常時接続時代の家庭内LAN構築術

自宅のADSL導入記
メルコWLAR-L11-LをJ-COM @NetHomeで利用する

 ここでは私の自宅のネットワーク環境の具体例を中心に紹介をしたいと思います。
 1998年10月に、私の地元(千葉県柏市)のCATV、→タイタス千葉がインターネットサービスを開始しまして(サービス名→ALLNET)、幸いなことに比較的早い時期に常時接続の環境を整備することが出来ました。そこで、家にある全てのマシンからインターネット接続できるよう同時期にLAN環境を整備しました。
 現在では諸事情によりCATVインターネットからADSL、そして2003年9月からはBフレッツに移行し快適に利用できています。
 今では(ほぼ)日本全国で常時接続の恩恵が預かれると思いますので、コンテンツが少しでもお役に立てればと思います。

常時接続の基礎知識

 まず、常時接続回線によるインターネット接続の特徴を示します。
 第一に、ベストエフォートで提供されることが挙げられます。回線速度は事業者にも依りますが(公称)128K〜数Mbpsで提供されるものの、多数のユーザによって上位回線をシェアするため実際のところは数Mbpsもの速度が出ることは非常に希となります。公称値はあくまで引き込み線の土管の太さと割り切る必要があるでしょう。
 また、シェアするユーザ数が多めとなる傾向があるので、時間帯によっての回線速度の変動が激しいといった一面もあります。

 配られるIPアドレスは基本的には1つで、1台しか接続できません。OCNエコノミーなどと比べて一番違う点になります。追加料金を払うことによって複数台接続が可能となりますが、その台数も限られています。
 そのため、複数台接続を実現させるためには特殊な仕組みが必要になります。

 ですが、何といっても最大の特徴は現時点で一般的なインターネット接続と比べて圧倒的安価・高速に接続できることでしょう。

CATVインターネットの基本

 次に、特にCATVに関してですがネットワーク構成面でも特殊な位置づけになります。
 基本的には近隣の多数のユーザが同一のセグメントに属するという構成になります。加入者に設置する「ケーブルモデム」はプロコトルでのフィルタリングしか行われず、Windowsのファイル共有(NetBIOS over TCP/IP)ですら丸見えとなってしまいます。
 そのため、加入者にもしっかりとしたセキュリティに関する知識が無いと、自らを危険に晒しかねない状態となってしまうので注意が必要です。

 CATV事業者側ではユーザにプライベートIPを配り、事業者側に設置したFireWallが不正アクセスを遮断するといった方法を取っている事業者もあります。この場合、ユーザがサーバを構築したりネットワークゲームなど特殊なポートを利用したアプリケーションは動作しなくなるなど利便性は悪化してしまいますが、外部からの侵入は非常に難しくなるのでセキュリティ的には高くなります。
 しかし、グローバルIPを配るCATVプロバイダが一般的となっています。この場合、ユーザの利便性は高められますが、基本的にはセキュリティ管理も全てユーザ側に委ねられるということになります。
 理想を言えば、この2つの方式をユーザ側が選択できるのが望ましいと思いますが、構成的にも全く違うものになってしまうので不可能です。

 また、まだ技術の発展段階にあるためか、比較的トラブルが多発する傾向があります。
 落雷や暴風雨など自然災害に影響されやすく、この場合復旧も比較的に時間が掛かってしまうことがあります。

 インターネットの回線は、テレビや電話の信号と一緒に電線を通ってやってきます。それを自宅に引き込み(図a)、軒下の分配機(図b)で各部屋に分配される仕組みです。インターネットの情報はここで分配され、壁の穴(図c)を通って、ケーブルモデム(図d)に接続される仕組みです。

図a 電柱からの引き込み
図b ただの分配機

図c 壁の穴
図d ケーブルモデム

構内LANと常時接続

 ダイアルアップ接続であったインターネット接続が常時接続になることで、モデムとの接続体系はLAN型接続となります。今や1世帯に複数台のPCがあるのは当たり前ですし、その高速性からしてもユーザは複数台接続を要求したくなるのが当然の流れとなりますが、上に書いたように基本的には割り当てられるIPアドレスは1つであって1台しか接続できません。

 その為、現在ではこのようなユーザ向けに、少し前までは高価だったローカルルータ(イーサネットの口を2つ持つもの)を約3〜5万円と安価に提供する製品が登場していますので、これを使用することでNAT/PAT機能を利用して複数台接続可能となります。
 一気に30〜60台程度までの接続が可能になり、一気に中規模事業所までのネット接続をサポートすることが出来ることになります。

