感動を・ともに・創る - PDF 無料ダウンロード

感動をともに創る 1 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

LOCAL DEVELOPER DAY 11/infra at 2011/12/3 http://www.local.or.jp/2011/10/664.html ヤマハルーターはどのような存在なのだろう? ~ 開発者にとって利用者にとって ~ What is Yamaha Router? ヤマハ株式会社サウンドネットワーク事業部平野尚志

ユーザーコミュニケーション経緯 #1 rt100i-users というメーリングリストとは? RT100i 発売を機に開発者とユーザーの情報交換のためにスタート (1995 年 4 月 ) ヤマハルーターのユーザーや興味のある人の参加するコミュニティですルーターに関わる様々な情報交換の場となっています詳しい方も大勢参加されており問題解決にも多数の支援がありますヤマハ社員も参加してる? 興味のある人や詳しい人の一人として参加しています初参加は? 1997 年春頃放置されかかった質問について調べて答えたヤマハ社員であることはプレッシャーだった継続してきた理由は? 困っている人がいたら助けたいという気持ちユーザーが不適切な使い方をしている悲しみ製品が理解されることの喜びユーザーが適切な情報を基により良く利用している喜びユーザーがヤマハルーターを切っ掛けに成長している様は喜ばしい製品がユーザーさんのところで元気に役に立っていることの喜び大工さんの鉋 ( かんな ) や鋸 ( のこぎり ) とか料理人の包丁のように扱ってもらえたら嬉しい 3 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ユーザーコミュニケーション経緯 #2 ブログ http://projectphone.typepad.jp/ 2007 年 6 月 4 日スタート目的 Interop 出展 (SRT100 発売 ) プロジェクトフォンの PR 開発している浜松を身近に感じてもらうメーリングリストや公式ホームページより緩い感じの情報発信顧客とのコミュニケーションツイッター http://twitter.com/yamaha_sn (@yamaha_sn) 2010 年 5 月 25 日スタート目的つぶやくルーター X10 顧客とのコミュニケーション 4 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

TOC ヤマハルーターはどのような存在なのだろう? ~ 開発者にとって利用者にとって ~ 1. ルーターとは? 2. 生まれた背景や経緯 3. 開発拠点の紹介 4. ルーター市場とヤマハルーター 5. 生産拠点の紹介 6. RTX810 と SWX2200 の紹介途中休憩 7. カタログに載らない話 8. まとめ 2011 / 12 / 3 場所 : 札幌市産業振興センターセミナールーム A http://www.sapporosansin.jp/ 5 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ルーターって何? インターネットって知ってる? 情報 A ブラックボックスホワイトボックスデータルーターデータ

ルーターとは? WWW R インターネット R R R R 企業組織 7 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

LAN( データリンク ) とネットワークデータリンク領域 ( 緑 ) データリンク領域 ( 青 ) ルータールータールーターデータリンク領域 ( 黄 ) 8 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

IP アドレス管理と経路選択 192.168.3.0/24 ( 緑 ) 経路 192.168.1.0/24 ( 黄 ) A 192.168.2.0/24 ( 青 ) C 192.168.3.0/24 ( 緑 ) LAN ルーター経路 192.168.1.0/24 ( 黄 ) B 192.168.2.0/24 ( 青 ) LAN 192.168.3.0/24 ( 緑 ) C 192.168.2.0/24 ( 青 ) C DHCP で IP アドレス配布ルーター A B ルーター経路 192.168.1.0/24 ( 黄 ) LAN 192.168.2.0/24 ( 青 ) B 192.168.3.0/24 ( 緑 ) A 192.168.1.0/24 ( 黄 ) 9 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

経路バックアップ 192.168.3.0/24 ( 緑 ) ネットワーク 192.168.1.0/24 ( 黄 ) 192.168.2.0/24 ( 青 ) 192.168.3.0/24 ( 緑 ) I/F 距離 A 1 C 2 C 1 A 2 LAN 0 ルーター C ネットワーク I/F 192.168.1.0/24 ( 黄 ) B C 192.168.2.0/24 ( 青 ) LAN 192.168.3.0/24 ( 緑 ) C B 距離 1 2 0 1 2 192.168.2.0/24 ( 青 ) DHCP で IP アドレス配布ルーター A B ルーターネットワーク I/F 距離 192.168.1.0/24 ( 黄 ) LAN 0 B 1 192.168.2.0/24 ( 青 ) A 2 A 1 192.168.3.0/24 ( 緑 ) B 2 192.168.1.0/24 ( 黄 ) 10 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ポジショニング 1: インターネット接続 R R インターネット R ヤマハルーターはインターネットと社内 LAN の境界に置かれる R 企業組織 11 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ポジショニング 2: 複数拠点間接続 R R インターネット R R VPN ISDN 企業組織 R backup 拠点センター 12 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ご参考 : 個人用ルーター R R インターネット R グローバル IP 回線接続機能とっても小規模アドレス変換 (NAT) R プライベート IP 無線 LAN 家庭 ( 数台 ) 13 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

いろいろなルーターがある利用者通信事業者企業組織家庭利用シーンインターネットや閉域網などの回線サービスを提供するための機器企業の拠点間接続 PC 数台のインターネット接続取り扱い経路数フルルートを持つことでインターネットの冗長経路が利用できる数十万ルート企業内の組織数に応じたネットワーク経路数千 ~ 数万ルート内部と外部の区別 2~ 数ルート特長多数の経路とパケットを高速に処理できる多種多様な要望に対して柔軟に対応できるアクセス回線に接続する機能と NAT 機能があれば十分異なるものづくり 14 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ご参考 : フルルート http://bgp.potaroo.net/ 約 40 万ルート (2011 年 11 月 23 日 ) 約 40 万ルート (2011 年 11 月 ) 約 37 万ルート (2011 年 7 月 ) 約 32 万ルート (2010 年 3 月 ) 15 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ルーター開発現場から見えたインターネット 2006 年 10 月 26 日 ( 木 ) ヤマハの工場見学今日は秋晴れルーター開発はどこでやってるの?

最も新しい建物 (18 号館と 20 号館 ) これはプロジェクト X でピアノが放送されたときのワンシーンだなあのとき映っていたのは 18 号館でその後手前の 20 号館が建ったんだって 17 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

所々に止まれの標識? ピアノ工場見学は人気スポット小学生の団体家族連れなど見学に来るとまずビックリ工場なのになんで止まれの標識があるの? 18 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

な何が通るんだろう? お赤い表示灯が回りだしたななんだ? あれあれ電子音がするぞ ~ おぉここは楽器メーカーだった来社される方は朝昼夕にビックリしますそうミュージックサイレンの大きな音にピアノ工場は掛川に移転しました掛川のピアノ工場は見学可能なので是非お立ち寄りください http://www.yamaha.co.jp/corporation/showroom/ 19 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

サウンドネットワーク事業部は 13 号館ルーターは 13 号館という建物で開発してるんだって 20 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

敷地内にはイチョウの木敷地内には大きなイチョウの木がありました秋になると銀杏狩り? 21 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

秋になると銀杏が生ります今日も生ってました 22 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ルーター開発現場から見えたインターネット 2011 年 7 月 11 日 ( 月 ) ヤマハの工場見学今日は夏晴れルーター開発はどこでやってるの?

ピアノ工場跡 24 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

13 号館で緑のエコカーテン 25 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

13 号館にツバメの巣 26 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

なんでヤマハがルーターやってるの?

ヤマハと通信機器事業について音叉 (tuning fork) http://www.yamaha.co.jp/about/history/ 1887( 明治 20) 年山葉寅楠 ( やまはとらくす ) 浜松尋常小学校 ( 現元城小学校 ) でオルガン修理 1897( 明治 30) 年日本楽器製造株式会社設立 1955( 昭和 30) 年ヤマハ発動機株式会社設立 1959( 昭和 34) 年ヤマハ音楽教室開始 1966( 昭和 41) 年財団法人ヤマハ音楽振興会発足 1971( 昭和 46) 年 IC 生産開始 http://www.yamaha-motor.co.jp/ 車輪 (hub&spoke&tire) http://www.yamaha-mf.or.jp/ 1983( 昭和 58) 年デジタルシンセサイザ DX-7 発売 MSX 発売 FM 音源 LSI 販売開始 1987( 昭和 62) 年 100 周年 & 社名変更アナログ回線用デジタルFAXモデムLSI 開発 1995( 平成 7) 年 3 月リモートルーター RT100i 発売 2004( 平成 16) 年 11 月ルーター累計 100 万台突破 2011( 平成 23) 年 3 月ルーター累計 200 万台突破, IPv6ルーター累計 160 万台突破 28 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ヤマハの通信機器事業 ( ルーター以前 ) 電子楽器で培った高度な DSP 技術を通信分野に生かしたいアナログ回線用モデム LSI 開発 (1987) 米国で月に 20 万個のヒット ISDN LSI 開発 (1989) 応用商品として ISDN-TA FD 転送装置などを開発 ISDN TA 機能のルーター内蔵化へ (1995) 当時のルーターは TA 外付け FAX MODEM (YM7109) DIP FD わーぷ QFP 29 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

なぜルーターを作ったか? 1 ISDN の応用製品を模索していた当時 ISDN やディジタル専用線を用いた IP ネットワーク構築はシリアルインタフェースのルーターと ISDN-TA を接続していた ISDN 接続に特化したふつうのルーター ISDN-TA と一体型でコンパクト ISDN 回線と ISDN LSI の専門性を生かした制御例 ) 接続や切断が速いとか 2 ルーターはネットワーク構築の道具ではなかった手軽なものが欲しい高額の機器費用設定費用保守費用設定に要求される高いスキル ( そんなに難しい事なのか?) 30 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

