リビング+:特集 |
2003/09/13 23:59:00 更新 |
特集:何が違う? 1クラス上のブロードバンドルータ
DMZホスト専用ポートが特徴の高機能ルータ「BLV-04D」
「BLV-04D」は、高いスループットとDMZ専用ポートを備える点が売りの高機能ルータだ。とくにDMZ専用ポートは、サーバを設置したいユーザーにアピールできる点だろう。ただ、個人ユースを前提に考えると、少し首を傾げたくなる部分もある。
NTT-MEのBAシリーズや、今回取り上げているNTT東西の「WebCaster 7000」の開発を担当、それに自社ブランドの「BroadRunner」シリーズと、ブロードバンドルータの開発ベンダーとしてお馴染みになったプラネックスコミュニケーションズの高性能ルータが「BLV-04D」だ。
「BLV-04D」。9月12日に行われた価格改定で、定価が4万9800円から3万9800円に引き下げられた
先日、プラネックスはインテルのXScaleをプロセッサコアとして採用するネットワークプロセッサ「IXP425」を採用する「BRC-114IXR」を発表したばかり。BRC-114IXRは、一部ハードウェア構成を除けばWebCaster 7000と同等の性能や機能を持っているが、ここで取り上げたBLV-04Dは、XScaleではなくMIPSコアのプロセッサを使う、全く別のハードウェアである。
もちろん、動的パケットフィルタリング、不正アクセス検出などのセキュリティ機能、UPnP、unnumberedにも対応。これらセキュリティ機能をオンにした状態でも、高いスループットを実現するパワフルさと、DMZ専用ポートを備える点が本機の売り文句となっている。
ただし今回テーマとしているVPNは、ゲートウェイ機能のみの対応となっており、インターネットを通じてBLV-04D同士、あるいはVPNゲートウェイとなるように設定されたWindows 2000/XPと接続する場合には用いることができるものの、任意のインターネット接続からのVPN接続は行えない。つまり、LAN間をインターネットで結び、インターネット中に流れるパケットをトンネルさせることは可能だが、ホットスポットや宿泊ホテルなどから自宅にVPNで接続したい、といった用途には利用できない。
従って今回、VPNサーバとして動作させたときのパフォーマンスに関して、本機は対象外となる。あらかじめ相手が決まっている2拠点の接続は可能だが、そうした利用はビジネスのフィールドが主。コンシューマーユーザーの利用シナリオはほとんどない。
VPNは「VPN(IPSec)ゲートウェイ機能」で設定する
VPNの設定画面
VPNポリシーの設定
しかしDMZ専用ポートに関しては、自宅内にサーバを設置したいユーザーにアピールするかも知れない。
DMZ専用ポートの使い勝手
DMZとはインターネットに対して、何ら防御をすることなく非武装のままで解放するゾーンのこと。DMZ専用ポートにコンピュータを接続すれば、種類にかかわらずほとんどのネットワークアプリケーションが利用可能になる。サーバ公開やネットワークゲームを利用する際に設定する。
背面。DMZ専用ポートが目を引く
ただし、すべてのパケットが直接DMZ専用ポートに接続したコンピュータに届くため、ウイルスやワームによるアタックをまともに受けてしまい、それらに感染する確率は非常に高くなる。しかもDMZに指定されたコンピュータが感染することで、本来はファイアウォールによって守られているハズの、他のコンピュータにまで被害が拡大する可能性がある。あるいはDMZコンピュータを踏み台として、ファイアウォールの内側にあるコンピュータの情報を盗み出すツールも、作ろうと思えば作れてしまう可能性がある。
そこでDMZ専用ポートは、内蔵されているLAN側のイーサネットスイッチと物理的に切り離すことで、インターネットからアタックされやすいDMZコンピュータからの影響を遮断する。DMZ専用ポートからイーサネットスイッチの先にあるコンピュータにはアクセスすることができないため、たとえDMZ専用ポートに接続されたコンピュータがワームなどに感染しても、内部の二次感染は防げるわけだ。
