L3スイッチ導入後不安定になったネットワーク

はじめて質問をします。よろしくお願いします。
最近社内のネットワーク機器の更新を行いL3スイッチの導入を行いました。
L3導入前は、Linux機２台をルータとして使用し、３つのセグメントに分割しておりました。
L3導入後は、３つのセグメントはそのままの状態で、ルーティングをL3で行わせるよう業者さんにお願いして設定してもらいました。
しかし、どうも１つのセグメントの調子が悪く業者に設定の再確認をお願いしましたが問題を特定できていません。
以下に、構成、traceroute, ping の情報を示します。

■構成
・ネットマスクは、全てのデグメントで255.255.255.0です。

　　　　　　　　192.168.0　　　　　　　192.168.1
-----|firewall|-----------|　　L3　　|------------
　　[http proxy在り]　　　|　　　　　|------------
　　　　　　　　　　　　　　　　　　　　192.168.2

■調子が悪いくなったこととは
１．192.168.1.xxからのWEBアクセス等でタイムアウトが頻繁に発生する。
２．192.168.1.xx→192.168.0.xxへのルータ越のsshでは問題ないが、192.168.0.xx→192.168.1.xxへでは、ログインができなくなった。
ログインできたとしても、プロンプトが返ってくるまでに異常に時間がかかる。

■Ping, Tracerouteの情報
192.168.0.1より
$ traceroute -I 192.168.1.20
traceroute to 192.168.1.20 (192.168.1.20), 64 hops max, 60 byte packets
1 192.168.0.253 (192.168.0.253) 0.896 ms 0.870 ms 0.980 ms
2 192.168.0.253 (192.168.0.253) 0.853 ms 0.885 ms 0.984 ms
3 192.168.1.20 (192.168.1.20) 3.608 ms 0.282 ms 0.235 ms

$ ping 192.168.1.20
PING 192.168.1.20 (192.168.1.20): 56 data bytes
64 bytes from 192.168.1.20: icmp_seq=0 ttl=253 time=21.453 ms
64 bytes from 192.168.1.20: icmp_seq=1 ttl=253 time=22.318 ms
64 bytes from 192.168.1.20: icmp_seq=2 ttl=254 time=0.362 ms
64 bytes from 192.168.1.20: icmp_seq=3 ttl=253 time=210.030 ms
64 bytes from 192.168.1.20: icmp_seq=4 ttl=254 time=2.928 ms
64 bytes from 192.168.1.20: icmp_seq=5 ttl=253 time=20.819 ms
64 bytes from 192.168.1.20: icmp_seq=6 ttl=254 time=0.362 ms
64 bytes from 192.168.1.20: icmp_seq=7 ttl=253 time=21.383 ms
64 bytes from 192.168.1.20: icmp_seq=8 ttl=254 time=0.307 ms
64 bytes from 192.168.1.20: icmp_seq=9 ttl=253 time=89.789 ms
64 bytes from 192.168.1.20: icmp_seq=10 ttl=254 time=0.369 ms

業者さんへは
●tracerouteの結果でL3スイッチ(192.168.0.253)が２回出現している。
●pingの結果でTTLの値が254、253の２通りが交互に出現する。
●pingのTTL同様time値にバラツキがある
これらを指摘してみましたが、「回答は特に問題ない」とのことでした。

自分では、これらの結果がトラブル解決のヒントになるのではないかと思っております。

長々な駄文ではありますが、識者の方のアドバイスをお願い致します。
【構成図】が上手に表現出来ずごめんなさん。
よろしくお願いします。

No.3 回答者： sshiba 回答日時： 2009/11/28 19:03

#1です

補足の方を見せていただいたのですが、netstat -rの結果には特に問題が見られないこと、
pingの結果が192.168.0.1→192.168.1.20の場合と192.168.1.20→192.168.0.1で調和的で、
かつ2種類のTTLが出てきたり、tracerouteで２種類の結果が出てくる…ということは、
「この２台のマシン間で通信ルートが２種類できている」ということになりますね。
ということは、明らかにアライドのL3スイッチ上で何らかの設定ミスがあります。Q&Aの
やり取りではこれ以上の特定は困難だと思いますが、下記のいずれかじゃないかな。

a) ルーティングテーブルに矛盾した情報を設定している
b) VLANの設定をチョンボっている(CentreCOM 9424TはVLAN構成を組めるL3スイッチです
　ので、使いもしない余計なVLAN I/Fを作ったりとか、リモート管理用のtelnetポートでも
　作って192.168.[0-2].253のIPアドレス振ったりしてそうな感じですね。あるいは、
　L3スイッチのカスケード接続とかやっていたりするようですと、タグVLANの設定に
　問題があるのかも知れません)

