大阪市の夜景


Date/Time: 2007:04:03 21:05:30
Camera: Panasonic
Model: DMC-LX2
Exporsure Time: 1/1
FNumber: 2.8
Aperture Value: 3.0
Focal Length: 6.3

Close

y2blog » ちょっと残念な仕様のNetgear GS108-Tv3 スイッチ

5

15

2020

ちょっと残念な仕様のNetgear GS108-Tv3 スイッチ

クラウド接続でしか管理できないスイッチなんて...


GS108Tv3
『アプリ&クラウド対応 スマートスイッチ』と称する NetGear GS108-Tv3スイッチ

我が家のNWは複数台のルータやNWスイッチの組み合わせによる少し複雑なNWが組まれている.仕事の関係でエンタープライズ系ITシステムに携わることが多いので、ネットワークやLinux系サーバOS、各種アプリケーションなどを実際に自分で構築し、動作検証(所謂PoC)することが多い.


ルータやNWスイッチなどもその辺の家電量販店で売られているような家庭用の製品では使い物にならなくて、VLANタギング(802.1q)やLAG、QoSなどの業務用NWを構築する上で必須となる機能が備わった物が必須となる.このような機能を備えたネットワーク機器は当然ながらCiscoに代表されるようなエンタープライズ仕様の高価なラックマウントタイプのスイッチということになるが、機器費用や騒音、消費電力等を考えると、家庭内に設置することは現実的ではない.


Ciscoの中古スイッチであれば中古市場やヤフオクなどで比較的安価に入手できるが、遙か昔にEOLを迎えた製品が多く、ファームウェアアップデートもできないので、セキュリティー面で不安が残る.


家庭用で使える低騒音、低消費電力、かつ小型でありながら最低限のエンタープライズ機能を持っている製品となると、導入可能なNW製品は本当に限られてしまう.国産では日立電線(現在はアプレシアシステム)のファンレスの8〜24ポート程度のエントリー機かYAMAHAのL2スイッチ製品くらいしかない.値段も数万から十数万円くらいは覚悟する必要がある.


そうなると必然的に海外の製品ということになるが、私は小規模事業者(SOHO)向けの製品のラインナップが豊富なNetGear社の製品を使用している.最近はヨドバシカメラの店頭にも置かれるようになっているので、誰でも簡単に入手することが可能になっている.日本法人もあるので、国内メーカのようなレベルのサポートは期待できないが、初心者でも比較的導入しやすい海外ブランドメーカーだろう.


私がNetGear社の製品を使用しているのは、業務用に使えるだけの豊富なNW機能を有していながら、8〜24ポート程度のスイッチの値段が1万〜数万円程度と低く抑えられており、本当にコストパフォーマンスの高い製品群だ.但し、コストを抑えるためか、サポートは別契約のサブスクリプションとなっており、マニュアル類も自分でホームページなどから拾ってこなければならない.WEB GUIによる管理機能が備わっているので、ある程度のNW知識があればマニュアルを見なくても一通りの設定はできるだろう.


但し、日頃Ciscoなどのエンタープライズ系NW機器に携わっている人たちにとっては、この WEB GUIによる管理を強いられるのは苦痛以外の何物でもないだろう.CLIならコマンド一発で簡単に済むことが、GUIで経由では大変面倒な手順が必要だ.CLI機能が備わっていないのがNetGear製品の最大の弱点だ


今年の2月に“GS108Tv3” という型番の8ポートののPoE受電タイプの小型スイッチを購入した.このシリーズの前の製品 “GS108Tv2” を2台ほど使っているので、後続製品なのでこのスイッチの細かな仕様を確認せずに購入したのだが、中身(というよりファームウェアなのだが)は完全に別物だった.このスイッチは、『アプリ&クラウド スマートスイッチ』と名乗っている.”GS108Tv2″の方は『アンマネージドプラス』なので、製品のコンセプトそのものが違っていた.


