14-02
14-02
ポリシーベースのIPSecは何のことはなく、すらっと簡単に動作させることができた。いつものIKEのポリシーと、IPSecセキュリティプロトコルとアルゴリズムの組み合わせの書き方は一緒で、それをトンネルインターフェイスを作らず、対象トラフィックのみに発動させるような縛りをして、物理インターフェイスに当てる、と言う違いくらいだった。もっと動かすのに苦労したり、トラブったりするかと思ったが、対向拠点のLANを表すルーター同士の疎通は、あっさり取れた。
周りの席はもうみんな退社してしまっていて、都の島周辺は都一人になっていた。席を立ち、都はオフィスを見回した。柱で隠れてよく見えないが、下山と岩砂が見えた。都は少し自席を離れて、岸谷の席が見えるあたりまで動いた。岸谷の周りの席もほぼ人がいなくなっていて、岸谷の緩いウェーブがかかった長い茶髪がぽつんと見える。これなら、都が岸谷の席の近くへ行っても、あまり躊躇しないで済みそうだ。都は岸谷の席まで遊びに行くことにした。同僚の誰かの席へ雑談をしに行く、そんなことを都は滅多にしないので、変な緊張を覚える。岸谷の席まで行く間に、あまり口を聞いたことのない社員や、何の業務をしているのかわからない派遣社員の席の近くも通る。残業しているはずなのに、席の遠い人間に油を売りに行っている、つまりサボっていると思われるんじゃないか。そんな不安も起きる。
島の角から一つ数えた席が岸谷の席で、都の席から歩いて行くと、岸谷は背中を向けている形になる。その角の席は空いていたので、都は特に岸谷に声もかけずに、椅子を引いて腰掛けた。岸谷は自分のスマートフォンをいじっていて、隣に突然人が座ったことにそれほど驚かずに顔を上げた。
「あー。間宮さーん。」
岸谷はもうすでに仕事の集中力はなくなっていて、ただお客試験が終わるのを待機しているだけのようで、眠くなってきたのかな、と都が一瞬思ってしまうくらい、間が抜けた調子で言った。それでも通る声である。
「まだ待機中?」
周りに人もいないので、普通の声で喋ると都の声でも通ってしまう。都は、席は離れているが残業で残っている人に話を聞かれるのが恥ずかしいので、少し声を抑えめに聞いた。恥ずかしい、というのもあるが、残業中に何遊んでるんだ、そう思われるんじゃないかという心配からだったかもしれない。
「ですー。でもこのお客さんー、いつもそんなに時間かからないんでー、すぐ終わると思います。」
岸谷も、都の調子に合わせて、少し声を抑えめにして返してくれた。声を抑えると、岸谷の声は舌が口蓋に当る独特の音がしてきて、聞いていると気持ちが良かった。
「そっかー。」
都はため息交じりにそう言うと、背もたれに背中を預けた。しばらく二人で雑談をしていると、先日都がふと誘った、避暑地として有名な土地へのドライブに岸谷を連れていく話になった。都はこれは覚えていたが、その後、岸谷からこの件について何も言われなかったので、忘れられてしまったのか、それとも以前海に二人で出かけた時に、都が調子に乗って、岸谷にべたべたし過ぎたから、それが鬱陶しいと感じられて、もう都と出かけるのはいいかな、と思われたのか、そのどちらかかも、と勝手に思っていた。普段の、岸谷の都への接し方や、こないだの客宅への出張の時などの様子を見ていれば、そんな不安を抱えなくて良いはずだ。都の元来の人付き合いの苦手さと、大人になってから親しい友人というものを持たないできた生き方とは、都にどう人の心の裏を推し量っていいのか、実体験として分かりにくくさせていた。
岸谷は机に置いてある卓上カレンダーを持ち上げて、自分のスケジューラーと見比べ始めた。
「あたし、ここか、ここがいいかなー、って思ってます。」
岸谷は、自分の都合だけで言ってしまっていることが途中から可笑しくなったらしく、カレンダーの日付を指差しながら最後は笑っていた。都もつられて笑ってしまう。
「そこならどっちでもあたしも大丈夫じゃないかなあ。ちょっと待ってて。」
都はそう言って立ち上がると小走りに自席へ戻ろうとしたが、フリーアクセスの床がどたばた言うので、さすがに私用でやかましくオフィス内を駆け回るのはまずいと思い。普通に歩いて席へ戻ることにした。
席へ戻ると、椅子にも座らず、マウスを動かしてスリープモードから通常端末を起こす。首から下げている認証カードをカードリーダーにかざして、端末のロックを解くと、開きっぱなしのメーラーのスケジューラーを開き、さっき岸谷が希望した日付のスケジュールを確認した。都の記憶通り、そのどちらも大丈夫だ。後は天気の良さそうな方で決めれば良いだろう。急に工事が入るとも限らないので、早い方の日付が良いかもしれない。
受信トレイに数通新着のメールが来ていたので、都は一応全部ざっと目を通した。急ぎの対応が必要なものは何もなく、都が入っているメーリングリストがCCされているものだけだった。都はショートカットキーでスクリーンロックをすると、飲みかけのコーヒーと、自分のスマートフォンを持って、岸谷の席へ戻ることにした。コーヒーとスマートフォン持って、他人の席へ行く。まるっきり雑談しに行きます、という体だと言えないこともない。しかし、誰かの案件のトラブル対応ヘルプを頼まれて、時間がかかりそうだとなると、頼まれた方はそうしていることは多く、この職場ではよく見る光景だ。
