はじめての「ヤマハ vRX さくらのクラウド版」(14)VPCルータとvRXの比較
この連載では、ヤマハ 仮想ルーター vRXをさくらのクラウドで検証する環境を構築いたします。「ヤマハ vRX さくらのクラウド版」がどのように動作するのかや検証費用について説明していきます。皆さんも検証環境を作って、いろいろ試してみてください。
さくらのクラウドでヤマハ vRXを動かしていろいろ試してきました。vRXを触ってきた(検証してきた)感覚で、さくらのクラウドで従来から提供されているアプライアンスの VPC ルータを触ってみて、比較したいと思います。
目次
VPCルータとは?
サービス概要
| 項目 | VPCルータ | vRX |
|---|---|---|
| 提供者 | さくらインターネット株式会社 | ヤマハ株式会社 |
| 製品情報 | 製品情報 | 製品情報 カタログ仕様 |
| 取扱説明書など | さくらのマニュアル | ユーザーガイド 技術資料 コマンドリファレンス |
| サービス種別(帯域) | ・スタンダード(100Mbps) ・プレミアム(1.0Gbps) ・ハイスペック(2.Gbps) ・ハイスペック(5.0Gbps) | ・基本(100Mbps) ・VPNオプション(10対地、最大10) |
| 上流側 | 1) 共有セグメント (スタンダード) 2) ルータ+スイッチ (プレミアム、ハイスペック) | 以下の何でもよい 1) 共有セグメント 2) ルータ+スイッチ 3) スイッチ |
| 下流側 | 1) スイッチ | 以下の何でもよい 1) 共有セグメント 2) ルータ+スイッチ 3) スイッチ |
サービスの特徴
| 項目 | VPCルータ | vRX |
|---|---|---|
| 特徴 | ・さくらのクラウドへ最適化 ・他ベンダーのIPsec相互接続検証 | ヤマハルーターの共通知識 ・共通の操作性 ・CONFIG互換 ・動的経路制御 ・ヤマハ同士のIPsec相互接続性 |
| 動作スタイル | アプライアンス | 仮想サーバー+アーカイブ |
| 動作モード | コンパクトモード: ・仮想メモリー2GB以上4GB以下 | |
| 設定方法 | コントロールパネルのWeb UI | コンソール ・コントロールパネルのコンソール ・SSHなど |
機能の特徴
| 項目 | VPCルータ | vRX |
|---|---|---|
| NAT機能 | IPマスカレード(Forward NAT) ポートフォワーディング(Reverse NAT) ※ヘアピンNAT(NATループバック)対応 ★100~200エントリー | NATディスクリプター機能のすべて ★セッション数:65,534 |
| VPN機能 (リモートアクセスVPN) | L2TP/IPsec PPTP ★RAS数:100~200件 | L2TP/IPsec、IKEv2 ★RAS数:0~100件 |
| リモートアクセスVPNのポリシー定義数 | 1組 (VPN機能で共通利用) | ipsec sa policy コマンドを設定できるだけ (メモリーの許す限り) |
| VPN機能 (サイト間VPN) | IPsec IKEv1 AES128、AES256 IPv4 ★サイト間VPN数:4地点~50地点 ★ヤマハルーターの設定例ダウンロード | IPsec、L2TPv3 IKEv1、IKEv2 NATトラバーサル DES、3DES、AES、AES256 IPv4、IPv6 ★VPN数:0地点~100地点 |
| サイト間VPNのポリシー定義数 | 1組 (VPN機能で共通利用) | ipsec sa policy コマンドを設定できるだけ (メモリーの許す限り) |
| IPsec 交換モード | Main Mode↔Main Mode ※固定グローバルIPアドレスが必要 | 1) Main mode↔Main Mode 2) Main mode↔Agressive Mode 3) Agressive Mode↔Agressive Mode ※NAT環境下の接続相手はOK |
| ログ表示機能 | ファイアウォールルールによって許可/遮断された通信ログの表示 サイト間VPN/リモートアクセスVPNに関するログの表示 | 〇 |
