[ファイアウォール]


<RTX1200活用セミナー-新機能デモ>

[ファイアウォール] RTX1200活用セミナー-新機能デモ

ヤマハの平野です。

2009年11月5日から全国10ヶ所にて開催されている「RTX1200活用セミナー」の「RTX1200の新機能デモ」の様子をご紹介します。

RTX1200の新機能デモは、講演席の脇に置かれたRTX1200で実施していました。

Img_3980

新機能デモの一部で利用されていた「2種類のUSB型のデータ通信端末」と「microSDメモリ」

Img_3981

なお、プレゼンテーション画面を投影していたため、会場の照明が暗かったので、写真の写りが良くありませんでしたので、ご了承ください。

【TOC】

【LUAスクリプト】

LUAスクリプトは、ルーターで得られる情報を元に設定を書き換えたり、管理者にメールで通知したりすることが出来ます。と言っても、ピンとこない人が多いだろうという想定で、「一見で、メリットが解る」ようなデモンストレーションが出来るように工夫されてきました。

Img_4025

【LUAスクリプト:デモ#1】

想定シナリオ:

  • 営業所に光回線が引かれている。
  • バックアップ回線は、(専用で)用意していない。
  • 光回線に障害が発生した時、外出の際に利用するためのリモートアクセス用携帯データ通信端末の空いている端末を利用して、インターネットアクセスできるようにしたい。

課題:

  • 通常時にデータ通信端末のIDや設定をRTX1200に設定しておきたくない。
  • データ通信端末は、複数保持しており、キャリアやパスワードが様々で、ひとつに特定できない。

解決方針

  • 「端末が装着されたら、端末毎の接続設定を追加する」「端末が取り外されたら、接続設定を削除する」というLUAスクリプトを実行する。

Img_4029

LUAスクリプト内で、端末毎の接続設定を定義しているデータを紹介。新たな端末に対応するには、このデータを修正する。

Img_4031

syslogを監視し、"device attached"という文字列を待ち、端末の接続情報を探すプログラム部分。パスワードには、モザイク処理をしています。

Img_4032

端末が装着された時、configを設定するプログラム。

Img_4033

LUAスクリプトを実行したうえで、スクリプトの実行状態を確認する。

  • "lua sd1:/demo-1/lua/auto_mobile.lua"
  • "show status lua"

Img_4034

"show config"を実行して、モバイル用の設定が無いことを確認する。

Img_4035

"show config"の続き。PP1に光回線のためのPPPoE設定があるだけ。

Img_4036

「端末を繋いで見ましょう」とRTX1200にモバイル端末を接続しようとしているところ。会場は、とても暗い!

Img_4039

"show config"で確認すると、さっき無かったPP2にモバイル端末でインターネット接続する設定が生成されている。パスワードには、モザイク処理をしています。

Img_4037

ルーターで、ヤマハのホームページへ接続確認をしています。

  • "ping www.yamaha.co.jp"

Img_4038

モバイル端末を外して、configを確認すると、設定が消えています。この確認を2種類の端末で異なるconfigが生成されていることを確認いたしました。

Img_4040

【LUAスクリプト:デモ#2】

想定シナリオ:

  • インターネットVPNによる社内サーバーアクセスとインターネットアクセスを併用している。

課題:

  • 社内サーバーへのアクセスに支障が出そうなときには、インターネットアクセスを制限したい。

解決方針

  • 「パケットロスが多くなったら、インターネットアクセスにQoSを掛け、トラフィックを制限する」というLUAスクリプトを実行する。

Img_4043

pingを実施して、パケットロスを監視するプログラム部分。

Img_4044

ルーターのpingコマンドを実行すると最後に「パケットロス率」を表示しているので、その数値を拾って判断をする。

Img_4045

パケットロス率によって、QoSを設定したり、解除したりする。

Img_4046

「QoSを設定したり、解除したりする」プログラム部分。

Img_4047

QoSに関するconfigを生成するプログラム部分。

Img_4048

LAN内のPCにpingを行って、パケットロス率を監視するようにしたLUAスクリプトを実行。LUAスクリプトには、パケットロス率の「閾値」を引数で渡せる。今回は、"10"としていた。

  • "lua sd1:/demo-1/lua/auto_qos.lua 10"

Img_4049

LUAスクリプトの実行状態を確認

  • "show status lua"

