仙石浩明の日記

2012年9月4日

個人でも気軽に買える安価なスマートスイッチ GS108E (IEEE 802.1Q タグVLAN 機能付) を使ってみた 〜 UCOM光 マンション全戸一括タイプの戸内配線上にプライベートネットワークを構築 hatena_b

先日、 UCOM光 マンション全戸一括タイプが導入されているマンションに引っ越した。 各部屋に LAN コンセントがあり、 UTPケーブルをつなぐだけでインターネットに接続できる。 USENのスピードテストで測定したところ、 50Mbps 以上の通信が可能であるようだ。 個人ユースであれば充分な帯域。

     UCOM
       │
       │
   ┌───┴───┐
   │ マンションの│
   │  ルータ  │
   └┬┬┬┬┬┬┬┘
┌───┘│││││└───┐
│ ┌──┘│││└──┐ │
│ │ ┌─┘│└─┐ │ │
: : :  │  : : :
 各戸へ   │   各戸へ
       │
    ┌──┴──┐
    |各戸のハブ| /29
    └┬─┬─┬┘
   ┌─┘ │ └─┐
   │   │   │
   ↓   ↓   ↓
  各部屋の LAN コンセント

各戸に半固定な /29 グローバル IP アドレス空間 (つまり 8個の IP アドレス) が割当てられていて、 LAN コンセントに PC 等をつなぐと、 マンション内に設置されたルータが DHCP でグローバル IP アドレスを配布する。 8個のアドレスのうち、 1個はこのルータが使い、 ネットワークアドレス (下位 3ビットが 000) とブロードキャストアドレス (下位 3ビットが 111) は配布されないので、 実際に配布されるのは (下位 3ビットが 010 〜 110 の) 5個のアドレスのみ (IPv4 アドレスが枯渇している昨今、 3/8 を無駄にするのはいかがなものか?)。

UCOM に問合わせたところ、 各戸のハブ (以下、ここでは 「戸ハブ」 と呼ぶ) は、 浴室の天井裏に設置されているらしい。 また、 各戸に割当てられるグローバルアドレスは、 通常は変化せず (機器構成の変更等で変わる可能性がある)、 全てのパケットはフィルタリングせずに届けられるらしい。

インターネット上の任意のホストから任意の通信が可能であるわけで、 (特に XP 以前の脆弱な) Windows マシン等を LAN コンセントに直結するのは、 セキュリティ上あまりよろしくない (有料オプションで、セキュリティ対策サービスがあるらしい)。 また、 5台以上の PC をつなぎたい場合もあるだろう。 特に UCOM光電話を使う場合は、 IP電話アダプタがアドレスを一つ使う (使わずに済ませる方法) ので、 残り 4個になる。 フツーの家庭でも 4個では足らなくなるのでは? もちろん私の場合は 12個でも足らない。;-)

普通は、 PC を LAN コンセントに直結してグローバルアドレスを使うのではなく、 NAT 機能付ルータ (無線LAN ルータ等) を LAN コンセントにつないで、 PC にはプライベートアドレスを割当てることになるだろう。 各部屋で有線LAN を使いたい場合は、 各部屋にルータ (以下、 「部屋ルータ」 と呼ぶ) を用意して PC をつなぐことになる。

UCOM によると、 マンションによっては、 戸ハブの代わりにルータを各戸に設置して、 プライベートアドレスを配布しているケースもあるとか。 セキュリティを気にするのであれば、 戸ハブをルータと交換してもらっても構わないとまで言っていたが、 私はグローバルアドレスを使いたいので、 現状の仕様のほうが嬉しい。

ところが、 この方法だと各部屋の LAN は互いに異なるプライベートネットワークになってしまい、 異なる部屋 (そういくつも部屋があるわけでもないのだが ^^;) の PC と通信したいとき困る (居間にサーバを置くのは無粋なので、 ネットワークメディアプレーヤを使う場合とか)。 各部屋ルータの間で VPN を張って、 各部屋のプライベートネットワークを一つにする方法もあるが、 VPN のオーバヘッドがモッタイナイ。