| syslog転送機能 | コントロールパネルで表示されるログと同様のログをsyslogサーバへ転送する機能 | 〇 |
| ファイアウォール | ファイアウォール機能 ★送受信で各60~200定義 | 静的フィルタリング、動的フィルタリング、不正アクセス検知 ★動的フィルターセッション数:65,534 |
| DHCPサーバ機能 | DHCPサーバ機能(スタティックマッピング設定可) | 〇 |
| DNSフォワーディングサーバ機能 | DNSフォワーディングサーバ機能 | 〇 (DNSリカーシブサーバー機能) |
| トラフィックモニタ機能 | トラフィックモニタ機能 | ×(statisticsコマンドは一部のRTX) |
| WireGuardサーバ機能 (オープンソースのVPN) | 〇 | × |
| セッション統計情報機能 | VPCルータにて行われている通信のセッション情報を集計して表示する機能 | ×(statisticsコマンドは一部のRTX) |
ルーティング機能などの特徴
| 項目 | VPCルータ | vRX |
|---|---|---|
| 想定用途 | 1) インターネットゲートウェイ 2) VPNルーター 3) リモートアクセスVPNサーバー | 1) インターネットゲートウェイ 2) VPNルーター 3) リモートアクセスVPNサーバー 4) ローカルルーター |
| 動的経路制御 | IPv4: IPv6: | IPv4:RIP、OSPF、BGP IPv6:RIPng、OSPFv3 |
| IPv4 | ★静的経路エントリー数:30 | ★経路エントリー数:200,000 |
| IPv6 | × | 〇 |
| VLAN | × | 〇 |
| VRRP | ×/〇 (プランによる) | IPv4:VRRP IPv6:VRRPv3 |
| SNMP | × | SNMP v1/v2c/v3 |
| QoS | × | QoS(優先制御、帯域制御など)、帯域検出、負荷通知 |
| ネットワーク監視 | × | ip keepalive コマンド(1,000対地) |
| ヤマハの公開情報 |
|---|
| ヤマハネットワーク製品 技術情報ページ |
| → vRX さくらのクラウド版 ユーザーガイド |
| → 技術資料 |
| →→ セキュリティ・ゲートウェイ機能とIPsec |
| →→ IKEv2 |
| →→ リモートアクセスVPN(IKEv2)の設定手順 |
| → コマンドリファレンス |
| ヤマハネットワーク製品 |
| → 製品情報 |
| →→ 仮想ルーター vRX |
| → 設定例 |
実験環境
VPCルータのインストール
作成
1) さくらのクラウドのコントロールパネルにログインします。
2)コントロールパネルのメニューから「アプライアンス」をクリックします。
3)メニューで開いた「アプライアンス」から「VPCルータ」をクリックします。
4)「VPCルータ」の画面では、リソースが未登録です。
5)[+追加]ボタンをクリックします。
6)「VPCルータ追加」の画面が表示されます。
- 上部に料金表が表示されています。
- 下部に設定項目が表示されています。
7)VPCルータの設定項目を入力します。
- プラン、バージョン、インターネット接続は、初期値のまま使います。
- 名前、説明は、「検証用VPCルータ」などと入力します。
8)アイコンを選択します。
- ヤマハネットワーク機器で公開しているアイコン集の「一般仮想ルーター」を選ぶことにします。
9)一通り入力したら、「+作成」をクリックします。
10) VPCルータを作成する操作の最終確認で、[作成]ボタンをクリックします。
11)ステータスが[成功]になったら、[閉じる]ボタンをクリックします。
- 右下にも「VPCルータ追加: 完了」のダイアログが表示されています。
12) 「VPCルータ追加」の画面に戻ったら、[(×) キャンセル]ボタンをクリックします。
- 画面には、既に作成済みのVPCルータの設定情報が残っています。
13) 「VPCルータ追加」から「VPCルータ(一覧)」画面に戻ると、作成した「検証用VPCルータ」がリストアップされています。
- 作成直後は「コピー中」の状態です。
14) 「コピー中」が「利用可能」になったらVPCルータの準備は完了です。
15) VPCルータの「詳細」>[情報]タブの様子を見ます。