とりあえず業者を呼んで、このQ&Aページのプリントアウトを見せた上で「バカヤロー」とか
言った方がいいんじゃないかと思いますね(笑)

No.2 回答者： 774danger 回答日時： 2009/11/25 00:10

> ■Ping, Tracerouteの情報

> 192.168.0.1より
> $ traceroute -I 192.168.1.20
> traceroute to 192.168.1.20 (192.168.1.20), 64 hops max, 60 byte packets
> 1 192.168.0.253 (192.168.0.253) 0.896 ms 0.870 ms 0.980 ms
> 2 192.168.0.253 (192.168.0.253) 0.853 ms 0.885 ms 0.984 ms
> 3 192.168.1.20 (192.168.1.20) 3.608 ms 0.282 ms 0.235 ms
>
> $ ping 192.168.1.20
> PING 192.168.1.20 (192.168.1.20): 56 data bytes
> 64 bytes from 192.168.1.20: icmp_seq=0 ttl=253 time=21.453 ms
> 64 bytes from 192.168.1.20: icmp_seq=1 ttl=253 time=22.318 ms
> 64 bytes from 192.168.1.20: icmp_seq=2 ttl=254 time=0.362 ms
> 64 bytes from 192.168.1.20: icmp_seq=3 ttl=253 time=210.030 ms
> 64 bytes from 192.168.1.20: icmp_seq=4 ttl=254 time=2.928 ms
> 64 bytes from 192.168.1.20: icmp_seq=5 ttl=253 time=20.819 ms
> 64 bytes from 192.168.1.20: icmp_seq=6 ttl=254 time=0.362 ms
> 64 bytes from 192.168.1.20: icmp_seq=7 ttl=253 time=21.383 ms
> 64 bytes from 192.168.1.20: icmp_seq=8 ttl=254 time=0.307 ms
> 64 bytes from 192.168.1.20: icmp_seq=9 ttl=253 time=89.789 ms
> 64 bytes from 192.168.1.20: icmp_seq=10 ttl=254 time=0.369 ms

192.168.0.1のマシンですが、デフォルトゲートウェイをFirewall側に向けていますか?
もしそうだとしたら、Firewall側でなくL3SW側の192.168.0.Xのアドレス側にデフォルトゲートウェイに向けた場合、tracerouteの2段表示やpingのTTLのばらつきは発生しなくなりますか?

この回答への補足

返答が遅くなり、ごめんなさい。

192.168.0.1のマシン(vinelinux)ですが、default gwは、L3SW (192.168.0.253)に向けています。
全てのセグメントでdefault gwをL3SWに向けております。
192.168.0.0/24 --> 192.168.0.253 (L3SW)
192.168.1.0/24 --> 192.168.1.253 (L3SW)
192.168.2.0/24 --> 192.168.2.253 (L3SW)

firewallとなっているマシンのみdefault gwは、ブロードバンドルータに向けております。

sshiba様の回答に補足をつけております。参考になるでしょうか？
よろしくお願いします。

補足日時：2009/11/28 16:18

No.1 回答者： sshiba 回答日時： 2009/11/23 19:57

とりあえず、ご質問の中に出てくる情報ですと

・「192.168.0.1」や「192.168.1.20」というIPアドレスを持ったマシンが
　どういうOSを載せているものかが分からない
・192.168.0.1なマシンでのnetstat -rの結果が分からない
・L3スイッチのメーカー・機種名なども分からない
・(192.168.0.0/24以外の)各サブネットのゲートウェイアドレスが分からない
・192.168.0.1から192.168.1.20へアクセスする通信操作は確認しているが、
　その逆方法の通信が正しくできているかどうかが分からない
・192.168.2.0/24なサブネットの状況が全く見えない