チャレンジしたこと簡単な設定豊富な設定例検定不要日本語マニュアル設定例集とりあえず始められる ( 設定例を真似ながらスタートできる ) 保守契約不要の無償ファームウェアホームページで配布きめ細かい不具合報告利用者メーリングリスト利用者と開発者が参加ユーザーとダイレクトなコミュニケーション公開 FAQ ( 知的財産の顧客との共有 ) 直接関係ある話題からちょっと遠い話題まで Web 設定例集 ( 知的財産の顧客との共有 ) OCN エコノミーの設定例 ( 常時接続 ) インターネット VPN の設定例 ( ナローバンド & ブロードバンド ) 続けることが難しい 31 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

商用インターネットの幕開けと RT100i RT100i 20 万円を切る価格コンパクトな筐体専門家でなくても使える ISDN TA 機能内蔵 rt100i-users メーリングリスト開始 32 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

インターネットの普及と NetVolante ルーター /TA 一体型 49,800 円個人や SOHO のニーズを開拓 RTA50i 33 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

企業ネットワークのブロードバンド化と RTX1000 RTX1000 企業の多拠点ネットワークを安全簡単に構築 OCN ビジネスパック VPN に採用 34 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

10 周年記念講演での SOHO ルーター [Internet Watch] 村井氏ヤマハは SOHO 市場の開拓者 ~ ヤマハルータ 10 周年記念講演 http://internet.watch.impress.co.jp/cda/event/2005/01/21/6165.html [SOHOルーターに関する概要( 抜粋 )] ヤマハは SOHO 市場の開拓者 SOHOという市場は日本で独自の発展を遂げておりその市場のリーダーとして開拓者の役割をヤマハが担っていた ISDNルーターがブロードバンド普及に大きな影響 ISDNというインフラが全国で利用できるという環境が整っていたこともあり SOHOや個人をターゲットにしたルータがこれほど早く普及したのは日本特有の現象でこれがその後のブロードバンドの普及にも大きな影響を与えたとした大胆なオンラインサービス最初からファームウェアのアップデートやマニュアルの公開をインターネットで行なっていた記憶にある限りではこうしたサービスをコンシューマー製品で行なったのはヤマハが最初今ではあたりまえになっているアップデートやマニュアルの公開などインターネットの有効な使い方を示したという意味でもヤマハの果たした役割は大きい IPv6の早期実用化ヤマハのルータではIPv6を早い段階からサポートしており IPv6に対応した製品が数多く家庭にまで入り込んでいるのも日本の独自性であり世界的に見れば先進性でもある 35 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

エンジニアリングとは? Engineering ( ジーニアス英和 ) 工学 ; 機関学工学技術 ( の駆使 ); 土木工事巧みな処理 [ 工作 ] 策略技術者の職務 [ 仕事 ] [ 形容詞的に ] 工学 ( 技術 ) の工学 ( 広辞苑 ) 基礎科学を工業生産に応用して生産力を向上させるための応用的科学技術の総称古くは専ら兵器の製作および取扱いの方法を指す意味製作および取扱いの方法を指す意味に用いたがのち土木工学をさらに現在では物質エネルギー情報などにかかわる広い範囲を含む生産方法と取扱い方法村井先生曰く高度なエンジニアリング 36 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ヤマハルーター累計販売 200 万台ヤマハルーター累計販売 200 万台達成 (1995 年 ~2011 年の 16 年間の積み重ね ) 1. 1995 年 3 月 :RT100i 11.2000 年 3 月 :RTA52i 21.2002 年 5 月 :RTA55i 31.2005 年 11 月 :RTV01 2. 1996 年 10 月 : RT200i 12.2000 年 6 月 : RT300i 22.2002 年 7 月 : RT56v 32.2006 年 1 月 : RTX3000 3. 1997 年 2 月 : RT102i 13.2000 年 10 月 : RT60w 23.2002 年 10 月 : RTX1000 33.2006 年 9 月 : RT58i 4. 1997 年 10 月 : RT80i 14.2001 年 6 月 : RT52pro 24.2002 年 11 月 : RTX2000 34.2007 年 4 月 : SRT100 5. 1997 年 10 月 : RT140i 15.2001 年 7 月 : RT105i 25.2003 年 7 月 : RT57i 35.2008 年 10 月 : RTX1200 6. 1998 年 5 月 : RT140e 16.2001 年 7 月 : RTA54i 26.2003 年 11 月 : RTV700 36.2010 年 10 月 : NVR500 7. 1998 年 5 月 : RT140p 17.2001 年 11 月 : RTW65b 27.2005 年 10 月 : RTX1500 37.2011 年 11 月 : RTX810 8. 1998 年 10 月 : RT103i 9. 1998 年 10 月 : RTA50i 10.1999 年 2 月 : RT140f 18.2001 年 12 月 : RT105e 19.2002 年 1 月 : RT105p 20.2002 年 2 月 : RTW65i 28.2005 年 1 月 : RT250i 29.2005 年 2 月 : RTX1100 30.2005 年 10 月 : RT107e SWX2200 ルーターの LAN ポートを拡張するようなオプションとしてスイッチも始めました 37 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

どのような市場なの?

ルーター市場の製品セグメントハイエンドルーター 250 万円 ( 単価 ) 設備ミッドレンジルーター 100 万円ローエンドルーターヤマハ 11 万円レンタル機材 SOHO ルーター 2.5 万円レジデンシャルルーターレンタル機材 ( 個人 ) ( 企業 ) ( キャリア ) ( 用途 ) 39 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

国内ルーター市場規模推移国内ルーター市場製品セグメント別エンドユーザー売上額実績 2004 年 ~2010 年 1800 億円 1600 億円 1400 億円 1200 億円 1000 億円 800 億円 600 億円 400 億円 200 億円 0 億円 NGN 投資リーマンショック 2004 2005 2006 2007 2008 2009 2010 Residential SOHO Low-End Mid-Range High-End Source: IDC Japan, June 2011 国内ルーター市場 2010 年の分析と 2011 年 ~2015 年の予測 : 東日本大震災による影響を考慮 (J11010102) 40 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

どれぐらい売れてるの?

国内ルーター市場シェア推移国内ルーター市場ベンダー別エンドユーザー売上額実績 2004 年 ~2010 年 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 2004 2005 2006 2007 2008 2009 2010 1600 億円 SOHO Low-End 1400 億円 Mid-Range 1200 億円 High-End 1000 億円 A 社 800 億円 B 社 C 社 600 億円 Yamaha 400 億円 D 社 200 億円 E 社 0 億円 F 社 G 社 Source: IDC Japan, June 2011 国内ルーター市場 2010 年の分析と 2011 年 ~2015 年の予測 : 東日本大震災による影響を考慮 (J11010102) 42 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ヤマハルーターのシェア SOHO ルーターでヤマハがトップシェア IDC Japan 2010 年 SOHO ルーターでヤマハがトップシェア 2004 年にセグメント設定以来 7 年連続 SOHO ルーターとは? ユーザー購入価格が 1 万 6,500 円 ~11 万円未満のルーター RTX1200 4 万台 / 年間 RT107e/RTX810 2 万台 / 年間 NVR500 10 万台 / 年間 ( ただしモデル毎の販売台数は年によって変化しています ) ( 出典 : JDC Japan, 国内ルーター市場 2010 年の分析と 2011 年 ~2015 年の予測の報道発表資料など ) 43 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

国内 SOHO ルーター市場シェア推移国内 SOHO ルーター市場ベンダー別エンドユーザー売上額実績 2004 年 ~2010 年 60% リーマンショック 300 億円 50% 40% 30% 20% 10% 250 億円 200 億円 150 億円 100 億円 50 億円 Total Yamaha A 社 B 社 C 社 D 社 E 社 F 社 0% 2004 2005 2006 2007 2008 2009 2010 0 億円 Source: IDC Japan, June 2011 国内ルーター市場 2010 年の分析と 2011 年 ~2015 年の予測 : 東日本大震災による影響を考慮 (J11010102) 44 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

第 13 回パートナー満足度調査 (3 連覇 ) 日経コンピュータ 2011 年 2 月 3 日号 (P.56~P.65) 第 13 回パートナー満足度調査ネットワーク機器部門 1 位 45 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ヤマハ製品

センター向けルーター RTX3000 (498,000 円 ) スループット : 最大 1.5G VPN スループット : 最大 360M VPN: 最大 1000 接続 ISDN 収容 : 1 スロット YBA-1PRI-MC (150,000 円 ) RT250i (198,000 円 ) ISDN 収容専用機 -1 スロット YBA-8BRI-STC (100,000 円 ) RTX1500 ( 廃番, 198,000 円 ) スループット : 最大 200M VPN スループット : 最大 200M VPN: 最大 100 接続 47 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

拠点向けルーター RTX1100 ( 廃番 ) FE*3/ISDN VPN: 最大 30 接続 RTX1200 (118,000 円 2008 年 10 月 ) GbE*3/ISDN/3G VPN: 最大 100 接続 RT107e (68,000 円 ) FE*2 VPN: 最大 6 接続 RTX810 (68,000 円 2011 年 11 月 ) GbE*2/3G VPN: 最大 6 接続 RT58i ( 廃番 ) FE*2/ISDN/PSTN/TEL/VoIP NVR500 (OPEN 2010 年 10 月 ) GbE*2/ISDN/PSTN/TEL/VoIP/3G 48 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

スイッチルーターの LAN ポートを拡張するような L2 スイッチ RTX1200 / RTX810 / NVR500 から設定管理遠隔からルーターにログインすると LAN ポートの状態がわかる SWX2200-8G (OPEN 2011 年 3 月 ) GbE*8 SWX2200-24G (OPEN 2011 年 3 月 ) GbE*24 49 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

そのほか RTV01 (198,000 円 ) 電話帳サーバー (SIP サーバー ) 内線 IP 電話を構築する時の電話番号管理を 1 台で SRT100 (78,000 円 ) ルーター技術を生かしたセキュリティ装置 ( ファイアウォール装置 ) ポリシーベースのフィルタリング機能日本語対応 URL フィルターデータベース (3 社 ) ウィルスバスターと連携した PC 簡易検疫 Web レピュテーション機能 50 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

どこに使われているの?