もちろん、 部屋間に (廊下などに) UTP ケーブルを這わせれば済む話だが、 美観上好ましくないのと、 私の場合は購入ではなく賃貸で借りたマンションなので、 むやみにケーブルを配線するのも憚られる。 各LAN コンセントは、 壁裏配線を介して同じ戸ハブ (天井裏の写真 ↓ ダムハブ ^^;) につながっているのだから、 一つの LAN コンセントからパケットを送れば、 他の LAN コンセントに届く。 マンションのルータは当然 IP パケットの発信元/宛先アドレスをチェックしているだろうから、 発信元/宛先アドレスがプライベートアドレスなら外部へは出さないだろう。

Baffalo Dumb Hub

したがって、 グローバルアドレスなパケットに対してはルータとして、 プライベートアドレスなパケットに対してはブリッジとして機能するブルータを、 部屋ルータとして用いればよい。 ただし、 一般に売られている安価なルータにブルータの機能を求めるのは無理がある。 Linux マシンを使えばブルータを実現するのは容易だが、 各部屋 (特に寝室) で Linux マシンを 24時間稼働させるのはいかがなものか。

もっと安易に、 各PC を LAN コンセントにそのまま (あるいはハブを介して) つなぎ、 PC にはプライベートアドレスを割当てる方法もありそう。 あらかじめ 5個のグローバルアドレス全てを使いきってしまえば (例えば各グローバルアドレスを持った PC を前もってつないでおく)、 マンションのルータが (新たにつないだ) PC にグローバルアドレスを割当てることを防ぐことができる。 そして、 プライベートアドレスを配布する DHCP サーバを動かしておけばよい。 プライベートアドレスを割当てられた PC 同士は、 異なる LAN コンセントにつながれていても、 戸ハブ経由で通信できる。

ただしこの方法は、 PC にグローバルアドレスが割当てられてしまうことを完全には防げない。 なんらかのトラブルによりグローバルアドレスを使いきれない状態が生まれると、 そのとき LAN コンセントにつないだ PC には、 グローバルアドレスが割当てられてしまう。 グローバルアドレスが割当てられても、 (当然) フツーに通信できるわけで、 ユーザはグローバル空間に晒されていることに気付かない。 セキュリティ的にかなり好ましくない事態と言える。

各部屋にブルータ (という名の Linux マシン) を配置するしかないのか? と思っていたら、 タグVLAN (IEEE 802.1Q) 機能を持った安価なスイッチングハブを見つけた。 タグVLAN は業務用のインテリジェントスイッチでないと使えないと思っていたが、 1万円以下 (6400円) で買えるとわ... 思わず e-TREND で衝動買い。

本当は 5ポートの GS105E を買いたかったが、 日本では入手するのが難しそう。 8ポートの GS108E なら、 e-TREND の他、 NTT-X Store などでも送料込 6400円で購入できる (どちらのショップも 「在庫なし」 と表示されるが、 私が e-TREND に注文したときは 1週間程度で届いた)。

タグVLAN 機能付ハブを使えば、 ブルータよりもっとスマートにプライベートネットワークが実現できる。 つまり、 部屋間のプライベート通信はタグを付けて行なう。 戸ハブは (ダムハブなので) タグの有無にかかわらずなんでも中継してくれるし、 マンションのルータはタグ付パケットを無視する。

GS108E-living

GS108E を 3個購入し、 各部屋 (便宜上、ここでは居間、寝室、書斎とする) に配置する (写真 → は、居間に設置した GS108E, その上に置いてあるのは無線LAN AP, 左は IP電話アダプタ)。

VLAN ID 1 をグローバルネットワークに、 VLAN ID 2 をプライベートネットワークに使うことにする。 各 GS108E のポート 01 には、 各部屋の LAN コンセントをつなぎ、 VLAN ID 1 をタグ無しで、 VLAN ID 2 をタグ付で流す。 ポート 04 〜 08 は、 プライベートネットワーク専用ということにして、 VLAN ID 2 のみをタグ無しで流す。

グローバルネットワークに接続する必要があるのは、 グローバルアドレスをプライベートアドレスへ変換する部屋ルータ (という名の Linux サーバ) と、 IP電話アダプタ (UCOM光電話) のみ。 前者 (部屋ルータ) は書斎にある。 部屋ルータは、 グローバルとプライベートの両方のネットワークに接続する必要があるが、 幸い Linux はタグ付パケットを扱えるので、 単一の NIC で両方のネットワークに接続できる。 書斎の GS108E のポート 02 に部屋ルータをつなぎ、 ポート 01 と同様、 VLAN ID 1 をタグ無しで、 VLAN ID 2 をタグ付で流す。 書斎に他の PC が無ければ、 部屋ルータを LAN コンセントに直接つないでもよい。