…といった感じで、いささか情報が少ないので原因の推測は難しいのですが

> ●tracerouteの結果でL3スイッチ(192.168.0.253)が２回出現している。
> ●pingの結果でTTLの値が254、253の２通りが交互に出現する。

というあたりを見ると、少なくとも質問文の範囲では192.168.0.0/24と
192.168.1.0/24のサブネット間のルーティングが正しくできていないことは
確実だろうと思います。
どうもL3スイッチ上の192.168.1.0/24のゲートウェイアドレスに該当する
ポートの設定をミスっている感じに見えなくもないのですが、L3スイッチ上の
ルーティングテーブルに矛盾した情報が登録されちゃってたりする可能性も
あるでしょうね。

192.168.0.0/24と192.168.2.0/24の間や、192.168.1.0/24と192.168.2.0/24の
間が正しくルーティング設定できているかどうかは質問文からは不明ですが、
上記のような調子ですと後者はまともに通信できなさそうな感じもしますので、
原因の切り分けを行う際には、こういうところもきちんと確認した方がいいと思います。

いずれにしても、その業者さんって設定後にちゃんとサブネット間通信も含めた
一通りの動作確認をやってから引き渡してないのかな。
そんなに複雑な構成とは思えないんですが…。
sshiba的にはそっちの方が気になりますね。

この回答への補足

返事が遅くなり申し訳ありません。
OS等の情報を補足します。
■OS
192.168.0.1 Vinelinux 3.2
192.168.1.20 Windows2003Server R2

■netstat -rの状況
[192.168.0.1]
$ netstat -r
カーネルIP経路テーブル
受信先サイト ゲートウェイ ネットマスク フラグ MSS Window irtt インターフェース
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 192.168.0.253 0.0.0.0 UG 0 0 0 eth0

[192.168.1.20]
C:\>netstat -r
IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1e 0b cf f1 86 ...... HP NC373i Multifunction Gigabit Server Adapter
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.253 192.168.1.20 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.20 192.168.1.20 20
192.168.1.20 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.20 192.168.1.20 20
224.0.0.0 240.0.0.0 192.168.1.20 192.168.1.20 20
255.255.255.255 255.255.255.255 192.168.1.20 192.168.1.20 1
Default Gateway: 192.168.1.253
===========================================================================
Persistent Routes:
None

■L3スイッチのメーカー・機種名
アライドテレシス CentreCOM 9424T/SP-E (RoHS)

■各サブネットのゲートウェイアドレス
192.168.0.0/24 --> 192.168.0.253
192.168.1.0/24 --> 192.168.1.253
192.168.2.0/24 --> 192.168.2.253

L3SWが全てのサブネットで default routeとなっております。


■192.168.1.20から192.168.0.1への通信状態
tracertで２通りのパターンがります。
C:\>tracert 192.168.0.1

Tracing route to 192.168.0.1
over a maximum of 30 hops:

1 2 ms <1 ms <1 ms 192.168.1.253
2 <1 ms <1 ms <1 ms 192.168.0.1

Trace complete.

C:\>tracert 192.168.0.1

Tracing route to 192.168.0.1
over a maximum of 30 hops:

1 2 ms <1 ms <1 ms 192.168.1.253
2 38 ms 64 ms 1 ms 192.168.1.253
3 2 ms <1 ms <1 ms 192.168.0.1

Trace complete.

C:\>ping 192.168.0.1

Pinging 192.168.0.1 with 32 bytes of data:

Reply from 192.168.0.1: bytes=32 time=5ms TTL=62
Reply from 192.168.0.1: bytes=32 time<1ms TTL=63
Reply from 192.168.0.1: bytes=32 time=5ms TTL=62
Reply from 192.168.0.1: bytes=32 time<1ms TTL=63

Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 5ms, Average = 2ms


■192.168.2.0/24なサブネットの状況
このサブネットは、192.168.2.0/24から出ることはできるが、192.168.2.0/24への接続要求は拒否するという設定になっているはずです。
詳しい、traceroute、pingの状態は現在調べることが困難なので省略させてください。

このような状況ですが、いかがでしょうか。
よろしくお願いします。

補足日時：2009/11/28 15:32