ささの備忘録

ITインフラSEの備忘録です ITインフラを中心に、 日々忘れないがちな事を、つぶやいていきます

『Pingコマンド』でMTU値を探る

前回から引き続き、『Ping』コマンドについてです

『Ping』コマンドの使い方例

例3.適切なパケットのMTU値を探る

>ping -f -l "MTUサイズ" ”宛先IPアドレス"

よく拠点間でVPN接続したりすると、「つながっているけど、遅い」という事があります
原因はいろいろありますが、MTU値が影響しているケースがある

pingは適切なMTU値を探る場合に有効です


例えば、LAN内のMTU値をしらべる場合
まず、LAN(イーサネット)のMTU値を考えてみる

・イーサネットフレームのMTU値は1500byte
イーサネット1
・データ部の中に、IPヘッダ(20byte)、ICMPヘッダ(8byte)がある
・純粋なデータサイズは、1500-20-8=1472byte

<ping コマンドサイズ1472byte>
サイズ1472byteで、ゲートウェイにping。問題なし
df1

<ping コマンドサイズ1473byte>
サイズ1473byteで、ゲートウェイにping。
1byte大きくしただけで、分割できずpingが失敗します
df2

以上から、LANのMTUサイズは『1472byte』とわかります


例えば、インターネットアクセス時のMTU値をしらべる場合
おそらく、LANの中でMTU値を意識することはなく、意識するのはWANにアクセスする場合です

今度はインターネットアクセス時のMTU値を探ってみます
インターネットアクセス(PPPoE)のMTU値を考えてみる

・自宅はBフレッツですので、PPPoEフレームのMTUサイズは1454byteと決まっています
・データ部の中に、IPヘッダ(20byte)、ICMPヘッダ(8byte)がある
・純粋なデータサイズは、1454-20-8=1426byte

<ping コマンドサイズ1426byte>
サイズ1426byteで、GoogleDNS(8.8.8.8)にping。問題なし
df3

<ping コマンドサイズ1427byte>
サイズ1427byteで、8.8.8.8にping。
1byte大きくしただけで、分割できずpingが失敗します
断片化が必要とゲートウェイ機器(FortiGate)が、言ってます
df5

こんな感じです。

覚えておくと、「通信できない」や「遅い」時に、ネットワーク機器に設定する
適正なMTU値を測る事ができます。

次回はPingの結果について書きます


『pingコマンド』で疎通と遅延を確認

私の備忘録として書いている、このブログですが、
これから少しの間は、私の仕事であるネットワーク関連で、日々使うコマンドや診断ツールなど、書いていきたいと思います

まず、普段、最も使うコマンド『ping』


Ping』コマンドとは

pingは、ネットワーク疎通を確認したいホストに対してIPパケットを発行し、そのパケットが正しく届いて返答が行われるかを確認するためのコマンドです


『Ping』コマンドの使い方例

例1.自分の端末と通信したいホストと疎通が可能かを確認する
>ping 192.168.1.254
ping1

<ping結果>
疎通OKの場合
ping2

疎通NGの場合(ホストはいるが応答を返さない為タイムアウト)✳その他の結果は後日説明します
ping3


ただし、PingがOKでもその他の通信ができない場合があります。
例えば、Ping応答OKだけど、ファイルアクセスができないなど・・

その逆もあります。

対応ホストのファイアウォールや、経路でドロップされている場合もありますので、
Pingは疎通を確認する手段で、通信すべてを確認するものではありせんので、ご注意ください
ただし、通信でできない不具合時は、最低限実施をするのが『Ping』です


例2.通信したいホストとの間で遅延が発生しているか確認する
ping1

<ping結果>
同じLAN内なので数msで応答がある。遅延はほぼありません
ping4

海外のサイトだと応答が数十msと遅い、若干遅延があります
ping6

ただし、それがアプリケーションの使用に影響があるかどうかは別です
どうも『インターネットが遅い』時などの、参考値として測定する事は有効です

例えば、Googleへのインターネットアクセスが遅い場合、
下の図のように、近い順にpingを打っていき、応答の遅い区間を調べます、
そこから、ボトルネックを探ります

ping7


その他にも、まだ機能がありますので、次回説明させていただきます

次回へ続く

『Newly Observed Domain』とは

うちの「FortiGate60D」、基本的にはWebフィルターで、インターネットのアクセスを制限しています

何をフィルターしているかというと、

「アダルト」とか「ドラッグ」「犯罪」等々、うちの子供がアクセスしたら困るサイトを制限してます。その他は適当(いい感じ)で、設定しています

ただし、私のPCやスマホは、自腹で機器を準備している特権で『無制限』で使用!!
そのために、以下のような設定をしています

アドレスオブジェクトを指定

1.私のPCやスマホに割当るIPアドレスは、FortiGateで自動割当(DHCP)しているので、MACアドレスで事前に割当て設定をしておきます
dhcp2

2.割り当てるアドレスが特定できたら、それぞれの「アドレスオブジェクト」を作成します
アドレスオブジェクト2

3.そこまでできたら、あとは「制限していないポリシー」と、「制限ポリシー」を作成しました
policy3 policy4


そうすると、例えば、登録しているアドレスを割り振られている、私の「Let'sNote MX-3」は、無制限アクセス可能。登録していないアドレスが割り振られている、娘のスマホは制限有りとなります

そんな感じです

基本、私の端末はすべて「無制限」なので、どんな制限がかかっているか、今まで良く把握していませんでした

つい先日、何気なく、私のPCへ固定でIPアドレスを割り当て(制限のあるアドレス)、

私が取得したブログ用を開こうとしたところ、

自分のブログにアクセスできない!!

ことが発覚。以下の画面がでる、Fortigateが原因とわかります

block02


何か見慣れない文字が、

カテゴリが『Newly Observed Domain』と

どうも、最近ブログ用に、取得したドメイン名だから引っかかっている様子

Webフィルター設定を解除します

webfilter01

これでいけるかと思ったのですが、まだ駄目みたいです

webblock01

今度は、DNSフィルターが引っ掛かっている様子、Webフィルターと同じように設定を解除します
設定画面は、Webフィルターと同じです

以上で無事開くようになりました。

blog01


スポンサードリンク
プロフィール

ささ

名前:ささ
関東地方に住む40代、子供2人と妻と猫とで暮す
主に「ITインフラ系」の構築に携わる。今の会社は転職の末、お世話になり早20数年。保有資格は、「ネスペ」「セスペ」など
最近、「ソロキャンプ」「DIY」を趣味にするため、いろいろと準備中