RTX830」タグアーカイブ

YAMAHAのRTXルータを買ったら絶対設定すべき項目とか基礎知識をド素人がまとめてみました!

コメントを残す

どうも!ネットワーク大好きネトヲです。

時が経つのは早いもんで、私がRTX830を購入して2年超経過しました。

2年も使っていると色々とRTXの特性も見えてきて、せっかくなので情報共有がてら記事にしようと思います。

※「インターネットに接続する方法」は記載してません

はじめに

最近のNW機器はWeb GUIが用意されているものがほとんどであり、メーカの努力もあって非常に使いやすいですよね。

https://network.yamaha.com/products/routers/rtx830/index

とはいえ、基本的にNW機器はCLIで設定するものと思います。例外があるとすればFWポリシー(ACL)で、コンフィグの量やルールによってはどうしてもGUIで設定したほうがわかりやすく、また効率的です。

個人的にFortiGateでポリシーを書くときはGUI一択です。

https://www.fgshop.jp/support/manual/fortigate-firewall/

私含め、CLIアレルギーの人も一定数いるかと思いますが、CLIで設定できるようになると

  • 触ったことがないNW機器であっても、基本的なコマンドは大体同じなので、そこまで苦労せず設定できる
  • リプレイスなどでNW機器を交換する際、configを入手するだけで設定内容が把握できる(いちいちWeb GUIのスクショを保存する必要がない)
  • configバックアップが超簡単
  • 機器ベンダのリファレンスは基本CLIなので、設定の幅が広がる
  • CLIでしか設定できない項目にも対応できる
  • Web UIにアクセスできなくなった場合、コンソールからアクセスしトラブルシュートができる
  • 実機が手元になくてもNW設計が可能
  • SNMPの設定が可能
  • なんかかっこいい

と滅茶苦茶メリットがありますので、苦手な方は少しづつ慣れていきましょう。

私もこのまとめを書きながら頑張って覚えます。

外観とかいろいろ

RTX830の正面は1GbE×5にRJ-45のシリアルとMini-USB、ログの保存やconfigのR/W、FWアップデートで使用できるmicroSDスロットにUSBコネクタ。

https://network.yamaha.com/products/routers/rtx830/index

POWERランプは名前の通り電源が入っている間点灯、隣のSTATUSは「不正アクセス」を検知すると点灯します。

I/Fについて、SFPモジュールはないのでL3スイッチとしてみた場合、役不足感は否めませんが、ルータとしてみれば十分かなと。スループットも2Gbit/sですし。

また、正面の物理ボタンは全くと言っていいほど使いません。正直イラネ。

背面は電源スイッチと電源コネクタ。電源スイッチの印字をよく見ると「standby」とありますが、普通に電源が切れますのでWindowsの「スタンバイ」とは全く動きが異なります。気をつけてくださいね。

ちなみにInterop TokyoでSFP対応のRTX1300が展示されていましたが、想像以上に筐体が大きくファンレスでもないので、自宅鯖民にはちと厳しいですね。

【殴り書き】Interop Tokyo 2022個人的メモ

電源コネクタはNEMA 1-15Pで、本体に電源が内蔵されています。電源内蔵タイプは配線がシンプルになって個人的に好きです。もちろんケーブルは本体に同封されています。

https://www.amazon.co.jp/dp/B00O5E2KU0/

筐体は金属製で紫色に塗装されており、プラスチッキーな民生品と比較して高級感があります(写真で見るより光沢あるし)。NVR510とかはプラスチックなので冷却用に金属にしているというよりかは差別化のためかもしれませんね。

https://network.yamaha.com/products/routers/nvr510/index

私は見た目でRTX830を指名買いでしたが、正直NVR510でも十分だったかもとは思いますね。VPN使わんし、VLAN話せますし、SNMP対応してますし。

とはいえNVR510は「LAN分割機能」がないんですね、ちと微妙。

機能とか性能

基本的に業務用ルータなのでVPNやVRRP、基本的なFWポリシー(L3レベル)の設定、PPPoEやIPoE(MAP-E含)接続への対応、何でもできます。

その中からいくつかピックアップし紹介します。

  • NATセッション数

65,534と固定でCiscoルータのように「メモリに空きがある限り∞や!」ではありません、この数値が多いか少ないか環境によりけりだとは思いますが、少なくともSOHO向け製品としは十分。

NECのIXも確か同じだったんで、他のベンダーと大きく優れている/劣っているわけではないかと思います。

  • ネットボランチDNS

環境によってはWANアドレスを固定でいないけど、VPN接続やWebサーバなど外からにアクセスしたいケースがあるかもしれません、その際にルータ内蔵のネットボランチDNSを利用することで手軽にDDNSとして機能してくれます。

