y2blog

FLET’Sクロス対応の10Gルータを検討してみる

FLET’Sクロス回線を引いてみたものの、肝心の10Gのインタフェースを持つ堅牢で安定的な本番用ルータをまだ持ち合わせていない．とりあえず手持ちのBanana Pi R4とOpenWRTを用いた簡単なテスト（VNEサービスはアルテリアのXPass）で、IPv6ネイティブ状態（IPv4の通信は未計測）ではあるが、スピードサイト計測で3.6Gbps程度出ていたので、OpenWRTとBanana Pi R4の組み合わせでもそこそこ実用的なスピードが得られそうな感じだ．

OpenWRTとBanana Pi R4の組み合わせで安定した環境と楽な運用ができるのであれば申し分ないのだが、OpenWRTの設定はとても複雑で、どのようなパッケージ導入してどのような設定を行えば良いのかは専門家でも難しいだろう．ネット上から情報を拾い集めて、自分のやりたいことを実装出来るようになるまでには、相当な試行錯誤と時間が必要だろう．

OpenWRTによる実装については、今後もう少しOpenWRTが使いこなせるようになった段階でまた言及したいと思うが、とりあえずもう少し現実的な選択肢として、市販の業務用ルータを用いてインターネット接続用の10Gルータを構築することを検討することにする．

NEC IXシリーズ

ルータとしての実績や安定性･機能的な面からはNECのIXシリーズが最有力候補なのだが、10Gインタフェースを備えたモデルはあまり選択肢がなく、従来から販売されているセンター集約タイプのIX3315、比較的新しいIX2310シリーズだろう．昨年からはハードウェアやファームウェアを一新したIX-R2530シリーズが発売されている程度だ．

IX3315はオークションサイトなどで比較的安価に入手可能だが、1Uフルサイズで掃除機並みの爆音ファンなので、とても一般家庭に設置できる代物ではない．ファンを静音タイプに換装して人が常駐していない場所に設置すれば何とか実用となるレベルだろう．筐体が1Uサイズなので搭載しているファンは40mmサイズとなるので、安定した風量を確保するためにはファンの回転数が10,000RPMを超えるような状態となってしまう．筐体全体を冷やすファンが2個、電源モジュール部分に2個（電源ユニットが冗長化されている場合はそれぞれ2個ずつ）なので、NoctuaのNF-A4x20に交換するだけで、諭吉さんクラスの出費となってしまうのがちょっと辛いかも．

SFP+インタフェースが必要なければ、小型でもっと音の静かな（IX3315に較べれば）IX2310やIX-R2530ということになる． IX2310やIX-R2530は1Uハーフサイズではあるが、ファンの騒音はそれなりに発生（IX2310 : 50dB以下, IX-R2530: 35dB,高温時45dB以下)するので、やはりファン換装が必要だろう．

IX2310, IX-R2530の中古はまだ出回っていないので新品を購入するしか選択肢がないが、IX2310で24〜25万円程度、IX-R2530でも14万円程度はするので、金銭面ではIX3315の中古を入手（7〜10万円程度）して自分でファン換装を行うのが現実的だろう．IX2310はマルチギガポートが4つ、IX-R2530にはマルチギガポートが2つと1Gスイッチポートが4つあるが、何れもSFP+ポートがないのが残念なところだ．

IX3315のハードウェアスペックを覗いてみると、使用されているCPU(SoC)は NXPの QorIQ communication processor で、ARM Cortex A-53コアがベースとなっている物の様だ．ハードウェアベースのIPSecエンジンを搭載しているので、CPU自体にはそれ程負荷が掛からないのだろう．具体的なコア数については記載が無いが、CPUの性能自体はBanana Pi-R4 に搭載されている MediaTek Filogic 880 チップの方が良さそうだ．OpenWRTをBanana Pi-R4用にカチカチにチューニングするこどが出来ればかなり高性能なルータを実現できそうだ．

YAMAHA RTX1300

一般家庭?用の10GルータとしてはNECのIXシリーズよりもYAMAHAのRTX1300の方がメジャーな存在だが、最近どんどん値上がりしているの（発売開始当時　税込 217,800円、現在　税込　264,000円）で、新品を購入する場合は15〜18万円程度を見込んでおく必要がある．

