情報技術の四方山話

AI、IoT、ヤマハルータ、VPN、無線LAN、Linux、クラウド、仮想サーバと情報セキュリティのよもやま話

NTT東日本の閉域IPv6でIPsecVPNをヤマハルーターで構築

2021-09-29 07:06:48 | ヤマハルータ
NTTのフレッツ回線では、NTT網内閉域のIPv6を使うことができます。ただし、NTT東西間での通信はできません。

NTT東日本内にある拠点間でVPN接続をしていますが、網内IPv6でのVPNに変更しました。従来の経路はバックアップ経路として残しています。

しばらく、運用してみます。

社内事務所間接続では、プロバイダが提供する、IPoEグローバルIPv6とPPPoEグローバルIPv6を使ってNTT東西間でVPN接続をしています。
こちらは、たいへん安定しています。

今後、ますますIPv6を活用していきます。

いつもアクセスありがとうございます。IPv6の利用状況を共有いたします。引き続きよろしくお願いします。

コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ヤマハ UTMアプライアンス『UTX100』と『UTX200』を発表

2021-01-26 14:49:53 | ヤマハルータ
ヤマハが本格的なUTMを正式に発表しました。発表資料によると、これまでの独自開発とは異なり、「Check Point Software Technologies Ltd. 」との協業での製品です。Check Point Software Technologies Ltd. 社はFireWall/UTM分野での老舗です。

■UTX200

■UTX100


セキュリティ分野は、セキュリティ業界での知見の蓄積が必要です。世界的に著名なCheck Point社との協業は、セキュリティ・エンジンへの不安を払拭します。

基本的なファイヤーウオール機能はこれまでのヤマハルータも備えていますが、それを統計的に分析するには仕掛けが必要でした。

まだ実機を見たことはありませんが、CheckPointエンジンをヤマハのGUI管理機能で包んだイメージで仕上がっています。また、ヤマハVPNルータとの接続性も確保されているようです。

ターゲティングは、UTX100が小規模、UTX200が中規模でサポートサービス付きですね。これは、専門性の高い領域のサポートは販社では出来ないので、UTXをよく知っているサポートを提供するということでしょう。一般的なソフトウエアライセンスとは異なります。

詳細仕様や価格などまだ判らないこも多いのですが、セキュリティ強化の時代に即していると思います。セキュリティ分野は、国産がほとんど活躍できていないので、ヤマハの活躍に期待しています。



いつもアクセスありがとうございます。
セキュリティ分野も、設計・運用が大事です。ネットワークと一緒で、簡明に仕上げることがノウハウです。引き続き、情報を共有していきます。
コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ヤマハが企業ルーターRTX1220を発売-RTX1210はRTX1220に引き継ぎ

2020-12-16 23:20:06 | ヤマハルータ
こんにちは。
ヤマハが企業向けインターネットルーターRTX1220を2021年3月に発売開始することを発表しました。



これまでのフラグシップ・ルータRTX1210の後継機です。外部仕様的には、すでにサービスの終了が決まっているISDNのインタフェイスを廃止しています。発表された外観もその通りです。

RTX1210は企業ネットワーク構築の標準ルータです。その前身のRTX1200、RTX1100、RTX1000、RT103i、RT102i、ヤマハルータ初号機RT100iと20年を超え脈々とご利用に支えられてきました。これからは、RTX1220がそれを引き継ぎます。

企業ネットワークのインターネット接続点として、これからも沢山使われることでしょう。私は、RTX1210および、N1210系のルータをIPoE接続用のルータとして活用を始めています。IPoE=IPv6網上でIPv4を流すサービスに対応しているプロバイダを選べば、IPv4 over PPPoEは不要になります。今はIPv4 over IPoEでも固定IPv4を使うことができます。
 
これからの企業ネットワークは、IPv4に加え、IPv6を併用することが標準になります。すでに、Goole、Youtube、Micorosoft 365、Windows Updateなど大規模なインターネット接続はネイティブなIPv6接続です。IPv4でのWindows Updateのブレークアウトはもはや過去の話で、グローバルなIPv6がPCまで届けば、企業の悩みは大きく解決します。RTX1210、RTX1220は、そのために適したルーターです。


今回は「ヤマハがRTX1220の発売を公表-RTX1210はRTX1220に引き継ぎ」についての共有です。
コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ヤマハルータにUbuntu 20.04 LTSからSSHログインできなくなった場合の対処

2020-09-24 16:23:15 | ヤマハルータ
今回は「ヤマハルータにUbuntu 20.04 LTSからSSHログインできなくなった場合の対処」を共有します。