ポジショニング (1): 隙間企業向け製品最適化大企業中堅企業小規模拠点 1 機種で全国展開など積極活用過剰? 中小企業最適化ヤマハルーター不足? SOHO 個人向け製品最適化個人コストと品質 ( 安心 ) のバランス 52 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ポジショニング (2): 節約志向小規模オフィス少拠点小規模多拠点小規模多店舗 (1 機種で全国展開 ) 53 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

利用シーン企業小規模多拠点小規模少拠点 SOHO 個人業界 : 金融製造流通官公庁キャリアパックネットワーク : 広域イーサネット IP-VPN インターネットVPN 活用 : 情報システム業界 : コンビニガソリンスタンド全国スーパー医療レセプトネットワーク : フレッツオフィスモバイル ISDN 活用 : POS デジタルサイネージグループウェア業界 : アパレル地場スーパーネットワーク : フレッツグループモバイル ISDN 活用 : POS グループウェアファイル共有内線電話業界 : 個人事業主 ( 会計不動産建築農業 ) ネットワーク : インターネット接続 + 電話 &FAX(ISDN/ ひかり電話 ) 活用 : 顧客連絡インターネット入札電話 FAX インターネット接続活用 : メールショッピングブログ SNS ダウンロード 54 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

POS レジ小売業におけるネットワーク活用 ~POS ネットワーク ~ ATM ファミリーレストランコンビニエンスストアガソリンスタンドショッピングモール

店舗ネットワーク (POS システム ) RTX3000 販売集計在庫管理顧客情報管理バックアップ用携帯回線有線回線の未提供エリア臨時回線バックアップ回線光回線携帯回線 RTX1200 RTX1200 56 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

小売業の IT 化 1990 年代 2000 年代前半 2000 年代後半 2010 年代 IT 活用計算機売上記録売上受注発注の電子化売上受注発注のリアルタイム化販売力強化付加価値化コスト削減内線 IP 電話情報共有グループウェアマニュアル販促ツール PR 情報情報端末収益媒体化デジタルサイネージ通信環境紙伝票郵便電話回線 ( 業務時間外のバッチ処理 ) 常時接続 ( 随時更新 ) 専用線広域中継網など常時接続 & ブロードバンド常時接続 & ブロードバンドネットワークの定額と常時接続が経営改革に繋がる 57 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ルーター開発現場から見えたインターネット 2008 年 4 月 16 日 ( 金 ) ヤマハの工場見学ルーター生産はどこでやってるの?

製造の順番 1. 部品倉庫 2. 基板への部品実装 3. ハンダづけ 4. 検査 5. 組み立て 6. 梱包付近で咲く藤の花 59 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

部品倉庫 60 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

基板への部品実装 61 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

基板検査 62 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

組み立て 63 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

組み立て RTX1100 RT107e RT58i 64 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

出荷待ち 65 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

生産拠点 (Made by Yamaha) ヤマハエレクトロニクス ( 蘇州 )(YES YES)

雅马哈 ( 中国工厂 ) / Yamaha Factories in China 天津ヤマハ電子楽器 ( 電子楽器の製造 ) ヤマハエレクトロニクス ( 蘇州 ) (AV 機器の製造 ) ヤマハ杭州ヤマハ楽器 ( ピアノピアノパーツギターの製造 ) 蕭山ヤマハ楽器 ( 管楽器組立製造 ) 出典 : 中国まるごと百科事典 http://www.allchinainfo.com/ 67 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

Made by Yamaha ヤマハエレクトロニクス ( 蘇州 )(YES) 所在地 : 中国 ( 蘇州 ) 100% ヤマハ子会社 AV 製品生産実績 2002 年設立 2003 年初出荷 AV アンプを中心に年間 100 万台以上の AV 機器を生産ヤマハ出向社員による生産コントロール 68 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

会社概要 / Company Profile : Address: 18, Lu Shan Road, Suzhou, China 215129 Establishment: 20th May 2002 Total Investment: Registered Capital: US $=80 million US $=30 million Employee: 1252 person (by the end of May 2009) Building Area: 30,000m 2 Land Area: 120,000 m 2 Total three building by the end of Jun in 2009. 69 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

RTX810 & SWX2200

RTX810 のご紹介外観 microsd USB 電源内蔵スイッチガードポート LED 71 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

RTX810: 基本性能の向上 2LAN(10/100) 200Mbit/s VPN 80Mbit/s NAT 4,096セッション 2LAN(10/100/1000)+USB 1Gbit/s VPN 200Mbit/s NAT 10,000セッションご利用環境に合わせた基本性能の向上 72 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

RTX810: 新機能低消費電力 / 省エネルギー動作環境条件 50 PPTP 機能を搭載 (6 対地 ) L2TP/IPsec 機能を搭載スマートフォン / タブレットからの安全なアクセス 73 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

RTX810: 新機能 3G 携帯回線網 (USB 型端末 ) への対応 NGN への対応データコネクト IPv6 PPPoE IPv6 IPoE での接続 SWX2200 制御機能を搭載 74 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

RTX810: 保守運用性の向上外部メモリ機能起動機能 : メモリを差すだけの設置作業ログ保存機能 : 特定情報だけの取り出しも可能ファームウェア設定ファイル SFTP サーバ機能セキュアな設定ファイルの転送統計 / 解析 75 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

電力消費量 12 W 11 W 10 W RT107e/RTX810 の利用時電力消費量最大 11W 9 W 8 W 7 W CPU 100% USB microsd 6 W 5 W 4 W 3 W 最大 4.2W 3.7W 3.1W 5.2W 節約最大 LAN*5 2 W 1 W 0 W RT107e RTX810(FE) RTX810(GbE) 測定結果の一例 (2011 年 6 月ヤマハ調べ ) 76 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

RTX810 のデモ RTX810 の消費電力測定電源 OFF: 電源 ON: PC 接続 (GbE Link 1ポート ): SW 接続 (GbE Link 2ポート ): USB を利用したときの消費電力測定 usbhost use off 電源 ON: usbhost use on USB FAN: USB 500mA: 例 ) 0W / 6VA 例 ) 3W / 9VA 例 ) 4W / 9VA 例 ) 4W / 11VA 例 ) 3W / 9VA 例 ) 5W / 11VA 例 ) 6W / 13VA # usbhost use off # usbhost use on 測定環境や機材で測定結果は異なります 77 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

RTX810 の狙い RT107e のコンセプトベーシック VPN もしくはシンプル VPN IPsec を搭載した廉価モデル低消費電力ルーターのフラグシップネットボランチからのステップアップ RTX810 の狙い RT107e のコンセプトを継承 RTX1200/NVR500 世代のリニューアル定番機能の融合一般的なラインアップ視点それぞれの尖がった特長価格差機能差性能差両視点 78 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

SWX2200: 管理コスト削減遠隔から原因を切り分けるための技術 LAN 内の末端の状態まで把握トポロジ管理しかも動的に末端ポートまでの状態確認異常状態の検知リンクダウンやループ検出 SNMP での監視状態監視トラップ 79 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

SWX2200: 管理コスト削減トポロジと末端ポートまでの状態表示リンクダウンやループ検出回避の表示トラフィックグラフホスト検索 80 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

SWX2200: 柔軟な構成変更構成変更を柔軟かつ容易に行うための技術設定の一元化ルーターの設定だけで完結自動的な設定の反映容易な拠点追加物理的 LAN の制約を受けない設定設定ミスを排除する仕組み複合的な自動設定レイアウト変更に追随した作業が簡単 81 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

SWX2200: 安全な安定運用安定性安全性向上を実現する技術特定ホストを探す LAN の中の物理的にどこにいるのか候補を一覧で表示結果を GUI で表示そのポートだけを狙い撃ちした制御カスタマイズ機能の利用冗長化不正 PC アクセス制御 82 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

SWX2200: 安全な安定運用カスタマイズ機能の利用 (Lua スクリプト ) 冗長化バックアップポートはシャットダウンしておくメイン経路のポートのリンクダウンを監視ダウン検知でバックアップポートをリンクアップさせる不正 PC アクセス制御正規 PC の登録特定ユーザが専用 GUI にて不正 PC の検出接続ポートをシャットダウン 83 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

SWX2200 のデモ RTX810 のスイッチ制御機能を有効にするトポロジーを表示するポートの状態を確認するトポロジーを変更してみる ( 配線を変える ) ホスト検索を試すループ検出機能を試すタグ VLAN を設定する switch control use lan1 on switch select 00:a0:de:7d:82:b7 switch control function set loopdetect-linkdown linkdown-recovery switch select 00:a0:de:7d:82:d5 switch control function set loopdetect-linkdown linkdown-recovery 84 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

SWX2200 マニュアル GUI マニュアル http://netvolante.jp/products/swx2200/gui_manual/ 動画マニュアル RTX810 の設定画面から SWX2200 設定ページへの進み方 http://www.youtube.com/watch?v=vexzbh9ya6i トポロジーを表示する ( トポロジー表示画面 ) http://www.youtube.com/watch?v=dmqjtl6j2ze タグ VLAN を設定する http://www.youtube.com/watch?v=zsv4v52thxq マルチプル VLAN を設定する http://www.youtube.com/watch?v=_we4jepurj4 85 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

制御の仕組み 86 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

連携アーキテクチャの効果一般的な複数製品の設定や管理バラバラ管理ルータースイッチスイッチヤマハ製品の設定や管理ルーターを介した集中管理ヤマハルーター SWX2200 SWX2200 87 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