 しかし、ルータを介した接続は帯域を圧迫する割には事業者側にメリットが無いため、明確に規約によってルータ接続禁止、若しくは複数台接続禁止と謳っている業者もあるので注意して下さい。最悪の場合、規約違反で契約解除となりかねません。
 そのような場合でも、2枚のLANカードを差したマシンにプロキシサーバを立てることで、「ルータ接続」ではなくすることが可能ですが、規約上はグレーゾーンに位置しています。

ルータを介した複数台接続 プロキシを介した複数台接続

ルータによるセキュリティレベルの向上

 ルータやプロキシによるインターネット接続は複数台を接続できる他に、セキュリティレベルの向上というメリットもあります。
 WindowsOSの場合、外部からの侵入に対して安全に利用するための設定が難しく、また仮に不正なアクセスを受けPCのデータが流出しても、不正アクセスがあったことを検知することすらできません。  また、常時接続環境ではインターネットへの接続時間もダイアルアップと比べて長くなりがちで、IPアドレスも変動しにくいという特性があります。そのため、常時接続のユーザは外部からの不正アクセスの脅威を受けやすくなっています。

 そこでルータやプロキシを利用することによって、外部と内部のネットワークを隔離することができ、外部から内部への侵入が非常に難しくなりセキュリティレベルの向上とすることができます。

 また複数台を利用している場合、ファイルやプリンタの共有をすることが多くありますが、常時接続環境でルータ無しで共有するのは外部へ野ざらしにすることであり大変危険です。この点もルータを利用することで大幅に改善することができます。

複数台接続とルータ経由での接続の違い

ドメインと常時接続

 固定で1IPを割り当てられているのであれば、ドメイン取得も可能です。

 独自ドメイン使用可能な業者の場合、通常はセカンダリDNSの代行を事業者側が行ってユーザはプライマリDNSサーバのみ構築すれば良いことになります。逆引きに関しては業者側の設定により行う必要がありますので、ユーザは希望するドメイン名を事業者に申請するだけです。
 しかし、セカンダリDNSの代行を行っていない業者の場合でも、固定IPならばドメインの取得は理論上は可能です。その場合、インターネット上にフリーのDNS代行サービスが存在する(→ここなど)ので、これを利用することで独自ドメインによる運用が可能です。但しこの場合は逆引きはできません。

 同様の方法で、1つのIPによって複数のドメインを運用する、いわゆるバーチャルドメインによる運用も可能です。

ローカルルータとサーバ公開併用

ポートフォワディング機能
 ローカルルータによるLAN型接続とサーバ運用を併用することも可能です。
 2枚NICを差したルータ兼サーバマシンを構築するのも1つの方法ですが、内向けサーバと外向けサーバを併用する場合は、セキュリティ面からしてあまりお勧めできません。

 その場合、ローカルルータのポートフォワディング機能を利用して解決することが出来ます。
 ポートフォワディング機能とは外部からのアクセスのうち、特定のポート宛のもののみを内部に転送する機能で、これを利用することで1つのIPアドレスでメールサーバとWebサーバを分離するようなことも可能です。
 また、不必要なポートに対するアクセスを遮断するのでセキュリティレベルを向上することも可能です。
 内部からのパケットも不必要なものは外部に流さない設計になっていますので、基本的なセキュリティに関しては十分に実現できたものとなります。

 注意すべきこととしては、内部からのアクセスにおいてはルータの外側IPを指定してもポートフォワディングは行われず、ルータそのものが反応してしまうことが挙げられます。特にドメインを取得してのサーバ構築のときは陥りやすいと思います。
 このことは外向けDNSサーバと内向けDNSサーバを分離し(SplitDNS)、外向けにはグローバルIPを返し、内向けには内部のサーバのIPアドレスを返すことで解決します。この場合、基本的にはサーバを2台必要となって仕掛けが大がかりになってしまいますが、ポートフォワディングによってポート番号を変更して転送できるローカルルータの場合は、1台に内部DNSと外部DNSを同居させることも可能となります。

σ(^^) の導入事例

  1. 単なるデータ連携(1996.11〜1998.10)
     私はLibretto30(初代)購入を契機に、LAN構築に踏み切りました。
     各種ソフトウェアをインストールするために、Libretto用のCD-ROMドライブやFDDを購入するよりも母艦のドライブを共有して利用してしまう方が安価に済むから、というのが理由です。