後者 (IP電話アダプタ) は居間にある。 IP電話アダプタはグローバルネットワークにだけつなげればよいので、 居間の GS108E のポート 02 にIP電話アダプタをつなぎ、 VLAN ID 1 をタグ無しで流す。 急遽グローバルネットワークに接続したい機器が増えた場合に備えて、 ポート 03 にも VLAN ID 1 をタグ無しで流す (つまりグローバルネットワーク専用) 設定にした。

GS108E-living VLAN config

タグVLAN は、 一本のケーブル上に複数のネットワークを同居させることができる便利な規格。 ケーブルを何本も這わすことが (美観上の理由で) 難しい家庭でこそ必要な機能なのに、 普及価格帯のハブでタグVLAN をサポートしているのは (私が知る限り) GS105EGS108E のみ。 タグVLAN 機能を持った安価なスマートスイッチが増えることを願ってやまない。

Filed under: システム構築・運用 — hiroaki_sengoku @ 11:40

2 Comments

  1. ProSafe Plus 設定ユーティリティが以下のエラーを表示して GS108E / GS116E を見つけることができなくなることがあります:

    | Web サービス
    | サーバと通信中にエラーが生じました。エラーメッセージ:HTTP request error

    対処方法はこちらを参照してください。

    Comment by 仙石浩明 — 2013年3月19日 @ 22:19

  2. VLAN ID 1 は (やっぱり) 鬼門だった!

    この記事にあるように、自宅の LAN は、タグVLAN を使っているのですが、対外セグメントの VLAN ID を 1 にしていました。

    VLAN ID 1 は (なにかと) 問題を起こす機器が多いので避けたほうが無難と言われますが、そんなに多種多様な機器があるわけじゃない (なにせ家庭内の LAN ですから) ので大丈夫だろうと VLAN ID 1 のまま使っていました。

    ところが! 昨今のスマホの普及でマンションの住民の中にネットを使う人が激増したせいか、マンション内のグローバルIP アドレスが枯渇気味になってきました。マンションのルータから DHCP でグローバルIP アドレスが割り当てられるわけですが、各戸グローバルIP アドレス 5個までという制限がより厳格に適用されるようになったのです。

    わたし的には最大 5個しか使ってないつもりなのですが、マンションのルータはそう思ってくれないらしく、対外サーバを (メンテなどで) いったん外し、1時間くらいたってから再度つなぐと、グローバルIP アドレスを割り当ててもらえないという事態が頻発しました。

    酷いときは、DHCP のリース時間の更新ができずに、運用中の対外サーバがグローバルIP アドレスを失うケースさえありました。

    いったいどの機器が余計にカウントされて 5個制限にひっかかっているのか? あるいは、単にマンションのルータのバグで、DHCP リクエストに応答しなくなってるだけなのか?

    前者なら、余計にカウントされている機器を外せばいいだけですが、あいにく全く心当たりありません。DHCP リクエストを出している機器は (最大) 5個しかないハズなんです。

    後者の可能性が濃厚だったので、マンションのネットの管理を担当している会社に電話をかけて相談してみたのですが、(予想通り) あまり技術に詳しくない人が対応するばかりで全く埒が明きません。

    グローバルIP アドレスを失ったときは、天井裏を開けて、アップリンクのイーサケーブルを外せばグローバルIP アドレスの再割当が行われるので、手間ではあるのですが致命的ではないので、半ば諦めつつ放置状態でした。

    で、昨日ふと、そーいえば VLAN ID 1 は鬼門だったなぁと思って、ダメ元で対外セグメントの VLAN ID を 10に変更してみました。すると… いままで意固地なまでに DHCP リクエストに反応してくれなかったマンションのルータが、あっさりグローバルIP アドレスを割り当ててくれるようになったのです!

    教訓: VLAN ID 1 は避けるべし

    Comment by hiroaki_sengoku — 2018年11月6日 @ 13:32

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.