16) VPCルータの「詳細」>[インターフェース]タブの様子を見ます。
- インターフェース種別が「グローバル」と「プライベート」に分類されています。
- グローバルは、「共有セグメント」に接続され、グローバルIPアドレスが1個割り当てられています。
- この特別扱いされた「グローバル」というインターフェース種別が「VPCルータ」の最大の特徴なのかもしれません。
- なお、VPCルータはまだ「DOWN」しているので、「ping実行」もできません。
17) VPCルータの「詳細」>[NAT]タブの様子を見ます。
- 「グローバルインターフェース」にポートフォワーディングのルールが設定できます。
17) VPCルータの「詳細」>[ファイアウォール]タブの内容を確認します。
- 「グローバルインターフェース」や「プライベートインターフェース」の送受信にフィルタリングルールが設定できます。
18) VPCルータの「詳細」>[サイト間VPN]タブの内容を確認します。
- 今回は接続テストは行いませんが、VPNの安全性にかかわるパラメーターは3種類を選べるようです。
- 安全性を高めるために、相互接続性を考慮しつつできるだけ強度の高い選択肢を選択するようにします。
| 項目 | 初期値 | 選択肢 |
|---|---|---|
| 暗号アルゴリズム | AES128 | - / AES128 / AES256 |
| ハッシュアルゴリズム | SHA1 | - / SHA1 / SHA256 |
| DHグループ | modp1024 | - / modp1024 / modp2048 / modp3072 / modp4096 |
内部セグメントに接続
「内部セグメント」をプライベート1に接続します。
1) VPCルータの「詳細」>[インターフェース]タブを開き、プライベート1の[編集](鉛筆)ボタンをクリックします。
2) インターフェース設定の編集画面が表示されます。
3) 接続先スイッチの選択ボタンで選択可能なスイッチを表示します。
4) 選択肢から「内部セグメント」を選択します。
5) IPアドレスを「192.168.200.3」に設定します。
6) プリフィックスは「/24」に設定します。
7) IPアドレスを入力したら、「更新前チェック」を実行して、設定内容が適切であるか事前確認しておきます。
8) 「更新前チェック」にて設定内容が問題ないようでしたら、[更新]ボタンをクリックします。
9) 「スイッチ:接続」は成功しましたが、「インターフェース:編集」は失敗してしまいました。
10) 再び更新したら、「インターフェース:編集」も成功しました。
起動
VPCルータを起動します。
1) [電源操作]ボタンをクリックします。
2) 表示されたメニューから[起動]ボタンをクリックします。
3) 起動の確認画面で、[起動]ボタンをクリックします。
4) [操作確認]のダイアログが表示されるので、[実行]ボタンをクリックします。
5) 起動進捗画面が表示されるので、スタータスに注目します。
6) ステータスが「成功」になったら、[閉じる]ボタンをクリックします。
7) VPCルータの一覧画面で、「検証用VPCルータ」が起動中になっていることを確認します。
疎通確認(1):失敗!
起動できたところで、vRXのIPアドレス(192.168.200.1)に疎通確認(ping)してみました。
1) 「ping実行」をクリックして、VPCルータからvRXへpingを実行します。
2) ping実行画面が表示されるので、送信先アドレスにvRXのIPアドレス(192.168.200.1)を入力して、「実行」ボタンをクリックします。
3) vRXのIPアドレス(192.168.200.1)に疎通確認してみましたが、「失敗」(Network is unreachable)してしまいました。
設定の反映
そういえば、「インターフェース」画面で設定したとき、「反映しなさい!」という注意表示がありました。
1) このボタンになります。
2) [反映]ボタンをクリックします。
3) [反映]の操作確認が表示されたら、[はい]ボタンをクリックします。
4) 作業中のような画面表示になります。
5) [反映]が終わったら、インターフェースの一覧表示画面に戻ってきます。
疎通確認(2):成功!