Ubuntu Studio 20.04 LTSを使ってヤマハルータへのsshをしようとしたところ、以下の通りエラーとなります。回避方法は以下の通りです。

エラーの理由は最新のUbuntu側のSSHクライアントの設定に変更があり、ネゴシエーション時点で終了します。ヤマハルータ側を変えるのは難しいので、Ubuntu側で対応します。

■接続エラーが発生
takumi@taniubsd:~$ ssh -p PORT_NUM  login_user@HOSTNAME.aa0.netvolante.jp
Unable to negotiate with IP_ADDR port PORT_NUM: no matching key exchange method found. Their offer: diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
takumi@taniubsd:~$

■Ubuntu側にSSHクライアントの設定を追加する
takumi@taniubsd:~$ cat .ssh/config
Host HOSTNAME.aa0.netvolante.jp
KexAlgorithms +diffie-hellman-group14-sha1

■接続を試行する
初回接続なので「接続して大丈夫?」と訊かれる。
takumi@taniubsd:~$  ssh -p PORT_NUM login_user@HOSTNAME.aa0.netvolante.jp
The authenticity of host '[HOSTNAME.aa0.netvolante.jp]:PORT_NUM ([IP_ADDR]:PORT_NUM)' can't be established.
RSA key fingerprint is SHA256:3TPjWUHaKj5f8SWvEcKv8I8HkJP1iO+1WIxBqMAgTd4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '[HOSTNAME.aa0.netvolante.jp]:POORT_NUM,[IP_ADDR]:PORT_NUM' (RSA) to the list of known hosts.
login_user@HOSTNAME.aa0.netvolante.jp's password:[PASSWORD]

RTX810 BootROM Ver. 1.00
RTX810 FlashROM Table Ver. 1.00

RTX810 Rev.11.01.34 (Tue Nov 26 18:39:12 2019)
Copyright (c) 1994-2019 Yamaha Corporation. All Rights Reserved.
To display the software copyright statement, use 'show copyright' command.
Memory 128Mbytes, 2LAN
 >

いつもアクセスありがとうざいます。引き続きよろしくおねがいします。
コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ヤマハWLX202を病院に設置しました

2020-05-31 13:02:56 | ヤマハルータ
今日は「ヤマハWLX202を病院に設置しました」です。
今回は、病院に入院されている方々のために、急ぎで無線LANアクセスポイントを設置しました。
コロナウイルス感染を予防するために、お見舞いの立ち入りも禁止されています。
その不便さを解消するために、インターネットを使って、入院患者さまと、院外にいる家族とコミュニケーションをとるためのものです。大きな工事をせず、必要な時にスタッフの方が談話室などにもっていく形での運用です。

WLX202の導入は、企業ルータとしては簡単な方です。

アクセスポイントの管理IPを固定する
VAP単位でWi-Fiの設定を行う

VAP=Virtual Access Pointの略で、一つのアクセスポイントの中に複数のアクセスポイント機能を持たせることができます。
夫々のVAPはTagVLANとの紐づけができるので、同じ物理ネットワークと物理アクセスポイントを利用して、複数のネットワークを安全性を高めて構築することが容易です。

今回は無線LAN専用のセグメントをUnTagで新設しました。
VAPにつながった無線端末には、VAPのDHCPサーバでアドレスを配布します。そうすることで、ご利用者のIPアドレスの範囲を同じネットワークの有線部分とに分けています。

上流の経路はルータがRTX1210でフレッツ光回線です。

■ヤマハWLX202



コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ヤマハNVR500でとても簡単にNTTひかり電話を接続できます(訂正)

2020-05-28 11:38:50 | ヤマハルータ
今回は「ヤマハNVR500でとても簡単にNTTひかり電話を接続できます」編です。
ヤマハNVR500(現行機はNVR510)でNTTひかり電話を簡単に接続できたので紹介します。

電話番号一つのNTTひかり電話を事務所で使っています。一般的な契約でホームゲートウエイ(HGW)が光回線を終端しており、その配下にRTX1200を繋いで事務所LANと複数のVPNを結んでいます。

NVR500でひかり電話を収容しようと、HGWのONU直下にNVR500のWANをつなぎました。NVR500で「ひかり電話を使う」にすると、なるほど電話の発着信ができます。よしよし。

でもこうすると、HGWが備えるIP内線接続機能は使えません。とりあえず、HGWを元通りに戻し、NVR500のWANをHGWのLANにつなぎました。「ひかり電話を使う」モードにしたままです。これで、電話は使えないはず、、、ですが着信できたのです。
発信を試すと発信もできます。とても簡単でした。