     ただ、全く知識のなかった当時の私としては細かい設定などできる筈もなく、下図のようにピアトゥーピアでWindows標準のNetBEUIでファイル共有するのみのものでした。
     それでも、CD-ROMやMOの共有、持ち運び用データの転送、デジカメのコンパクトフラッシュメモリの共有など便利に使用できました。今ではCD-ROMドライブのないモバイルマシンも一般的になりましたので、共有ドライブからのインストールができないソフトはごく一握りしかありません。
    接続図 (笑)
     この後も台数は増えたものの、やはりインターネット接続されないことには利用率は低く、家族の理解を得られるものではありませんでした。

  2. CATVが来た!(1998.10〜1999.10)
     LibrettoのOSをWINDOWS98にしたことを契機に、NetBEUIを全廃して家庭内のネットワークはTCP/IPオンリーになりました。また、その直後にWinGateやWinProxyによるダイアルアップ接続回線の共有という技を習得し、家庭内でもLibrettoからインターネット接続できるようになりました。

    サーバ
     そして、ついに1998年10月より私の地域でもCATVインターネットが開始され、恩恵にあずかれるようになりました。
     私が利用している    →タイタス・コミュニケーションズ→ALLNETについて加入時にサポートに問い合わせたところ、複数台接続に関してはノンサポートだが個人的にゲートウェイ機器を導入する分なら構わないとの回答でしたので、早速複数台接続することとしました。
     しかし、当時は現在のような常時接続向けの安価なローカルルータ製品は存在せず、ルータを用いて複数台のインターネット接続をするにはシスコかヤマハの10万円を遥かに超えるルータを購入しなければなりませんでした。

     そのため、既に使用していたWinGateを利用しWindowsNTでのプロキシサーバマシンを構築して接続共有することにしました。
     サーバには私の使っていたデスクトップマシンを流用しました。
     当時はPentium/166MHz、メモリ64MBのマシンでしたが、問題なく動作しました。

     WindowsNTは学生の頃に購入していたため、安く使うことができました。フリーUNIXを使うという手もあったのですが、逆にそれにしてはちょっとリッチすぎるスペックのため、CD-Rドライブも残し、インターネットプロキシサーバ+ファイルサーバ+CD−R焼き焼きマシンという、ちょっと欲張った感じです。
     ネットワークカードを2枚差しにし、WinGateをインストールしました。v2.1以降ではDHCPサーバ機能も兼ねてくれ、ほとんどクライアント側の設定を必要としない便利なソフトです。

    壁の穴
     インターネット接続の共有ができるようになり、一気に家庭内LANに対する家族の同意が得られるようになり、ついには2Fの各部屋にUTPケーブルを引き込んでしまいました。

     大胆にも左図のように壁に穴をあけて引き込んでしまいました。
     今では無線LANという選択肢がありますので、無理する必要はありませんが、高速なバックボーンはやはり便利です。

  3. ドメイン取得とサーバ(1999.11〜2000.6)
     以前から夢だったのですが、ついに1999年11月からALLNETのプランをベーシックからプレミアムに変更し、固定IPを取得して独自ドメインによる運用を開始しました。(LIBRETTERS.NET)

     外から見れば大幅な変更ですが、実はサーバにDNS・WEB・MAILのサービスを立てることで対応しただけで、殆どそのまま移行できました。

  4. ローカルルータ導入(2000.6〜2000.10)
     2000年に入ると、各種ローカルルータ機器も安価になり、個人でも入手可能な金額となってきました。
     私としては当初は既にPROXYによる接続を実現していたために購入を躊躇っていたのですが、下記の理由により結局は導入してしまいました。

     ルータを介すことにより、それ以前よりも本格的なネットワーク接続になってSplitDNS等いろいろな工夫を施せるようになって面白くなりました。また、クライアントには特殊な設定を必要としなくなったので利便性も一気に向上することができました。
     私が購入したものは結局、ワールドアクセルのマイクロFireWallパーソナル2となりました。この製品についてを含め、ローカルルータについては引き続き下をどうぞ。

  5. LINUXサーバ導入(2000.10〜)
     2000.10からLINUXのサーバに移行して、外向け各種サービスと内向けDNSはLINUXサーバが担当し、内向けのファイルサーバはNT(2000)サーバが担当するようになりました。
     ハードウェアは既に押入に入っていた古いパーツを組み合わせることで対応し、何とケースとPC切り替え機を購入するのみでした。

     UNIXを導入した理由は色々ありますが、やはり安定性とパフォーマンスによるところが多かったです。WEBサーバ(特にCGI)とメール配信で不安定になることが増え、メンテナンスに掛かる時間が増えたこともあり、仕事でも関わることが増えたLINUXを選択しました。インターネット上に各種情報が多い、各種ツールも揉まれて成熟しているのもLINUXを選択するメリットですね。
     後に各種機能を拡張し、外部からもメンテナンスすることが可能になって便利になっています。