例えばホスト検索機能こんな時どうしよう? 挙動不審な通信をしている PC の特定ウィルス感染ファイル共有ソフトの利用 NAT テーブルの大量消費トラフィックやセッションの急増特定ポートへのアクセス集中ネットワーク運用ルールが守られていない機器や利用者の特定 OS パッチの未適用アンチウィルスの未適用動画の閲覧持ち込み PC/ 機器の接続 DHCP 運用しているのに IP アドレスを固定している DHCP サーバー機能が有効のまま幹線に接続された無線 AP やルーターの特定こんなホスト (PC 端末 ) をどうやって探すか? ルーターが代わりに探します MAC アドレスや IP アドレスをキーにホストを検索させるルーターが対象ホストの所在を調査するヤマハルーター SWX2200 SWX2200 88 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

設定の仕組み SWX2200 の設定情報はルーターが保持している ( 主 ) SWX2200 にも設定の内部情報を保持している ( 副 ) RTX1200/RTX810/NVR500 インタフェース毎に最大 8 台 CUI 等 SWX2200 内部設定スイッチ制御機能スイッチ機能最大 8 台スイッチ制御機能設定アプリスイッチ制御機能ルーター設定 + スイッチ設定 Windows (PC) 設定保存ファイルスイッチ設定同一書式 89 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

SWX2200 の狙い (1) 事件 ( 通信障害 ) は現場 (LAN) で起こっている LAN ケーブルの誤配線スイッチの電源ケーブル抜け PC のウィルス感染 P2P アプリ利用など知らぬ間にトポロジーが変わっている原因の究明と解決に苦労している一般的な対処現地に赴き障害解決を図る広域になると大変インテリジェント L2 スイッチを使う高い設定や管理が難しい煩雑操作体系がバラバラ要員確保が難しい故障したときの交換作業が大変エンドユーザーが望むことネットワークの安定運用速やかな障害解決 90 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

SWX2200 の狙い (2) ヤマハルーターが利用される環境では既存の製品では解決が難しいようだヤマハルーターが利用される環境とは? 小規模だったり遠隔地だったり管理のスキルリソース経費は潤沢ではないヤマハが提案する解決方法従来常識ではただの L2 スイッチでも違う! ルーターの LAN ポート拡張オプションヤマハルーターを管理すればスイッチも管理できる小さなスキル獲得で高度な LAN 管理を実現できる問題解決にはスイッチ製品が必要だった 91 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

SWX2200 の狙い (3) デメリット? IP アドレスが付けられない設定管理監視を IP で行う無くていいなら無いほうが良い IP アドレスがあるから設定が面倒 IPv6 はルーター側で対応済みデメリット? シリアルコンソールが無いいざという時にシリアルコンソールというがいざという時はタグ VLAN の設定ミスとか? 設定ミスが起こりにくい仕組みをデメリット? 1 台 1 台設定できないルーターに集約された設定で故障交換が容易設定は microsd に保存しておける 92 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

カタログで語れない

何を話そう豊富な設定例と 7 行設定 rt100i-users ML Smarf Attack と ip filter directed-broadcast コマンド OCN エコノミーの設定例の始まり IPv4 アドレスの計算 CGI インターネット VPN 提案の始まり CodeRed コマンド設定と Web 設定エントリー型 IP-VPN の始まりプラ筐体への拘り [ 付録 ] ヤマハルーター内でのパケットの流れ MTU 値静的フィルター動的フィルターポリシーフィルター 94 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

シンプルな 7 行設定 (RT100i 時代 ) http://www.rtpro.yamaha.co.jp/rt/news-release/new-product.html RT100i 1995 年 3 月 1 日発売 26 万円 LAN: 10BASE5(DB-15) 10BASE-T(RJ-45) WAN:ISDN またはディジタル専用線 (RJ-45) 最大消費電力 :5W 日本語対応による容易な設定従来専門家でなければ難しかった設定を分かりやすく容易に実現します豊富な設定例豊富な設定例がついた日本語マニュアルや日本語によるエラー / ヘルプメッセージ表示豊富なコマンド入力サポート機能 LANやISDN 回線からの専門部署によるリモート設定専門部署によるリモート設定など複数の設定手段シンプルなコマンド体系により標準的な設定であればわずか 7 行で設定可能行 95 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

7 行設定 (1995/RT100i 2002/RTX1000) xxx.xxx.xxx.xxx RT100i-A 314-159-2653 589-793-2384 ISDN RT100i-B yyy.yyy.yyy.yyy # ip lan address xxx.xxx.xxx.xxx # isdn local address 314-159-2653/RT100i-A # pp select 1 pp1 # isdn remote address 589-793-2384/RT100i-B pp1 # ip pp route add net yyy.yyy.yyy.yyy 3 pp1 # pp enable 1 pp1 # save ネットマスク複数 BRI 発番号と着番号 # isdn local address bri1 03-1234-5678/Tokyo # ip lan1 address 172.16.112.215/24 # ip route 192.168.128.0/24 gateway pp 1 # pp select 1 pp1# pp bind bri1 pp1# isdn remote address call 06-1111-9999/Osaka pp1# pp enable 1 pp1# save 96 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ブロードバンドの 3 行 /6 行設定使い方が増えました設定項目が増えましたおまじないが増えました 3 行 6 行 ip lan1 address 192.168.0.1/24 ip lan2 address 192.168.1.1/24 save ip lan1 address 192.168.0.1/24 ip lan2 address 192.168.1.1/24 dhcp service server dhcp scope 1 192.168.0.2-192.168.0.254/24 dhcp scope 2 192.168.1.2-192.168.1.254/24 save ip lan1 address 192.168.2.1/24 ip lan2 address dhcp ip lan2 nat descriptor 1 ip route default gateway dhcp lan2 nat descriptor type 1 masquerade nat descriptor address outer 1 primary dhcp service server dhcp scope 1 192.168.2.2-192.168.2.100/24 dns server (ISP から指定された DNS サーバーの IP アドレス ) dns private address spoof on save 11 行デフォルト値意識しなくて良い値意識して欲しい機能昔と今で変化する使い方デフォルト値も見える設定 NW 設計者として意識させたい値 97 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

rt100i-users ML 目的はユーザーと開発者の連絡仕様確認不具合確認参加者は RT100i ユーザーさん開発者 1995 年頃非常に詳しいユーザーさん 1997 年 ~1998 年ネットワークに関心のある初心者初級者の増加 98 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

rt100i-users ML と FAQ や設定例初期 1997 年 ~ Q 詳しい A Y1 様々なスキル Q Q Q Q Q A Q Y2 ML ML Q.~ ( これどうなってる?) A.~ Q.~ ( こんな時どうする?) A1.~ A2.~ A3.~ # どこまで脱線!? FAQ 掲載 FAQ 掲載 99 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

Smarf Attack と ip filter directed-broadcast コマンド記憶からストーリーを再現 ML 社内 User Q. Smarf Attack はどう防ぐ? Y1 A. 該当するアドレスをフィルタして! Y2 Y1 FAQ に記録したけどアドレス指定は難いねそれを簡単に指定出来たらユーザーさんは嬉しいかね? Y2 嬉しいんじゃないかねできるの? Y1 できる作る http://www.rtpro.yamaha.co.jp/rt/faq/ip-filter/smurf-attack-filter.html http://www.rtpro.yamaha.co.jp/rt/faq/ip-filter/ip-filter-directed-broadcast.html ip filter directed-broadcast on 100 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

OCN エコノミーの設定例集 http://www.rtpro.yamaha.co.jp/rt/docs/example/ocn-economy.html OCNエコノミーとは? デジタルアクセス ( 専用線 ) を用いた常時接続のインターネット接続サービス ( 月額 38,000 円 ) 1996 年からスタート設定例集を作った切っ掛けお客様相談センターにOCNエコノミーに関する質問が増加していた (1997 年頃 ) 似たような質問が繰り返され回答案を設定例集にコレクション結果 13パターンが3パターンに絞られ URL 回答で済むようにしたさらに RTA52iのWWW 設定機能にノウハウを実装 101 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

IPv4 アドレスの計算 CGI http://www.rtpro.yamaha.co.jp/rt/docs/ip-address.php OCN エコノミーとかの設定例を作っていると /24 だったら簡単なのだが /28 とか /29 とかのネットワーク構成が主流ネットワークアドレスは? ブロードキャストアドレスは? 何だっけ? 考えるのが非常に面倒しかもよく間違える Smarf Attack フィルターも考えるの面倒あれ? サポートメンバーも同じだったそれじゃユーザーさんも同じだよねじゃ作っちゃおう最初 perl だったいつの間にか PHP で作り直されていた 102 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

インターネット VPN 提案の始まり 1998 年 5 月 :IPsec 機能搭載 Rev.3.00.09: RT140p/RT140e Rev.3.00.16: RT100i/RT102i/RT200i/RT140[iep] http://www.rtpro.yamaha.co.jp/rt/docs/ipsec/old/ipsec.html 1998 年 11 月 :RFC 標準化 http://www.rtpro.yamaha.co.jp/rt/docs/ipsec/old/3_ipsec.html 楽しそうだから作ってみた別途こんな資料を用意したなぜかなぜか? OCN+VPN(IPsec) の設定例集 http://www.rtpro.yamaha.co.jp/rt/docs/example/ocn-vpn.html IPsec&IKE&VPNのFAQ http://www.rtpro.yamaha.co.jp/rt/faq/ipsec/index.html 折角作った良い機能だからお客さんの役に立つ使い方 ( ユースケース ) を示すべきだ 103 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

Command Line Interface コンソール (CLI) と WWW 設定 (GUI) RTX1200 コンソールで設定 Graphical User Interface NVR500 WWW ブラウザで設定 CLI 例 telnet の画面 GUI 例 WWW ブラウザの画面 104 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

RT80i と RTA50i の WWW 設定の対比 RT80iのWWW 設定コマンドとWeb 設定項目が1 対 1 何でもWebから設定できる詳しい人はサクサク便利初めての人は途方に暮れる RTA50i の WWW 設定 Web 設定ではすべてを見せない必要最低限の設定でインターネットに繋げられるやりたいことを支援する機能を重視 RT80i RT57i/RT58i/NVR500 105 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