Img_4051

問題なければ、パケットロス率は"0%"になっている。

Img_4052

pingで監視しているPCとRTX1200を接続しているLANケーブルを外す。つまり、パケットロス率は、"100%"になるはず。

Img_4053

監視は、30秒ごとに行うようにプログラムしてあるので、"show status lua"で稼働状況を確認しながら、待つ。

Img_4054

"show log"で確認すると、前回"0%"だった、パケットロス率が"40%"になっていたようです。

Img_4055

パケットロスが発生したので、QoS設定を追加したようです。

Img_4056

"show config"で、QoS設定("speed lan2 30m"など)が追加されていることを確認する。

Img_4057

"show config"で、QoS設定("queue class filter..."など)が追加されていることを確認する。

Img_4058

LANケーブルを繋ぎなおして、ログを確認すると、パケットロス率が"0%"に戻り、QoS設定が解除されたと記録されています。

Img_4060

"show config"で、QoS設定が削除されたことを確認しました。

Img_4061

【カスタムGUI】

カスタムGUIは、ログインユーザー毎に独自のGUI画面を用意できるようにしたものです。

Img_4062

Img_4063

【カスタムGUIの準備】

カスタムGUIを有効にする。

  • "httpd custom-gui use on"

3名分のデモ用ログインユーザーを登録する。

  • "login user user1 user1"
  • "login user user2 user2"
  • "login user user3 user3"

Img_4065

"show config"で設定を確認する。

Img_4066

カスタムGUIで表示する"user1"のデータ(microSDメモリに保存された特定のディレクトリ)を登録する。

  • "httpd custom-gui user user1 directory=sd1:/demo-1/gui/user1"

Img_4067

続けて、計3名分のデモ用データを登録する。

  • "httpd custom-gui user user1 directory=sd1:/demo-1/gui/user1"
  • "httpd custom-gui user user2 directory=sd1:/demo-1/gui/user2"
  • "httpd custom-gui user user3 directory=sd1:/demo-1/gui/user3"

Img_4068

【カスタムGUI:デモ#1】

RTX1200の設定画面に"user1"(パスワードは"user1")でログインします。

Img_4069

"user1"のトップ画面は、資料の表紙に使っても貰えるように準備したテンプレート画像でした。(聞いてなかった!使ってくれてありがとう。)
http://netvolante.jp/download/template/index.html

Img_4070

"user1"では、「PPPoEのインターネット接続」と「インターネットVPN接続」というある決まったパターンの接続設定をする前提で、パスワードなどの差分点をカスタムGUを活用して、現場で設定するというシナリオです。「パック型商材」の現場作業の簡素化が可能になりますね。

Img_4071

パスワードなどの個別情報を入力して、

Img_4072

設定を行おうとすると、再びIDとパスワードの確認要求が出てきます。設定をする場合には、管理者であるかどうかをチェックしていますので、管理者パスワードなどを入力してください。

Img_4073

"show config"にて、新しい設定が生成されていることを確認します。

Img_4074

【カスタムGUI:デモ#2】

"user2"では、ルーターの利用状況(統計情報)を参照できるようにしています。余分な情報は、表示されません。

Img_4077

統計情報のひとつを表示しました。

Img_4078

【カスタムGUI:デモ#3】

CSRF(クロスサイトスクリプティング)対策の紹介です。CSRF対策には、画面上部にある「セッションID」を利用します。

Img_4081

送信する内容で「show config」だけを送る(セッションIDを記述しない)と、コマンドは、実行されません。このとき、RTX1200は、「CSRFだ!」と判断したのです。

Img_4082

この画面でセッションIDを記述するには、"#xxxxxx"と書いてやればよいようなので、そのように書いた上で、"show config"を送信します。

Img_4084

すると、実行結果には、"show config"の内容が表示されます。

Img_4085

会場では、どのような通信をしているのか、WireSharkでキャプチャーしてご紹介していました。写真は、「送信」していた時のパケット。

Img_4087

写真は、実行結果の返信に関するパケット。

Img_4088

【カスタムGUI:APIデモ】

カスタムGUIの「API」を利用すれば、顧客環境のサーバーなどと連携した動作が可能になると思います。PCと連携が簡単になると思います。

カスタムGUIの「API」を利用する準備をしてあげます。

  • "httpd custom-gui api use on"
  • "httpd custom-gui api password doremi"

Img_4093

カスタムGUIのAPIにコマンドを送るツールとして、"wfetch"を利用し、次のURL(path/パス)にアクセスしていました。なお、API経由で実行していたのは、LAN2とLAN3にアドレスを設定するコマンドでした。

  • "/custom/api?password=doremi"

Img_4094

正しく設定すれば、api経由で実行することができます。

Img_4097

【RTX1200情報】


トラックバック

このページのトラックバックURL:
http://www.typepad.jp/t/trackback/240314/6969950

このページへのトラックバック一覧


コメント

コメントを投稿



ヤマハのネットワーク製品

プロジェクトフォン

会議システムとは、手軽に遠隔地と連絡や議論を行うためのもの。実際は、ハウリングしたり、声が途切れたり、返事が聞こえなかったり。プロジェクトフォンは、会議の音を改善する新しい会議システムです。

ルータ&ファイアウォール



 1995年よりISDN応用製品のひとつとして始めたヤマハルーター。常にSOHO、中堅・中小企業の皆様に最先端のネットワークソリューションを提供し、多くの実績をお客様と共に作って参りました。SRT100は、より信頼性の高いネットワークセキュリティを実現します。