私は仕事場でRTX1300を2台組み合わせてL2延伸（L2TPv3）用に使用しているが、特に大きなトラブルも発生していないので、一般家庭用としてはこちらの方が導入し易いのではないかと思う．静かな部屋ではファンの騒音は気になるかもしれないが、騒音が気になる場合は静音ファンに換装すれば良いだろう．

RTX1300の上位機種としてRTX3510があるがこちらはIX3315などと同じセンター集約用のルータで、値段も定価ベースで884,400円(税込)なので、性能もRTX1300と大差なさそうなので、あえてこの機種を導入するメリットはないだろう．

RTX1300の主な用途としては店舗や小規模事業所などでインターネット回線を利用してIPSec等によるVPN接続を行い、本社や事業所などとの間でセキュアなネットワークを構築することをターゲットにした製品の筈だが、何故か家庭用の中途半端で使い道のないGUIインタフェース機能が導入されている．ダッシュボードや管理機能以外は殆ど意味の無い無駄な機能なので、このGUI機能を省いてその分リソースを本来の機能向上に使って欲しい．業務用のルータに無駄なGUIは不要だ．

Fortigateシリーズ 【中古品の入手は要注意！！！】

NECやYAMAHAのルータ以外の選択肢として、スモールビジネス拠点用の業務用ルータとしてFortigateシリーズが数多く導入されている．オークション市場で出回っている業務用ルータとしてはこのFortigateシリーズがダントツで多い．Fortigateシリーズはルータ機能だけではなく、高度なファイアウォール機能やUTM機能を兼ね備えているので、セキュリティーが重要な現場での拠点用ルータとしてメジャーな存在だ．

オークション市場で出回っているFortigateで一番多い機種はFortigate 60Fであるが、Fシリーズ（Fortigateは世代によって D,E,F,G… のように機種名の最後にアルファベット文字が付いている）であるが、10Gbps対応の製品としては、Fortigate 90G、Fortigate 100シリーズ以降の上位機種を選ぶ必要がある．

オークションで出品されているFortigateシリーズの大部分は保守期限が完全に切れており、機器の値段も異常に安い物が沢山出回っている．間違っても値段の安い保守期限切れ商品に手を出してはいけない．保守契約期限切れのFortigateはWindows10の保守切れよりも質が悪い．

保守契約期間がまだ残っている場合は、その残存期間に応じて値段が高くなる傾向があるが、多少値段が高くなってもできるだけ保守の残存期間が長いものを入手するようにして欲しい．保守契約切れ品はセキュリティーパッチやファームウェアのアップデートが一切出来ないので、インターネットに晒すルータとして使うことは自殺行為に等しい．特にFortigateのVPN機能はセキュリティーホールが多く、常に最新版のファームウェアを使っていないとVPN経由で侵略される確率が非常に高くなる（狙われやすい）ので、VPNを使う際は最新の注意が必要だ．

Foritgate製品は正規の販売代理店経由で直接購入した場合は、ForticareやUTMのライセンス更新手続きは期限が切れる数ヶ月前までに手続きを行えば問題ないが、一旦ライセンスが切れてしまうた後でライセンス更新を行う場合は、ライセンス切れとなった過去の時点まで遡って追加費用を払わないといけないので注意すること．

Fortigateをオークション等で購入した場合は、事実上ライセンスの更新は出来ないと思って欲しい．中古機を購入したユーザがライセンスを更新するには、正規の販売代理店を通した更新手続きが必要で、以前のオーナーからFortigateライセンスの委譲手続きが必要となるようだ．正規の販売代理店が 直接仲介する中古物品でも無い限り、Fortigateのライセンス更新は無理ということだ．

正規の販売代理店から購入した場合でも、保守契約等の更新手続きでは機種のシリアル番号や組織の細かな情報や連絡先が必要で、結構面倒な手続きが必要なので、なるべくなら出入りの信頼できる業者を通じてFortigateを購入するのが無難だ．

スモールビジネスの現場でのFortigateは実績豊富で、専任のIT管理者が居ないような現場でも導入しやすいのだが、最大の欠点はFortigateの販売方法が非常に嫌らしく、ハードウェア保守･ソフトウェア保守（UTMライセンス）に加入し続けていないと、実用的に使い続けられない仕組みになっていることだ．保守契約が無いとファームウェアのセキュリティーパッチすら入手できないという最悪の形態だ．

セキュリティー対策の要で有る筈のForigate自身がセキュリティーホールを沢山抱えているという困った問題（ミイラ取りがミイラになってしまう問題）に対処するには、常に最新のセキュリティーパッチを充て続けていなければならない．保守契約がない状態でForigateを使い続けるのは自殺行為に等しい．