では、改めてvRXのIPアドレス(192.168.200.1)に疎通確認(ping)してみましょう。
1)「ping実行」をクリックして、VPCルータからvRXへpingを実行します。
2) ping実行画面が表示されるので、送信先アドレスにvRXのIPアドレス(192.168.200.1)を入力します。
3) 送信先アドレスにvRXのIPアドレス(192.168.200.1)を入力したら、「実行」ボタンをクリックします。
4)今度は疎通を確認できました。
| さくらインターネットの公開情報 |
|---|
| さくらのマニュアル |
| → さくらのクラウド マニュアル |
| →→ ネットワーク |
| →→→ VPCルータ |
| →→→→ NAT設定 | さくらのクラウド マニュアル |
| →→→→ ファイアウォール設定 | さくらのクラウド マニュアル |
nmap
インターネット側からnmap実行
VPCルータはpingに返事をしないので、nmapによるスキャン結果が「DOWN」と判定されます。
内部セグメント側からnmap実行
- pingに返事をします。
- すべてのポートが閉じています(tcp resetが返されます)。
デフォルトで最小限のセキュリティー設定が適用済み!
vRXをインターネットのゲートウェイとして安全に動作させるにはある程度設定が必要でしたが、VPCルータはデフォルトでセキュリティー機能が有効になっているようです。このまま利用するのであれば、特別なセキュリティー設定は必要ないようです。
VPCルータのセキュリティ設定は、「インターネット接続に必要ないポートはすべて閉じておく」ようなポリシーで初期設定されています。
- NAT機能(スタンダードプランの場合)
- デフォルトでIPマスカレード機能が有効になっています。
- ファイアウォール機能
- 外部→内部向け通信
- 全て禁止
- ファイアウォール機能(ステートフルインスペクション)により、内部→外部向け通信の戻りパケットは自動許可されます。
- 内部→外部向け通信
- 全て許可
- 外部→内部向け通信
- グローバル側からの見え方(「インターネット側からnmap実行」の結果より)
- nmapがDOWNと判定しました(ICMP echo requestに対して無反応)。
- DOWNになるように処理している場所が、NAT機能か、ファイアウオール機能か、インターフェース仕様かはわかりません。
- nmapがDOWNと判定しました(ICMP echo requestに対して無反応)。
- プライベート側からの見え方(「内部セグメント側からnmap実行」の結果より)
- pingに返事をします。
- ICMP echo requestに対してICMP echo replyを返します。
- ポートは閉じています。
- TCP SYNに対してTCP RESETを返します。
- pingに返事をします。
(まとめ)どのような使い分け方があるのだろうか?
本連載を通して、vRXのインストールや使い方を検証してきました。さくらのクラウドで動作するヤマハルーターが実現されていました。また、最後にさくらのクラウドで標準利用される「VPCルータ」を動作確認してみましたので、得られた知見からどのようなケースでの利用が適しているのか仮説を立ててみます。皆様のサービス選定の参考情報にしてください。
VPCルータの利用が適しているケース
さくらのクラウドで標準的に用意される「VPCルータ」は、ゲートウェイ機能とVPN機能を合わせ持ったアプライアンスです。特に、ネットワーク知識が浅くても安全に利用できる仕様にチューニングされているようです。
- VPNルーターとして利用する
- Web GUIによる管理で対応可能な範囲の小規模インターネットVPN
- インターネットVPN構築における次のような接続相手の場合
- 大容量の通信を行う必要がある
- 複数ベンダーのVPN機器と相互接続する
- WireGuardで接続する
- VPNルーターの製品知識
- 詳しい知識を持ち合わせていない
- 安全な設定をできる自信がない(アプライアンスに任せられるなら任せたい)
| 機能 | 概要 |
|---|---|
| 広帯域への対応 | vRXはスタンダード相当 |
| WireGuardサーバ機能 | |
| IPsecの相互接続情報 | 複数ベンダーのVPN機器と相互接続可能 |
| デフォルトで効果的なセキュリティー対策 |
vRXの利用が適しているケース
ヤマハルーターと同じように動作するソフトウェアルーターでした。検証したり、実際に使ったりできるでしょう。ただし、帯域制限(100Mbps以下)のあるライセンスしか用意されていないので、主回線での利用はお預けとなります。
- VPNルーターとしても利用するが、ローカルルーターとしても利用したい
