bisonicr keep walking.

ガジェット好きのおっさんによる、趣味的レビュー。ちょっとイイけどお買い得、そんなアイテムに目がありません。

MTU/MSS値の計測とCiscoルータでのVPN設定についての備忘録

このエントリーをはてなブックマークに追加 Clip to Evernote
画像4

今でもちょいちょい訊かれることが多いため、メモ程度にまとめておきます。

参考URL:
GRE および IP セキュリティでの IP フラグメンテーション、MTU、MSS、および PMTUD の問題の解決
http://www.cisco.com/cisco/web/support/JP/100/1006/1006439_pmtud_ipfrag-j.html 


■MTU値の計測

 一般的にイーサネットでは標準フレームサイズとして1,500bytesで通信をおこないます。そのためMTU(Maximum Transmission Unit, 最大伝送ユニット)値として1500が設定されていることになります。

フレッツ回線の場合PPPoE接続のため46bytesを使用するため、MTUは1454となります。さらにNTT西日本のフレッツ光プレミアムでは、IPv6を使用するCTUの仕様で1438になります。この辺は一般的なブロードバンドルータだと自動で設定されるので周知の通り。

ただし、CATV回線やマンション敷設のVDSL等の場合、さらにケーブルモデムやVDSLモデムの仕様でMTUが低く設定されている可能性があります。

この場合、PCをWAN回線に直結し、pingコマンドでフレーム数を計測します。

ping www.yahoo.co.jp -f -l "フレーム数 - 28"

pingコマンドではIPヘッダ部(20bytes)とTCP(ICMP)ヘッダ部(8bytes)を併せて28bytesが必要なので、実際に計測するフレーム数から28を引いて設定します。

MTU:1500の場合
 ping www.yahoo.co.jp -f -l 1472 でping応答あり、同1473で「DF(分割禁止)が設定されています」のエラー。

MTU:1454の場合(フレッツ回線)
 ping www.yahoo.co.jp -f -l 1426 でping応答あり、1427でエラー。

MTU:1300の場合(VDSL、CATVなど)
 ping www.yahoo.co.jp -f -l 1272 でping応答あり、1273でエラー。


■ルータへのMSS値の設定
MSS(TCP Maximum Segment Size, 最大セグメントサイズ)値は、実際にTCP/IPで受け取るデータ量で、CiscoルータではLAN側インターフェースで「ip tcp adjust-mss」コマンドにより、MTUから各種ヘッダのサイズを引いたサイズを設定します。

標準でMSSはIPヘッダ(20bytes)とTCPヘッダ(20bytes)の合計40bytesをMTUから除いた値となります(MTU:1454の場合、MSSは1414)。

ただし、ルータがVPNなどでトンネリングや暗号化を行う場合、ルータ間の通信では必要なヘッダが付加されますのでMSSでは相当分を差し引いて設定する必要があります。


■CiscoルータでのMSSの設定例

(コマンド例)
 interface Vlan 1
 ip tcp adjust-mss 1314
 
通常のMSS値=MTU値-40、だが、VPNの場合、さらにIPsecやGREのヘッダを引いた値を設定する必要があります。

 設定例(Path MTU:1454の場合)
VPNなしの場合のMSS値: 1454 - 40 = 1414


VPNありの場合のMSS値
①IPSecカプセリング&暗号化により付加されるヘッダ
・IPsec(ESP-AES-SHA1): 12 (SHA1)  + 16 (AES)  + 8 (ESP)  + 20 (IPv4) = 56
・IPsec(ESP-3DES-SHA1):  12 (SHA1)  + 8 (3DES)  + 8 (ESP)  + 20 (IPv4) = 48

②GREトンネルにより付加されるヘッダ
・GREトンネル:  24

IPsec + GRE トンネルVPNでのMSS値 1454 - ① - ② - 40
  1454 - 56 - 24 - 40 = 1334

ただし、CiscoではGRE + IPSecでの差し引き分を100bytes(フレーム数1500の場合MTUは1400)にすることを推奨しているため、おなじくフレッツの場合

