清水理史の「イニシャルB」
誰のための日本語GUIなのか? 中小企業向け低価格ルーター「Cisco 841M J」
2015年10月5日 06:00
Ciscoから、100名規模以下の中小企業をターゲットとした新シリーズ「Cisco Start」が登場した。その第1弾として発売されたのが、ギガビット対応VPNルーター「Cisco 841M Jシリーズ」だ。果たして日本の中小の現場で“Cisco”は受け入れられるのだろうか?
きちんとCisco
例えるならこうだ。
MT(マニュアルトランスミッション)の車しか販売していなかった自動車メーカーから、ATを採用した新型車が登場した。
乗ってみると、なぜか運転席にトランスミッションもクラッチもあるが、確かに直進するときはこれらを操作しなくても自動的に前に進む。しかし、ひとたび右左折しようとしたり、車庫入れのためにバックしようとすると、シフトレバーで適切なゲートを選び、クラッチを微妙に操作しなければならない……。
Ciscoが、日本の中小企業向けに「Cisco Startシリーズ」を発表した際、個人的にはとても興奮した。
Cisco 841Mシリーズのリーズナブルな実売価格(期間限定のキャッシュバックも含む)に気持ちが舞い上がったのも確かだが、これが同社のビジネスが新しい方向性に向かう可能性を感じたからだ。
同社のビジネスは、製品とその技術の提供や教育であり、実際の製品の販売や設置・運用はパートナーが手がけてきた。中小という現場だけではあるものの、このしくみを取っ払って(正確には取っ払ったように見え)、ユーザーが自ら設置や運用ができるしくみを整えたことは、明らかに今までのCiscoとは異なる。
国内の中小市場で着実にブランドを育ててきたYAMAHAと真正面から組み合う覚悟をしたのか、OnHubでルールを変える可能性すらあるGoogleに脅威を感じたのか、ASUSなどのコンシューマー機の企業への進出の芽を摘みたかったのかは定かでないが、異なる土俵での異なる戦い方に挑んでいるようにも感じられた。
しかし、それは、個人的な勘違いにすぎなかった。
確かに、戦いの土俵は同社にとって未開だった中小という市場ではあるものの、その戦い方は今までのCiscoとそう大きく変化していない。
今回のCisco StartシリーズはNTT-X Storeで、ユーザー自らが購入することも可能となっているが、基本的にはパートナー経由で販売される製品となっている。この点から、ほかのコンシューマー機と同様に、自分で購入して、自分で設置して、自分で運用する、というスタイルのように思えてしまうのだが、後半2つは必ずしも「自分で」というわけにはいかない。
詳しくは後述するが、確かに日本語GUIは用意されているものの、そこで設定できることは最低限にとどめられているうえ、GUIから設定を変更するだけでは足らず、CLI(Command Line Interface)での設定を追加しなければならないことも珍しくない。
おそらく購入したユーザーは1時間もすれば気がつき、悩むだろう。ATでは話にならない。やっぱりMTで運転しよう。さて、MTの運転を自ら学ぶか、運転代行を依頼するか、どうしようか、と。
モデルごとの機能の違い
それでは実際の製品を見ていこう。今回、取り上げるモデルは「C841M-4X-JSEC/K9」だ。Cisco 841M Jシリーズには、LANポートの数と搭載されるセキュリティ関連機能の違いにより、3つのラインアップが用意されているが、その中の最も安いモデルとなる。
・C841M-4X-JSEC/K9 3万9800円
LANポート×4、メモリ512MB、Advanced Securityモデル
・C841M-4X-JAIS/K9 4万9800円
LANポート×4、メモリ512MB、Advanced IP Servicesモデル
・C841M-8X-JAIS/K9 8万5800円
LANポート×8、メモリ1GB、Advanced IP Servicesモデル
LANポートの数やメモリの量の違いはいいとして、Advanced SecurityとAdvanced IP Servicesで何が違うのかが気になるところだが、主な違いは以下の通りだ。Advanced IP ServicesではIPサービスの機能やDMVPN(Dynamic Multipoint VPN)などが追加されている。