- インターネットVPN構築における次のような接続相手の場合
- ヤマハのVPNルーターで統一されている
- NAT環境下に置かれている
- グローバルIPアドレスが動的に付与される
- IKEv2で安全性を高めたい
- 接続対地数が多い
- ヤマハ VPNルーターの豊富な製品知識
- ネットワーク構築には熟練している(細部調整は自分でやる)
- ヤマハネットワーク製品の扱いに慣れている
- ヤマハルーターを手軽に動作確認したい
- 細かくチューニングしたい
| 機能 | 概要 |
|---|---|
| アグレッシブ、メインのどちらでも可 | クラウドの対向側のVPN機器の回線が動的グローバルIPアドレスだったり、NAT内部にあるプライベートIPアドレスだったり |
| L2TPv3、L2TPv3/IPsec | クラウド環境と物理環境のブリッジ接続 |
| IKEv2 ・NAT越え機能(高速な接続) ・高いセキュリティー(暗号強度) ・Apple製品との安全な相互接続 ・通信中の回線切り替えに追従(Mobility) | ・セキュリティー向上 ・リモートアクセスVPNのアップデート ・不安定な環境の相手との接続(モビリティー、テレワークなど) |
| ヤマハルーターで統一されたネットワークに「さくらのクラウド」を追加する | 既存ネットワークと同様に管理できる |
| 100拠点まで接続可能 | VPN対地数が多い |
| 豊富なバックアップ機構が利用できる | VPNの冗長構成を組める |
| 接続相手毎にポリシーを運用できる | 新旧のVPNルーターと接続する |
| インターフェースが用途に特化しておらず、どれもほぼ同等 | ローカル環境でも利用可能(ローカルルータ) |
| IPv6ルーティング IPv6 over IPv4 IPsec | |
| ip keepaliveコマンドでネットワークや端末を監視する。SYSLOGやSNMP(yrIpKeepaliveTable)などで実行結果を取得する。 | ネットワーク監視装置 |
| マニュアルやTipsが豊富 |
本連載を終えて
執筆の目的
さくらインターネットでお仕事をさせて頂くようになり、アウトプットなど も していきたいと考えていたこともあり、連載を持たせていただくことになりました。折角なので、いくつかの目的を設定していました。
- インプットし続けていると、伝えたいことが芽生えて、アウトプットしたくなる。
- そういう性分なんでしょうね。私にとって、アウトプットできる場所であることは、重要らしいです。
- アウトプットすることで、考えがまとまって、知識の定着や問題解決能力の向上、コミュニケーション能力の向上など、様々なメリットが得られます。
- さくらのナレッジの執筆ルールを知る。
- 技術的な情報をアウトプットしていくには、執筆ルールと執筆ツールに慣れる必要があります。書きながら試行錯誤していきます。試行錯誤して使いこなし方を発見するのも楽しいです。
- さくらのナレッジのタイトルには、「知る・学ぶ・つくるを育てる ITエンジニアのためのメディア」と記載されています。また、目的として、「やりたいこと」を「できる」に変えるため、筆者陣が日々の業務を通じて得たナレッジ(知識やノウハウ)を、広く世間に共有し、インターネットのさらなる発展に貢献すること、とあり
- 記事では、「学び」という視点があるとよいと思いました。
- 『さくらのクラウド版vRX』をリリースされました。使用感を表現する。
- さくらインターネットでお仕事させていただくことなったところで「さくらのクラウド版vRX」がリリースされました。物理ルーターを触っていた立場でソフトウェアルーターがどのような使い勝手なのか試させていただくことになりました。
- 記事では、「知る」、「試す」という視点があるとよいと思いました。
- クラウド上でのネットワーク構築を体験する。
- 物理ルーターやサーバーは触ったことがあるのですが、クラウドは触ったことがありません。さくらインターネットで仕事をさせて頂くには、クラウドの操作体験は必要です。
- 記事では、「物理ルーターを熟練しているが、クラウド未経験者」という視点があるとよいと思いました。
- インターネット越しで物理ルーターによるインターネットVPN接続を試す。
- 物理ルーターの開発やライティングの検証は、机上検討や疑似環境を利用してきました。できれば実回線を使って検証したいですよね。実回線につないでインターネットVPNをテストする場合には、物理ルーターや回線を2組必要になります。そこで、片方をクラウド環境にしておくことで、検証リソースを変動費で賄う手段を得ることができます。
- 記事では、「検証」という視点があるとよいと思いました。
どのように書いていこうか?