コンソールと WWW 設定ライトユーザー層技術者層 ( コンソール ) 機器の使い方や接続方法に関するコンサルティング ( かんたん設定 ) 利用ノウハウの組み込み remote setup シリアル telnetd sshd tftpd コマンドインタフェース (http) 操作設定起動プロセスによる読み込み ( 電源 ON や restart ) ルーター機能 RAM ( 設定情報 ) 不揮発性メモリ ( 設定情報 ) save による書き込み 106 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

コマンド設定と Web 設定と利用者像 RTX1200 RTX810 NVR500 GUI WWW 管理 IPsec に step up ライトユーザー層 ( 技術者予備軍 ) CLI 技術者層 ( 使い方を熟知 ) 廉価版 VoIP 107 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

コンソール設定 (CLI) と WWW 設定 (GUI) コンソール (CLI) WWW 設定 (GUI) 表示 character display graphic display 入力 keyboard pointer device,keyboard アクセス方法非 IP( シリアル,remote setup), IPネットワーク (telnet) IPネットワーク (http) コマンド行入力入力補助機能メニューで指示設定値入力コマンドの組み合わせ要求スキル高い ( コマンドの使いこなし ) 低い ( 典型的利用法の絞込み ) 障害対応性高い ( 非 IPによるアクセス方法 ) 低い設定柔軟性高い ( 個々のコマンドで調整 ) 低い ( でもコンセプト次第 ) 外部設定編集容易 ( テキストエディタの活用 ) GUI 内のみ設定の見通し大規模化すると難しくなる期待できる (firewall 機能など ) 表示補助機能コンセプトすべての機能を使いこなし RT80i: すべての機能が使える NetVolante: 一般的な機能を手軽に利用どの入力方式も良いところがある状況による使い分け 108 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

CodeRed (2001 年 7 月 ~9 月 ) http://www.rtpro.yamaha.co.jp/rt/faq/topic/codered.html CodeRed / CodeRed II は IISを狙ったワーム CodeRedに感染したIISから不特定のIPアドレスに次のようなHTTPの要求メッセージが送信されてくる GET /default.ida?nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6 858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u685 8%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00% u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 http://www.rtpro.yamaha.co.jp/rt/faq/tcpip/www-server-vulnerability.html WWW サーバー機能の脆弱性 ( バッファーオーバーラン ) の対応版 RT80i Rev.3.00.47 RTA50i Rev.3.05 系 Mountain Dew CODE RED Rev.3.05 系とは? RTA52i 用 WWW サーバー機能開発ブランチプログラム見て不安になり時間が無いのに一から作り直しました CodeRed の登場で日の目を見ることになりました性能も飛躍的に改善していますよ 109 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

エントリー型 IP-VPN ( エントリー VPN) NTT 方針フレッツグループアクセス (FGA) 誕生 2002 年 1 月スタート 2002 年 6 月提供地域拡大ターゲット: 個人やコミュニティ用途: ファイル共有 NTTによるFGA 提案の軌道修正個人向けからビジネス向けへエントリー型 IP-VPN 提案開始ヤマハルーターユーザーの構築実態ヤマハユーザーが拠点間接続用契約幾つかの制約があった RTA55i の IPIP トンネルで解決 FGA/FGが低価格 VPNの定番に RT57iで FGA+ 内線 VoIP を1 台で実現 110 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

プラスチック筐体は楽じゃない 10M bps クラスの製品群 (SH3 系 ) RT105i (2001/7) RT105p (2002/1) RT105e (2001/12) 100M bps クラスの製品群 (MIPS 系 ) RTX1000 (2002/10) RTX1100 (2005/2) 性能 UP 発熱量 UP 同じ筐体 RT107e (2005/10) 高温では部品寿命が短くなる 111 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

真面目に省エネすると信頼性があがる低発熱低消費電力故障の可能性が低い製品ファンレス ( 自然空冷 ) 112 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

省エネルーターと CO₂ 排出量削減 Q. なぜ省エネルーターを使うと CO₂ 排出量削減になるの? A. 消費電力を少なくすると CO₂ 排出量も少なくできますルーターは 24 時間 365 日稼働する装置なので省エネ化によって効果的なCO₂ 排出量削減が可能になります年間 CO₂ 排出量消費電力発熱量 48.6 kg-co2/ 年 243.1 kg-co2/ 年伝送ロス 10W 50W 光 ( エネルギー ) 運動 ( エネルギー ) 36kJ/h 180kJ/h 年間 CO2 排出量 (kg-co2/ 年 )= 消費電力 [kw] 365[ 日 ] 24[ 時間 ] 0.555[kg-CO2/kWh] 1 [W] == 3600 [J/h] == 859.8 [cal/h] 113 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

RT107e/RTX1100 最大消費電力機種最大消費電力発熱量 RT107e 4.2W 15.2 kj/h, 3.6 kcal/h RTX1100 6.5W 23.4 kj/h, 5.6 kcal/h 年間 CO₂ 排出量 20.4 kg-co2/ 年 31.6 kg-co2/ 年ご参考 ( 各種計算式 ) 年間 CO2 排出量 [kg-co2/ 年 ] = 消費電力 [kw] 365[ 日 ] 24[ 時間 ] 0.555[kg-CO2/kWh] CO2 吸収に必要な杉 [ 本 ] = CO2 排出量 [kg-co2/ 年 ] 14 [kg-co2/ 本 ] 1 [W] == 3600 [J/h] == 859.8 [cal/h] ( 注 ) 公開されている電源ユニットの最大出力電力で最大消費電力と比較はできません 114 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

電力消費量 17 W 16 W 15 W 14 W 13 W 12 W 11 W 10 W 9 W 8 W 7 W 6 W 5 W 4 W 3 W 2 W 1 W 0 W RT107e/RTX1100/RTX1200 の利用時電力消費量 RT107e RTX1100 RTX1200(FE) RTX1200(GbE) 測定結果の一例 (2008 年 9 月ヤマハ調べ ) 節約最大 LAN*10 LAN*6 LAN*5 LAN*2 電源 ON 115 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

エコルーター小規模オフィス小規模店舗で信頼されるものづくり自然空冷( ファンレス ) プラスチック筐体小型軽量化自社開発電源環境に配慮した製品 116 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

日本の大気中二酸化炭素濃度 2011 年 4 月までの日本の大気中二酸化炭素濃度について ( 気象庁, 平成 23 年 6 月 1 日 ) http://www.jma.go.jp/jma/press/1106/01a/2010co2.pdf 気象庁の温室効果ガス観測の国内観測地点 (3 箇所 ) 2010 年の年平均大気中二酸化炭素濃度は過去最高 2011 年 4 月の大気中二酸化炭素濃度は観測開始以来の最高値 117 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ルーター開発現場から見えたインターネット 2009 年 7 月 15 日 ( 木 ) ヤマハの工場見学今日は夏晴れルーター開発はどこでやってるの?

ヤマハミュージックサイレン 119 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

What is Yamaha Router?

ピアノとルーターの対比なんの意味があるの? ヤマハという会社の宿命かも? ピアノをベンチマークすることでヤマハらしいルーターのあるべき姿が見つかるかも? 違うところ全部いろいろ当たり前似ているところ業界構造元々特殊な世界 ( 業界 ) 身近になるものづくりを実践してきた ( 工学的解決 ) 難しい商品作ること売ること使うこと製品の良否判断が難しい奥が深い専門的プロモデル普及モデル廉価モデルさてどう違う? 一流品は外国製品のイメージがあるヤマハを選ぶ理由は何だろう? ピアノを作る / 売るんだったらどう考えるだろう? 真面目なものづくり? 121 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

What s is Yamaha Router? ヤマハ株式会社にとって? どうなんだろう? ヤマハのルーター事業関係者にとってお客様のお役に立てるものづくりが出来るルーター顧客にとって? 信頼できる重要な製品? 日本国民にとって? 社会インフラを支える装置のひとつ慶應義塾大学の村井先生曰く日本の宝 (by NHK プロデューサー ) 122 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ヤマハルーターの人間臭さ人間臭さを感じて欲しい! 作っている人がここにいる可能であれば作っている人の思いを感じて欲しい使っている人がここにいる困っている人がいれば支援したい知りたい人がいれば教えたい喜んでくれる人がいれば頑張れるほんとうはみんな無責任なことはしたくない作りっぱなしはしたくない売りっぱなしはしたくない使い捨てはしたくない例 ) 農作物だとファーマーズマーケットが流行ってるヤマハルーターが16 年続いた理由開発者の目前に良き使い手良き使い手が居てくれるから人と人の交流があるから 123 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ポイント提供されるネットワークから自ら使いこなすネットワークにしていただきたい決定権は利用者にある ( 当たり前のことだ ) ルーターは万能な小道具だ ( それでしかない ) 利用者の成長が鍵何をしたいか? ( 使い方活用イメージ ) どんな製品やサービスを採用するか? ( 知識判断力 ) 良いサービス良い製品が生まれる土壌は? 良き使い手が良いものを生み出す原動力良き使い手と良き作り手のコミュニケーションインターネットがコミュニケーションを急激に加速するだからインターネットは情報革命コミュニケーション革命と思う 124 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

利用者の拡大への対応利用技術者の育成 ( 大手通信機器メーカー ) 検定制度や互換機開発専門職の拡大 ( ヤマハ ) 資料公開や設定支援機能ちょっと詳しい人の拡大利用者の拡大専門職技術知識利用知識利用者の成長一般 125 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ヤマハ株式会社社訓三代目社長川上嘉市氏 (1939 年昭和 14 年 ) 126 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

パケットの流れフィルター, QoS, NAT, IPsec, など

QoS 機能の概要 QoS 機能は classify と queuing を組み合わせて各インタフェースに適用し利用する R クラス分け (classify) キュー処理 (queuing) 出力 (output) 1 2 3 使い方によって classify や queuing の適用インタフェースが異なる使い方 ISDN(BRI,PRI) 利用 LAN 利用 PPPoE 利用 IPsec 利用 (VPN QoS) クラス分け (classify) PP インタフェース LAN インタフェース PP インタフェース TUNNEL インタフェースキュー処理 (queuing) PP インタフェース LAN インタフェース LAN インタフェース PP インタフェース LAN インタフェース VPN QoS(IPsec) 機能は RTX1000(2003/10/22, Rev.7.01.26) で提供開始 http://www.rtpro.yamaha.co.jp/rt/docs/qos/tunnel_qos.html 128 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

