- ベストアンサー
LAN内部が異常に遅い
はじめまして、小さな企業でネットワーク管理をしているものです。 ずぶの素人が任されてしまった仕事なので、とんちんかんな質問かもしれませんがよろしくおねがいします。 本社支社間でインターネットVPNをひいています。 社内LANは本社・支社毎にひとつのセグメントで20台ほどのパソコンがつながっています。 ドメインは使っておらず、ワークグループで運用しています。 ある時から急にLANの速度(特にブラウザ)が異常なほど遅くなってしまいました。 前後に何をしたわけでもないのですが、VPNをやりだしたのは最近です。 各マシンにはルーターのIPをDNS、ゲートウェイとして登録しています。 ブラウザでは社内用のホームページを閲覧していますが、HOST名ではなかなかつながらず IPを入力すると若干?早くなるような気もします。 webサーバーはapacheです。 やったこととしてはHOSTSへの入力と、関係ないかもしれませんがarpも書いてみました。 Etherealを使用したところ、半分以上がarpでした。 何かヒントがあれば教えていただけないでしょうか。 どうぞよろしくおねがいします。
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
#4,6です。 補足を見ていてふと思ったのですが、「trendmicroのServer Protect for Linuxというものです。」 ということはwebサーバはlinuxでしょうか?ちなみにBSD系だとデフォルトで20分がキャッシュ保持時間です。 設定変更はされていないということですので、やはり何かしら他の要因がある気がします。 linuxですと、ウィルスという危険性は無いわけではないですが、windows系に比べ遥かに低いです。 ですので断言はできませんがウィルスという可能性も低そうな気がします。 もし可能であればそのウィルスソフトをアンインストールして様子を見るのも確認方法の一つです。 > 社内用で外部公開していなくても、DMZに入れる事で余計なパケットが飛ばなくて済むようになりますでしょうか。 遅延発生時にarpテーブルが空ということですので、webサーバとローカルセグメントの間で 大量のarpのやりとりが発生して遅延が起きたというより、何かが短時間のうちにwebサーバ内の arpテーブルを削除してしまっているため、arpを常に要求してしまっていると考えられます。 ファイアウォールのDMZセグメントにwebサーバを置けば、webサーバはファイアウォールとのみ arpのやり取りをすれば済むことになりますが、上記の状況だと、そうやっても結局webサーバと ファイアウォールの間で何度もarp要求をしてしまうため、あまり意味がないかもしれません。 EtherRealを使用されているということですので、一通りのパケットを取得されていると思いますが、 念のためarpで返答してくるローカルルータのmacアドレスとローカルルータから送られてくる何らかのパケット (例えばhttpパケット)の送信元macアドレスとを比較して違いが無いか確認してみてください。
その他の回答 (6)
- realm
- ベストアンサー率60% (3/5)
こんにちわ。#4です。 > (4)ほぼ全てのパソコンから遅延が発生します。発生しないものと発生するものの相違点がわからないでいます。 それはwebサーバのあるセグメントと支社のセグメントのPC(=つまり全てのセグメント)で遅延が発生し、 且つその中に何台か普通に見ることの出来る(=遅延の無い)PCが存在するということでしょうか? そうだとするとインターネットVPNとはまた別の可能性があるかもしれませんね。 > webサーバーからルーターへのarpがとても多いように思いhostsにルーターのアドレスを書いてみたんです。 > これでarpは止まったのですが・・・これが良い対処法だったのがわかりません。 arpを記述することで遅延は収束したということでしょうか? 仮にそうだとしての確認ですが、 (1)そのwebサーバは外部に公開していますか? (2)そのwebサーバはウィルススキャンは入っていますか? また、スキャンデータは更新していますか? (3)arp関連のレジストリを変更しましたか? 