が、翌日になると、電話できませんでした(涙

では、素直に、HGWからみたらNVR500が内線電話の扱いで、NVR500からみたらSIPサーバへの接続の扱いで接続すると、NVR500に電話が着信するはず。
  • NVR500とHGW間で通信できるようにする
  • HGWに内線電話"3"番を設定する
  • NVR500にSIPサーバの登録と、着信番号を設定する
NVR500にひかり電話が着信すれば、HGWから離れたLAN内に別のNVR500を設置して、一般電話機をつなぐことができます。拙宅ではひかり電話の電話とFAXをLAN/Wi-Fi経由で延伸して別の部屋に置いています。


■ヤマハNVR500



コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

オープンソースでネットワークを拡張する

2020-05-26 05:00:32 | ヤマハルータ
今日の話題は「オープンソースでネットワークを拡張する」です。
今は、お客様は必ずネットワークをお持ちです。そのネットワークを拡張することにもお応えしています。
例えば「本社事務所とつなぎたい」。これまでは「サイト間VPNならヤマハルータを使って、、」と組んできました。
もちろん、それが適しているネットワークもあります。一方、UTMやルータがあるネットワーク、既にヤマハルータがあるネットワークも多くあります。それを拡張します。

もちろん、クラウドにつなぎたい方も多々いらっしゃいます。多くのクラウドは指定のVPNルータでVPN接続する異機種間接続になります。

お客様のご要望は「安全にあそことつなぎたい」だけですから、それをどう実現するか。私は、オープンソースを活用してシステム連携を組み上げています。





コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ヤマハルータで確実にPing応答確認を行うには

2020-05-16 06:09:53 | ヤマハルータ
今日は「ヤマハルータで確実にPing応答確認を行うには」です。
ヤマハルータで確実にPing応答確認を行います。宛先IPに加えて、-saオプションを使い発信元IPを指定します。

ルータは、インターフェイスを複数持ちます。VLANを使うとまた増えます。
ヤマハルータに限らず複数のIPを持つ機器は「自分のどのIPから発信したか」がping応答の有無に影響します。なので、Pingで応答がない場合は必ず、発信元IPを指定して「再確認」します。

以下、発信元IPを付けた例です。
Linuxやその他の通信機器にも同様のオプションがあります。


> ping ?
Command Format: ping [-s LENGTH] [-c COUNT] [-sa SOURCE] [-w WAIT]
DESTINATION
LENGTH = 1-65535, COUNT = 1-21474836, SOURCE = IP address,
WAIT = 0.1-3600, DESTINATION = IP address or host name
Description: Invokes a diagnostic tool for testing connectivity to
specified destination.
honsha> ping -sa 192.168.11.254 192.168.1.250
received from 192.168.1.250: icmp_seq=0 ttl=254 time=6.255ms
received from 192.168.1.250: icmp_seq=1 ttl=254 time=6.268ms
received from 192.168.1.250: icmp_seq=2 ttl=254 time=6.522ms

3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max = 6.255/6.348/6.522 ms

コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ヤマハ通信機器管理者へのWindows Terminal活用の薦め

2020-05-14 15:14:07 | ヤマハルータ
ヤマハ通信機器管理者へのWindows Terminal活用の薦め

Windows TerminalはMicrosoftがリードしてオープンソースで開発している、新しいWindowsのコマンドライン・シェルです。この5月の連休中に正式版の配布が始まりMicrosft Storeから無料でダウンロードできます。

これまでも、ネットワーク管理者は「コマンドプロンプト」を使ってきました。IPアドレスの確認や、ping、tracertなどネットワーク系の実行環境として今でも多くのシステム管理者が使う大切なツールです。

ネットワーク管理者は、ssh、telnet、tftpを日常的に使います。実はWindows PowerShellの5にはsshが統合されました。Linuxとオプションもほぼ同じ、ネイティブなコマンドとして動作します。では、telnetもあれば、好都合です。また、ヤマハ通信機器の設定のリモート取得にはtftpが欠かせません。

実はWindowsの機能追加メニューで、telnetもtftpも使うことができ、技術者の方であれば直ぐに設定できます。Windows PowerShell 5の環境一つでssh、telnet、tftpを使うことができると、画期的に便利です。対向のルータの設定画面を二つのTab内に表示して、見比べるなど簡単にできます。加えて履歴がバラバラにならないのでとても良いのです。コピペも他のアプリ同様、マークしてCtrl+C / Ctrl+V が使えます。

LAN内のヤマハ通信機器の設定をまとめて取得するには、PowerShellスクリプトを書けば複数台を、スクリプト一発で取得できます。

シリアルコンソールが無いのですが、これはWSLでのLinux shellでできる可能性があります。
コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ヤマハL3スイッチSWX3200のSSIを使いコアネットワークを作っています