NetGearのスイッチでは、何も管理機能が備わっていない『アンマネージド』タイプ、最低限のL2機能である、802.1qタグVLANやLAG、WEBGUI管理機能などが備わった『アンマネージドプラス』、L2のフル機能が備わった物を『フルマネージスイッチ』と呼んでいる.『スマートスイッチ』と称する比較的新しい製品群は、位置付け的には、『アンマネージドプラス』、『フルマネージスイッチ』の中間だろうか.


“GS108Tv3″のパッケージを開いていつものように適当なポートに手元のノートPCをつないで、WEBブラウザで管理コンソール画面(http://192.168.0.239) を呼び出すと、見慣れたNetGearのログイン画面ではなく、ちょっとクールなお兄さんの写真を前面に押し出したログイン画面が出てきた.一瞬、何だこれ?と思ったが、そのまま管理用のパスワード(工場出荷の初期状態では空パスワードなのでそのままリターン)を入力すると、見慣れた管理画面が現れたので、いつものように管理用のIPアドレス、管理者パスワード、VLANや各ポートの設定を済ませ、2本の回線を束ねたLAG(LACP)で上位のスイッチとつないだ.


Local Login Console
ちょっとクールなお兄さんに意表を突かれるが、いつものようにスイッチを設定していく

Notice Dialog
”Notice”ダイアログにごちゃごちゃ書かれているが気にせずにそのまま先へ進める

VLANの設定
いつもの手順でVLANやLAG、ポートの設定を済ませて上位スイッチにつなぐ

手元のMacから設定した管理用のIPアドレスと設定した管理パスワードでログインして最終的な動作確認をしようとしたところ、先ほどまでのログイン画面と少し様子が違っていた.




Cloud Admin Console
“Log In with NETGEAR Account” or “Create New NETGEAR Account”  どういうこと???

NetGear Account Login
NETGEARアカウントでログインを求められてしまった

NetGear Notice Dialog
そう言うことですか...(なんだかなー)


何とNetGear社のクラウドにインターネット越しで接続しなければこのスイッチを管理させてあげないとおっしゃっているではないか!!! CiscoのMerakiやJuniperのMistなど無線LAN系ではクラウド管理サービスも使われるようになってきているが、この手の家庭用に毛が生えた程度の製品でもクラウドベースの管理へ持って行くとは...


LANスイッチをインターネット越しに管理する危険極まりない(スイッチやルータのファームウェアなんてセキュリティーホールの塊のようなものだ)手法を強要するなどということは断固お断りするという訳で、ローカルで機器管理することにした.クラウド管理機能をオフにする設定を探してみるものの、そんな設定項目は見当たらない.自社クラウドサービスにユーザを加入させるために意図的に外しているのだろう.


最初の機器設定のためのログイン時と設定後の違いは何かと言うと、最初の設定時はインターネットから切り離されたスタンドアローン状態、設置完了後は上位スイッチを介して管理用VLANからNAPTを介してインターネット発信接続が可能な状態であるということだ.つまり、この”GS108-Tv3″ スイッチは管理用のインタフェースからNetGear社のクラウドサーバとの間で何らかのネゴシエーションを行い、インターネット通信が可能であればスイッチ側でローカル管理コンソールへのログインをできなくしているということのようだ.


要は、この”GS108-Tv3″スイッチからの、NetGear社のクラウドサーバへの通信を止めてしまえば、最初の設定時と同じようにローカル管理コンソール機能が使えるようになる筈だ.


...という訳で、上位側のFirewall(Fortigate FG50E)か、またはその上位にある 8 個のGlobal IP アドレスブロックと /56の IPv6 Prefixを受け取る NEC IX-2215 ルータ側のフィルタリング機能でNetGear社のクラウドサーバへの通信を止めてしまうことにした.NetGear社のクラウドサーバのアドレス範囲や通信ポート、プロトコルなどの情報を情報でフィルタリングすることになるが、調べる時間が勿体ないので、GS108-Tv3からインターネット側への把針接続を全て止めてしまうことにした.


このやり方で問題が生じるとしたら、外部のNTPやDNSなどにGS108-Tv3側からアクセスできなくなるので、その場合は内部のDNSキャッシュサーバやNTPサーバに振り向ければ大丈夫だ.今回はFG50E側にこれらサービスのプロキシ機能があるので、これをそのまま利用することにする.