通常、windowsのarpキャッシュは10分保持されるので、その時間内にarpを 送信しているとすれば異常が考えられます。 OSのバージョンにもよりますが、もしWindowsNTであれば HKEY_LOCAL_MACHINE\sytem\current control set\services\TCP/IP\parameters\Reg_Dword 内の「ARPcashlife」の保持時間を確認されるといいと思います。 (Windows2000で表示されるかは確認できていません。ちなみに自分の 端末(XP)から確認したところ該当する情報は表示されませんでした) そしてウィルススキャンソフトをインストールされている場合は、頃合いを見計らって 最新定義情報の状態でスキャンしてみることをお奨めします。 webサーバ内にある何らかのソフト(ウィルス)がarp情報をクリアしている可能性があります。 または、あまり言いたくはありませんが、内部の方がwebサーバにアクセスし、arpを クリアしているという可能性もあります。(あくまで可能性ですが) 再度確認ですが、arp要求をしているのはwebサーバからでよいですよね? そのarp要求は常にwebサーバからローカルルータのMAC解決だけでしょうか? ちなみに、遅延が発生していた時のwebサーバのarpテーブルはどのような 状態だったのでしょうか?空っぽでしたか?それとも数十個テーブルが出来ていたのでしょうか? 仮に数十個テーブルが出来ていた場合、arpが性能に影響を及ぼすことは稀ですが、 全く無いわけでもありません。ですので、yamakuroさんの社内にはファイアウォールが あるということなので、DMZセグメントにwebサーバを移設するのも一つの方法だと思います。
補足
再度のアドバイス、本当にありがとうございます。 一人途方にくれていたので、陽が差し込むような気がしてきました。 遅延は本社支社とも2~3台を除き起こっています。 webサーバーは外部に公開していません。 ウイルスソフトは最近いれました(そういえば!) trendmicroのServer Protect for Linuxというものです。 ですがまだ更新はかけていません。レジストリの変更もしていません。 ウイルスの可能性もあるわけですね。驚きました。 windows側では検出されなかったので安心しきっていました。 arp要求はwebサーバーからがほとんどです。 通常は(設定にはよるが)10分に一回のペースでarp要求をするということでしょうか?? であれば、他のマシンからはちょうど10分に一回ペースでarp要求が出され、 webサーバーからはじゃんじゃん要求が出ています。 8割がたがローカルルーター、あと2割は本社内のIPといった感じです。 その時のarpテーブルは空でした。 今は4つ入っています。 社内用で外部公開していなくても、DMZに入れる事で余計なパケットが飛ばなくて済むようになりますでしょうか。 段々私、とんちんかんな事を言い出しているかもしれません。 もし、変な事を言っているようでしたら是非是非訂正していただけると嬉しいです。 realmさんのご指摘を頂いて、ウイルスソフトの事はっとしました。 確かにコレを入れてからかもしれませんし気のせいかもしれません・・・。 もう一度webサーバーの中を調べてみます。 また何かアドバイスありましたらお願いできますか?? 親切にしていただいて本当にありがとうございます!
- hanayama_jp
- ベストアンサー率38% (7/18)
#2です。 回答ありがとうございます。 PC---|-本社A---インターネットVPN---支社B--PC WEBsv| ・本社A側にWebサーバが置かれている。 ・本社Aに存在するPCからは遅延は起こらない。 ・本社AのPCと支社BのPC間では遅延は起こらない。 ・支社BのPCからWebサーバに接続するときのみ遅延が発生する。 という認識でよろしいでしょうか?(認識違いがあったらごめんなさい;) 支社B側のLAN内にWINSサーバを立ててみてはいかがでしょうか。 もしくは、ルータとスイッチのDuplexを確認する、とか。 問題が別のところにあったらすみません。 -- あと、話が前後しますが、「ほぼ全てのパソコンから遅延が発生します」というのは、 どの範囲の「ほぼ全て」ですか?