ただ、実際に使ってみると、少々使いにくい部分もある。たとえば、特定のアプリケーションしか動作しないサーバ専用のコンピュータをDMZ専用ポートに接続しておくなら、そのままの設定でも良いかもしれない(ただしサーバの設定には十分に留意しなければならないだろうし、サーバに利用するOSに対する十分な知識も必要になる)。DMZ専用ポートに接続されるコンピュータは、外部からアタックされても大きな被害にならない、専用に作ったものにするならばDMZ専用ポートはとても便利な機能だ。
しかし、DMZ専用ポートにゲーム用マシンをつないでおき、難しいトラブルを避けて便利にゲームやアプリケーションを使いたいだけ、といった目的で利用する場合には注意が必要だ。というのも、DMZ専用ポートに対するパケットフィルタの設定に柔軟性がないためである。DMZ専用ポートには、WAN側からのパケットのうちLAN側にルーティングする以外、すべてのパケットが素通しで届くようになっている。
たとえば、ポート番号を範囲指定したり、フィルタ対象のIPアドレスを特定範囲やサブネットで指定するといったことができない場合がある。さらに、ひとつのポート番号には、ひとつのフィルタしか設定できない。たとえば特定IPアドレスからのHTTP(TCP80番)は許可するが、それ以外のIPアドレスからのアクセスは破棄するといった設定は行えない(デフォルトがすべてのパケットを通過させるため)。
本機のDMZ専用ポート用パケットフィルタは、IPマスカレードなどによって外部からの一方的なアクセスをデフォルトで遮断している場合向けの仕様を、そのままDMZ専用ポートに適用しているように思える。もちろん、DMZ専用ポートに接続するからには、外部からアタックがあることは当然であり、ユーザーはそれを承知で利用するはず。ならば、本機の仕様でも何ら問題ないという考え方もできる。DMZとは本来こういうものだ。
ただ、本機が個人ユーザーを対象にしていることを考えれば、ゲームや特殊なアプリケーションを動かすために、クライアントをDMZ専用ポートに接続しようとしているユーザーにも“使える”ものにしてほしい。
本来なら小規模事業所にお勧めしたい機種だが
本機の特徴であるDMZ専用ポートについて詳しく紹介したが、それ以外の部分については“普通”の製品である。高速プロセッサ採用によるスループットの高さも売りだが、別途行ったテストを見ると、同一価格帯における速度面でのアドバンテージはない。単に速度だけであれば、より低価格なルータでも十分高速であり、本機を購入する理由にはならないだろう。
本機を積極的に選ぶ理由があるとすれば、今回取り上げた他の2製品にはないDMZホスト機能の評価いかんということになる。VPNゲートウェイ機能は他2製品とも装備しており、VPNサーバ/クライアント機能がない分、本機の方が劣ることになる。またVPN接続時のスループットを求めないのであれば、1万円を切る価格帯にもVPNゲートウェイ機能を持つ機種は存在する。
本来、本機はインターネットからアクセス可能なサーバを設置しつつ、他拠点とのVPN接続も行いたいといった、小規模事業所にフィットする製品だと感じる。もちろん、DMZ専用ポートをゲーム用などに利用したい個人ユーザーにも便利だろうが、その場合は前述したパケットフィルタの制限があることを知っておいてほしい。
関連記事
ISDN TAを内蔵した高機能機、NetVolante「RT 57i」
高速&機能充実の「WebCaster 7000」だが、ソフトウェアの熟成に期待
低価格ルータ全盛期の高付加価値ルータとは
プラネックス、NAS機能を備えたブロードバンドルータを発売
ブロードバンドルータの最新機能を試す。第1回:VPN機能とは
関連リンク
プラネックスコミュニケーションズ
[本田雅一,ITmedia]