設定に必要なモノ

一応、デフォルトでHTTPとSSH、また古いファームウェアだとTelnetが開いているため、LANケーブルだけで十分。特別なモノは必要ありませんが、インフラマンの嗜みとしてRJ-45のシリアルケーブルがあった方がいいです。パスワードを忘れた時の復旧用に使えますし。

https://www.amazon.co.jp/dp/B00BMVL1J0

ちなみに職場ではYAMAHA純正のYRC-RJ45Cを使用してますが、自宅ではアキバで買ったパチモンを使っています。正直差は感じませんね。

耐久性はしらんけどね

ちなみにちなみに、職場で使用しているノートPCはLIFEBOOK WU2なんですが、拡張性が神がかっていてなんとLANコネクターがあるんですよね。マジですごい。これでブログネタになるくらいお勧めしたいPC。

しかも超軽いしSIM挿せるし神

PCとRTX830の接続

先述したとおり、CLIを使って設定していきますので、PCとRTX830をシリアルで接続します。

私はTeraTerm激推し民で他のターミナルがどうなのか不明ですが、TeraTermであれば特に設定変更せずともRTX830へ接続できます。

よくわからんけど上手く接続できない方はTeraTermの通信速度が9,600bpsかどうか確認してみてください。それかドライバとかですかね。

接続できたら管理者モードに移行してみましょう。adと入力しTAB補完しても👌

> administrator

これから示すコマンドは断りがない限り、管理者モードで実行してます。

おすすめの共通設定

  • 文字コード

RTXはヤマハ製なんで初期状態ではコンソールが日本語で表示されます。これがちょっと曲者で文字コードがSJISなんですよね。

いちいちTeraTremの文字コードを変えるのが面倒くさいので、UTF-8に変更してしまいましょう。

console character ja.utf8

というか、そもそも英語にしてもいいかもです。

console character en.ascii
  • ホスト名

まさかの変更不可。

  • NTPサーバの指定
ntpdate <ipaddress>
  • Telnet無効化
no telnetd service

ユーザ認証関連

初期設定のままWANやLANに接続すると非常に危険なので、まずユーザ認証について設定していきます。

  • パスワード

RTXには初期ユーザとして、administratorが存在しますがなんとこのユーザ、パスワードがありません、、、、

この認証情報はとある界隈ではよく知られており、変更しないとセキュリティ上非常によろしくないのでサクッと変更してしまいましょう。

administrator password encrypted <password>

もっとも、administratorを削除して新しくユーザを追加をした方がいいですが、最低限パスワードは複雑なものに変更してくださいね。

  • ユーザ属性

ファームウェアによってまちまちではありますが、基本、TelnetやSSH、HTTP等接続方式を問わずadministratorでログインできてしまいます。

なので、ログイン可能な接続方式を絞ってセキュリティを高めましょう。

例えばWeb GUIでしかアクセスしないなら、非常用にSerialは残しつつ、httpだけに絞って問題無いかと思います。

(☠SSHで設定している方はコマンドに注意☠)

user attribute <username> connection=serial,http gui-page=dashboard,config

実用面を考えるとSSHも残していいかと思いますが、そこはどのように運用するか考えて取捨選択してもらいたい訳ですが、Telnetは必ず削除しましょう。パケットキャプチャされてパスワードを抜かれます。

またRTXに(設定するために)アクセスする端末のIPが固定なら「このIPからアクセスした場合にのみログインを許可」的な設定をすることでよりセキュリティ強固にできます。というか必ず設定してくださいね。

user attribute <username> connection=serial,ssh,http gui-page=dashboard,config host=<IPaddress>

このIPについても、VLANを用いていわゆる「管理用セグメント」を用意し、WANとは論理的に接続できないレンジ内のIPを設定してあげるとなおさら👌

その他、ログインタイマーやWeb GUIをどこまで公開するか等、色々設定ができますので下記ドキュメントを参照してください。

4.9 ユーザーの属性を設定

attribute=value : ユーザー属性 [設定値] : administrator : 管理者モードを使えるかどうかを示す属性 RTX5000、RTX3500、RTX1220、RTX1210、RTX830 on …

ということでユーザ認証関連は以上になります。博識の方にとっては非常に基本的な設定ばかりで申し訳ございませんが、これすらも設定していない機器もありますのであしからず…

小ネタ

  • 冒頭で正面にmicroSDスロットにUSBコネクタがあると書きましたが、ログが溜まっていくとRTX830の起動が遅くなります(InteropでYAMAHA担当者に聞いた限りそんなことないと言ってましたが)。
  • 他の業務用NW機器と異なり、保守契約や会員登録なしでFWアップデートが可能です。
  • ポート単位でtrunkの設定は不可、論理インターフェースごとにしか設定ができません(LAN1をtrunkにすると4ポートすべてtrunkとなってしまう、LAN分割機能とも併用不可)。

最後に

というわけでRTX830を題材にして、つらつら書いてきました。

いろいろ書きましたが、とりあえずパスワードだけは変更してください。

これだけ変更してまえば、その他の設定は運用に合わせてググって適応していけばいいと思います。

また、環境にもよりますがFWポリシーでWANのIN側をすべてrejectするフィルタを入れてやるとより安心かもしれません。この辺りはまた記事にしようと思います。

【YAMAHA WLX212】#1 設計構築に最低限必要そうな箇所まとめ