これらの機能が必要な場合はAdvanced IP Servicesを選択すべきだが、多くの場合、特に中小の現場であればAdvanced Securityでも十分だ。
| Advanced Security | Advanced IP Services | |
| IP および IP サービス | ルーティング プロトコル:RIPv1、RIPv2、OSPF、EIGRP、BGP | ← |
| Generic routing encapsulation(GRE)およびマルチポイント GRE(MGRE) | ← | |
| Cisco Express Forwarding | ← | |
| 802.1d スパニング ツリー プロトコル | ← | |
| Layer 2 Tunneling Protocol(L2TP) | Layer 2 Tunneling Protocol(L2TP、L2TPv3) | |
| ネットワーク アドレス変換(NAT) | ← | |
| Dynamic Host Configuration Protocol(DHCP)サーバ、リレー、クライアント | ← | |
| ダイナミック ドメイン ネーム システム(DNS)、DNS プロキシ、DNS スプーフィング | ← | |
| アクセス コントロール リスト(ACL) | ← | |
| - | IPv4 および IPv6 マルチキャスト | |
| - | Performance Routing(PfR) | |
| - | Virtual Route Forwarding Lite(VRF-Lite) | |
| - | Next Hop Resolution Protocol(NHRP) | |
| - | Bidirectional Forwarding Detection(BFD) | |
| - | Web Cache Communication Protocol(WCCP) | |
| - | Flexible NetFlow(FNF):PPP、HDLC、PPPoE | |
| LAN | 16 802.1Q VLAN | ← |
| MAC フィルタリング | ← | |
| スイッチド ポート アナライザ(SPAN) | ← | |
| ストーム制御 | ← | |
| Internet Group Management Protocol バージョン 3(IGMPv3)スヌーピング | ← | |
| 802.1x | ← | |
| セキュリティ | IPsec/IKEv1、IKEv2、IPsec over IPv6、VRF-aware IPsec | ← |
| トンネルレス Group Encrypted Transport VPN、Secure Socket Layer(SSL)VPN | DMVPN、トンネルレス Group Encrypted Transport VPN、Secure Socket Layer(SSL)VPN | |
| Cisco EasyVPN クライアントおよびサーバ | ← | |
| ハードウェア アクセラレーションによる DES、3DES、AES 128、AES 192、および AES 256 | ← | |
| Public Key Infrastructure(PKI)のサポート | ← | |
| Cisco IOS Firewall:ゾーン ベース ステートフル ファイアウォール、アプリケーション認識 NBAR2 統合ステートフル ファイアウォールおよび VRF 認識型ファイアウォール | ← | |
| 高度なアプリケーション インスペクションと制御 | ← | |
| Secure HTTP(HTTPS)、FTP、Telnet 認証プロキシ | ← | |
| - | Cisco Web Security Connector | |
| 最小 512 MB の DRAM で最大 20 のトンネル | 最小 512 MB の DRAM で最大 20 のトンネル、または最小 1 GB の DRAM で最大 100 のトンネルをサポート | |
| QoS | 低遅延キューイング(LLQ) | ← |
| 重み付け均等化キューイング(WFQ)とクラスベース WFQ(CBWFQ) | ← | |
| クラスベース トラフィック シェーピング(CBTS)およびクラスベース トラフィックポリシング(CBTP) | ← | |
