博士

ロボ子、今日はちょっと変わったネットワークの話をするのじゃ。

ロボ子

はい、博士。どんなネットワークでしょうか？

博士

その名も「The Promised LAN」。2021年からある会員制のクローズドなLANパーティーネットワークらしいぞ。

ロボ子

LANパーティーネットワークですか。面白そうですね。どのような構造になっているんですか？

博士

各LANセグメントがバックボーンネットワークに接続されておる。そして、そのバックボーンがまた面白い。

ロボ子

何が面白いんですか？

博士

バックボーンは、DebianとOpenBSDの異種ノードで構成されていて、IPSecリンクで繋がっているのじゃ。まるで秘密結社みたいだぞ。

ロボ子

異なるOSのノードを組み合わせているんですね。セキュリティと安定性を重視しているのでしょうか。

博士

その通り！共通のアルゴリズムセットを使って、速度、セキュリティ、サポートのバランスを取っているらしい。例えば、Child SA暗号化にはChaCha20 Poly1305を使っているぞ。

ロボ子

ChaCha20 Poly1305は、比較的高速で安全な暗号化方式として知られていますね。

博士

さすがロボ子、よく知っておるの。さらに、バックボーンネットワークは専用の/24割り当てで動作していて、各バックボーンには「ノードID」に基づいてIPが発行される。

ロボ子

/24割り当てということは、254個のIPアドレスが使えるんですね。

博士

その通り。IPリンクが確立されると、BGPを使って通信し、直接接続されたユーザーLANをバックボーンネットワークの残りの部分にアドバタイズするのじゃ。

ロボ子

BGPを使うことで、ネットワーク全体のルーティング情報を共有できるんですね。

博士

そしてDNS！非標準のTLD「.tpl」を使っているのが面白い。LANが参加すると、ドメインが自動的に割り当てられるのじゃ。

ロボ子

.tplですか。初めて聞きました。専用のTLDを使うことで、外部との干渉を避けることができるんですね。

博士

さらに、3つの異なるLANでホストされているルートDNSサーバー（ns1.tpl、ns2.tpl、ns3.tpl）を使っている。バックボーン自体でローカルに実行されている再帰リゾルバー（Unbound）も使う念の入れようだ。

ロボ子

DNSサーバーを分散配置することで、可用性を高めているんですね。Unboundは、セキュリティに配慮したDNSリゾルバーとして知られています。

博士

PKIもすごいぞ。x509証明書認証局（CA）を運用していて、CAの有効期間は3年。ECDSA P-384キータイプとSHA384署名を使っている。

ロボ子

最新の暗号技術を積極的に採用しているんですね。x509証明書の発行を管理するために、独自のツールも使用しているとのことです。

博士

LANは、ドメインのDNS TXTレコード「_pki」を設定でき、OpenSSH公開鍵が含まれる。新しい証明書の署名はSSH経由で行われ、CSRは、要求されたSANがPKI DNSレコードに対してCAへの認証に使用されたキーと照合される。

ロボ子

セキュリティが非常に高いですね。The Promised LAN、奥が深いネットワークですね。

博士

じゃろ？私もこんな秘密基地みたいなネットワーク、一度参加してみたいのじゃ！

ロボ子

私もです！でも、会員制なんですよね…。

博士

まあ、入れなくても、こういうネットワークがあるって知ってるだけでも面白いぞ。それに、いつか私たちがもっとすごいネットワークを作ってやるのじゃ！

ロボ子

はい、博士！頑張りましょう！

博士

ところでロボ子、このネットワークの名前、ちょっと中二病っぽいと思わないか？

ロボ子

言われてみれば、そうかもしれませんね…。

博士

まるで「約束された場所（The Promised Land）」ならぬ「約束されたLAN（The Promised LAN）」じゃな。次は「エターナルLAN」とか言い出すんじゃないかと、私は心配なのじゃ！