Fortigateの最大の問題は保守契約やUTMライセンスの更新料金がものすごく高額なことだ．Fortigateのユーザは初期導入時に数年分の保守ライセンスやUTMライセンスが含まれたバンドルパックで一括導入するパターンが多いが、導入してから数年後に保守費用やUTMライセンスの更新問題に直面することになる．

このライセンス更新費用があまりにも高額なので、ライセンス更新そのものを断念してForigate以外の別なソリューションに切り替えるか、或いは性能が向上している同じForigateの新しい製品を導入し直す（この方が現実的）という選択肢しかない．

大部分のユーザはベンダーやシステムインテグレータの薦めでFortigateを導入するが、機器費用と数年分のバンドルパックライセンス、システム構築費用を含めた状態で初期導入していることが多く、この時点では、エンドユーザ側では数年後のライセンス更新時の費用の事は見えていないことが多い．

ベンダーやシステムインテグレータ側も敢えてこの更新費用の問題をエンドユーザ側に知らせていないのではないかと勘ぐりたくなる．ベンダーやシステムインテグレータ側にとっては導入先が数年後に新しい機種に乗り換えてくれると、ハードウェアやUTMライセンスの販売利益だけではなくインテグレーション費用も再度請求できるので実に美味しい商売だろう．とても上手い（ある意味悪質な）ベンダロックインと言えるだろう．

オークションサイトに流れている大量のFortigateシリーズはこのような事情により企業が仕方なく手放した物が殆どだ．

Fortigateのライセンス問題は頭の痛い問題だが、Fortigateがスモールビジネスの現場で使われている理由の一つとして運用管理のし易さが挙げられる．FortigateシリーズのファームウェアOS(Forti OS）はCLIレベルでは非常に癖のある扱いにくい物だが、WEB管理コンソールのGUIは出来が良く、ネットワーク専門のSEさんでなくてもファイアウォールポリシーの設定などの日常の運用が何とかできそうなレベルだ．

Fortigateの保守費用やUTMライセンス費用が問題とならないのであれば、小規模拠点や事業所などでのインターネット接続ルータ（兼ファイアウォール）としてのFortigateの導入は良いソリューションだと思う．特に『一人情シスさん』にとっては、Forigateは管理しているネットワークをある程度見える化することが可能な有力なツールとなることだろう．

日本ではNTT系列のFLET’Sサービスという独自の光通信サービスが普及してしまったため、CiscoやJuniperなどの海外のメジャーベンダーから取りこぼされてしまっていたが、Fortigateシリーズでは、現時点での最新OS系列（ Forti OS 7.6.x ）から、日本の大部分のVNE事業者のIPoEサービスに対応できるようになっている．

Fortinet社がIPoE関係の設定資料をPDFドキュメントとして公開されているので、ForigateをIPoE環境で使う場合は目を通しておくと良いだろう．

[ OCN光IPoEサービス ]

　･『FortiGate IPoE 設定ガイド: OCN光IPoEサービス編 （フレッツ光ネクスト対応版）』　Version 1.05 2025年7月
　･『FortiGate IPoE 設定ガイド：OCN光IPoEサービス編　（フレッツ光クロス対応版）』　Version 1.07 2025年7月

[ アルテリアネットワークス　XPass（クロスパス）サービス ]

　･『FortiGate IPoE設定ガイド：　クロスパス 固定IPサービス　』　Version 1.0.0 2022年5月
　･『FortiGate IPoE設定ガイド：　クロスパス 固定IPサービス（フレッツ光クロス対応 編）』　Version 1.0 2025年8月

[ インターネットマルチフィード　transix (DS-Lite）サービス　]

　･『FortiGate IPoE設定ガイド：　transix DS-Liteサービス編　』　Version 1.02 2025年3月
　･『FortiGate IPoE設定ガイド：　transix 固定IPサービス編　』　Version 1.02 2025年3月

[ JPIX　v6プラス サービス ]

･『FortiGate IPoE 設定ガイド：　JPIX 「v6 プラス」固定IPサービス編　』　Version 1.02 2025年1⽉
･『FortiGate IPoE 設定ガイド：　JPIX 「v6 プラス」 固定 IP サービス編　（光クロス対応版）』　Version 1.00 2025年1⽉