライプを示します。このファイルは 1 行が 4 つのフィールドで構成使うことはできます。され、先頭から順に、図 6 に pptpd. c 。 nf の設疋例を示します。デフォルトで・アカウント名は option の行がコメントアウトされているので、行頭の . サーバー名、 # " を外します。そして、 localip および remoteip の行パスワードに DMZ ネットワークの空いているアドレス範囲を設疋し . IP アドレスます。を未します。 PPTP サーバーは、クライアントとの接続か確立され図 5 PPTP サーバー経由での VPN キ 192.168.0.0 / 24 インターネット 100 ロクライアント 39 UNIX MAGAZINE 2004.8

9. UNIX MAGAZINE 2004年8月号

連載 / 大学ネットワークのアウトソーシング図 2 2002 年度のインターネットキシステムウインテックコュニケーションスインターネット PowerdCom SINET 山梨県学術研究ネットワークメール /Web/Web メール / News / ダイヤルアップ・サーバー BeX-J 日本ネットワークサービス DNS 山梨県立女子短期大学学内 LAN ・電源設備の点検などでも停電しない。専用線では初期費用や工事費が発生するため、 ISP を変更・十分なセキュリティ対策がおこなわれ、外部からの攻撃しようとすると新たな出費を強いられます。そこで、注目にも耐えられる。したのが、、戉情報基盤 " です。・停止しても即座に回復できる。基盤の利用設備面からみればデータセンターの利用がよいのです自治体などが主体となって情報甬信基盤を整備し、これが、インターネットに公開するサーバーには個人情報などを地域に開放している場合があります。情報匝信基盤としは置かないので、コストとのバランスを考えて ISP のハウては、光ファイバーの岳殳、民間からの通信回線の借用、地ジング・サービスを使い、セキュリティ関連の保守もイ頁域 IX の整備などの形態があります。しようと考えました。山梨県では、 1997 年に Y-NIX ( 山梨地域情報ネット次に考えたのは、どの ISP に接続するかです。ハウジワーク相互接続機構 ) 3 カ備されました。Ⅸに必要な機ング・サービスを手がける ISP はたくさんありますが、選材を県が用意し、 IX の運営はボランティアでおこなうとい択にあたってもっとも重視したのは、サーバーと大学とのう手法です。当時は、用意されたレイヤ 2 スイッチを使い、あいだのネットワークの遅延です。 TCP による通信の場参加糸目織は 64Kbps の専用線で接続していました。合、ネットワークに遅延があると、帯域カ汁分にあってもス 2000 年には、 Y-NIX でっちかった技術をもとに民間ルーブットが低下します。最近は、電子メールに大きなフべースで運営をおこなう BeX-J4 という地域 IX 組織カァイルを添付して送ることもよくあります。学内で POP 立されました。 BeX-J では、長距離 Ethernet 技術を用を使ってメールを取得するとき、あまり時間がかかるのでいて ISP ( 5 社 ) と 1 組織が接続しています。 BeX-J はは困ります。そこで、物理的な遅延の少ない県内の ISP に商用利用を前提とし、 Y-NIX はおもに実験的な取組みをお願いすることにしました。おこなっています。現在は、 2 つの IX が相互に接続するもう 1 つの問題は、 ISP との接続方法です。一番単純な 3 http://www.y-nix ・ or ・ jp/ のは専用線ですが、回線のコストカ皜くなります。さらに、 4 http://www.bex-j.net/ 137 UNIX MAGAZINE 2004.8