2020-05-03 19:13:01 | ヤマハルータ
今回の話題は「ヤマハL3スイッチSWX3200のSSIを使いコアネットワークを作っています」です。
ヤマハSWX3200は「二台で一つのシングルシステム・イメージ(SSI)」構成をとることができます。
大きな建屋間をSSI構成とするSWX3200(合計4台)で結びます。
後は、棟ごとのVLANをどう設定していくかを計画します。
多数のIPセグメントがあるので、VLAN上のIPセグメントのルーティングの知識と、セグメント間の不要通信を防ぐアクセスリストの知識も必要です。

今回は、若い技術者に設計・実装・運用を移転しながら進めています。
仕様検討+設計+仮組を一日で。
現場実装を一日で。
が目標です。

技術移転する、若い技術者の方はヤマハのRTXルータは知っているけど、SWXは初めてです。
素晴らしい理解力でコア部分に冗長性のあるネットワークを、一日で設計から仮組まで達成しています。
順調にいけば2日間で実装完了ですから、驚くほどの速さです。

SWX3200のSSIを利用することで、冗長設計が簡明になり、設計も、設定も、試験も、運用も楽になります。
出来上がりが楽しみです。
コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ヤマハルーターを内部DNSとして使う

2019-09-15 12:35:25 | ヤマハルータ
いつもアクセスありがとうございます。匠技術研究所の谷山亮治です。
今日のお題は「ヤマハルーターを内部DNSとして使う」です。

ヤマハのルーターには、リカーシブルDNS機能に、社内のホスト名を登録する機能があります。この機能を使うとMicrosoft Windows ServerのActiveDirectory無しでも、社内PC等からのアクセス名として使うことができます。

例)エクスプローラーで
\\fserver.local
例)Edgeなどブラウザで
https://groupw.local

社内のサーバーや、プリンタに名前でアクセスできるので、とても便利です。弊社ではファイルサーバーに名前をつけています。

ヤマハルーターで管理者モードになり
# ip host 192.168.10.11 fserver.local
# ip host 192.168.10.12 groupw.local

IPアドレス:ファイルサーバーのアドレス
fserver.local:ファイルサーバーのアクセス名です。
groupw.local:グループウエアのアドレス

(注)".local"は社内にあることを判りやすく示しています。
インターネット上に実在するドメイン名とぶつからない名称を使います。ぶつかった場合はそのドメインにはアクセスできなくなります。近年、トップドメインの種類が増えているので、注意が必要です。

(注)WindowsはDNSでの名前解決を優先します。そのため、ホスト名に"."を含めDNS形式で設定します。

コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ヤマハルーターでのDNSキャッシュの確認と消去方法

2019-09-07 19:21:46 | ヤマハルータ
いつもアクセスありがとうございます。匠技術研究所の谷山です。
今日は「ヤマハルーターでのDNSキャッシュの確認と消去方法」です。

ヤマハルータはデフォルトで、DNSの代理応答の機能が有効です。他社ルーター製品も含め、インターネット接続用のルーターであれば、多くのネットワークで、このDNS代理応答機能を使っています。

■DNSキャッシュの役割
ある宛先に対してDNS問い合わせが発生したときに、DNSキャッシュ上に同じ宛先のIP情報が残っていれば、上位のDNSに問い合わせすることなく、問い合わせ先に返信を行います。一般的には、社内PCで発生するDNS問い合わせを、プロバイダのDNSまで問い合わせる機会を減らすことになります。

■ヤマハルーターのDNSキャッシュ
ヤマハルーターのDNS代理応答機能は、代理応答したドメイン名とIPアドレスの関係をキャッシュしています。デフォルトのキャッシュサイズはは256件です。このサイズは最大1024件まで増やすことができます。

■キャッシュ内のドメイン関連情報を抽出した例
TTLは上位DNSから伝搬してくるキャッシュ時間長と、現在の残余時間長を示しています。残余時間が0になれば、キャッシュは消えます。このキャッシュ時間は「上位の値に従っている」ので、ルーター管理者が変更することはできません。
例えばUbuntu.comに関するdns問い合わせを抽出してみました。このルータでは、IPv6も使っているので、AAAAレコードの問い合わせも発生しています。

> show dns cache | grep ubuntu
Searching ...
A IN 395/500 connectivity-check.ubuntu.com (35.222.85.5 35.224.99.15
6)
AAAA IN 1709/3393 connectivity-check.ubuntu.com
>

