こんばんわ。やっと時間が出来たので、実際に稼働している拠点の設定情報をRTX1210に流し込んでみました。
拠点で使用しているのはRTX1200です。
構成イメージは以下の様な感じですが結構めんどくさい設計にしています。
(実際の私のパワポ資料をカットしているのでちょっと恥ずかしいw)
多分あんまりやらないだろうというポイントは
・タグVLANを使用している
LAN1のVLAN化していますが、実際のLAN1にあたる部分はNativeVLANにしています。
LAN1/2にvidを割り当てて、タグをしゃべる相手だけ掴めるようにしています。
・LAN3を普通のインターネット通信用として用意している。
これはちょっとしたニーズの為に用意しています。社内LANに繋がせたくない繋がせられない・・・けどインターネットにつながる回線が欲しい・・・みたいな需要に対応します。
・いやんなるくらいフィルタを入れているw
こんな感じです。
実際に稼働させているConfigを流したのでかなり目隠ししていますが、雰囲気はつかめると思います。
VPNの情報がさくっと見えていいですね。ダッシュボードの情報は好感が持てます。
赤枠がVLANの設定箇所です。VPNも冗長構成にしているのでいいサンプルになりますね?フィルタもやたらと長いですが気にせずにw
ルーティング情報の部分です。ここはスマートにまとまっていると思います。
VPNトンネルの情報も見やすい。優先順位やバックアップとかキープアライブとか見えるのでわかりやすい。CLIでありがちな設定ミスも見つけやすいかもですね。Goood!
NATの設定箇所ですね。ここはYAMAHA慣れをしていないとチンプンカンプンかもしれないですね。なので「かんたん設定」があるのかな。
IPフィルターはなんとなく昔からかわっていない感じですね?ちょっとここでツッコミしたいのですがまた後ほど。
DNS設定です。本来はDHCPで別のDNSをご指名していますが、LAN3の為にリカーシブを活かしています。
DHCPも社内用はルーターのDHCPを利用していません。DDNSとかやっているんで。でもLAN3の為にDHCPプールを用意しています。
んでこっからですね・・・フィルタリストですが・・・真っ先に思ったのが・・・見難い。。。
SourceとDestinationを何故上下で表現したのか・・・。表示の関係かもしれませんが、見難い・・・。私のようにフィルタが沢山あると画面に収まらないので余計見難いです・・・とほほ。
で・・・一通り主要な部分を話し終わったと思うのですが、最初の基本となるIP設定がないですね・・・どこにあるんだろう・・・と探したら、何故か「かんたん設定」の中・・・。
ということで、ここからは「かんたん設定」の部分に乗り込んでいきます。
Configの赤枠に注目しておいてください。あと青枠は今回のGUIで自動付加されるコマンドでした。
で「かんたん設定」をみるとLAN1アドレス・プロバイダ接続・VPNとあります。
詳細設定にLAN設定という項目が無いんです。合理化と思いますが、違和感をぬぐえません。LAN2とLAN3はどこ行った?!?!ということで青丸のプロバイダ接続へ。
プロバイダ接続の所に居ました。Why?!気持ちはわからなくはないですが、コンシューマーブロードバンドルーターじゃないんだから・・・。もうちょっち考えてほしいですね。
単純に詳細設定でLANの設定ができればイイっす。
で、残念ながらVLANの設定はGUIからは出来ないようです(出来るようだったらごめんなさい。さがしても見つからなかった)。⇒[2015/01/22:設定箇所わかりました。LANマップから出来ました。]
プロバイダ接続のウィザードを使うと、ルーティングとか色々入れられるのですが、今回はすでにConfig投入済みなので設定確認的に追っかけていきます。
で、躓いたのがこの画像。
今までClassA,B,Cのネットワークは基本的に何処へというTUNNELを作って、それ以外に別経路が必要な場合は追加で・・・たとえば192.168.1.0/24はみたいにやったりしてました。
でもこのエラーはローカルアドレスに含まれるアドレスはダメというエラーですね。
道理としては正しいのですが、それでも今まで重宝していた設定が嫌と言われるとシンドイですね。CLIでは大丈夫なのでこの部分はGUIはあきらめましょう。
ここのポイント。フィルターの設定を現在のまま変更しないという・・・うれしい配慮があるじゃないですか。昔のGUIでは出来なかったですよね?!ええんちゃう~って思っていたんですけどね・・・。黄色の枠の注意書き・・・まさか・・・まさか・・・。
恐る恐るConfigをみてみたら・・・フィルターはセーフでした!しかし・・・NATがアウトでした・・・orz
かんたん設定で通してしまうとNATディスクリプタが書き換えられてしまいます。200番が好きなようです。何回繰り返しても200番は不動でしたwおしいなぁ。
その他はうまいこと反映していたように見えます。VPNの書き換えはやっていないんでそこは未検証ですが、VPNウィーザードを使うよりCLIでサクサク書いてしまったほうが私は楽なので・・・。NetscreenとかのVPNウィザードよりはわかりやすいと思います。
「かんたん設定」のノリがコンシューマーを意識している感じですが、逆に難しくしちゃっているような印象です。混在型が良くないのかもね。
イージーモードとアドバンスドモードと完全に区切ってしまったほうが、導線も含めて幸せになれるんじゃないかしらん・・・。
ただ、私の設計でのConfigは結構めんどくさい仕様になっているので、普通だったらこのGUIですべて済んじゃうと思うので、ご参考程度に!