YAMAHA業務向けルーター運用構築スレッドPart25
メッシュWifiは、親機(有線LAN接続)と子機の間の通信をwifiで行う方式、これなら子機自体は有線LAN接続不要でwifiが届くエリアが広がる
対して、YAMAHA、NETGEAR、Allied Telesis等のAPは、親機も子機も有線LAN接続することを前提に、いくつも配置してwifiが届くエリアを広げる
なので、メッシュwifi(wifiを利用したネットワーク拡大)とAP(有線LAN接続でネットワーク拡大)には、方式以外に違いは無いよ
後は、どちらも同じSSIDとパスワードを設定すれば、PCなり携帯なりをWifi接続する時に、一番電波強度の近い親機or子機に接続される
次に、wifi接続したまま移動した際に、電波強度に応じて接続する親機or子機が切り替わるのは「ローミング」という機能
APはローミングに対応しているが、実際の切り替えは、ノートPCや携帯側の機能に依存する
※CiscoやHPEのAPには、強制的にノートPCや携帯の接続を遮断して、電波強度の強い子機への接続を促す機能があるけど、高いよ
iPhoneは電波強度に応じて簡単にローミングしてくれるが、AndroidやWindowsノート等は電波強度が低くなっても中々ローミングしない
Windowsノートならintelの無線LANチップを搭載していれば設定変更で対応可能、Androidはローミング用ソフト等を導入して強制的にローミングさせることが出来るが電池の持ちが悪くなる
後は、一度wifi接続を切断して再接続すれば、電波強度の強い親機or子機に繋がる >>687
メッシュWifi対応機器の中には、有線LAN接続メッシュが出来る機器があるよ
でもそれってAP(有線LAN接続でネットワーク拡大)とやってることが同じ >>686
いろいろ間違ってるからスレタイ100回読み返して出直してこい >>685
AP側から切り離すことは閾値の設定しだいで可能だが
切り離された端末が新たに接続する先はそのときに受信電波強度が強いAPへ繋ぐだけ
AP側から適切にコントロールというのは幻想なんだよ
メッシュWiFi APから「接続先情報」が端末に送信される規格は制定されてるけど
そんなものに従って接続先を決める端末は現実的にないって話 >>690
視野狭いよ。
現時点で、チャネルの状況とかでクライアントが繋ぐBSSを決めている環境あるのに。 >>689
具体的に書けよ、文句だけなら誰でも書ける
>>691
>>686にも書いたが
>※CiscoやHPEのAPには、強制的にノートPCや携帯の接続を遮断して、電波強度の強い子機への接続を促す機能があるけど、高いよ
CiscoのAPは10万弱から30万する、YAMAHAのAPの2倍以上
YAMAHAの現状発売されているAPには、>>691の機能は実装されていない >>692
それは承知してるが、690はその高価な機能を実装しても実現不可という認識のようだったから。 YAMAHA RTX1300やRTX1220ってRTX1200に比べCPUの処理能力上がっていると思いますが、どの程度性能が向上してます?
RTX1200を使用時、通信速度計測で800Mbps程度出るとRTX1200のCPU負荷がほぼ100%に張り付いてしまった
そこで、NEC IX2215(メインCPU以外にパケット処理CPUがついている)に交換した
現行のRTX1220やRTX1300であれば、LAN側にタグVLANを設定し、基本的なファイアウォール設定(IDS含む)をした状態で、800Mbps程度で通信した場合のCPUの負荷はどの程度ですか?
また、RTX1220ではIPsec 1.5Gbpsと記載されてますが、実際にはどの程度の通信速度がでますか?