LIBRETTERS.NET宅内NW図(縮小版)

ローカルルータガイド補足版

 ローカルルータの比較記事としては、→CATVインターネットガイドのローカルルーター・ガイドを見ていただきたく思いますが、ここではサーバ公開の機能(ポートフォワディング)に注目して検証してみたいと思います。

  1. プレステージ311 / ブレーン
     まず、上記のローカルルータ・ガイドのWebMaster、吉川さんからお借りした    →ブレーンのプレステージ311(RT311)をご紹介します。一般のPC販売店でも時折見かけるプレステージ310の兄弟機になり、ほぼ機能は同じです。
     ネットワーク機器らしい作りが特徴的です。OSは独自のものを利用していて、LAN側は10/100BASEに対応しています。
    プレステージ311 / ブレーン
    ※比較のためにCATVモデムと写真を撮っています。

     設定はTELNET・シリアル接続・専用ツール(WIN)から行うことが出来ます。今回はファームウェアのバージョンアップの影響ということで、TELNETからしか行えませんでしたが、体系化されたメニューで至って簡単に設定できました。
     通常の接続ならば(4)WAN側ネットワークアドレスの取得方法、ルータの内側IPとDHCP絡みの設定を行えばおおよそ良いでしょう。

    • 基本性能
       デフォルトで内部から外部へのNetBIOS over TCP/IP関係のフィルタリングと、外部から内部への不正侵入を遮断する設定がありますので、通常はセキュリティに関する設定は特に変える必要は通常は無いかと思います。フィルタの設定は(21)フィルタセットの設定を行った後、このフィルタセットを内→外、外→内の設定に割り当てるという方式をとります。
       実際に接続してみましたが速度的には特に気になることも無く、上位ドメインからのダウンロードテストでは 80KB/sec 程の値が出ました。(当方の回線速度は 1Mbpsです)

       プレステージ31xシリーズの最大の特徴として、通過したDNS情報を一時的に記憶し次回から高速に応答できるProxyDNS機能があります。通常、DNS応答時間がボトルネックになる可能性はあまりないと思いますが、役に立つこともあるでしょう。そのため、内部クライアントのDNSサーバ設定はルータそのものとなります。
       当方でテストしたところでは内部にDNSサーバがあるため、効果のほどは確認できませんでした。逆に転送開始まで一呼吸(といっても0.数秒の世界)待たされるような感覚があり、逆効果になっていたかもしれません。
       ProxyDNS機能を(切れれば)切った上で比較テストしてみた方が良かったかもしれません。

    • ポートフォワディング
       ポートフォワディングを働かせるためには、SUA(Single User Account)機能をONにし、SUAの詳細設定にてポート番号とリダイレクト先を指定します。
       当方でのテストでもHTTP,FTP,DNS,SMTP等を指定し転送テストしてみましたが、最初の数分は正常動作するものの、アクセスが集中するとダウンしてしまうような現象が見受けられました。
      (この数分でのTCPセッション数は200程度)

       これも何らかの設定ミスかもしれませんが、その箇所を見つけることは出来ませんでした。
       アクセス集中時のパフォーマンスに難があるのかもしれません。

  2. マイクロFireWallパーソナル2 / ワールドアクセル
     自分としても利用できるローカルルータを探していたところ、    →ワールドアクセルのマイクロFireWallパーソナル2が急浮上しまして、購入してしまいました。同社からリンクされている→住商マシネックスの通販で購入できる販売されているほか、秋葉原では→ぷらっとホームで店頭販売されています。
     筐体は非常に小さく消費電力も抑えられているため、家庭用で常時駆動させても安心な設計となっていますが、OSにフリーBSDを採用しているため多様な機能を搭載できていることが特徴となっています。
     インタフェースはWAN側・LAN側とも10BASEですが、内部スループットは4Mbps(カタログ値)と十分な値を持っていますので、通常の常時接続なら十分なパフォーマンスを出せるると思われます。

    マイクロFireWallパーソナル2
     設定はブラウザ・TELNET・シリアル接続にて行うことが出来ますが、ブラウザによる設定は初歩的な部分に限られていまして、細かな設定を行うためにはTELNETで接続し設定する必要があります。
     TELNET経由での設定は独自のコマンドを入力する必要がありますが、UNIXのコマンドとは別のもので、TABキーを押すことで入力できるコマンドを知ることが出来ますので、ちょっと要領を覚えれば簡単に設定することが出来ます。多様な機能を素早く使いこなせるようになりますので、なかなか良いと私は思っています。コマンド体系はCISCOのルータのコマンドを参考に設計されているとの事です。