■キャッシュに記録が無くても通信はしている
以下の例では、キャッシュにエントリーがほとんどありません。でも、このルーターはVPN通信をしています。DNSに問い合わせるアドレス解決が不要な状態が続いているだけです。

> show dns cache
Summary: 2 entries [/ 256]
TYPE CLASS TTL NAME (ADDRESS)
---------------------------------------------------------------------
PTR IN 33349/86400 75.249.251.218.in-addr.arpa
PTR IN 26157/86400 84.10.247.220.in-addr.arpa

■ヤマハルータのDNSキャッシュ情報を削除する
管理者権限で以下のコマンドを実行します。実行前は25ほどのエントリーがありましたが、消えました。

# clear dns cache
# show dns cache
Summary: 0 entry [/ 256]
TYPE CLASS TTL NAME (ADDRESS)
---------------------------------------------------------------------
#

■DNSキャッシュは手元のPCにもあり

DNSキャッシュは、手元のPCにもあります。即ち、DNSでの名前解決は、この多重にあるDNSキャッシュと関係しながら行われます。

初回の問い合わせであれば、ルーターのDNSは上位のプロバイダのDNSに問い合わせますが、プロバイダDNSでキャッシュした値が返る可能性もあります。

DNSの動作確認ツールでDNSの動きを確認するときは、このことを意識して確認することになります。

コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ヤマハルータRTXとスイッチSWXで二重化ネットワークを構築

2019-09-06 05:44:13 | ヤマハルータ
いつもアクセスありがとうございます。匠技術研究所の谷山です。
今日は「ヤマハルータRTXとスイッチSWXで二重化ネットワークを構築」です。

■二重化ネットワークの必要性
ビルの縦系、サーバー系など基幹の所は二重化したほうが障害耐性が高まります。二重化ネットワークは、運用設計をしっかりしないと、切り替わりを検知できません。

匠技術研究所では、企画、設計、実装、運用と保守まで、一貫して提供します。
プロバイダ接続の二重化、DHCPの二重化、RADIUSサーバ、Syslogサーバまで一貫した見通しの良いシステムをお客様と共に構築し、技術研修を通して、お客様への技術移転も行います。

運用のための各種サーバー類は、Linux上の仮想サーバーで構築。クラウド化も、容易な設計です。

ネットワークは簡明であることが一番です。


RTX1210, SWX3500, SWX2100,箱だけRTX830
コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

システムの遠隔監視を構築中

2018-12-18 13:41:30 | ヤマハルータ
システムの遠隔監視を構築中


いつもアクセスありがとうございます。匠技術研究所の谷山です。
システム管理用Windows Workstationの設定中です。

LANを直収し、多数のセグメントと直接接続します。
ここが、弊社らしい提案になります。

大規模な映像音響系システム機器の構築のネットワーク部分を、お手伝いしています。
映像音響機器は機能単位に分離した閉域ネットワークを持ちます。
機器の管理ワークステーションは統合したいのですが、ネットワークが分離されることで、これまでは各セグメントに一台ずつ管理端末を設置していました。
今回の設計では、それを一台に統合しています。

ネットワーク機器は、弊社の遠隔監視サービスで監視します。
ネットワークはマルチベンダなので、弊社が遠隔監視を行うことになりました。
こちらも多数のLANを直収して、各セグメントごとに独立して運用管理を行います。
今回の設計では、それを一台の管理ハードウエアに統合し、クラウド連携して安全な監視を実現しています。
コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

愛媛県松山市と東京間でIP-VPNを開通します

2018-11-13 09:12:38 | ヤマハルータ
愛媛県松山市と東京間でIP-VPNを開通します


ヤマハルータとIP-VPNを組み合わせて、企業の基幹ネットワークをつくりはじめました。IP-VPNはデーターセンターにも引き込んでいます。フレッツ・VPNワイドとは異なり通信事業者のIP-VPNをつかうことで、東西接続を意識しない、極めて柔軟でシンプルなネットワークになります。

今日は愛媛県松山市と東京間の開通を行い、その後、新ネットワークに各拠点の接続替えを行います。

今回は、回線の選択、契約のご支援、広域ネットワークの設計、広域網を収容するルーターの設定など、広域側のリニューアルをご支援しています。

通信事業者様、回線販売事業者様とのコラボレーションで、お客様に提案し、採用いただいたものです。
お客様には、コストメリットだけではなく、ルーターの設定も全て開示する、自己管理が行き届くネットワークになっています。

このお客様は、弊社で開催している技術研修へのご参加をきっかけに、その後、ネットワークの運用のご支援を行なっているものです。

コメント
  • Twitterでシェアする
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする