作成:2008年8月2日
更新:2009年8月22日
1.ネットワーク環境の概要
私の自宅ののネットワーク環境を記録しておいてみよう。
概要は図のとおり。(図1)
特別なものは何も無い。
しかし、このネットワークには多少の工夫がしてある。
それを要所々々で書き留めてみよう。
図1 ネットワーク概要図
 |
| 旧図 (090725) (080802) |
2.ブロードバンド/無線LANルータ
まず、インターネットへの接続はNTT東のBフレッツ。
終端装置はNTT東貸与のONUだ。家庭側接続ポートはEthernet。
ご存知の通り、光であるBフレッツは最大100Mb/sの回線帯域を持つが、あくまでベストエフォートでの話なので、実効速度はだいぶ下回る。
ちなみに、Ethernetという接続方式は、当然その方式自体の「利用効率」があるので、せいぜいxx%程度、という実効値がある。WAN側回線帯域で丸々100Mb/sを持っていたとしてもどうせそんなには出ないのだ。変に期待せず「十分速い」と思っていればいい。
実際、使用するPCでのいわゆる”体感速度”のほうがよっぽど現実的に重視すべき点だと思う。
そして、ONUからいわゆるブロードバンドルータに有線接続される。このルータが実際の我が家のエッジルータとなる。
09/07/25
使用中にブチブチ切れるようになってきた。たった3年で寿命か?何度も再起動しても掃除しても症状が変わらない。買い換えるか。
09/08/22
インターネットへの出口であるBフレッツに接続されるWAN-無線LANルータを、I.O.DATAのWN-GDN/R3(図2-2)に変更した。
前代のNTT製Webcaster V110はPCMCIA無線LANカードを挿入して使用するタイプで、これが結構発熱し接続性に問題が出る。特に夏場は頻繁に切れるようになり、イライラが溜まっていた。
今回のI.O.DATA製ルータはIEEE802.11n対応で、高速化&安定化を図る。これとて機能に不満が無いわけではない。
まず、IEEE802.11nは使用できる周波数帯が2.4GHzと5GHzがあるはずだが、このルータは2.4GHzしか使用できない。2.4GHzはチャネルがオーバーラップしているため、実質は3chしか使用できない。更にはコードレス電話などと同じ周波数帯のため、電波干渉を受ける確率が高くなる。できれば5GHzで使用したかった。
また、LAN側IPアドレスの設定にnetmaskが24bitしか使えない。
まあ色々あるが、割と好きなメーカーなので、良しとしよう。
Webcasterはクビにはせず、IEEE802.11gとして使用する。これは、IEEE802.11nはa/g/bと互換性がありレガシーな無線クライアントと混在できるのだが、一部レガシーな端末が混ざってしまうとパフォーマンスに影響が出る可能性があるためだ。
WebcasterはIEEE802.11gとして稼動させ、ブリッジモードで動作しSSIDを変えてサービスさせる。
図2-2 I.O.DATA WN-GDN/R3
 |
なお、IEEE802.11nは09年8月22日時点ではDraft2.0のため、まだ完全には規格化されていない。各社で実装にばらつきがあり、規格に基づいた接続互換性には問題がある。
09年9月に標準化される予定なので、買おうとする人はもう少し待ったほうがいいのではないだろうか。
ちなみに、標準化された暁には4chボンディングで600Mbps!!という規格で出てくるので、規格に基づいていれば違うメーカー同士でも600Mbpsで接続できる。
え?私?
私は手に入るうちにDraft規格を持ってみたかっただけだ(笑)
どうせ民生機だし、というのはイヤラシイ言い方だが、1000BASE-TXのインタフェースを持った無線LANブリッジでマトモそうな製品がなかった、という理由もある。
ルータそのものは8000円程度で買えてしまうし、じっくり待って、という製品でもなさそうかな、と。
新しいNotePCで内臓無線LANクライアントカードがIEEE802.11nならば、規格化されてからのほうが安心だろう。NEC製NotePCはNEC製無線LANルータじゃないと600Mbps出ません、なんてこともDraftだとあり得ておかしくない。
図2-1-1 NTT Webcaster V110と無線LANカードFT-STC-Va/g
  |
機種はNTT東の「Webcatser V110 + 無線LANカード(図2-1-1)」で、この無線LANカードで無線部分の接続方式やセキュリティ設定が決められる。無線LANの話は後ほど。
それにしても、なぜ本体とカードを分けたのか。
同じ機種で無線LANを使う人と使わない人用か。
普通は別製品にするだろうに。
どうもこういうところがNTT臭い。
買う側のことをちゃんと考えているのか、と言いたくなる。
元々、このルータを選んだのは、Bフレッツに係る別契約で、ブロードバンドを使用した多chのTV放送を受信するためだった。(図2-1-2)
図2-1-2 ブロードバンドTVを無線LANで接続
 |
その受信したストリーミングパケットをIPv6で無線LANで飛ばし、他の指定された受像機器で受信してテレビに接続して見ることができるようになっている。
しかし、やってみてわかったのだが、受像がカクカクで時々数秒以上も止まってしまったり、ブロックノイズもひどく、テレビとしては使えなかった。
アンテナ線の接続で設置位置を制限されるテレビという機械を、自由なレイアウトで使用できるかと思ったのだが・・・
送受信の環境を色々と工夫してみたが、結局は使えなかった。
インターネットとの接続
さて、ルータはBフレッツ終端装置の回線部分からEtherで有線接続されたインタフェースで、Bフレッツの接続認証が行われる。方式はPPPoE。この認証設定がなされて初めてBフレッツ回線と接続される。
そして、このルータのこのインタフェースに、まず外部とのセキュリティが施設される。
インターネット側からの不正アクセスは、ひとえにこのインタフェースが関門となる。
実際には現在の市販ブロードバンドルータのほとんどが、家庭側(LAN側)でNAT(アドレス変換)が行われ、プライベートアドレス(RFC1918。10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)が使用されるため、プライベートアドレスをルーティングできないインターネット側から内部へのアクセスは原理的にできない。
プラス、このWebcasterのアクセス制限機能(ファイヤウォール機能)で、ほとんどの不正アクセスは阻止できる。
セキュリティ対策に万全は無い、とはいえ、たとえば個人PCにクレジットカード情報が入っていたとしてもせいぜい50万円程度にしかならないところに、プログラマ級のクラッカー(「ハッカー」はコンピュータ・エンジニアの尊称だ)が目をつけるとも思えないが、今どきPCにそんな危険な情報をためこんでしまうアプリも無い。自分でテキストファイルなどに保存しなければ、まず大丈夫だ。
とはいえ、個人PCにはIDやpasswordなどを自動保存できる機能があり、それらを悪用してインターネットバンキングやショッピングサイトにもアクセスできるわけで、その先にはさらにそれらのサイトで個人のクレジットカード情報を保持して簡単にカード・ショッピングができるようにもなっていたりするので、こういうのは要注意だ。
まあ、今時のインターネット・バンキングではそんな間抜けな作りはしていないが。
これ以上インターネット・セキュリティについて解説すると別の読み物になってしまうので、これくらいにしておこう。
3.ノートPC用無線LANクライアント
09/08/22
IEEE802.11nの高速通信を享受するため、無線LANクライアントカードを使用する。うちのNotePC達には11n対応の内臓カードは無い。
次回に買い換えた時は不要になるだろう。
カードはI.O.DATAのWN-GDN/CB3(図3-3)
IEEE802.11nは現時点でDraft2.0だから、クライアントとAP(アクセスポイント)の組み合わせは同じメーカーの保障されているものにしておいたほうが良い。
実は、これがDraft2.0の現在でも買ってしまって構わない理由でもあった。どうせ無線LANカードも一緒に買わないといけないのだからね・・・
図3-3 I.O.DATA WN-GDN/CB3
 |
ルータのFW機能(ファイヤウォール機能)でインターネット側からの不正アクセスはほぼシャットアウトできる。
さて、その先に使用されているのが無線LANだ。
我が家にはメインで使用されるPCが3台ある。いずれもノートPCだ。
これは、いつでもどこでもネットワーク接続環境を利用できる、という便利さから、かなり昔に採用した方式だ。
リビングでも和室でも寝室でも子供部屋でも、キッチンでWEBからレシピ情報を確認しながら料理もできる。
庭に持ち出して自転車のメンテナンス情報を確認しながらMTBをいじるのもいい。
いわゆる小規模なユビキタス・コンピューティング環境なのだ。
このうち、私と私の奥様のPCは、内臓の無線LANクライアントがIEEE802.11a/b/gいずれにも対応していたので、先日11aにした。11aにした理由は、近所で使用される無線LANからの雑多なアクセスを避けやすいからだ。大抵は11g、少し古い機器ならば11bが使われていることが多い。
しかし、子供たちが使うVAIOノートは内臓無線LANクライアントが無く、これまでは11b接続のみのPCMCIAカードを使用していた。(図3-1)
図3-1 BUFFALO WLI-PCM-L11GP
 |
今回はこれを11a/g対応製品に変更して、11a接続とした。(図3-2)
09/07/25
無線LANをIEEE802.11gに戻した。11aは直進性が強く、近接距離では11gよりスピードが出るのだが、障害物に弱い。
隣の和室に行ってもぶちぶち切れるので、これでは使いモンにならんと11gに戻した。
図3-2 I.O.DATA WN-WAG/CBH
 |
今回選んだのはI.O.DATAの無線LANカードだが、選択のひとつの基準は「出っ張りが小さい」ということだった。
なにしろ、子供たちが使うので、なるべく出っ張りは小さいほうがいい。
大きいとバキッとやる可能性がある。
しかし・・・
無線LANカードは5-6社のものを、もちろん性能、機能も色々と見比べてみたのだが、なんというか、私はこのI.O.DATAというメーカーの製品がかなり気に入った。
製品の作り方がまじめなのだ。
理論上/規格上の上限値を大々的に謳って「300Mbpsを実現!!!!!!!」とかでかでかと書かないし、接続仕様の高速化手法もごくまじめな現実的な方式を採用してある。
特定の製品・特定の環境でしか使えない方式で、しかも現実の環境に適用してみると実はロクに性能を発揮しないような方式ではなく、実効効率は20%ほどしか有効にならなくなっても、きちんと実証実験をやって確かめてある数値を記載している。
製品の作り方そのものが、きちんとまじめに作ってある、というふうに見える。
ノートPCにインターネット・ボタンやメール・ボタンなどをごてごてと搭載しない、すっきりした、というような、そんな好感を製品に感じるのだ。
09/07/25
子供用のPCに使用していたVAIOがあまりにもガタがひどくなったため、Gatewayに買い換えた。OSはWindows
VISTA。内臓無線LANカードとなったため、PCカードタイプは不要となった。
4.無線LANセキュリティ
無線LANにもセキュリティが必要だ。
むしろ、インターネット側からのアタックより、よっぽど身近な脅威ともいえる。
なにしろ、今私が働いている大崎のオフィスで、自オフィスの無線LAN局を除いても11もの局(アクセス可能なAP)が感知されている。
しかも、このうち3局が「セキュリティで保護されていないワイヤレス ネットワーク」であり、そのうち2つのSSIDは「corega」と「home」である。
残るひとつはどうやら製品名らしい。
この3つのネットワークでDHCPが走っていれば、何もせずとも接続してしまうだろう。
接続されるとどうなるか。
もし、PC内にworkgroupのままで共有フォルダがあれば、そこにアクセスできてしまう。
さらに、特定のPCに侵入できなくとも、そのネットワークを使って大量のファイルをダウンロードできたり、あるいは大量のスパムメールを送信できたりしてしまうのだ。
だから、無線LANは、自分の属するメンバー(たとえば家族)のみしかアクセスできないように、ID/Passowrdや暗号化の設定が必須なのだ。
少し前より使われているWEPという暗号化方式は、色々と脆弱性が指摘されていて、実際に「4分ほどで解析されてしまった」という報告例もある。
可能であれば、他の暗号化方式にしたい。
我が家でも、VAIO+旧製品の無線LANカードではWEPのみしか暗号化方式をサポートしていなかったため、やむなくWEPを使用していた。WEPには64bitと128bitの暗号化方式があり、解析されにくい128bitで英字+数字で設定していた。
先日、無線LANカードを新しくしたので、WPA+PSK(TKIP)という方式に変更した。
TKIPは比較的簡易な暗号生成方式だが、暗号化強度は十分だ。
本当は、IEEE802.1xというRadiusサーバを使用した証明書によるアクセス制限方式にしたかったが、これには常設のRadiusサーバが必要であり、そのサーバそのものを運用する手間が必要になる。
トラブらないサーバは無い。私がいない時に認証サーバでトラブルが起きれば、家族の全員がネットワークとの接続を絶たれる。
では二重化・・・などと考えるのは、もはや私的家庭での使用の手間の限度を超えている。
さて、WPA+PSK(TKIP)で傍受や割り込みなどに対しては、とりあえず一安心だが、さらにMACアドレスによる接続制限をかけた。これで、無線LANルータに登録されているMACアドレスからしか、無線アクセスはできなくなる。
MACアドレスは偽装可能でもあるので、それだけではダメだが、暗号化+MACアドレス制限であれば、かなり安心できるセキュリティ施策だろう。
さらに、我が家ではDHCP環境で機器を接続しているが、払い出すIPアドレスは機器台数分のみに制限してある。ネットマスクは28bitで、ネットワークアドレスも推測されにくいアドレスを使用している。
IPアドレスを使用する機器が全部で8台あるので、29bitにすることができない。
(29bitだと6台まで。28bitで14台まで)
ノートPCの他に、Macintosh BaseStationとPowerBook G4、プリンタ複合機、ネットワーク・ストレージがあり、たまに私の都合で接続機器台数が変化したりするので、比較的運用の容易なDHCP環境にしてある。
09/08/22
新規のIEEE802.11nではWPA2-PSK(AES)またはWPA-PSK(AES)を用いる。より強固な暗号化方式だ。セキュリティ要件は次々とキツクなっていってしまう運命を持っているから、仕方が無い・・・
レガシーな環境は変わらずWPA+PSK(TKIP)でサービスさせる。
5.周辺機器および旧Macintoshの接続
無線LANルータ&PCの他に、まずBrotherの複合機がある。プリンタ/コピー/スキャナ/FAXとして活躍している。(図5-1)
図5-1 Brother MFC-620CLN
 |
09/07/25
このブラザーの複合機は昨年の落雷被害でEthernet接続不能となった。4回くらい修理に出したが、ついに直らなかった。メーカーに直す技術が無い、とは思わないが、まともな対応をしていただけなかったのは実に残念だ。現在はUSBプリンターとして使用。
先日、FAXが使用不能であることが判明した。
サヨナラも近いのかもしれない。
ネットワーク・ストレージ(ネットワーク接続の外付けHDD)は1TBを使用している。(図5-2)
図5-2 BUFFALO LinkStation
 |
IPアドレスの設定は固定アドレスも使用できるのだが、固定アドレスにするとPCとの双方向通信に対してPCのIPアドレスがDHCPリース期間の更新によりプリンタ側がPCを見失うこともあり、固定アドレスを振るメリットがあまり無い。ネットワーク・ストレージもそうだ。
どのみち、会社で使う業務用環境とは違うのだから、そのためにスプール用サーバやイントラ環境用のDNSサーバなどを常設運用するなんてことは馬鹿らしいし、やる意味も無い。
そんなレスポンスは家庭用には無用だ。
たまにプリンタがいなくなったとしても、Brotherなんとかユーティリティでプリンタのステータスを検索したり、あるいは本機の電源off/on(簡単。OFF→ONで5秒程度)ですぐ元通りに繋がる。
そういえば、プリンタもNAS(ネットワーク・ストレージ)も、なんとかユーティリティが付属されているが、そういう業務用環境とは一線を画して家庭用に便利なアプリとして使用されることを想定してソフトを作るのは、私にはなかなか立派なプロフェッショナルだと感じられる。
なにも、すごいレスポンスや機能ではなく、現実の使用環境に合わせた製品開発というのは、マーケティングも含めて、やはりプロの技だろう。私にはそう思える。
09/07/25
あまりにも内臓ファンがうるさく、リビングに置いておけないので、I.O.DATAの無線LANブリッジ(図5-3)を介して玄関の熱帯魚の水槽の横に追い出した。
大きなファイルを転送したり、大量のファイルを転送したりすると、途中でNASがいなくなりエラーとなる。
無線LANブリッジまでpingは継続しているので、NASの問題だろう。
やっぱり・・・このテは問題が多いな。
| 図5-3 I.O.DATA WN-WAG/C 無線LAN Ethernetブリッジ |
 |
09/08/22
IEEE802.11n導入に伴い、NAS接続を11nに変更した。
無線LANブリッジはI.O.DATAのWN-GDN/C(図5-4)
図5-4 I.O.DATA WN-GDN/C
 |
二本のアンテナで高速化/安定化を実現している。残念ながら、有線LANインタフェースは100BASE-TX。
さて、残るはMacintosh環境である。
Macも無線。これは我が家の環境標準だ。(図5-5)
図5-5 Macintosh PowerBook G4 Ti
 |
残念なことに、PowerBook G4に増設されているAirMacカードは、IEEE802.11b/WEPの環境でしか使用できない。
これはいかんともしがたい。
エッジルータであるWebcasterは11a&WPA+PSKに変更してあるので、MacはApple製無線LAN APであるBaseStationに無線でアクセスし、BaseStationとWebcasterを有線接続している。(図5-6)
図5-6 Macintosh BaseStation
 |
せめてものセキュリティ施策として、BaseStationの無線アクセスはWEP128bit暗号化とMacアドレス制限(PowerBook G4のみ)にしてある。
BaseStationはブリッジ接続でWebcasterに接続させているため、PowerBook G4へのIPアドレスの払い出しはWebcasterからとなる。
つまり、仮にBaseStationのWEPが破られたとしてもDHCPによるIPアドレス取得はできず、かつネットワークアドレスはまず推測不可能で、さらにBaseStationへの無線アクセスはMacアドレス制限でブロックされている、というわけだ。
可能であればPowerBook G4を更改して強固なセキュリティを施したいところだが、MacOSのバージョンやAirMacカードの古さなど、色々とハードルが高い。
ただし、このPowerBook G4はインターネット・バンキング禁止、WEBショッピング禁止、のPCであり、このMac環境を介してのクリティカルなセキュリティ・インシデントはまず発生する可能性が低い。
その程度は気を使ってある。
それでも、デザイン作成等はMacintosh環境が優れており、廃止するには忍びない。
元々、私も私の奥様もMacユーザーなのだ。
家庭使用のセキュリティ・レベルを守れるならば、今後も使用していきたい。
どうしてもダメなら買い換えるしかないが。
09/07/25
WEPはどう考えても危険過ぎるのではずした。まあ有線でも使用できるので良しとしよう。
6.10年以上たったインターネット接続環境
我が家のPCネットワークの環境は、ここ数年以上は変化していない。
変わったのはセキュリティに関する方式だ。
最近導入したのはNASのみで、これはファイル・バックアップというよりはノートPCのHDD容量不足を補うもの&デジカメデータその他のファイル共有という使い方がメインだ。
ちなみに、私はこのNASはあまり気に入っていない。
PCの電源ONに連動してPowerONになる、省電力設計、地球に優しい仕様、とかなんとか謳っていたが、多数ファイルのコピー中にシャットダウンが走ったり、落ちたら落ちたでPCを再起動しても連動PowerONしたりしなかったり、手動でシャットダウンする機能が無く本体裏の電源スイッチを切らなくてはならなかったり、映画ファイル(ISOやAVI)をこのNASに置いてPCで映画を見るとカクカクだったり、途中でシャットダウンが走ったり、とさんざんである。
単純なファイルサーバにしか使う気が起きない。
常時電源ONで使うかとも思ったが、誰も使わない時間が一日に8時間もあるようでは常時起動などもったいない。
なんとも使いにくい機種にあたってしまったものだ。
業務でもIT環境では設計構築や運用のスキルは大事である。
数年以上の無線LAN接続を運用してきた我が家にも、それなりの運用スキルが蓄積されていると思う。
そういう家庭も増えているだろう。それぞれの家庭にそれぞれの環境に応じたスキルが蓄積されている。
それを共有できずに分断されたまま埋もれさせてしまうのはもったいない、と思うのは、やはり職業病だろうか。
我が家では面倒なIPアドレスなんやかやは全て私の責任で、エンド・ユーザーである家族に文句を言われないないよう、日々定常運用の努力をするのである。