 1454 - 100 - 40 = 1314

を割り当てればよいと考えられます。

なお、詳細は割愛しますが、この値(差し引き分100bytes)を割り当てておけば、GRE + IPSecの場合のほか、DMVPNなどの他のVPNソリューションを使用した場合も対応できるようです。

 

nasneの録画データをタブレットやスマホで視聴する

このエントリーをはてなブックマークに追加 Clip to Evernote
画像1
もともと「nasne」の録画映像のオンライン視聴が可能なタブレットは「Sony Tablet」や「XPERIA」シリーズなどソニー製品に限られていました。
ところか、DTCP-IPの制限緩和に伴い、「Twonky Beam」がDTCP-IPの著作権保護付きコンテンツの再生(ソニー製品に限る)に対応したことで、ソニー製以外のAndroidスマホおよびタブレット、さらにはiPhone/iPadなどのiOS端末にも対応。部屋の中であればメーカー問わずスマホやタブレットでの視聴が可能になりました。

■Androidデバイス
「RECOPLA」+ 「Twonky Beam」
Androidデバイスの場合は、ソニーの「RECOPLA」+ 「Twonky Beam」の組み合わせで、XPERIA等のソニー製デバイスと同様の利用環境が使えるようになりました。
画像2ただし「Twonky Beam」は著作権保護付きコンテンツを再生させるためには有償のオプション(700円。docomo端末利用だと無料らしい)を追加する必要があります。RECOPLAとの組みあわせでは、nasneやソニー製BDレコーダの録画コンテンツの再生のほか、放送中のテレビを視聴することができます。 
それなりに重いアプリのようですので、端末のスペックによっては十分に動作しない可能性も考えられますが、手元にあるNexus7では快適に利用できました。防水スマホなどと組み合わせて、お風呂の中で録画コンテンツをのんびり視聴する、なんて使い方もできそうですね。

■iPhone / iPad
①「RECOPLA」+ 「Twonky Beam」
Apple iOSデバイスでもAndroid同様に「RECOPLA」+ 「Twonky Beam」の組み合わせが可能です。「Twonky Beam」はAndroid版同様に著作権保護付きコンテンツを再生する場合700円のオプションが必要。ただ、Android版よりさらに重く、iPad miniでは画質も相当落ちて途中で映像が止まることもありました。いっぽうで3rd/4thのRetinaモデルのiPadでは比較的スムーズに視聴することができ、A6以上のCPUや大容量のメモリが必要であることを改めて確認できます。

②「DiXiM Digital TV for iOS」
DiXiM Digital TV for iOS」は1,000円と比較的高額なアプリですが、Windows版の「DiXiM Digital TV plus」同様、iOSデバイスをDTCP-IPプレーヤーに変身させるDLNAアプリです。
画像1そのため特に「ソニー縛り」はなく、nasne等のほか、PanasonicのDIGAなど他社製のデバイスのコンテンツも再生できます。またライブチューナーの再生も可能で、操作性についてもRECOPLAと比較しても非常に使いやすいのが印象的です。
またあらかじめ導入後に証明書をインストールする仕組みのためか、「Twonky Beam」よりも軽く、iPad mini(iPad2も同じ)レベルの端末でも安定して利用できます。
この「300円の差」はとても大きいですね。 
 
 


プロフィール(Twitterアカウント)
カフェで息抜きにイヤホンとかのブログ書いてます。気付けばアラフィフの酔っ払い(定期)。食べるのも好きな天秤座AB型。普段はIT屋で都内と自宅のある福井ほかあちこち出張するお仕事してます。ポタオデは趣味で出張のお供。長年のPC(?)遍歴にApple //c とNeXTstation があるのがプチ自慢(じじぃ)。
※ご意見・ご質問などはコメント欄にてお願いします。
レビュー依頼等は bisonicr.keep.walking@gmail.com までお願いします。内容を確認の上ご返答申し上げます(返信の無い場合はご了承ください)。








記事検索
カテゴリ( [+] を押すとサブカテゴリを表示)






最新コメント