1 パケット流れ (ISDN 利用 ) ISDN LAN QoS(queuing) NATディスクリプタ QoS(classify) フィルタ (LAN2) (LAN1) フィルタ QoS(classify) NATディスクリプタ PPPoE ISDN QoS(queuing) PPP NATディスクリプタ QoS(classify) フィルタ (PP#) R SGW 機能 NATディスクリプタ QoS(classify) フィルタ (TUNNEL#) ホスト機能 VPN(IPsec) QoS(queuing) LAN VoIP PC 129 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

2 パケット流れ (LAN 利用 ) LAN QoS(queuing) NATディスクリプタ QoS(classify) フィルタ (LAN2) (LAN1) フィルタ QoS(classify) NATディスクリプタ PPPoE ISDN QoS(queuing) PPP NATディスクリプタ QoS(classify) フィルタ (PP#) R SGW 機能 NATディスクリプタ QoS(classify) フィルタ (TUNNEL#) ホスト機能 VPN(IPsec) QoS(queuing) LAN VoIP PC 130 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

2 パケット流れ (PPPoE 利用 ) LAN QoS(queuing) NATディスクリプタ QoS(classify) フィルタ (LAN2) (LAN1) フィルタ QoS(classify) NATディスクリプタ PPPoE ISDN QoS(queuing) PPP NATディスクリプタ QoS(classify) フィルタ (PP#) R SGW 機能 NATディスクリプタ QoS(classify) フィルタ (TUNNEL#) ホスト機能 VPN(IPsec) QoS(queuing) LAN VoIP PC 131 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

3 パケット流れ (IPsec+ISDN 利用 ) ISDN LAN QoS(queuing) NATディスクリプタ QoS(classify) フィルタ (LAN2) (LAN1) フィルタ QoS(classify) NATディスクリプタ PPPoE ISDN QoS(queuing) PPP NATディスクリプタ QoS(classify) フィルタ (PP#) R SGW 機能 NATディスクリプタ QoS(classify) フィルタ (TUNNEL#) ホスト機能 VPN(IPsec) QoS(queuing) LAN VoIP PC 132 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

3 パケット流れ (IPsec+LAN 利用 ) LAN QoS(queuing) NATディスクリプタ QoS(classify) フィルタ (LAN2) (LAN1) フィルタ QoS(classify) NATディスクリプタ PPPoE ISDN QoS(queuing) PPP NATディスクリプタ QoS(classify) フィルタ (PP#) R SGW 機能 NATディスクリプタ QoS(classify) フィルタ (TUNNEL#) ホスト機能 VPN(IPsec) QoS(queuing) LAN VoIP PC 133 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

3 パケット流れ (IPsec+PPPoE 利用 ) LAN QoS(queuing) NATディスクリプタ QoS(classify) フィルタ (LAN2) (LAN1) フィルタ QoS(classify) NATディスクリプタ PPPoE ISDN QoS(queuing) PPP NATディスクリプタ QoS(classify) フィルタ (PP#) R SGW 機能 NATディスクリプタ QoS(classify) フィルタ (TUNNEL#) ホスト機能 VPN(IPsec) QoS(queuing) LAN VoIP PC 134 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

MTU 問題理論値経路 MTU 探索 DF ビット MTU 設定とスループット注意事項

MTU 絡みの問題理論値 - IPsec のオーバヘッド MTU 問題 - 世間では PPPoE で顕在化 (2001 年 ~) - ヤマハでは IPsec で重要なテーマ (1998 年 ~) http://www.rtpro.yamaha.co.jp/rt/faq/ipsec/notes.html IPv6 標準実装 - 経路 MTU 探索機能が標準 (IPv4 でも採用が増えている ) - 最小 MTU 値 = 1280 各種対応 - DF ビット問題 - ip tunnel tcp mss limit コマンド TCP の MSS(maximum segment size) オプションの操作で TCP は救える - ip tunnel mtu コマンド 136 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

イーサネットの最大 VPN スループット Ethernetにおいてフレームを連続転送する < 限界最大 >は一定のロスがあるデータリンク MTU Ethernet 1500 スループット測定フレームサイズ : 64~1468 octet IPsec 未定義 < 入力 :Ethernet> over head: +20 octets ギャップ (12) preamble (8) MAC (14) IP ヘッダ (20) IP データ (26~1430) FCS (4) ギャップ (12) < 変換 :IPsec(3DES&SHA1)> over head: +50 octets 以上 IP ヘッダ (20) ESP ヘッダ (8) IV (8) ESP データ (46~1450) padding (0-255) trailer (2) 認証 (12) < 出力 :Ethernet> ギャップ (12) preamble (8) MAC (14) IP ヘッダ (20) IP データ (76~1480) FCS (4) ギャップ (12) VPN スループット測定フレームサイズ : 114~1518 octet 137 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

データリンクによって MTU が違う MTU が異なる場合にはルーターでパケットの分割と再構築が必要になる MTU Total Length データリンク IPv4 最大 MTU(RFC791) 65535 IPv4 最小 PMTU(RFC1191) 576 IPv4 最小 MTU(RFC791) 68 IP over ATM 9180 FDDI(RFC1188) 4352 4500 Ethernet(RFC894) 1500 1518 PPP ( 標準,RFC1314) 1500 PPP (low delay,rfc1144) 296 IEEE 802.3(RFC1042) 1492 1518 PPPoE(RFC2516) 1492 PPPoE( フレッツ ) 1454 IPv6 最小 MTU(RFC2460) 1280 NetBIOS(RFC1088) 512 Ethernet PPPoE IP データ (18~1472) 138 LOCAL DEVELOPER DAY 11/infra (2011/12/3) MAC (14) MAC (14) PPPoE (6) 元パケット MAC (14) MAC (14) MAC (14) IP ヘッダ (20) IP ヘッダ (20) PPPoE (6) PPPoE (6) PPP (2) PPP (2) PPP (2) IP ヘッダ (20) フラグメントパケット #1 フラグメントパケット #2 IP データ (26~1480) IP データ (1480) PPPoE に流すとき分割 IP ヘッダ (20) IP ヘッダ (20) IP データ (8) IP データ (1472) パッド (10) FCS (4) FCS (4) FCS (4) FCS (4) FCS (4) http://rfc.netvolante.jp/rfc/rfc1191.txt (Path MTU Discovery)

経路 MTU 探索 (Path MTU Discovery) 経路 MTU とは経路上の最小 MTU であるパケット分割 (fragment) をルーターで行うとルーターの負担が大きいので送信元ホストでパケット分割するために経路 MTU 探索が利用される - 経路 MTU 探索では相手までの最小 MTUを調べることができる - 送信元ホストは最小 MTUに従ったパケットを送出することにより速度低下の可能性 ( ルーターによるパケット分割 ) を減らすことができる - 分割されたパケットの再構築は宛先ホストで行われる宛先 A の経路 MTU = 1500 送信元ホスト MTU = 1500 MTU = 1500 MTU = 1500 宛先 A MTU = 1280 MTU = 1500 宛先 B 宛先 B の経路 MTU = 1280 http://rfc.netvolante.jp/rfc/rfc1191.txt (Path MTU Discovery) http://rfc.netvolante.jp/rfc/rfc815.txt (IP DATAGRAM REASSEMBLY ALGORITHMS) 139 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

経路 MTU 探索の手順 MTU = 1500 インターネット VPN tunnel MTU = 1500 1DF=1 で送信 2パケット破棄 3MTU 通知 (1280) 4 通知された MTU に従い DF=1 で再送信 tunnel MTU = 1280 ( ヤマハルーターの初期値 ) 5 届けば経路 MTU 探索完了 [ 経路 MTU 探索の手順 ] 1 IPヘッダの分割禁止フラグ (DFビット) を 1 にしてパケット送信 2 MTUを越えるパケットが送られてきたときルーターは分割せずに破棄する 3 ルーターは ICMPによりMTU 値を発信元に通知する 4 発信元は通知されたMTU 値に従い 1からパケット送信を継続する 5 ICMPの到達不能メッセージの返信が無くなっれば経路 MTU 探索が完了する 140 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