補足
再度のアドバイス痛み入ります。 本当にありがとうございます。 本社内PCからも遅延が発生しています。 webサーバーへアクセスするマシンは、本社支社共2~3台を残して遅延しています。 ほぼ全てのパソコン というのは本社支社双方という意味合いでした。 WINSサーバー、やってみたことがないのでわからないのですが、 lmhostsを使わなくてもアドレス解決してくれるのですよね。 DNSもWINSもNetbiosも使う、という感じになりそうですが、これは大丈夫なのでしょうか。 わからないのは、他のマシンへはNet-Bios名でも通常に入れるということなんです。 それから、同じ環境でIISを使った小規模LANでのテストではこのようなことは起こりませんでした。 もしまた、何かアドバイスありましたらどうぞよろしくおねがいします。
- realm
- ベストアンサー率60% (3/5)
こんにちわ。 今までのお話から、怪しいと思われるポイントを整理してみては 如何でしょうか?大まかには以下のような感じです。 (1)ケーブルに異常はないか (2)SWorHUBに異常はないか (3)VPNルータ(双方)に異常はないか (4)ブラウザ(PC)に異常はないか (5)webサーバに異常はないか この前提としては本社側にwebサーバがあると仮定して書いたものです。 もしそういう話でなければ上記確認事項はまた違うものになると思います。 (1)、(2)に関してはほぼ問題ないと思いますが念のため書きました。 (3)はルータにVPN機能を搭載したものと前提して書いています。 再起動などはやられたのでしょうか?(各クライアント-webサーバ間で 遅いということなので関連は低そうですが、各クライアント-ルータ (ローカルルータ、リモートルータ双方)間もPingして問題ないと確認されているということですよね?) (4)は遅くなるのは1台だけの問題かどうかという意味です。恐らく 他のPCからもやってみたと思いますが念のため書きました。 また、遅延が起こっている状態はwebサーバのあるセグメントと もう一方のセグメント共に発生しているのでしょうか? (5)は遅延が起こっている状態の時にwebサーバのタスクマネージャ (ctrl+Alt+Delでタスクマネージャを起動できます)の パフォーマンスはどのようになっているでしょうか? CPUやメモリが高い数値となっている場合スペック的な問題の可能性があります。 とりあえず思ったことを書いてみましたが参考になれば幸いです。
補足
ご丁寧なアドバイスを本当にありがとうございます。 realmさんに整理していただいて、問題点が浮いてきたように思います。 お察しの通り、webサーバーは本社側ファイアウォールの内側にあります。 (1)ケーブルは断線など起きていないかと思います。 (2)スイッチはやはり遅延が起きている際はコリジョンランプが激しく点滅しています。 (3)ルーターログはいつもどおりで、エラーなどは起こっていませんでした。Arpが大量に送られてくるのだけが気になります。 ローカル、リモート共pingは正常でした。 (4)ほぼ全てのパソコンから遅延が発生します。発生しないものと発生するものの相違点がわからないでいます。 (5)そうでしたね、確かにパフォーマンスを見るべきでした。 今遅延が起こっていないのでわからないのですが、次回見てみようと思います。 webサーバーからルーターへのarpがとても多いように思いhostsにルーターのアドレスを書いてみたんです。 これでarpは止まったのですが・・・これが良い対処法だったのがわかりません。 ともかく、一旦整理していただいて本当にありがとうございました。 引き続き調査をしていきたいと思います。
- t_adam
- ベストアンサー率0% (0/2)
arpパケットを解決するためには、本社・支社を個々のセグメントに分けることが効果的だと考えます。 特にひとつのセグメントにする必要がないのであればご検討してみてはいかがでしょうか? また、NetBios系のパケットも飛び交っていませんか? これも上記の方法で軽減されると思います。
補足
早速ありがとうございます。 ごめんなさい、私の説明が悪く勘違いをさせてしまったかと思います。 本社、支社は別のセグメントです。 本社内でひとつのセグメント、支社内でも別の1つのセグメントという意味でした。 本社内、支社内で外側へ出る以外のルーターを使っていないということがいいたかったのですが 言葉が至らず申し訳なく思っています。 ただ、t_adamさんの仰るとおりNetBiosも頻繁に飛び交っているのです。 他に対処法などがありましたら教えていただけないしょうか。 どうぞよろしくおねがいします。
- hanayama_jp
- ベストアンサー率38% (7/18)