「どっちの方が天気良いかなあ。」
都は岸谷の隣の机にコーヒーを置いて、スマートフォンのロックを解き、長期天気予報のサイトを開きながら言った。最初の候補日は快晴で、次の候補日は晴れのち曇り、と言った予報だ。しかも最初の候補日は夏日予想となっている。
「あ、じゃもうこっちで決定じゃないですかー。間宮さんの大好きな夏日ですしー。」
岸谷は都のスマートフォンを覗き込みながら言った。
「夏日って言ったって、行くとこ涼しいとこだよ?」
都は笑いながら言った。見ていたのは東京の天気予報だ。
「じゃーあー、もうこの日で決定で良いですよね?」
岸谷はそう言いながら、通常端末のマウスを操作して、下書きメールをタスクバーから起こすと、書きかけの本文にカーソルを入れた。都がディスプレイを覗き込むと、それは代休取得連絡のメールで、どちらの日付でも出せるように、休む日付を二つ書いてあったが、採用されなかった候補日をバックスペースキーで消していた。件名の日付部分も両方書いていたので、こちらも決定日だけ残して、不採用日をバックスペースキーで消す。
「え、もう用意してたの?」
都は大笑いしそうなのを堪えながら、言った。岸谷がてきぱきとメールを修正していくのがまた可笑しかった。
「じゃ、送信しまあーす。」
そう岸谷は宣言すると、都の返しも聞かず、送信ボタンをクリックしていた。
「あー。送っちゃったー。」
「送っちゃいました!」
声をひっくり返して、都が驚くと、岸谷は自慢げに返していた。
当日の待ち合わせ場所や時間を決めたり、都が具体的にどこへ行きたいのか、全く岸谷に話していなかったので、目的施設について喋ったりしていると、岸谷のPHSが鳴った。岸谷は会社名と自分の名前を続けて名乗っていたから、表示された番号からお客だとわかったのだろう。結構長い待機になっていた気がする。1時間くらい経っただろうか。さっき岸谷は、いつもお客試験に時間のかからない客だと言っていた。やっと終わったか、という、長い待機が終わった喜びが微妙に喋り調子に出てしまうものだが、岸谷は例によって全くそういう感じを匂わせない、きちんとしたビジネス対応で、応答していた。
しばらく、相槌を打って相手の話を聞いている状態が続く。都は少し雲行きが怪しそうだと思った。ちょうど都の目の前には、岸谷の机と隣の机で共用している専用端末のディスプレイとキーボードがある。都が専用端末のマウスを動かすと、ディスプレイがスリープモードから起き上がってきたので、専用端末共通のパスワードでロックを解いた。ターミナルソフトは立ち上がっていたが、既にタイムアウトしてしまっていたので、そのウィンドウは閉じて、新しく立ち上げ直し、ログインサーバーに入る。
「…はい、今回追加した新規のネットワークに、本社から到達できない…。はい…。はい、承知いたしました。こちらで確認いたしますので、確認できましたら、結果報告させていただきます。」
岸谷はその後、おそらくターゲットとなっているIPアドレス情報を電話越しにお客からもらってノートにメモし、電話を切る挨拶をしてから、PHSをオンフックした。
「間宮さーん、終わらなかったぁー。」
岸谷は、また急にビジネスモードから変容するので、都はその落差でまた笑ってしまった。
「何?新しいネットワークに届かないって?」
都は要件も、トポロジーも何もわからなかったが、とりあえず耳に挟んだ情報だけで聞いた。
今回の工事は、あるアジア拠点の、契約更改により引き直した回線への切り替え、既存ルーター流用での工事だったが、そのついでに、この拠点のLAN側に新しいサブネットを追加したという。回線の切り替えは無事終わり、既存サブネット間の通信には問題はなかったが、新しいサブネットと、日本の本社拠点との間で通信が出来ない。岸谷が話しているお客は、日本本社のお客だが、お客自身も、おそらくは現地お客機器の設定漏れか何かだと思うけれど、念の為、新しいサブネットが正しく広告されていること、日本本社のルーターで正しく受信されていることなどを確認してほしい、ということだった。
しかし、この案件は海外オフショアセンターが書き込み権限を持つ、通常の案件だ。基本的に東京のSE、特に都のような設計や工事対応をする専任のSEはつかない。SE業務は海外オフショアセンターがやる。そのため、こういうトラブルが起きた時も、状況を東京のPMが海外オフショアセンターのPMかSEに伝え、向こうで確認してもらう、というのが通常のやり方だ。
「もうこっちからルーター入れるようになってる?」
「はい、それはWAN回線切り替えた時ー、あたし自分でプロバイダエッジルーターまでの疎通とー、BGPのアップまで確認したのでー、大丈夫です。」