10. UNIX MAGAZINE 2004年8月号

連載 / 大学ネットワークのアウトソーシング大学統合へ向けて UNIX MAGAZINE 2004.8 たところ、「あれ、なんだか DMZ カ涎びて、外部で運用し中心にお話ししました。ある人にこの構成について説明し今回は、アウトソーシングのためのネットワーク接続を今回のまとめテムを示します。ありますが、図 3 に 2004 年度のインターネット接続シスめ、ルータの冗長化などもおこないます。現在進行中ではると 2 つの大学のインターネット接続カ当亭止してしまうた当然ですが、 Bex-J に設置してあるルータに障害が出らのポリシーにも左右されることなく運用できます。るルータで相互接続する構成にしました。これなら、どち日本ネットワークサービスまで接続し、ハウジングしていになります。そこで、それぞれの大学から BeX-J のあるクが、女子短大のネットワーク・ポリシーに依存すること接続が失われてしまいます。つまり、看護大のネットワー電源設備の点検などで停止すると看護大のインターネットした。しかし、この場合には、女子短大のネットワークがネットワークを経由して Bex-J に接続する方式を考えまネットワークについては、当初、看護大から女子短大のとなりました。用しているサーバーをマルチドメイン環境で利用すること互いのもっ資源を比較検討した結果、現在、女子短大カるインターネット接続システムについて検討しました。おの統合を彳予に入れて、 2004 年度に看護大がリース更新す出てきました。そこで、両大学の関係者が集まり、 2005 年属する山梨県立女子短期大学 ( 女子短大 ) を統合する話が 2003 年になって、山梨県立看護大学 ( 看護大 ) と私の所よいかと頭を悩ませている人も多いのではないでしようか。ク構成も変化させていく必要があるので、どう設言すればが並存することになります。統合にともなってネットワーば、 2 つの大学を統合するときには、一時的に 3 つの大学するまで、各大学を存続させなければなりません。たとえ複数の大学を統合する場合は、在籍中の学生が全員卒業れています。化をはじめ、学科の再編や大学の統合がさかんにおこなわ現在、大学は改革の最中です。国立大学の独立行政法人ているみたいですね」と言われました。私自身は意識していなかったのですが、結果的にはそのようなかたちになっ 139 ・最終論文提出締切 : 2004 年 1 0 月 29 日 ( 金 ) 必着・採否通知 : 2004 年 1 0 月 4 日 ( 月 ) ・応募締切 : 2004 年 9 月 6 日 ( 月 ) 必着 http://www.ipsj.or.jp/09sig/kenkyukai/happyo.html 原稿の様式については、下記 CJ 日 L をこ参照ください。 dsm9-apply@supercsi.net で下記宛に送付してください。ム ) に投稿分野を付記し、研究発表申込み書を添えて PDF 形式・応募方法 : 論文 ( A4 判 6 ページ以内、シングルスペース、 2 カラ解析 / 負荷分散 / Ⅸ運用、新しい計算機システムの構築運用流通・ファイル共有技術、 LAN 管理技術 / システム、トラフィックウイルス / 迷惑メールへの対策、 VPN/P2P/GRlD/ コンテンツ分散システムの危機管理 / 情報漏洩対策 / 認証、コンピュータ・問題提起などの論文も歓迎します ) ・対象分野 ( これらに限定するものではありません。事例報告や於 : 広島市まちづくり市民交流プラザ 2004 年 12 月 9 日 ( 木 ) ~ IO 日 ( 金 ) 主催 : 情報処理学会分散システム運用技術研究会 http://www.supercsi.net/event/dsm9/ ー -- 再考ネットワークの運用・管理とセキュリティーー第 9 回分散システム / インターネット運用技術シンボジウム論文募集 ☆ きくち・ゆたか高知工科大学 / ( 有 ) ナインレイヤーズ ) ( やっしろ・かずひろ山梨県立女子矢琪月大学、インでも飲みながら寝ることにしましよう。更けてきました。古いワインに思いを馳せつつ、一升瓶ワ山梨でなければ飲めません。この原稿を書いていて、夜も古いワインは遠距離を移動させることができないので、ようです。と言っている人も、「これは分かる」と納得して帰っていくれ落ちるようにひろがります。「ワインはよく分からない」落ちていきます。また、香りもワイングラスをあふれて零ワインはタンニンの刺激がまったくなくなり、喉を静かにりダメになっているものもあります。しかし、、、当たり " ののような古いワインは 1 瓶 1 瓶がまったく別物で、すっかなんといっても美味なのは、 1960 年代のワインです。りで、そこらじゅうの酒屋さんで売られています。が一升瓶で売られているといわれますが、実際にそのとおといわれたらやはりワインでしようか。山梨では、ワイン山梨にはいろいろとよいところがありますが、何か 1 つています。