Si-Rルーターの落とし穴

うちの会社にはとにかく、Si-R180シリーズのルーターがわんさかいまず。
当時は恐らく、

・ISDNのフレームリレーの流れ
・Web-GUIで設定が出来る
・LAN1側にスイッチングHUBがついていたから

という流れで富士通ルーターを使っていたのです。
まぁ220Bというやつもいましたが、1拠点に物理LANでIPを分けるという事もやってなかったので、あんま買われませんでした。
220Cを買い始めたのは、Si-R180Bが生産終了して、Si-R Brinというシリーズに変わったのを気が付かずに、その上の機種を買っていました。
LAN1、LAN2、LAN3をスイッチングHUB扱いにする設定もわかってなかったので、真面目に理解出来てませんでした。
途中でG100とかも購入してました。Web-GUIなくてコマンドで設定し始めたのがここからだったりします。

つまり、私が会社に入ってくるまで、本当にネットワーク知識を真に持ってる人がいなかったことになります。
逆にこれのせいで、今回のIPv6ブリッジで大変な混乱を招きます。

http://www.fujitsu.com/jp/products/network/router/sir/example/internet/internet10/index.html

ここの設定はLAN0（ONU側）とLAN1（PC側）をブリッジにして、
IPv4をルーティング、IPv6を何も考えず通過、
フィルタでIPv6を透過して、それ以外の通信は遮断します。
これで、IPv6スルーと同等に機能します。

これに加えて、MACアドレス制御を行ってやれば、特定のPCのみIPv6通信を許可することが可能です。
やりたかったのはコレなのですが、同じことをSi-R180 にやってみたところ、
LAN1側のブリッジが有効にならないという結果になりました。

んー？バグ？
調べていくと、180のスイッチングHUB機構がすっごく胡散臭いものに見えることに。
switch 0 というVLANグループが設定されていて、このVLANタグがくっついているものを、SWポートに飛ばす仕組みのようです。

経路的に見ると、LAN0→ルーティング→LAN1→SWポート１〜４という流れのようです。
つまり、非常にわかりにくい、VLAN構成になっております。
この状態で、VLANタグを透過するようにすると、まぁSWポートからLAN1に飛ばなかったりする模様。
本日はコレをやらかしました。VLAN系をあまり分かっていなかったため、不必要なものを取り除いたり、スルーさせたりしたため、見た目的にはネットワーク障害が起こったように見えたのです。

で、実は、LAN1側からは通信出来なかったのですが、
なんとインターネット側のLAN０からはアクセス出来たりします。
拠点間のIPSec-VPNが生きているからです。
今回はわざわざ現場行って、設定しましたが、実は現場行かずに設定できたんです。
気が付かなかった原因は、寝起きでルート構成ミスってました。３時間しか寝れなかったので辛かったのです。


で、こっちの問題は簡単にクリア出来たのですが、肝心のスルー設定が出来ません。
なんとなくログを漁ってたり、設定をCommitする時に表示されるメッセージがちょっと気になりました。
日本語訳をすると、LAN0とLAN1は同じネットワークグループだから、ブリッジは出来ない。っぽい訳です。

何を言っているのだコイツ。基本的にLAN0とLAN1は独立しているだろ？

と、思っていたのですが、Si-R内部では同じグループとして見ているようです。
ここで不思議に思って、色々探ってみました。
マニュアルに載っていないので色々見ました。
で、気がついたこと。

コイツ、LAN0とLAN1のMACアドレスが同じになってやがる！？

ネットワークの世界では、IPアドレスで会話出来ない場合、重視されるのがMACアドレスです。
MACアドレスはIPと同様、基本的に重複しません。
スイッチングHUBはIPアドレスで会話しないため、MACアドレスを基に適切なポートに通信をしています。
つまり、同じMACアドレスが存在している場合、どっちのLANポートに通信していいのか分からなくなります。
このときにループしてHUBが機能不全に陥ったります。
この関係でLAN0とLAN1のブリッジが禁止されているわけです。
また、SWポートの接続はMACアドレス基準でなく、VLANタグ基準であったことも説明できます。

================================================
つまりSi-Rシリーズで、MACアドレスが１個しかないやつは、IPv6スルーが出来ません！
================================================

HAHAHA、やっぱSi-R、IPv6絡みになると本当に役に立たん！

まぁHPにSi-R100シリーズは出来んと書いてあるわけだが、
今まで、型番をきちんろ載せていたのがざっくり100シリーズになっていたので、
何故出来んのか理解出来ませんでした。
こーゆー壁にぶち当たって、ようやく出来ること出来ないことが理解出来るんだなと身にしみます。

ここ最近のBuffaloやIO-DATAやコレガのAP兼ルーターを見ている身なんですが、
WAN側とLAN側のMACアドレスは分かれていたので、一緒になっているものを見るのは初めてだったりします。
特にNECのAPはちょっと可笑しくて、中継器動作で、1段目、2段目、3段目と設定を変えると、LAN側のMACアドレス変化させたりするので、
こういう独自仕様みていると、MACアドレスって何？と時々混乱します。

まぁ結局のところ、知識不足ということなんですが、
こういう情報がネットに転がってないのがSi-Rの怖いところです。
シスコのほうが共通化されているので、まだ手に入りやすいかもしれません。