金欠社畜、ルーター高いから仮想化したい 第2話 『構成』

IT Philosophy
スポンサーリンク

前回、ルータを仮想化してみる『動機』編の記事を書いたのですが、今回からは真面目に構成の話をしてみたいと思います。

金欠社畜、ルーター高いから仮想化したい 第1話 『動機』
IPoEを契約したけど、対応する機器持っていない方、絶対に多いはず。
tech.willserver.asia
金欠社畜、ルーター高いから仮想化したい 第1話 『動機』

環境構成を考察

現在の構成画面
現在の構成

前回のネットワーク概要図ですが、こんな感じになっています。
緑色のラインがホームネットワークに該当するネットワークになります。
青色のラインは本番系や検証系が入っているので、このネットワークへの変更は最小限にしておきたいところです。
では、ネットワーク構成を大きく変更せずに導入を検討してみます。

案1 FWX120でDS-Lite

まず最初に構成として考えられるのが、既存のFWX120のUTMを使用してDS-Liteを構成する方法です。

FWX使用図
FWX使用図

FWX120でのDS-Liteを使用することで、ONU側からFWX120のLANポートにLANケーブルを1本差すだけで使用することができます。
やり方については、YAMAHAさんが公開しているので、この手順をいい感じに工夫すればできます。
URL : https://network.yamaha.com/setting/router_firewall/ipv6/ds-lite

ただ、この場合だと黄色のラインにIPv6のグローバルアドレスが配布され、UTMであるProxyサーバが使用できなくなります。
また、Active Directoryを運用している関係上、グローバルIPを各端末に割り当てられるとLANの意味がなくなりそうなため、断念しました。

案2 FWX120でNATをする

IPv6の通信については、基本的に1端末1グローバルが可能なので、LAN内であろうとNATする必要が無いため、外と中の区別が必要なくなります。
しかし、敢えてIPv4と同じような考え方を使い、FWX120のWAN側のアドレスまでIPv6を振ってもらい、そこからNATしてFWX120のLAN側のアドレスをデフォルトゲートウェイとして使用する方法。
こうすることで、LAN内は通常のIPv4ネットワーク、デフォルトゲートウェイを境にNATされ、IPv6で通信ができるようになる。と思いたい。
はっきり言ってこんなことができるのかわからない。なので、やってみてもよいが、FWX120がもう1セットあれば確実にやっている。
ので、断念。

案3 新しいルータを設置する

これが動機編で言っていた構成です。
既存のルータを使用するのではなく、新しいルータを作成してIPoE専用のルータを設置する案です。
これについては、物理機器を入れようと思いましたが、設置場所(主にコンセント)との兼ね合いから物理は無理でした。
そのため、既存で余っている仮想基盤を有効活用することで、ルータごと仮想化してしまえば、配線が最低限で済み、物理機器の導入を抑えることができます。
(しかもおまけにルータを仮想化できるというあまりやっていないことにチャレンジできる。)
と、言うことでこれが一番簡単に実現ができそうな答えでした。

新しいルータ設置案図
新しいルータ設置案

ただルータを設置しても面白くはないので、ルータ替わりのUTMであるSophos XG Firewallを使おうという算段です。
Sophos XG Firewallを使用すると、外部と内部でNATされて通信されるっぽいので、一石二鳥です。

IPoEを使用する際の考慮事項

IPoEを使用する際の環境に対する考慮すべき事項ですが、IPv4だけで運用できるとは思っていないので、IPv6のアドレスを採番する必要がありそうです。
また、概念的にはIPv4ネットワークと同じような概念で運用するので、デフォルトゲートウェイ・DHCPv6・DNSv6あたりが最低限必要になりそうです。
また、一部機器はIPアドレスを固定化しているので、IPv6の固定用のレンジも切り分けてあげる必要があります。

MACアドレスからIPv6アドレスを生成できるジェネレータがあるので、これを使用すると割と簡単にLAN内で使用するユニークローカルアドレス(ULA)の生成ができそうです。
URL : https://cd34.com/rfc4193/

サイトより、MACアドレスからULAのCIDRが分かったら、その中でULAを採番していきます。
また、DHCPv6でも必要になるので、そこらへんは適当にプレフィックスを弄ってDHCPで使用する範囲外のアドレスを確保しておきます。

ついでに、DHCPでIPv6アドレスをバラまきますが、Windowsは何も設定しないと、IPv6を優先して使用するので、IPv6の内部の名前解決ができないとLANにする意味がなくなるので、ADに対してもIPv6アドレスの付与を行っていきます。
さらには、ADの登録時にIPv6のDNS登録もできればうれしいので、そこらへんの設定も必要になってくると思います。

まとめ

今回は、ルーター高いから仮想化したいシリーズの第2弾である構成編を記事にしてみました。
第1話の話が全然意味わかりませんでしたが、構成を考えてみると意外と何が必要かが分かってきました。
とはいえ、自分自身IPv6になり切れていない人材なので、IPv6のことはさっぱりですが、気合と感とネット情報だけでなんとかIPoEの活用までできるようになるとよいと思います。

次回は、実際にIPoEで構築した結果を記事にできればよいと思います。

スポンサーリンク

コメント

タイトルとURLをコピーしました