NEC IX系も悪くないのですが、YAMAHA RTX系の方がコンフィグ書きやすいので、性能面で問題なければYAMAHAに戻りたい >>691
ないという意見に対して「ある」と反論するなら
その端末の機種名を具体的に示さないと説得力に欠ける >>698
URLの中少し見ればわかると思うが、
Cisco Catalyst 9800-L+Cisco Catalyst 9166 or Catalyst 9164 or Catalyst 9162等で>>961の機能を満たせる >>696
技術上出来ないものを出来ると言っている訳ではなく、技術上可能となってるのにそういう動作をしないことを証明しろということの方が難しいのでは? 日本語が通じてない人がいるみたいなので再度書くと
AP側から端末へ「推奨接続先」の情報を伝える規格自体は802.11kや802.11vなど既にあるし
シスコみたいな高価な機器でなくてもASUSやバッファローのような数万円の民生機でも対応してる
ところがスマホやノートPCといった「端末側」でその推奨リストのみに従って接続先を決めるような実装をしてる端末は現実的にないという話
あると言うならその端末の機種名を具体的に挙げてもらいたい
そもそも1Fにいて近くにある1FのAPより遠くにある2FのAPの方が受信電波強度が強いなんて瞬間はザラにある
AP群から見た端末の電波強度の序列と端末から見たAP群の序列は一致するとは限らない
なのでAP側から802.11k/vを用いていくら「推奨接続先」を端末へ送っても端末はそのAPの電波強度が低ければより強い方へ接続に行くだけ
ローミングコントロールなんて実質的には機能していない
5GやLTEといったモバイルネットワークは基地局側が接続先を決定するので電波強度や端末の相対位置や移動ベクトルまで考慮して接続先を最適に次々に切り替えていく
ところが無線LANは端末側が接続先を決定するためAP側から強制させることができないので仕方ない >>702
クライアントで各APの受信状態を測定して、それも使う実装が普通だと思うけど? >>703
だから端末側で受信電波強度に応じて強いAPへ接続に行くと言ってるじゃん
ほんと日本語通じないね 仕方ないもっと分かりやすく書くか
WiFiルーター「あなたの近くに最適なAPがありますのでここ(AP1)へ接続してください」
【端末から見てAP1の電波強度が一番強い場合】
端末「なるほどAP1が一番電波強いしここへ接続するよ、ありがとう」
【端末から見てAP1よりAP2の方が電波が強い場合】
端末「ごめんせっかくオススメしてもらったけど、AP2の方が電波強いみたいだからそっちへ繋ぐよ」
つまり推奨接続先の情報はあってもなくても同じ >>705
WiFiルーター(Cisco AP)「あなた(端末)からの送信RSSIが悪く、最適なAPがありますのでここ(AP1)へ接続してください」
【端末から見てAP1の電波強度(RSSI)が一番強い場合】
端末「なるほどAP1が一番電波強度(RSSI)強いしここへ接続するよ、ありがとう」
【端末から見てAP1よりAP2の方が電波強度(RSSI)が強い場合】
端末からの送信RSSIを検知しているのだから、AP1よりAP2の方が端末側のRSSIより高いことは普通は無い
※但し、RSSIはAPや端末毎に相対評価基準が異なるから、APと端末でRSSI強度が異なる場合もある
端末「ごめんせっかくオススメしてもらったけど、AP2の方が電波強度(RSSI)強いみたいだからそっちへ繋ぐよ」
Cisco AP「AP2には強制的に繋がせない、AP2に繋ごうとしても通信遮断します。必ずAP1に接続しなさい」
端末「仕方が無い、AP1へ繋ぐよ」
CiscoのAPは、推奨接続先へ強制的に接続させるので、推奨接続先情報の通りに端末は接続する
Cisco APのRSSI設定は閾値を使用するので、AP1、AP2共に閾値に引っかからない場合のみ端末側の選択に任せるし、推奨接続先情報を送らない >>706
へえシスコは接続拒否なんて思い切ったことやるんだ
たしかにその方法なら事実上コントロール可能だな
でも802.11k/vではそこまでは規定してないんだけど本当にそんなことするかな?
> 端末からの送信RSSIを検知しているのだから、AP1よりAP2の方が端末側のRSSIより高いことは普通は無い
これは安易な発想だね
AP側はアンテナが各方向に向いているが端末側の内蔵アンテナは1方向しか向いてないなんてことは普通にある
送信と受信の指向特性が同じとも限らない
なのでAP側から見た端末の電波強度はAP1の方が高くても端末から見たAPはAP2の方が強いなんてことはザラ >>707
もし狭い敷地内に狭い間隔で複数のAPを置いているなら、
Ciscoは閾値方式なので、閾値を下回らない限り、端末が一番電波強度(RSSI)と判断するAPへの接続を拒否しない
広い敷地に複数のAPが広い間隔で設置されている場合、閾値をした回った場合は
>>706で記載の通り端末は、AP側からみた推奨接続先情報の接続先に強制的に接続変更される
前にも貼ったが下記URLに記載がある
https://www.cisco.com/c/ja_jp/td/docs/wl/wllancntrller/wllancntrllersw/cg/001/b_cg80/b_cg80_chapter_010001000.html 追記
Ciscoは、RSSIとデータ レートの両方の閾値設定が出来るので、実際に通信速度が出ていない条件も確認して接続先を変更する >>708
つまり
AP群のエリアオーバーラップを許すRSSI閾値設定だと端末側が選んだAPが最適でなくても接続を拒否できない(通常のメッシュWiFiはこちら)
オーバーラップを許さない閾値設定だと指示先以外のAPからは接続拒否できるということか
でも後者だとそもそも接続できないエリアが発生しそうだから現実的にはオーバーラップさせる設定にするだろ >>710
ローミングの最適化を使用することによって、無線に対してクライアント カバレッジ レポート間隔を設定することもできる
クライアント カバレッジの統計情報には、データ パケット RSSI、カバレッジ ホール(接続できないエリア) の検出および軽減(CHDM)の事前アラーム障害、再送信要求と現在のデータ レートが含まれる
そして、下記URLの記載されているように
APの送信電力レベルを上げることによってカバレッジ ホール(接続できないエリア) が解消される
但し、送信電力を増加させることが不可能なクライアントや、電力レベルが静的に設定されているクライアントによって生じたカバレッジ ホールがAPによって解消されることは無い
APの送信電力が上がって端末が受信可能になっても、端末の出力上がらないか端末からの送信がAP迄届かないからね
全ての端末に対応出来る訳では無いが、ac以降のwifi対応の端末なら問題無いと思うよ
https://www.cisco.com/c/ja_jp/td/docs/wireless/controller/ewc/17-6/config-guide/ewc_cg_17_6/coverage_hole_detection.html
オーバーラップは出来る限り少なく、かつ電波の届かない場所を自動的に減らすwifi環境を構築出来る、だからCiscoは高い 急遽ひかり電話を契約する必要がでてきたのですが、HGWを触った経験がなく、教えてください。
現状、ONU⇔RTX1210の環境にて、
LAN2(WAN)は、ipv4通信(pp1)、フレッツワイドVPN(pp2)、NGN網内折り返し(ネーム使用)
という3接続がぶらさがっている状態です。
ここでONUがHGWに置き換わる場合、
HGW側にPPPoEパススルー設定をしてやると、pp1、pp2はRTXの設定そのままで外に出ていくという認識で
良いでしょうか。
NGN網内折り返しについては、ここを参考に接続を確立したのですが、
http://www.rtpro.yamaha.co.jp/RT/docs/l2tpv3/index.html#setting7
ひかり電話に契約するとipv6の払い出しがDHCPv6-PDに代わるとのことなので、
フレッツ情報サイトにてネームとipv6の登録を変更し、
rtxのconfigにて、ra-prefixをdhcp-prefix
に変更すれOKでしょうか。
ひかり電話開通と共に嵌るのが恐ろしいので事前にある程度は構えておきたく、
ご教示頂けると有難いです。 >>712
プロバイダによってはHGWにフレッツジョイント勝手に配信してルーターからのインターネット接続に問題が出るのでIPv4 over IPv6とかも利用してるなら良く打合せしてからの方がいいと思う >>712
すでに遅いかもだけどHGWが委譲してくれるprefixは必ずしも一定じゃ無いのでRTXのIPv6設定はそのままでRAのままHGWから受け取る方が無難。
それ以外は大丈夫かと。 主に普通のブロードバント用ルータとしてRTXシリーズ使う場合のfilterについて教えて下さい。
ppとかtunnelのinみたいな外内なフィルタを設定する際、
基本的に通したいものだけpassとしてあとは
ip filter 199 reject * * * * *
設定しちゃえばわざわざ
ip filter 100 reject 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 * * * *
ip filter 102 reject * * udp,tcp 135,445,1900,netbios_ns-netbios_ssn *
ip filter 103 reject * * udp,tcp * 135,445,1900,netbios_ns-netbios_ssn
なんて書かなくてもよいのでは…?
と思ったのですが明示的に書く必要性ってあるんでしょうか?
デフォルトのフィルタとかネット上見るとみんな書いてるので気になってます 完全なホワイトリスト運用できるならそれでええんやで やっぱりそうですよねありがとうございます!
外部から繋ぎたい事もほとんどないのでIN方向はホワイトリスト運用します >>718
多分弊害が発生すると思うよ。
Path MTU Discoveryとか。 そもそもppとかWAN側ifのinで明示的に許可するのってICMPぐらいじゃない?
(ポートフォワード等の追加要件は除く)
ICMPをブロックしなければ害が出るとは思えんけど デフォルト設定で許可されるのはrule 101030のicmpとrule 101032のtcp113(ident)のみです。 今更ながら、思ったけど、Googleリモートデスクトップってポート開放不要らしいから対策をやってないと社員に勝手に有効化されて外部から接続される恐れがあるよな。
何か対策してますか? Google側の設定ちゃんとしてればそんなことにならんだろ ポート開いてなければ通るわけがない
デフォのフルオープン除く >>726
中から外へのポート443宛を閉じてる環境は、YAMAHAルータを使うような小規模環境なら存在しないんじゃないかな >>726
ポート開放してなくても、内側から外部サーバーにアクセスすることで、クライアントからリモートデスクトップホスト側への経路が通じる方式ではないのか? >>724
Chromeリモートデスクトップの使用を管理する
https://support.google.com/chrome/a/answer/2799701?hl=ja
このページの「Chromeリモートデスクトップの機能をブロックする」の方法じゃ駄目? >>731
ルーターならコマンドで一発制御したいところ eo10GにRTX1300導入してひと居ます?
特に変わった設定なく使えるもんなのかと eoひかり100Mbps契約だし今使ってるのはヤマハですらないけど、
> 特に変わった設定なく
ってのが
a. eoひかりの1Gbps契約と同様の設定
b. GUIの簡単セットアップ的なので設定できる(CLIで設定する必要が無い)
のどちらの意味なのか分からんけど
a. なら多分同じ(少なくともIPv4は同じ)
b. ならGUIからはIPv4接続はできてもIPv6は繋げない(最新世代のRTXは知らんけど多分無理)
のはず ありがとうございます。
現状1Gでpppoe環境なんでほぼそのまま10Gに移行できるのかなあと。
現場から導入しろって突き上げられるものの、中小なんでRTX1300の
金額でもかなり慎重やらないと怒られるんで間違いなく使えて、効果的な
のを見越してから導入したいんですが導入事例が見つからずでして。
凝ったことしなきゃ普通に使えるよってのが分かればと… >>738
中小であればこそ自分でやらずに業者挟んだ方が良いぞ RTX1300とEOでそれなりによくはなるだろうが
その下を整備しなきゃ、性能発揮しないだろう
どういう構成なのか手書きでいいからうpしてみろよ
無料だから酒飲みながら適当に答えるぞ >>739
仰る通りなんですがそうなるともっと予算がw
概要がつかめたら要望としてはあげてみますです >>741
今のところRTX1210で拠点間接続をしてて、その配下には基本的には
ルーティング機器はないようです。
社内クライアントPCが20台くらいぶら下がってて本社側ファイルサーバーに
接続しています。それ以外に不定のクライアントが頻繁にWindowsアップデート
をしているプラスもしかしたらWSUSサーバーも居るのかも。
更に各従業員が勝手に設置したと思われるAPが複数ある臭いです。
書いてて思いましたがこれ実地で環境整理が先ですね… >>742
まさか保守管理費入れずに予算出してるのか?
