PR

 そこで、スイッチとブロードバンドルーターの間、ブロードバンドルーターとルーターの間のそれぞれで、パケットキャプチャーを実行した。すると、パソコンが送信したパケットはブロードバンドルーターには届いていたが、ブロードバンドルーターから先へは転送されていないことが分かった。

 パソコンの台数が増えたことでブロードバンドルーターの処理能力を超えるパケットが流れるようになったようだ。ブロードバンドルーターを別の機器に交換することで、トラブルが解決した。

 もう1つの事例は、ある拠点のパソコンでグループウエアのページを表示すると、画像が表示されないというトラブルだ(図1-4)。グループウエアのWebサーバーを本社に設置し、トラブルがあった拠点からVPN経由でアクセスしていた。

図1-4●ICMPパケットがサーバーに届いていなかった(トラブル解決事例その2)
図1-4●ICMPパケットがサーバーに届いていなかった(トラブル解決事例その2)
企業のある拠点のパソコンでグループウエアのページを表示すると、画像が表示されないトラブルが発生。パケットキャプチャーを実行した結果、パソコンからMTUサイズの変更を要求するICMPパケットが出ていたが、グループウエアのサーバーに届いていないことが分かった。
[画像のクリックで拡大表示]

 ネットワーク管理者は、Webサーバー周辺の経路でパケットキャプチャーを実行した。すると、VPNルーターからWebサーバーにタイプ3コード4のICMPパケットが送信されていたことが分かった。パケットのリサイズを指示するパケットである。ところが、UTMがこのパケットを転送していなかった。

 各機器の設定を調べてみると、VPN区間のパケットサイズの上限(MTU)が1280バイトだったのに対し、WebサーバーのMTUは1500バイトだった。またVPNルーターは、MTUを超えるパケットが届いたときは、リサイズを指示する設定になっていた。

 ところがUTMは、ICMPパケットを遮断する設定になっていた。このため、リサイズを指示するICMPパケットがWebサーバーに転送されていなかった。

 原因が分かった後、ネットワーク全体のMTUを1280バイトに統一することでトラブルが解決した。

▼ping
通信相手を指定して実行するコマンド。相手との疎通ややりとりにかかった時間などを確認できる。
▼ipconfig
実行した機器に割り当てられたIPアドレスなどのネットワーク情報を確認するコマンド。
▼DHCP
Dynamic Host Configuration Protocolの略。端末にネットワーク情報を割り当てるためのプロトコル。
▼VPN
Virtual Private Networkの略。
▼タイプ3コード4
ICMPではタイプやコードという番号を使って意味を表現する。
▼ICMP
Internet Control Message Protocolの略。ネットワークの状態を確認するためのプロトコル。pingコマンドはこのプロトコルを使う。
▼UTM
Unified Threat Managementの略。
▼MTU
Maximum Transmission Unitの略。イーサネットでは、パケットを含むフレームの大きさを指す。
▼ICMPパケットを遮断する設定
ICMPパケットを使ったサイバー攻撃が存在するため、セキュリティー対策の1つとして、遮断する場合がある。