DF ビット関連コマンド ( 経路 MTU 探索など ) Rev.7.00.14: 機能追加 [1] http://www.rtpro.yamaha.co.jp/rt/docs/relnote/rev.07.00/relnote_07_00_14.txt フィルタに一致する IP パケットの DF ビットを 0 に書き換えるコマンド [ 入力形式 ] ip fragment remove df-bit filter FILTER_NUM... Rev.7.01.26: 機能追加 [4] http://www.rtpro.yamaha.co.jp/rt/docs/relnote/rev.07.01/relnote_07_01_26.txt IPsec トンネルの外側 IPv4 ヘッダを構築する時に DF ビット値を指定できるコマンド [ 入力形式 ] ipsec tunnel outer df-bit MODE DF ビットは経路 MTU 探索アルゴリズムで利用されるが経路の途中に ICMP パケットをフィルタするファイアウォールなどがあるとアルゴリズムがうまく動作せず特定の通信相手とだけは通信ができないなどの現象になることがあるこの様な現象は経路 MTU 探索ブラックホール (Path MTU Discovery Blackhole) と呼ばれているこの経路 MTU 探索ブラックホールがある場合にはこのコマンドでそのような相手との通信に関して DF ビットを 0 に書き換えれば経路 MTU 探索は正しく動作しなくなるが通信できない状態を回避できる Rev.7.01.26: 機能追加 [5] http://www.rtpro.yamaha.co.jp/rt/docs/relnote/rev.07.01/relnote_07_01_26.txt IP マスカレード変換時に DF ビットを削除するかどうかの選択コマンド [ 入力形式 ] nat descriptor masquerade remove df-bit SW Rev.7.00.14 機能追加 [8] http://www.rtpro.yamaha.co.jp/rt/docs/relnote/rev.07.00/relnote_07_00_14.txt TCPのMSSを制限 / 調整するコマンド例 1) ip tunnel tcp mss limit auto [ 入力形式 ] ip INTERFACE tcp mss limit MSS 例 2) ip tunnel tcp mss limit 1240 ipv6 INTERFACE tcp mss limit MSS.. 141 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ip tunnel mtu コマンドの使い方 #1( 通常 ) 経路 MTU 探索が有効な端末間では最適な IP パケットサイズで通信される MTU = 1280 送信元 VPN tunnel 宛先経路 MTU 探索 ip tunnel mtu 1280 ( 通常 ) 経路 MTU 探索機能を持ったホストを想定経路 MTU 探索により経路 MTU=1280 として安定動作するパケット化イメージコマンド名 default 値設定値の範囲 ip pp mtu 1500 64~1500 ip lanx mtu 1500 64~1500 ip tunnel mtu 1280 64~1500 データ IP ESP IP データ IP 64~1280 暗号化複合化 142 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ip tunnel mtu コマンドの使い方 #2( 障害対策 ) MTU 調整機能が効かない環境ではスループット低下も止むを得ない MTU = 1500 送信元 VPN tunnel 宛先 ip tunnel mtu 1500 経路 MTU 探索機能を持たない一部ホストの障害回避 ( 通信不能など ) を想定例 ) 古い OS や端末, SmartBits, 入口の VPN ゲートウェイが暗号化後パケット (ESP など ) をフラグメントする出口の VPN ゲートウェイがパケットの再構築をするパケット化イメージデータ IP ESP IP データ IP 例 )64~1446 暗号化データ IP ESP#2 IP ESP#1 IP 例 ) 1447~1500 暗号化パケット分割例示した 1446 というサイズは環境に依存する数値です複合化データパケット再構築 & 複合化 143 LOCAL DEVELOPER DAY 11/infra (2011/12/3) IP

参考値 :RTX1000 の VPN スループット理論値に対する割合を意味する 100Mbps ではない RTX1000 VPN Throughput Fast Path/Normal Path (uni-directional) Rev 7.01.29 100 PPPoE + IPsec 辺り 80 Throughput [%] 60 40 20 0 0 256 512 768 1024 1280 1536 Frame size [byte] ip tunnel mtu=1280 (fast) ip tunnel mtu=1400 (fast) ip tunnel mtu=1446 (fast) ip tunnel mtu=1280 (norm) ip tunnel mtu=1400 (norm) ip tunnel mtu=1446 (norm) 144 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

MTU 関連の注意事項 (2004 年頃 ) TV 会議システムにおける MTU 調整 MTU : 1280 1400 TV 会議端末 VPN tunnel インターネット TV 会議端末 TV 会議システムなどは高精細画質を選択するとパケットサイズが大きくなることがあるこのとき VPN の MTU 値よりパケットサイズが大きくなるとスループット低下などが発生し画質が劣化する場合がある ip tunnel mtu コマンドで VPN(IPsec) の MTU 値調整を試みる例 ) VPN(IPsec) の MTU 値を 1400 バイトにする ip tunnel mtu 1400 145 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

フィルタリング機能静的フィルターと動的フィルターとポリシーベースフィルター

従来のパケットフィルタリング ----------< 外側インタフェース側 >---------- <IN 側 > 通過破棄静的フィルタ参照静的フィルタ定義静的フィルタ定義参照静的フィルタ破棄通過 ----------< 内側ルーティング側 >---------- <OUT 側 > [ 静的フィルタの問題点 ] TCP: 一方向性のestablishedフィルタの限界判断条件 )TCPフラグのうちACKとRSTのいずれかがセット UDP: 必要なポートは常に開けておく例 ) DNS NTP http://www.rtpro.yamaha.co.jp/rt/faq/ip-filter/ip-filter-established.html 147 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

従来のセキュリティフィルタ <IN 側 > ----------< 外側インタフェース側 >---------- 通過破棄静的フィルタ参照静的フィルタ定義静的フィルタ定義参照静的フィルタ破棄通過 ----------< 内側ルーティング側 >---------- <OUT 側 > # フィルタ定義例 (LAN 側ネットワークが192.168.0.0/24の場合 ) ip filter 10 reject 192.168.0.0/24 * * * * ip filter 11 pass * 192.168.0.0/24 icmp * * ip filter 12 pass * 192.168.0.0/24 established * * # tcpの片方向性を実現する仕組み ip filter 13 pass * 192.168.0.0/24 tcp * ident # メール転送などの時の認証 (ident) ip filter 14 pass * 192.168.0.0/24 tcp ftpdata * # ftpのアクティブ転送用 ip filter 15 pass * 192.168.0.0/24 udp domain * # DNSサーバへの問い合わせ ( 戻り ) ip filter source-route on ip filter directed-broadcast on # フィルタ適用例 ( 接続先のPP 番号が1の場合 ) pp select 1 ip pp secure filter in 10 11 12 13 14 15 http://www.rtpro.yamaha.co.jp/rt/faq/ip-filter/network-security-filter.html 148 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

静的セキュリティフィルタの設定例 # フィルタ定義例 (LAN 側ネットワークが 192.168.0.0/24 の場合 ) ip filter 10 reject 192.168.0.0/24 * * * * ip filter 11 pass * 192.168.0.0/24 icmp * * ip filter 12 pass * 192.168.0.0/24 established * * # tcp の片方向性を実現する仕組み ip filter 13 pass * 192.168.0.0/24 tcp * ident # メール転送などの時の認証 (ident) ip filter 14 pass * 192.168.0.0/24 tcp ftpdata * # ftp のアクティブ転送用 ip filter 15 pass * 192.168.0.0/24 udp domain * # DNS サーバへの問い合わせ ( 戻り ) ip filter source-route on ip filter directed-broadcast on # フィルタ適用例 ( 接続先の PP 番号が 1 の場合 ) pp select 1 ip pp secure filter in 10 11 12 13 14 15 http://www.rtpro.yamaha.co.jp/rt/faq/ip-filter/network-security-filter.html 149 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

TCP の established フィルタ telnet サーバ [TCP 通信開始 ] <SYN> <SYN+ACK> <ACK> [TCP 通信中 ] established [TCP 通信終了 ] telnet クライアント SYN 以外は ACK または RST がある established フィルタで対処できる PC [ 目的 ] 静的フィルタリングにより外部からの不必要な TCP 接続要求を破棄する [ 従来措置 ] 入り口で SYN のみパケットを破棄 established フィルタを適用 [ 悩み ] ACK つきパケットの攻撃をされたら [ 解決策 ] 動的フィルタリング利便性とセキュリティのトレードオフ http://www.rtpro.yamaha.co.jp/rt/faq/ip-filter/ip-filter-established.html 150 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ftp 通信のフィルタリング ftp のパッシブ転送 (PASV コマンド ) ftp のアクティブ転送 (PORT コマンド ) ftp server [*] [21] データ制御 established ftp server [20] [21] データ制御 [*] [*] [*] [*] ftp client ftp client [ 悩み ] ftp のアクティブ転送は外部からの tcp 接続が開始される通常であれば established フィルタで破棄される対象 ftp クライアント側は established フィルタでは十分とはいえない [ 解決策 ] 動的フィルタリング利便性とセキュリティのトレードオフ http://www.rtpro.yamaha.co.jp/rt/faq/ip-filter/ip-filter-established.html 151 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

UDP フィルタ (DNS や NTP) DNS 通信 (UDP 通信 ) [ 悩み ] DNS サーバー [UDP 通信 ] < 問い合わせ > DNS リゾルバー UDPはシンプルな通信であるためチェック機能がほとんど無い < 応答 > PC UDP 通信を許可するためには応答パケットを常に通過させる必要がある NTP サーバー NTP 通信 (UDP 通信 ) [UDP 通信 ] < 問い合わせ > NTP クライアント [ 解決案 ] 動的フィルタリング利便性とセキュリティのトレードオフセキュリティ的に強固な < 応答 > PC 代理サーバを用意する http://www.rtpro.yamaha.co.jp/rt/faq/ip-filter/ip-filter-established.html 152 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

動的フィルタリングの特徴 [ 目的 ] 安全性を確保したフィルタリング設定の難しさの解消静的フィルタリングの弱点を補完し利便性とセキュリティを両立するしくみの提供動的フィルタリングを加えることによりさらに安全性を高める [ 静的フィルタリングの弱点 ] 安全性と安定性を確保した十分なフィルタリングを行うためには高度な知識が求められる ftp 通信のフィルタリングにおける安全性 UDP 通信のためのフィルタの安全性 TCP 通信のためのestablishedフィルタの安全性 153 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

TCP の動的フィルタ ( 基本動作 ) < 外側 > < 内側 > < 通信路 > telnet サーバ [TCP 通信開始 ] <SYN> <SYN+ACK> <ACK> [TCP 通信中 ] established telnet クライアント PC [ 開くトリガー ] コネクションを開くSYN 情報を持ったパケット [ 確立の監視 ] TCPコネクションを開始するハンドシェイクの監視 [ 閉じるトリガー ] コネクションを閉じるFINや RSTなどの情報を持ったパケット無通信監視( タイマ ) [TCP 通信終了 ] FIN や RST 154 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

UDP の動的フィルタ ( 基本動作 ) NTP サーバー NTP 通信 (UDP 通信 ) [ 開くトリガー ] [UDP 通信 ] < 問い合わせ > NTP クライアント該当パケット [ 閉じるトリガー ] タイマーの満了 < 応答 > PC DNS サーバー DNS 通信 (UDP 通信 ) [UDP 通信 ] < 問い合わせ > < 応答 > DNS リゾルバー PC [DNSの処理] 問い合わせパケットに対して必ず応答パケットがあるタイマー管理に加えて応答パケットの到着で閉じる 155 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