目的を踏まえて、方針を次のように考えていました。
- ターゲット読者
- ヤマハの物理ルーターに熟練しているが、クラウド未経験者
- コンセプト
- 『さくらのクラウド』や『さくらのクラウド版vRX』を触る体験を表現
- 執筆する情報
- クラウドを利用する体験
- クラウドにvRXをインストールしたり、ライセンスをインストールしたりする体験
- vRXのセキュリティーの基本動作を検証する体験
- vRXと物理ルーターのインターネットVPNを構築する体験
- vRXとVPCルータを比較して、仮想アプライアンスが適した利用シーンを考えてみる
- 体験を通して関連する知識を深く学ぶ
今回は、連載を通して得たナレッジ(知識やノウハウ)を表現できたでしょうか。この連載をきっかけに、学びや気づきに繋がったら、うれしいです。というわけで、次は「伝えたいことを文章にまとめる方法」の連載を計画してみたいと思います。
検証経費
第14回で検証したサーバとvRXに関する費用は次の通りです。
| 項目 | 経費 |
|---|---|
| 仮想マシン(vRX) ・コア数:2 core ・メモリ:2GB | 起動からシャットダウンまでの稼働時間に応じた課金が発生 ・21円/時間 ・214円/日 ・4,290円/月 |
| vRXのアーカイブ | 今回の動作確認だけなら費用は発生しません |
| vRX 基本ライセンス | ・6,050円/月 |
| vRX VPNオプションライセンス | ・550円/月 |
| 仮想ネットワーク(スイッチ) | スイッチは常時稼働で、時間単位で課金される ・11円/時間 ・110円/日 ・2,200円/月 |
| 仮想マシン( サーバ / Rocky Linux ) ・コア数:1 core ・メモリ:2GB | 起動からシャットダウンまでの稼働時間に応じた課金が発生 ・16円/時間 ・159円/日 ・3,190円/月 |
| VPCルータ(スタンダード) | ・13円/時間 ・132円/日 ・2,619円/月 |
| 利用料の合計 | ・18,899円/月 |
※料金は、作成時(2025年6月など)に表示されたものです。
連載トップへのリンク
| 連載回数番号 | リンク |
|---|---|
| 第1回 | はじめる前に |
| 第2回 | インストールとシャットダウン |
| 第3回 | 初期設定 |
| 第4回 | 入出力を観測 |
| 第5回 | インストール状態の確認 |
| 第6回 | セキュリティーフィルターの適用 |
| 第7回 | NAT(IPマスカレード、NAPT)の適用 |
| 第8回 | 新しいセキュリティーポリシーの検討 |
| 第9回 | SSHでリモート管理する設定 |
| 第10回 | 内部サーバの設置 |
| 第11回 | SYSLOGサーバの設定 |
| 第12回 | vRXのライセンス手配 |
| 第13回 | 物理ルーターとVPN接続 |
※画面キャプチャーなどは、2025年6月時点のものです。