| ポリシーベース ルーティング(PBR) | ← | |
| クラスベース QoS MIB | ← | |
| Class of service(CoS)から DiffServ コード ポイント(DSCP)への マッピング | ← | |
| クラスベース重み付けランダム早期検出(CBWRED) | ← | |
| Link Fragmentation and Interleaving(LFI) | ← | |
| Resource Reservation Protocol(RSVP) | ← | |
| Real-Time Transport Protocol(RTP)ヘッダー圧縮(cRTP) | ← | |
| ディファレンシエーテッド サービス(DiffServ) | ← | |
| QoS 事前分類および事前分割 | ← | |
| 階層型 QoS | ← | |
| 高可用性 | Virtual Router Redundancy Protocol(VRRP)(RFC 2338) | ← |
| Hot Standby Router Protocol(HSRP) | ← | |
| Multigroup HSRP(MHSRP) | ← | |
| アプリケーションの可視性 | - | NBARv2、パフォーマンス エージェント |
| IPv6 | IPv6 アドレッシング アーキテクチャ | ← |
| IPv6 名前解決 | ← | |
| IPv6 統計情報 | ← | |
| IPv6 変換:IPv6 のみ対応のエンドポイントと IPv4 のみ対応のエンドポイント間でのパケットの転送(NAT-PT) | ← | |
| Internet Control Message Protocol Version 6(ICMPv6) | ← | |
| IPv6 DHCP | ← | |
| OSPFv3 | ← | |
| - | BGP4+ | |
| IPv6 パス最大伝送ユニット(PMTU) | ← | |
| IPv6 ネイバー探索 | ← | |
| IPv6 ステートレス アドレス自動設定(SLAAC) | ← | |
| IPv6 マルチキャスト ルーティング | ← | |
| 管理 | Cisco Configuration Professional Express | ← |
| Cisco Prime Infrastructure | ← | |
| Cisco IP サービス レベル契約(IP SLA) | ← | |
| Cisco IOS Embedded Event Manager(EEM) | ← | |
| Telnet、Simple Network Management Protocol Version 3(SNMPv3)、Secure Shell(SSH)Protocol、コマンドライン インターフェイス(CLI)、HTTP 管理 | ← | |
| RADIUS および TACACS+ | ← |
【2017年2月18日追記】
上記、スペックシートは発売時点のものを掲載しています。製品発売後に誤記が見つかったため、現在はスペックが訂正されています。具体的には、Cisco 800M シリーズ ISR の Cisco IOSソフトウェア ハイレベル フィーチャ セット:Advanced Security
において、OSPFv3が記載されていましたが、同プロトコルは Advanced Security モデルであるC841M-4X-JSEC/K9ではサポートされていません。詳細はこちら(https://supportforums.cisco.com/ja/document/13026321)から参照してください。
続いて、外観だが、これはCiscoらしい、と言うより、極めて「通信機器」らしい。サイズは、全モデル共通の4.4×34.3×17.5cm(高さ×幅×奥行き)で、ラックマウントも可能となっている(1U)。
前面には、各ポートのLEDが配置され、背面にはWANポート×2(10/100/1000)、LANポート×4(10/100/1000)、さらにコンソールポート×1、外部USBフラッシュメモリスロット×1、リセットスイッチが搭載される。
天板の「Cisco」の大きなロゴが目立つが、基本的には控えめのデザインでCiscoらしいと言えばCiscoらしい。
GUIで何ができるのか?