何点か確認した方がよいかと。 ・まず、どこからどこまでが遅いのかを詳しく特定した方がアドバイスも貰いやすいと思います。 >ある時から急にLANの速度(特にブラウザ)~ ・Pingのレスポンスはどのくらいなのでしょうか? ・異常に遅くはなるけれども、通信自体に問題はないのでしょうか? >VPNをやりだしたのは最近です。 ・遅くなるという事象は、VPN構築後の話なのでしょうか?(だとすれば、単純に「LAN内部が異常に遅い」とは言えないのでは?) >やったこととしてはHOSTSへの入力と、~ ・(各マシンのOSがWindows系という前提で、)lmhostsファイルの編集は行われましたか? (WINSはVPNを越えられないので、lmhostsを編集するケースもあります。) とりあえず、まずはこのくらいでしょうか。。。
補足
早速ありがとうございます。 ・まず、どこからどこまでが遅いのか 遅いのは各クライアントからwebサーバー間です。 ・Pingのレスポンスはどのくらいなのでしょうか 10m秒以下で平常時と同じ状態です ・異常に遅くはなるけれども、通信自体に問題はないのでしょうか 通信自体に問題はないです、5分ほど待っているとでてくるので・・・ ・遅くなるという事象は、VPN構築後の話なのでしょうか 構築後です。ただ、VPN先からwebサーバー以外へはスムーズに入れるので、 内部の話ではないかと考えています。 ・lmhostsファイルの編集は行われましたか lmhostsの方は編集していません。 lmhostsも編集した方がよい事を始めて知りました。ありがとうございます。 先程#1さんの補足にも書かせていただいたのですが、 webサーバーの再起動でスムーズに通信できるようになりました。 理由がわからず今後の対応として迷っています。 引き続き、アドバイスをいただければ嬉しいです。 また、私の説明が至らず申し訳なかったのと、ご親切に確認を頂きまして本当にありがとうございます。
- RZ350RR
- ベストアンサー率27% (444/1615)
DNSが何故、ルータのアドレスになっているのでしょうか? DNSはネームサーバですが、これが無いので行き先不明が多いのでは? それともHOSTSファイルで管理しているのでしょうか? DNSサーバを構築した方がいいのではないでしょうかね
補足
早速ありがとうございます。 DNSはISPからの取得になっており、DNSリレーを行うため(インターネットに出る為)ルーターのアドレスを設定しています。 内部のアドレスもルーターへ問い合わせに行ってしまっているのでしょうか。 ルーターのログを見ると内部のアドレスからのブロードキャストが大量に破棄されています。 でも、DNSをとってしまうと外側に出れません。 DNSサーバーですが、ワークグループ環境でも必要なのでしょうか? 先程webサーバーを再起動した所、他マシンからスムーズに入る事ができました。 原因がわからず、今後の対処法がわからないでいます。 何かアドバイスをいただければ嬉しいです。
お礼
本日アンインストール、再インストールをし様子を見てみました。 取り立てた変化はなく、現状スムーズに使用できている状態です。 いまだ原因はわかりませんが、とりあえずいったん締め切らせてください。 お付き合いくださいまして本当にありがとうございました。 また何か変化がありましたらよろしくおねがいします。
補足
ご丁寧に本当にありがとうございます。 今webサーバーのウイルスソフトをupさせ、スキャンをかけてみました。 運良くウイルスには感染しておらずひとまずほっとしました。 webサーバーはlinuxです。私もlinuxだということで高をくくっていたのですが、こういうときに手間がかかってしまうので日々チェックを怠ってはいけないですね。 >arpテーブルを削除してしまっているため、arpを常に要求してしまっている なるほど、そういうことも考えられるのですね・・・ 私の頭にはarpを消してしまうのが何者なのか、全く検討もつきませんが・・・ それからおはずかしながら、リピータハブを持っておらずスイッチからのEthereal監視だったので webサーバーへ返って来るルーターからの返答を手に入れる事ができませんでした。 監視マシンへ戻ってくるルーターのMACアドレスはちゃんと正しいルーターのMACでした。 明日、webサーバーからウイルスソフトをアンインストールしてみます。(会社が稼動しないので) それから、遅延が起こり復帰するまでの間にDNSのアドレスを削除していました。(自分で) こっちが解決策だったのでしょうか。 arpだから関係ないかもしれないですね・・・ 明日、一度本日の遅延が起こった状態に戻してみたいと思います。(arpとDNS) その上でもう一度パケットキャプチャしてみます。 明日また報告させてください。 お付き合いくださってありがとうございます。