NW機器などの管理系NWセグメントはセキュリティーを考えると外部には一切アクセスできないようにするのが良いが、ファームウェアの自動アップデートや外部のサーバとのやりとりを行わなければいけない製品もあるので、最低限の発信接続はできるようにしておくと便利だろう.この辺はセキュリティーリスクと運用負荷との兼ね合いで、管理者が適切に判断すべき事項だろう.



FG IPv4 Filtering Policy
今回はFortigate 50E側で GS108-Tv3からインターネット側への発信接続を禁止する


ApresiaのGS120GT-SSはL2スイッチング機能が豊富



Apresia GS120GT-SS
Catlyst2960 の代わりにApresiaのGS120GT-SSをインターネット接続管理用に導入

Console WEB  GUI
この値段でほぼフルスペックのL2スイッチング機能が備わっているのは驚きだ

Changing the management IP
管理用のVLANとIPアドレスを変更するのは一苦労

準エンタープライズ系の安価なL2スイッチの候補はNetGear以外にもアプレシアシステムズ(旧日立電線)の製品が候補に挙げられる.キャンパスLAN用の認証スイッチと言えば『アプレシア』というくらい、各大学のキャンパスLAN用のメインアクセススイッチとして実績のある会社だ.


日本のエンタープライズ系NW市場では誰でも知っている会社の製品なのだが、コンシュマー市場では殆ど出回っていないので家庭で導入している人は殆ど居ないだろう.現在では、Cisco のIOSコマンド(あるいはその派生形)がエンタープライズ系NWの業界標準的になっているが、アプレシアシステムズさんはまだ独自のコマンド体系で頑張っているようだ.


先のNetGear製のL2マネージドスイッチと較べると、管理可能な項目が桁違いに多く、NWエンジニアでもない限りこのアプレシアシステムズのL2スイッチを管理・運用することは難しいだろう.


今回買ったのは、GS120GT-SSという型番の20ポート[ RJ-45 x 16 / SFP(Combo) x 4 ] スイッチだ.値段も定価ベースで 24,800円というちょっと信じられないくらいの価格で売り出されている.その辺の量販店で売られているバッファローなどの単機能スイッチの値段と大差ない.しかも電源内蔵の完全金属筐体だ.この機種はファンレスなので家庭用?としてもピッタリだ.


たった一つ残念なことは、シリアルポート機能が備わっていないことだ.管理はWEBインターフェースを使って初期設定を行う必要がある.初期設定以外は、SSH/Telnet機能をONにすれば ターミナルアプリからコマンドラインでの管理が可能だ.


NetGearのスイッチもそうなのだが、シリアルコンソールが使えないというのはエンタープライズ系NWでは致命的な欠陥と言ってよい.WEBコンソールやSSH/Telnetでスイッチにログインするには、IPベースで手元のPCとスイッチが通信できなければ話にならない.


初期IPアドレスが予め設定してあり、管理用のデフォルトVLANとして、『VLAN 1 』 が予め全てのポートに設定されており、10.xxx.yyy.zzz/8 (xxx.yyy.zzzは MACアドレスに基づいて工場出荷時に自動的に設定されている)というIPアドレスを用いて管理コンソールにログインする.


当然ながら、通常このスイッチを全ポートをデフォルトVLANのまま運用する何てことはないので、当然ながら自分の管理用のVLANセグメントや管理用のIP体系に変更する作業が発生する.問題は、この管理用のIPアドレスやVLAN変更が一筋縄では行かないことだ.IPアドレスの変更やポートの所属VLANを変更した途端に通信がブチ切れてしまうので、最後まで構成変更のシーケンスが実行されない.


ポートの構成変更や管理用IPアドレス、管理VLAN情報の変更をきちんと順序立ててロジカルに実施しないと、自爆モードに入ってしまい、工場出荷時の強制初期リセットしか回復させる手段がなくなってしまう.今まで、何回この地雷を踏んでしまったことか.多少値段が高くなっても良いので、WEB GUIベースオンリーの管理機能なんて糞仕様はやめてシリアルコンソール機能を復活させてくださいね.電線さん!!!