実際の使い方だが、冒頭で触れたように、本製品は「CCP(Cisco Configuration Professional) Express」と呼ばれる日本語のGUIに対応している。
このため、通常ならコンソールにケーブルを接続し、ターミナルソフトからコマンドを利用してセットアップしなければならないところ、LANポートに接続したPCでブラウザを起動し、「http://10.10.10.1」にアクセスするだけで設定を開始できる。
筆者の環境(Windows 10 Build 10547)では、Microsoft EdgeとInternet Explorer 11で設定ページの表示に時間がかかってしまったため(画面遷移でも30秒くらいかかってしまう)、Chromeを利用したが、設定ページ表示後、「クイックセットアップウィザード」を利用することで、簡単にインターネット接続をセットアップすることができる。
今回は、フレッツ光ネクストを利用したが、接続方式にPPPoEを選び、プロバイダーに接続するためのIDを設定するだけと非常に簡単な操作で、設定を完了させることができた。CLIでいろいろなコマンドを入力していくことを考えると、確かにこれは楽だ。
セットアップが完了すると、大きなアイコンのシンプルな設定画面が表示され、「ダッシュボード」から、CPU使用率やメモリ使用量などがグラフ表示される、グラフィカルな設定画面が表示される。なかなかわかりやすいGUI画面と言える。
インターフェイスの詳細画面で、「スピード」の項目に「カー(Autoの誤訳)」と表示されたり、ダッシュボードの表示を切り替えるためのボタンが「爽やか(Refreshの誤訳?)」と表示されるなど、なかなか斬新な訳が楽しませてくれるが、GUIそのものはなかなかわかりやすい。
とは言え、ここからいろいろやろうとすると、結構つまずいてしまう。
まず、筆者はLAN側のIPアドレスを変えようとして困ってしまった。インターフェイスで標準で作成されている「Vlan1」のアドレスを変更し、DHCPで配布するアドレスの範囲を変更してみたところ、LAN上のPCのアドレスは書き換わったが、困ったことにインターネットに接続できない。また、設定画面を表示しようとしても表示できなくなってしまった。
幸い、同社のサポートサイトから、新しくVLANを作成する方法が画面付きの資料として提供されていたので、これを参考に既存のLANに合わせたIPアドレスのVLANを新たに追加してみたところ、やはりインターネットに接続できないし、設定画面にもアクセスできない。
こうなると、もうコマンドを使わざるを得ない。GUI画面からも「CLIの構成」という項目からコマンドを実行することはできるが、SSHで接続して設定を確認してみたところ、以下のように、標準のNATのアクセスリストで許可が設定されているlocal_lan_subnetsに10.10.10.0/255.255.255.128(標準設定のアドレス)しか含まれていなかった。
(設定の一部)
ip access-list extended nat-list
permit ip object-group local_lan_subnets any
deny ip any any
→local_lan_subnetsに許可が与えられている
object-group network local_lan_subnets
10.10.10.0 255.255.255.128
→許可されたグループには標準では10.10.10.0しか含まれていない
このため、以下のコマンドを使って、新たに追加したVLANのアドレスを許可したところインターネット接続が可能になった(追加VLANから設定画面へのアクセスも許可したいなら「access-list 23 permit 192.168.1.0 0.0.0.255」など23への追加も必要)。
object-group network local_lan_subnets
192.168.1.0 255.255.255.0
要するに、標準の10.10.10.0のネットワークで運用するなら問題ないものの、これを変更しようとすると、コマンドが必須になるわけだ。
ちなみに、インターネット上の掲示板を見ると、同じような問題で困っているユーザーがいたので情報を共有しておいた。もちろん、最初からコマンドで設定すればいいのだろうが、筆者と同じように、Cisco StartというコンセプトやCiscoのGUIに期待して841M Jシリーズを手にしたユーザーも少なくない。
最終的に、高度な機能を使いこなすにはコマンドが必須というなら話はわかるが、国道に出て車線変更しようとしただけで行く手を阻まれると、さすがに「Cisco Start」というコンセプトは、誰のためのものなのかと問いただしたくなる。
「セキュリティ」は本当に「サポートされていない」のか?
