前回iPhoneアプリ経由での設定がうまくいかなかったため、Web UIにて設定を行う。
- 接続したいノードをUntagで接続する。
そのノードでは、DHCPを有効にしておく。 - DHCPサーバから00:00:5e:00:01:01のIPアドレスを調べ、ブラウザからHTTPSで接続する。
- ガイドに従って設定する。
その際、管理ネットワークはUntagのままとする。
これで接続がうまくいった。
Cisco Business 150AXのセットアップ(1)
Wireless LANのアクセスポイントを設置・設定した際の記録を残します。
【設定環境】
- VLANごとにSSIDを設定し、複数VALN/複数SSIDを1台でカバーする。
- VLANはブロードバンドルータに接続しているノード(外接ノード)と、
ネットワーク機器のマネージメントポートを接続しているノード(管理ノード)が存在。
(実際には上記以外にもVLANがあり、今回それらも利用して切り分けを実施)
【起こった事象】
- iPhoneアプリにて設定を試みたが、設定に失敗。
- L2SW側で管理ノードをNative VLANとして設定し、登録を実施。
設定の途中のiPhone側のSSIDをCiscoBusiness-Setupから登録したSSIDに変更した時点で、SSIDにはつながるものの「デバイスを追加できませんでした」と表示され、それ以上進めず登録完了まで至らず。 - L2Sw側で外接ノードをNative VLANとして設定し、登録を実施。問題なく登録完了。
その後、管理ネットワークを変更するために管理ノードのSSID/VLANを追加するまではできたが、管理ネットワークを追加したSSID/VLANに変更した時点でアプリからアクセスポイントが見つけられなくなった。
- L2SW側で管理ノードをNative VLANとして設定し、登録を実施。
【調査している中で判明した事象】
- 各ノードに見えるMAC Addressは以下のものがある。
- アクセスポイント裏面にも記載の物理MAC Address(管理ネットワークのみ)
- VRRP ID#1に相当する仮想MAC Address(0000:5e00:0101)
- 管理用IPへのアクセスは、管理ネットワーク上の仮想MAC Addressに対して行う。
(物理MAC Addressに対してではない) - 管理用IPは常にUntagで接続されているようだ。
逆にネットワークアクセスのタグ有無はネットワーク設定に従うため、管理ネットワークをタグありとするとUntagと混在することになり通信で問題が起きる。 - iPhoneアプリからデバイスを見つけることができるノードと、できないノードがある。両者の差異は以下の通りだが、原因が特定できていない。
| 発見できたノードの特徴 | 発見できなかったノードの特徴 |
| VRRPの仮想IPはARPで見えており、PINGも通るしWeb UIへのアクセスも可能。 | VRRPの仮想IPはARPで見えており、PINGも通るしWeb UIへのアクセスも可能 |
| インターネット向けルータが直接接続されている。 | インターネット向けルータが接続されていない |
| ルーティングはインターネット向けルータでも内部ルータでも挙動は変わらない。 | ルーティングは内部向けルータ |
| 外向けIPv4は全開放 | 外向けIPv4は全開放 |
| 外向けIPv6は全開放 | IPv6はルーティングされない |
仮想IPが見えているのにも関わらずiPhoneアプリからデバイスを見つけらない事象が解消できず、Web UIでの設定に切り替えることとする。
IPv6における留意点
先日の記事にて、IPv6は気を付けなければならない点も多いという話をしましたが、どのような留意点があるのでしょうか。
代表的なものには以下のようなものがあります。
- 複数ISP接続におけるマルチプレフィクス問題
- インターネットに到達できないIPv6アドレスの問題
- ユニークローカルアドレスの定義はあるが、それを利用した内部ネットワークと外部ネットワークのアドレスを分離する定石的な実装パターンがない。(むしろユニークローカルアドレス同士で外部とつなぐことに配慮されている)
- フレッツの標準ルータのデフォルト設定がリスクの高い内容となっている(標準設定では外部から侵入できる状態になっている)
- フレッツの/64配布問題(ひかり電話を申し込まないとサブネットが組めない)
- 現状ではまだデュアルスタックにせざるを得ず、ネットワーク設計・構築の負担が増える。
これらは自宅でもIPv6 PPPoE等を使い2つ目のIPv6網を引き込めば実践することができます。
実際に体験してみましょう。
IPv4枯渇とIPv6
前述のIPv6 IPoEにおけるIPv4アドレス共用化も、IPv4アドレスの枯渇のためになされていると言われています。実際のところどうなのでしょうか。
まず、事実としてはIPv4アドレスは枯渇しています。世界の各地域に存在する管理団体に対して新規に割り当てるブロックはすでになくなっており、管理団体内/外で融通して使っているのが現状です。AWSもIPv4アドレスに対する追加課金を発表しました。これにより無駄な占有を減らそうとしているのだと思います。
IPv6という、アドレス数がけた違いに増えた接続方式もあります。これを使えばいいのでしょうか。実はそう簡単にはいきません。世の中のサーバ(および技術者)はまだまだIPv4が主流です。これらがIPv6に転換されるにはまだ時間がかかることでしょう。そのために、現在はCGNAT、MAP-E、DS-LiteといったIPv4アドレスの共用化技術が多く使われているのです。
なお、IPv6ではIPv4ネットワークで問題となっていたルーティング、P2P等における問題を同時に解消しようとしたために、セキュリティや可用性を高めるために気を付けないといけない点があります。これらの知識が不十分なまま展開することは非常に危険です。IPv6が必要な時代が来る前にネットワーク技術者はIPv6の知見を高めておきましょう。
IPv4アドレスの共用化
最近IPv6 IPoEによるインターネット接続が一般的になってきました。
今までのIPv4 PPPoEと比較して速度が速いなどのメリットもありますが、サーバ運営をする方にとっては注意しなければならないこともあります。
IPv6 IPoEでは、1つのIPv4アドレスを複数のユーザで共用します。IPv4アドレスを占有していた時と比較して、ユーザを特定するにはアクセス日時とIPv4アドレスに加え、ポートまで特定しないといけません。
アクセス記録を残す場合には、アクセス日時、送信元IPv4アドレスに加えて送信元ポートの記録もするようにしましょう。