セキュリティレベル ( ネットボランチのセキュリティ強度の選択機能 ) セキュリティレベル 1 2 3 4 5 6 7 予期しない発呼を防ぐフィルタ NetBIOS 等を塞ぐフィルタ ( ポート番号 :135,137,138,139,445) プライベートアドレスのままの通信を禁止するフィルタ静的セキュリティフィルタ ( 従来のセキュリティフィルタ ) 動的セキュリティフィルタ ( 強固なセキュリティフィルタ ) 156 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ファイアウォールの構造 ----------< 外側インタフェース側 >---------- 通過 <IN 側 > 静的フィルタ定義動的フィルタ定義動的フィルタ静的フィルタ通過動的フィルタ監視破棄参照登録動的フィルタコネクション管理テーブル登録参照破棄動的フィルタ監視通過静的フィルタ動的フィルタ動的フィルタ定義静的フィルタ定義通過 <OUT 側 > ----------< 内側ルーティング側 >---------- http://www.rtpro.yamaha.co.jp/rt/docs/firewall/index.html 157 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

一部の通信路を塞ぐ 1 ----------< 外側インタフェース側 >---------- 通過 <IN 側 > 2 静的フィルタ定義動的フィルタ定義動的フィルタ静的フィルタ通過動的フィルタ監視破棄参照登録動的フィルタコネクション管理テーブル登録参照破棄動的フィルタ監視通過静的フィルタ動的フィルタ動的フィルタ定義静的フィルタ定義通過 <OUT 側 > ----------< 内側ルーティング側 >---------- 158 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

静的セキュリティフィルタ 1 ----------< 外側インタフェース側 >---------- 通過 <IN 側 > 2 静的フィルタ定義動的フィルタ定義動的フィルタ静的フィルタ通過動的フィルタ監視破棄参照登録動的フィルタコネクション管理テーブル登録参照破棄動的フィルタ監視通過静的フィルタ動的フィルタ動的フィルタ定義静的フィルタ定義通過 <OUT 側 > ----------< 内側ルーティング側 >---------- 159 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

http://www.rtpro.yamaha.co.jp/rta54i/screenshot/40310/security-level5.html 設定例 #1 ( 静的セキュリティフィルタ ) 入出 # 静的フィルタの定義 ip filter 00 reject 10.0.0.0/8 * * * * ip filter 01 reject 172.16.0.0/12 * * * * ip filter 02 reject 192.168.0.0/16 * * * * ip filter 03 reject 192.168.0.0/24 * * * * ip filter 10 reject * 10.0.0.0/8 * * * ip filter 11 reject * 172.16.0.0/12 * * * ip filter 12 reject * 192.168.0.0/16 * * * ip filter 13 reject * 192.168.0.0/24 * * * ip filter 20 reject * * udp,tcp 135 * ip filter 21 reject * * udp,tcp * 135 ip filter 22 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 23 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 24 reject * * udp,tcp 445 * ip filter 25 reject * * udp,tcp * 445 ip filter 26 restrict * * tcpfin * www,21,nntp ip filter 27 restrict * * tcprst * www,21,nntp ip filter 30 pass * 192.168.0.0/24 icmp * * ip filter 31 pass * 192.168.0.0/24 established * * ip filter 32 pass * 192.168.0.0/24 tcp * ident ip filter 33 pass * 192.168.0.0/24 tcp ftpdata * ip filter 34 pass * 192.168.0.0/24 tcp,udp * domain ip filter 35 pass * 192.168.0.0/24 udp domain * ip filter 36 pass * 192.168.0.0/24 udp * ntp ip filter 37 pass * 192.168.0.0/24 udp ntp * ip filter 99 pass * * * * * # 接続先のフィルタの入力 (IN) と出力 (OUT) の適用 pp select 1 ip pp secure filter in 00 01 02 03 20 21 22 23 24 25 30 31 32 33 35 ip pp secure filter out 10 11 12 13 20 21 22 23 24 25 26 27 99 [ 条件 ] ネットボランチ RTA54i プロバイダ接続設定のセキュリティレベル5 入出 # 動的フィルタの定義 ip filter dynamic 80 * * ftp ip filter dynamic 81 * * domain ip filter dynamic 82 * * www ip filter dynamic 83 * * smtp ip filter dynamic 84 * * pop3 ip filter dynamic 98 * * tcp ip filter dynamic 99 * * udp 160 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

動的セキュリティフィルタ静的フィルタ定義動的フィルタ定義 5 ----------< 外側インタフェース側 >---------- 通過 <IN 側 > 1 3 動的フィルタ動的フィルタ監視参照 4 登録静的フィルタ通過動的フィルタ監視破棄登録動的フィルタコネクション管理テーブル参照破棄通過静的フィルタ動的フィルタ動的フィルタ定義静的フィルタ定義 2 通過 <OUT 側 > ----------< 内側ルーティング側 >---------- 161 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

http://www.rtpro.yamaha.co.jp/rta54i/screenshot/40310/security-level7.html 設定例 #2 ( 動的セキュリティフィルタ ) 入出 # 静的フィルタの定義 ip filter 00 reject 10.0.0.0/8 * * * * ip filter 01 reject 172.16.0.0/12 * * * * ip filter 02 reject 192.168.0.0/16 * * * * ip filter 03 reject 192.168.0.0/24 * * * * ip filter 10 reject * 10.0.0.0/8 * * * ip filter 11 reject * 172.16.0.0/12 * * * ip filter 12 reject * 192.168.0.0/16 * * * ip filter 13 reject * 192.168.0.0/24 * * * ip filter 20 reject * * udp,tcp 135 * ip filter 21 reject * * udp,tcp * 135 ip filter 22 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 23 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 24 reject * * udp,tcp 445 * ip filter 25 reject * * udp,tcp * 445 ip filter 26 restrict * * tcpfin * www,21,nntp ip filter 27 restrict * * tcprst * www,21,nntp ip filter 30 pass * 192.168.0.0/24 icmp * * ip filter 31 pass * 192.168.0.0/24 established * * ip filter 32 pass * 192.168.0.0/24 tcp * ident ip filter 33 pass * 192.168.0.0/24 tcp ftpdata * ip filter 34 pass * 192.168.0.0/24 tcp,udp * domain ip filter 35 pass * 192.168.0.0/24 udp domain * ip filter 36 pass * 192.168.0.0/24 udp * ntp ip filter 37 pass * 192.168.0.0/24 udp ntp * ip filter 99 pass * * * * * [ 条件 ] ネットボランチ RTA54i プロバイダ接続設定のセキュリティレベル7 入出 # 動的フィルタの定義 ip filter dynamic 80 * * ftp ip filter dynamic 81 * * domain ip filter dynamic 82 * * www ip filter dynamic 83 * * smtp ip filter dynamic 84 * * pop3 ip filter dynamic 98 * * tcp ip filter dynamic 99 * * udp # 接続先のフィルタの入力 (IN) と出力 (OUT) の適用 pp select 1 ip pp secure filter in 00 01 02 03 20 21 22 23 24 25 30 32 ip pp secure filter out 10 11 12 13 20 21 22 23 24 25 26 27 99 dynamic 80 81 82 83 84 98 99 162 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

フィルターってレイヤー概念がある ( のでは?) 設定概念ポリシーフィルターポリシー単位? 通信路 ( を管理する ) より抽象化されている ip/ipv6 policy filter コマンドなど動的パケットフィルタリング ( ステートフルインスペクション ) コネクションやセッション単位双方向のパケット通信を管理する ip filter dynamic コマンドなど静的フィルタリング IP パケット 1 個単位 TCP/UDP の 5 個組み単方向のパケットを管理する ip filter コマンドなど 163 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

SRT100 の自動生成ポリシー 1 2 3 Global 2 VPN LOCAL SRT100 Private 3 LAN1 1 164 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ポリシーフィルター説明用構成図注目ポリシー [LAN1 LAN2] FTP,WWW,Mail は許可しそれ以外は禁止する The The internet LAN2 ポリシーフィルター LAN1 SRT100 165 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ポリシー定義例 ( 基本パターン ) SRT100 Global 2 LAN2 Private 1 3 LAN1 LOCAL 1 社内 LAN からインターネットへのアクセスは Web 閲覧メール利用だけに制限する 2 インターネットから社内 LAN へのアクセスは原則禁止する 3firewall 装置は社内 LAN だけに情報を出力する 166 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

基本パターンの SRT100 ポリシー設定画面 1 2 3 [ 適用ルール ] 上から順番に処理される 1 段低い階層は例外条件として処理されるフィルタ動作は破棄を赤色通過を緑色 167 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

ポリシー選択 168 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

VPN+ ポリシー選択 169 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

RTX1100/RT107e のパケット処理構造 egress インターネットインターネット ingress ingress filter cf.rfc3704 WAN NAT(WAN 側 ) NAT(WAN 側 ) ファイアウォール機能 (WAN) ルーティングファイアウォール機能 (LAN) NAT(LAN 側 ) ファイアウォール機能 (WAN) ルーティングファイアウォール機能 (LAN) NAT(LAN 側 ) egress filtering cf.netbios 等 LAN 入力と出力が対称 170 LOCAL DEVELOPER DAY 11/infra (2011/12/3)

SRT100 のパケット処理構造 egress インターネットインターネット ingress ingress filtering cf.rfc3704 WAN NAT(WAN 側 ) ポリシーフィルタールーティング NAT(LAN 側 ) 入力遮断フィルター不正アクセス検知 NAT(WAN 側 ) ルーティングポリシーフィルター NAT(LAN 側 ) 不正アクセス検知入力遮断フィルター LAN egress filtering cf.netbios 等入力と出力が非対称 171 LOCAL DEVELOPER DAY 11/infra (2011/12/3)