個人的に、もう1つ疑問に感じていることがある。
前述したセットアップウィザードで表示された「セキュリティ」項目の「サポートされていない」という表示だ。
何をセキュリティと定義しているのかを判断しにくいところではあるのだが、前述した表の「セキュリティ」の項目だと判断すれば、筆者が購入した「C841M-4X-JSEC/K9(Advanced Security)」でもVPNやファイアウォール(ゾーンベースステートフルファイアウォール)などがサポートされているはずだ。
そもそも「VPNルーター」なんだけどなぁ。などと思いつつ、初期設定完了後の設定ページを眺めても、「セキュリティ」関連のGUIは一切見当たらない。
困ったと思って、サポートにと合わせようとすると、サポートケースを作成? というCiscoルールに戸惑い、何とかメールを送っても設置場所の承認が必要などという謎の返信に迷い、何度か担当者とやりとりした結果、ようやく問い合わせができた。
完全に法人相手、パートナー相手のサポート体制だ。冒頭で述べた通り、実際、パートナー経由での販売なのだから、当然と言えば当然なのだが、これが中小企業を相手に展開する「Cisco Start」の実体なのかと思うと、本当にがっかりさせられる。
時間的な制約もあるかと思うが、発売前に豊富に設定例を用意するとか(現状公開されている内容もきちんと検証されているのか疑問に思う点も多々ある)、ユーザーが自己解決できるような工夫をすべきだ。そう、YAMAHAのように。
話がそれたので元に戻すが、要するに、原因はよくわからないが、筆者のC841M-4X-JSEC/K9では、セキュリティ設定がGUI画面に見当たらない(もちろんコマンドでは設定できる)。
そんな話題を掲示板でやりとりしていると、親切な方がセキュリティ画面のキャプチャをアップロードしてくれた。もしや、と思い、画面キャプチャに映り込んだURLを参考に、設定画面のURLの末尾を「http://10.10.10.1/sdflash:ccpexp/html/frames.html?feature=routerdiagonstics」から「http://10.10.10.1/sdflash:ccpexp/html/frames.html?feature=security」に変更してみると、「セキュリティ」画面が表示されるではないか!
掲示板での指摘によると、このページを開いただけでコンフィグに自動的にさまざまな設定が追加されるので、それを覚悟でやってほしいが、このGUIは、果たしてきちんと完成したものなのか、それとも単に不親切なのか、よくわからなくなってきた。
ちなみに、表示したSecurity画面で、ゾーンベースのファイアウォールを設定する際、GUIでは「ゾーンWAN」への登録ができないため、これもコマンドでの設定が必要になる(Interface Dialer1にzone-member security WANを追加)。
もしかするとモデルによる機能の違いなのか? C841M-4X-JSEC/K9(3万9800円)とC841M-4X-JAIS/K9(4万9800円)の差、つまりAdvanced SecurityとAdvanced IP Servicesの差が、機能だけでなく、GUIにもあるというのだろうか? と、もやもやしていたところ、問い合わせていた件についてサポートからようやく回答が届いた。
結論から言えば、「ソフトウェア不具合の影響」ということだそうで、最新の15.5(3)Mへのバージョンアップの案内が届いた。出荷前にテストしていれば、すぐに気がつきそうな問題だが、Ciscoの品質って何なんだろう? と、真剣に考えさせられてしまった。
ある意味勉強用には適してる
というわけで、Ciscoから登場した「Cisco 841M J(C841M-4X-JSEC/K9)」を実際に使ってみたが、現段階では、購入に注意が必要な製品と言える。
Cisco IOSに精通した社員が社内にいるのであれば、価格的なメリットを十分享受できる。比較的規模の大きな企業の支店や全国展開の店舗などでの導入にも適しているだろう。
そうでないなら導入から設定、運用までパートナーにまかせるべきだ。通販サイトからユーザー自身が購入できるが、一般的なルーターのイメージで使おうとすると、かなりの時間と手間を取られることになる。
もちろん、IOSの勉強のため、という買い方も、ある意味、有効だ。中古でもっと安いモデルを手に入れたり、IOSのソフトウェアシミュレータを使った方が効率的かもしれないが、とにかくGUIではすぐに限界が訪れるし、設定したつもりでもうまく動作しないので、そこからコマンドを調べたり、試行錯誤するうちに、自然と勉強することができる。
もしかすると、今までのCiscoとは違う方向性に挑戦しようと考えた担当者が、周囲の協力を得にくい状況の中、何とか、このシリーズの発売にこぎ着けた可能性もある。そう考えると、結論を出すのはまだ先と考えた方がいいのかもしれないが、現時点では少なくとも「使いやすさ」をイメージして購入すると失敗する可能性がある製品と言えそうだ。
清水 理史
製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できる Windows 10 活用編」ほか多数の著書がある。