最低でも業者入れた金額で見積もらないと誰かが管理するにしてもタダ働きになるだろ >>743
セキュリティ対策を先に何とかした方いいと思います。
勝手APなんてどんなセキュリティ状態かわかったものじゃないので、すぐ止めさせるなり会社でちゃんとセキュリティ対策した機器を準備するなりした方がいいです。 >>743
野良APが設置されたことがあった
ノートPC上に、電波強度の高いSSIDが増えたことに気が付いた人がいて発覚
SSIDの特徴から機種限定されて、プリントした機種画像を元に部内を全員で探して、破棄したよ
今は情報セキュリティについて厳しいから、設置した人は懲戒処分・減給になってたよ 野良APが存在できる時点で有線でも繋ぎ放題なんだろうから、色々まずいんじゃないかな。 >>748
野良APを繋げられるようなザルな環境ならSSIDステルス程度で誤魔化せるということでしょう。 >>748
>>746みたいな体制だとステルスSSIDを表示できるアナライザなんて使わないよたぶん どうやって制限するMac認証くらいしか思いつかない 漠然としたセキュリティ対策ワクワクするな
野良APの何がダメだからどんな対策する、に繋がっていかないこの感じ、社内会議みたい MACアドレス規制や802.1xの電子証明書認証を行っていないのが一番の問題と思う
ほぼ一年中、実習生が入れ替わり来て、日報や検索でWifiを使える様にしてるから
MACアドレス規制を掛けるとなると、申請手続きが面倒になってしまう
個人情報を取り扱うシステムと別セグメントなのが唯一の救いとう感じ
個人情報を取り扱うシステムの方は、デスクトップPC&機器指定で
ログイン時は、自分のIDを非接触ICカードリーダーにかざす方式なので、MACアドレス規制+αにはなってる >>757
個人情報を扱うネットワークに物理的に接続して、IPアドレスを手動設定してもネットワークに入り込めない仕組みなの? >>758
それは、私に懲戒処分・減給、又は懲戒解雇覚悟で試せということですか?勘弁してくださいw
セキュリティ関係の詳細は、私の部署には説明ありません、恐らくどの部署にも説明されて無いと思います
どんなセキュリティを構築しているか自体がセキュリティだからと思われます
どのPC使って、閲覧するか、入力や修正するか、印刷するか、だけ分かれば、それ以上必要無いです >>754
野良機器対策にはならんだろ
ルータやapだと非対応機器だからいいのかな >>759
ん???
セキュリティわからないって貴方は情シスの担当じゃないの?
情シスじゃないのに社内のネットワーク機器の選定しようとしてる? >>738
先日、100M回線から10G回線にしたけど、10G回線でPPPoE提供しているプロバイダは企業向けのIIJしかなかった気がする。
今は状況が変わって違うかもしれないので、自分で調べてみて。 >>761
零細なんでしょ
選任なんかいない会社ゴロゴロあるよ >>761
情シスに友達が居るので、趣味で自宅のネットワーク構築して楽しんでます
IX2215とかRTX1200使っていて、今度フレッツ光クロス導入とRTX1300購入します
L3、L2スイッチや自作ファイル鯖、NAS、APも設置していて、主セグメントは10Gbps回線になってます
自分は、医療系国家資格を持った専門職社員です
社内の機種選定なんて出来ません
ここって個人利用だと書込み厳禁なのですか? >>764
大学とかの勤務医って素直に書いていいんですよw
医者が兼ねてること、ふつーにある >>764
あまり詮索する気はないので、特定されるような情報はほどほどにw
個人利用ってことは、ご質問のrtx1300の選定は家用ってことですか?
職場のネットワークのような話をずっとしてたので、職場のことかと。
野良apも家のネットワークで検知されたんですか?
