VPNルータの情報収集・設定作業の負担を軽減!
ヤマハ イーサアクセスVPNルータ
RTX1000
希望小売価格<税込>123,900円
(本体価格 118,000円)
ヤマハの「RTX1000」は、高速なVPNを実現するIPsec対応ルータだ。1台でさまざまな機能を搭載しており、安価にVPNを実現したいユーザーに適している。このRTX1000に新しく「GUI設定画面」を中心とした機能が追加された。今回は、これらの新機能を中心に紹介しよう。
無視できないVPNルータの管理負担
最近はADSLやFTTHなどのブロードバンドサービスが安価に利用できるようなり、インターネットVPNが注目されている。VPN対応ルータを利用することで、安全なLAN間接続やリモートアクセスを安価に実現できる。
ところが、多くの拠点をVPNで接続すると、管理者の負担が増加する。遠隔地に配置されている多数のルータの情報を正確に把握して、適切に管理することは必須の作業である。しかし、いちいち個々のルータに遠隔接続し、コマンドを入力して設定内容を調べたり動作状況を把握したりするのは困難だ。
また、VPN機能とファイアウォールを1台に共存させる場合、どちらも適切に設定する必要がある。特にファイアウォールは設定項目が多いため、これも管理者にとっては大きな負担となる。
管理者を支援するための新機能を豊富に追加
そこでヤマハは、IPsec対応VPNルータ「RTX1000」に、Webブラウザを利用した「GUI設定画面」を追加した。この機能は、ファームウェアのアップデート(Rev. 8.01)によって無償で提供される。ここで注意しておきたいのは、このWebブラウザ設定機能は、基本設定の操作を容易にするだけのGUIではなく、「コマンド操作では不便な部分を支援するためのGUI」であることだ。
管理者にとっては当然のことだが、さまざまな環境に合わせてきめ細かくルータを設定するには、GUIよりもコマンドを入力するほうが便利である。しかし、ルータの動作状態を確認したりファイアウォールを設定したりするような場合は、コマンドでは少々面倒である。RTX1000の新たなGUI設定画面は、コマンド操作の煩雑さを支援するものだ。ここで、具体的な例をいくつか紹介しよう。
画面1 「状態メール通知機能」では、
ルータのさまざまな情報を管理者に
電子メールで送ることができる
画面2 「設定検証機能」でVPNや
ファイアウォールの設定を分析する
ことによって、トラブルの原因となる
設定ミスなどが判別できる
多数の拠点がある場合にお勧めなのが「状態通知メール機能」だ(画面1)。管理者が、複数の拠点に配置されたルータの動作状況や設定内容を調べる場合を考えてみよう。
コマンド操作の場合、個々のルータにTelnet接続して、それぞれの情報を表示させるためのコマンドを実行し、その結果をコピー&ペーストによってテキストファイルにまとめるという作業が必要になる。
これを支援するため、新たにメール通知機能が追加されている。送信に使用するSMTPサーバ、宛先、調査したい項目を登録しておけば、画面のボタンをクリックするだけで、必要な情報を送信できる。対象となるすべてのルータを設定しておけば、情報収集は極めて容易なものとなる。
「設定検証機能」を使えば、設定ミスを軽減できるだろう(画面2)。コマンド操作で煩雑になりやすいのは、ファイアウォールやNATの設定だ。これらは煩雑なうえ、設定ミスによってIPsecが利用できなくなるなどの致命的なトラブルを引き起こす原因にもなる。
例えば、IPsecが鍵交換に使用するIKEをファイアウォールによって阻止してしまう場合などだ。そこで、RTX1000には、VPNやファイアウォールなどの設定内容を調査・分析して、ルータの動作に支障をきたすような設定や、競合・矛盾する設定がないかどうかを調べる機能が追加された。この機能を用いることによって、導入したが通信できず、トラブルシューティングで悩むことは激減するはずだ。
また、ファイアウォールの設定に関してもよく考えられている。単純にフィルタリングのルールを登録できるだけでなく、適用順に並べられているルール一覧の途中に新しいルールを挿入したり、ルールの適用順をボタンをクリックするだけで入れ替えたりできる。
※すべての機能をGUIによる設定で行うことはできません。
ネットワーク構築時では、基本的にはコンフィグによる設定で行ってください。
※GUI機能による設定を行う前に、シリアルクロスケーブルによるIPアドレスの設定が必要になります。
(シリアルクロスケーブルが、別途必要です。)
VoIPの利用も容易にSIP-NAT機能を搭載
図1 RTX1000にSIP-NAT機能が追加され、
LANにヤマハVoIP対応ルータ
(RTV700、RT57i、RT56v)を
設置すれば、既存の電話機で
VoIPを利用できる
(RTX1000側に固定IPアドレスが必要)
最近はVPNのほかに「VoIP(Voice over IP)」の普及も進んでいる。安価にVoIPを実現するには、PCのメッセンジャー機能を使う方法と、既存の電話機をVoIPアダプタに接続する方法がある。RTX1000の新ファームウェアでは、この両方に対応した。
メッセンジャー機能を利用する場合、インターネットの境界に設置されたルータでNAT変換を行っていると、音声チャットやビデオチャットが利用できない。その対策として、RTX1000はWindows Messenger 4.7あるいはMSN Messenger 6.1が使用できる「UPnP(Universal Plug and Play)」を搭載している。
注目すべきは、既存の電話機を使ったVoIPを実現する「SIP-NAT機能」が実装されたことだ。これまでも、ヤマハのNetVolanteシリーズなど、VoIPに対応したルータどうしを対向させれば実現可能だったが、ルータをインターネットに直結する必要があった。今回SIP-NAT機能が実装されたことで、RTX1000のLAN側にVoIPルータを設置した状態でもVoIPを利用できるようになった(図1)。ただしこの場合、IPアドレスと「050」で始まるIP電話番号の対応関係を維持するため、固定グローバルIPアドレスが必要となる点に注意しよう。
RTX1000用最新ファームウェアのダウンロードはこちらから!
RTX2000にギガヒット Ethernet対応モジュールが登場
VPNで結ばれる拠点が増加すると問題になるのが、各拠点に分岐するVPN回線を束ねる「センター側ルータ」の負荷だ。もちろん、ルータ自身の処理能力に起因する問題もあるが、VPNそのものが高速化すると、NICの能力がボトルネックになる可能性がある。そこで、「RTX2000」用のギガビット Ethernet対応モジュール「YBB-2GE-SXT」「YBB-2GE-LXT」が登場する。高速な拠点を多く抱えているセンター側ルータあるいは回線の増強にお勧めだ。
PDFダウンロード(923Kバイト)