海外オフショアセンターが書き込み権限を持っている、客宅ルーターについては、回線が開通してから直ぐに、東京から読み取り権限でログインできる、海外オフショアセンターのログインシステムが参照するデーターベースに登録されなくて、ログインできないことがある。こういう案件で東京のSEやPM自身で直ぐに状況を確認したい時は、オフショアセンターのSEに早くしてくれと催促することになるのだが、向こうにしてみれば、自分達がコンフィグし、確認するのだから、そんなシステム上の作業は後で良いだろう、ということになり、大抵はその場で対応はしてもらえない。しかし、SEによっては、特に東京から何も依頼しなくても、開通したら直ぐにこちらで見えるようにしておいてくれることもある。今回はそもそも旧回線で使用されていたルーターで、既にシステム上に登録のあったものだが、ホストネームなど、管理用のコンフィグがこれを機に書き換えられているので、データベースもそれに応じてアップデートされていないと、ログインできないのだが、この工事を担当した海外オフショアセンターのSEはきちんとやっておいてくれたらしい。
「あ、じゃあ、CR番号ちょうだい。」
都はログインサーバーを踏み台にして、その海外オフショアセンターが提供する読み取り権限専用のログインシステムへ入りながら、言った。彼らのログインシステムは、CR番号やホストネームをテキストボックスへ入力すれば、あとは勝手にログインしてくれるという代物だ。東京のログインサーバーと、東京で使っている客宅ルーターのデーターベースには何のシステム連携もないので、こういう便利な仕掛けはない。網内の保守用ルーターへログインし、保守用ルーター上の、当該お客VRFのルーティングテーブルから、対象ルーターのWANIPへ、接続用プロトコルを使って、ルーターのコマンドでログインする。都は、今でも自分が担当しているお客については、この方法の方が慣れていることもあるのと、何かあった時に、保守ルーターへログアウトし、網内のルーティングテーブルを確認できる便利さから、こちらの方法でログインしていた。
これは岸谷の案件で、しかも東京にSEを置かない案件のトラブルだから、そのお客のVRF番号と、対象の客宅ルーターのWANIPとを調べてもらったとしても、海外オフショアセンターが設計・構築した客宅ルーターには、網内の保守用ルーターのIPからの、接続用プロトコルを使ったアクセスが許可されていないので、ログインできない。そのため、海外オフショアセンターのログインシステムからログインするしかない。岸谷は、ノートを2、3ページめくって、直ぐにCR番号を返してくれた。
都は対象の客宅ルーターにログインすると、ターミナルウィンドウのログ取得を開始してから、まずは読み取り権限でも、運用中のコンフィグを見ることのできるコマンドを叩いた。BGPで広告しているネットワークは、監視用のループバックインターフェイスの32ビットアドレスを除けば5つだ。全てスタティックルートを拾って広告していて、BGPのアウトバウンドにかかっているフィルタもきちんと全ネットワーク分開いている。実際、プロバイダエッジルーターへの広告ルートを確認すると、全てきちんと広告できていた。スタティックのルーティングテーブルを確認しても、LAN側のルートは全て上がっている。ただ、ネクストホップは2つあって、一つのルートだけ他のルートとはネクストホップが異なっている。LANの接続セグメントに、2つのL3機器があり、一つがコアスイッチのような役割で、4つのネットワークはその配下にぶら下がっていて、もう一つのルートだけ別のL3機器の配下にある。そんな構成だろう。岸谷にどれが新しいルートだと聞くと、その一つだけネクストホップが違うルートがそうだと言う。
「こっちのルーターは問題なさそう。…その届かない、って言ってる本社のルーターのCR番号も直ぐわかる?」
そう都が聞くと、岸谷はちょっと待ってくださいと言って、通常端末からもアクセスできる、客宅ルーターを管理するデーターベースで検索を始めた。客宅ルーターを管理するデータベースには、その客用のVRF番号、客宅ルーターのCR番号などは自動でオーダーシステムから連携され入ってくる。しかし、それだけだとわかりづらいので、PMやSEが簡単な名前をCR番号の後ろに追加することができた。本社なら、HQ、同じ国で複数の拠点があれば、都市名、あるいはお客の中で使われている固有施設名など。岸谷は、このお客のVRF内のルーターだけに絞ったページで、JapanHQ、と検索をして引っ掛けていた。都はターミナルウィンドウをもう一つ別に開き、海外オフショアセンターのログインシステムへ入ると、表示されたCR番号を岸谷に読み上げてもらい、その番号をテキストボックスに入力し、本社のルーターへログインした。
本社のルーターでは、その新しいルートはプロバイダエッジルーターからBGPで受け取れている。本社のLAN側はOSPFなので、きちんとその新しいルートが再配送されているか、LSAタイプ5の詳細情報をこのルートだけに絞って表示させるコマンドを叩く。きちんと外部ルートとして、OSPFドメインに回っている。しかし、それは2つあった。タイプ2であることと、付与されたメトリックは1で、どちらも同じだった。