話が脱線しすぎてわからないです。 >>766
野良AP騒動は、勤務先で起こったことです、不正に設置した人は懲戒処分・減給になりました
上記セグメント上の正規Wifi APは、SSIDとPWで簡単に入れます、機器のMACアドレスで弾かれることはありません
職員によるインターネット検索や実習生の日常業務(日報や検索)の為のネットワークセグメントであることが理由です
>IX2215とかRTX1200使っていて、今度フレッツ光クロス導入とRTX1300購入します
>L3、L2スイッチや自作ファイル鯖、NAS、APも設置していて、主セグメントは10Gbps回線になってます
これは趣味で自宅で構築しているネットワークシステムの話しです
私が勤務先の情シス担当と誤解された方々が居たので、職場では全く無関係の仕事をしていて
自宅で趣味でやっていることを説明したかっただけです、誤解させて申し訳ありません
>>767
今後は、誘導されたURLへ移動します >>745
とりあえずAPについてはWLXクラスなら買えそうなんで置いて、
管理外のAPは撤去させます。
有線部も雑多なスイッチが設置されてるっぽいんでVLAN喋れるやつだけにして、
無線経由で繋いでると思われるゲストを隔離しようかと。
>>744
まさに今タダ働いております
後任のことを考えるとどうにかしなきゃなーとは思うんですが… >>766
たぶん私と746さんと混同されちゃってるかと。
私がRTX1300とeo10G導入で質問しますて、医療関係?の746さんとは
別人であります。零細の兼任情シスみたいな立場で、自分の所属ではない
支所のネットワーク問題を投げられている、とそんな状況でございます
混乱させてすいません。。 802.1xの電子証明書認証って、RTX1210単独では非対応ですよね。
野良AP怖いな。外部からの侵入口を作られるということだからな。
今複数のブランチがあって、RTXによるVPNでつかながってるけど、各ブランチの端末について電子証明書によるアクセス許可を出す機能を本社側にのみ設置することはできるのかな。 本社側にRADIUSサーバー立てればいいんじゃないの? >>757
申請が面倒って
個人の機器を申請できるのかな >>773
RTX1210って、RADIUSサーバーと連携するんですか。 REVELATION/ IN THE SAME BOAT
グラノード広島(granode hiroshima)
大和ハウス工業(daiwa house group)
シーレックス(seerex)
テイケイ西日本(teikei west japan)
裏社会(underworld)
広島県警察(hiroshima prefectural police)
公安警察(security police)
広島地方検察庁(hiroshima district public prosecutors office)
草津病院(kusatsu hospital)
岡田外科医院(okada surgical clinic) >>775
ヤマハのAPにはRADIUSサーバ内蔵してる
問題はヤマハのAPは極めてしょぼいんだよね性能も機能も
arubaのAP経由でから、ヤマハのAP内蔵RADIUSへさせるのは検証ではできた
ただ、秒間7台程度だから
従業員50人以上だと実用で耐えられないだろうね
普通にADサーバをRADIUSにしたほうが楽だし、そうするでしょ? >>772
ADサーバがあるなら、それをRadiusサーバにする
ないならアプライアンスのRadiusサーバ導入するか、linuxサーバにFreeradius入れる
WLXの内臓Radiusはおまけ機能だから使わないほうが良い
全社で30人くらいならいけるかもしれんが・・・
あと、有線NWでx認証したいなら対応SWHUBも買う必要あるからな
サーバにRadiusクライアント登録しなきゃだけど、それはPCの事じゃなくて
HUBとかAPのことだからな?気を付けろよ
具体的には(課金してください arubaも内蔵RADIUSなかったか?サバクラ逆のが良さそう
RADIUSアプライアンスて国内メーカーだけでも
ソリトン、センチュリー、エイチシー、インフィニコ、AXIOLEとかあるけど
YAMAHA客層よりもっと大きい最低数百からなイメージ
数十規模で手をかけず安くRADIUS仕立てるとなるとどうするんだろ >>783
カタログで気にはなっていたけど実際どうなんだろ?