    • 基本性能
       デフォルトでのセキュリティ設定は少なく不安点もありますが、基本的には内→外に関してはNetBIOS over TCP/IPのフィルタリング、外→内に関してはTELNETとHTTPを未使用内部IPアドレスにフォワディングしてコンソールへのログインを防ぐ設定をすれば、NAT/PATを越えて内部侵入することは非常に困難なため大丈夫でしょう。
       DHCPと通常の接続関連の設定はブラウザからも行うことが出来ますので、通常の接続の設定であればWebブラウザでの設定だけで完結できるかもしれません。

       パフォーマンスに関しては、4Mbpsの高速設計のため大変快適です。こちらも上位ドメインからのダウンロードテストでは約80KB/secの速度が出ていることが確認できました。
       ただし、ごくたまに外部からのアクセスが集中した場合に一時的に内部から外部が見られなくなる現象が時折発生していました。

    • ポートフォワディング機能
       この機種には、内部サーバ公開機能として2つの方式がある本格派です。
       通常の常時接続では、redirect-portコマンドを用い、必要なポートのみ内部に転送する設定を行います。マニュアルに従い設定するだけで素直に反映され、解りやすく良いと思いました。
       また、ポート番号を変更してフォワディングすることが可能なため、に書いたSplitDNSにも1台のサーバで対応することが可能です。

       もう1つの方式は、WAN側にルータのアドレスの他に固定IPを取得できる場合は、その固定IPのへの接続要求があったときに無条件で内部の特定サーバに転送する(スタティックNAT)、redirect-addrコマンドがあります。
       構内LANでの利用時には効果を発揮しますが、常時接続の場合はredirect-portで設定することになるでしょう。

       このルータは現在使用中ですが、基本的には十分なパフォーマンスを示し、満足しています。

     また、おまけ機能として指定メールボックスにメールが届くとランプでお知らせしてくれる機能があり、家庭内でも滅多に使っていないユーザが居る場合は非常に便利で重宝します。
     最後に、現在公開されているファームウェアには不具合があり、RealPlayerのストリーミング再生ができない問題があります。また原因は不明ですが、これを用いている際に数日に1度、ごく希に数分間接続できなくなる問題があるようです。

  3. 常時接続ローカルルータへの要望
     最後に簡単にローカルルータへの要望を書きたいと思いました。
     常時接続用ローカルルータはまだ発展途上で今後どんどん良い製品が出てくると思いますが、基本的な性能としては以下のものが挙げられるのではないかと思います。
    1. 安定性
       何といっても四六時中安定していることに尽きるでしょう。
       消費電力が少なく、発熱に対する心配が要らないという点も重要な要素です。
    2. 高速性
       今後も常時接続の速度は速くなると思います。
       単なるスループットだけではなく、高速に反応することも要件でしょう。
    3. 柔軟性
       サーバを公開する場合、ルータに対する要望は増えます。
             に書いたSplitDNSを実現するためには、ルータそのものが外向けのDNSサーバになってしまうのが一番簡単です。
       また、簡単なWebサーバやメールサーバをルータ内で実行できればより便利でしょう。
    4. 簡易性
       マイクロFireWallパーソナル2のようなコマンド形式による入力も意外と解りやすく良いのですが、常時接続が今以上に普及してくるとなると、簡単な入力手段が必須となります。
       何といっても一番簡単なのはWebブラウザでの設定ですね。高機能と入力の簡易さの両立が求められます
     実は以上を満たすような製品も登場してきているようです。
     (が、そんな幾つも買えないですって。笑)

未来へ期待十分

 Small Office,Home Office、略してSOHO、今では実践する方も増えてきたようです。
 在宅勤務から快適なオフィス環境まで、モバイルとも接点が無いわけではなくなってきたようです。いずれにせよ、通信技術の進歩とインフラの整備により、ワークスタイルは著しい変化の真っ最中です。

 あと数年以内には、各家庭レベルに光ファイバが来る時代がきます。そうすると今の生活は一変することでしょうし、インターネットもより身近になってくることでしょう。

 私は偶然、運良くCATVインターネットという恩恵に預かることができましたが、512Kbpsという(ISDN最大の4倍)高速専用回線が月額\6,000というのは、全く夢のような話であります。
 これからも通信網の整備は進んでいくでしょうから、本当におもしろい時代になったもんだなぁ・・・と実感するのでありました。

LIBRETTERS.NETトップページ に戻る。