特別企画

スマートスイッチとは何か? セキュリティ対策や運用管理は万全?

 「スイッチ」は、もはや高級品でも、使いこなすのが難しい製品でもない。手軽なGUI設定とリーズナブルな価格で、中小規模のネットワークにVLANやSNMP、QoSといった機能を提供するバッファローの”スマートスイッチ”「BS-GSシリーズ」の実態に迫ってみた。

 なお、記事の最後ではモニター企画の募集も行っているので、参照いただきたい。

賢い「スイッチ」へ

 「ハブ」から「スイッチ」へ――。

 中小規模の環境で、企業ITの足回りを支えるネットワーク機器の置き換えが進んでいる。

 もちろん、この言い方は正しくない。きちんと言い換えるとすれば、「『単純な』スイッチから『賢い(=スマート)』スイッチへ」、という表現が正確だ。

 ネットワークを構成するのに欠かせない「ハブ」は、ネットワークケーブルが接続されたすべてのポートにデータを流す単純な「ハブ(リピーターハブ)」から、ポートごとに接続された端末を学習し、あて先の端末が接続されたポートにのみデータを流す「スイッチ」へと進化してきた。

 しかし、しくみが違っても、このハブとスイッチの役割は、そう大きく変わってこなかった。ハブもスイッチも、複数の端末に接続されたネットワークケーブルを束ね、端末同士が通信可能なLANを構築するためのものであることは同じだ。

 ただ、社内のいろいろな部門でネットワーク上のサーバーやNASを利用したり、IP電話などの端末もLANに接続されるようになったりと、ネットワークの構成や使い方が複雑化するにつれ、単純にネットワークケーブルを束ねるだけの役割では、企業のニーズに応えることが難しくなってきている。

 「機密情報を含む経営層向けのサーバーや開発部門のサーバーを一般社員・ユーザーのネットワークから切り離したい」、「障害に備えてネットワーク機器の状態を把握したい」、「IP電話の音声が途切れないように通信を安定させたい」といったニーズがあっても、単純なスイッチでは対応できないケースが多かった。

 そこで登場したのが、「インテリジェントスイッチ」と呼ばれる製品だ。ひとつのスイッチに物理的に接続された複数の端末をポート単位などに論理的に分割する「VLAN(Virtual LAN)」、管理端末などにインストールしたソフトウェアから各ポートの接続状況を監視できる「SNMP(Simple Network Management Protocol)」、音声や映像などのデータを優先的に処理させることで遅延を押さえる「QoS(Quality of Service)」などの機能を搭載したスイッチだ。

 しかし、これまでの「インテリジェントスイッチ」は、十数万円〜数十万円と高額なうえ、設定もコマンドベース(CLI:Command Line Interface)なのが一般的で、大企業向けの製品となっていた。

 これに対して、最近、注目を集めているのが「スマートスイッチ」だ。数万円という中小企業でも手軽に購入できる価格を実現しながら、初めてでも手軽に設定できるGUI設定画面を搭載しており、前述したインテリジェントスイッチの機能をより身近に活用できる製品として注目を集めている。


インテリジェントスイッチ スマートスイッチ ノンインテリジェント
設定 CLI Web 非搭載
TELNET
Web
管理機能 SNMP(v1/v2c) 非搭載
RMON
ポートミラーリング
QoS
VLAN機能 ポートLAN 非搭載
タグLAN

 そんなスマートスイッチ市場を切り開いていく存在になりそうなのが、バッファローから新たに登場した「BS-GSシリーズ」だ。16ポートの「BS-GS2016」でも2万4800円(税別)と非常にリーズナブルな価格を実現したスマートスイッチとなっており、中小企業の中核を担うスイッチとしてはもちろんのこと、大企業の末端に設置されていた単純なスイッチを置き換えることで、オールスマートスイッチを実現する製品として注目されている。

バッファローのスマートスイッチ「BS-GSシリーズ」(写真は16ポートモデルのBS-GS2016)
GUI設定画面を備え、VLANやSNMP、QoSなどの機能を利用できる

低価格でも充実したネットワーク機能

 それでは、製品を見ていこう。以下の表のようにPoE(ネットワークケーブルによる給電)に対応したモデルと通常モデルの2種類が存在するが、今回、試用したのは通常モデルの16ポート版となる「BS-GS2016」だ。

 本体は、ブラックを基調としたメタル筐体で、前面にネットワークケーブルを接続するためのポートと動作状況を示すLED、背面に電源コネクタという構成になっており、スイッチとしては一般的なデザインだ。

正面
側面
背面

 対応する機能は、SNMP(状態確認)、RMON(トラフィック確認)、ポートミラーリング(パケットキャプチャ)、QoS(帯域制御)、ポートVLAN/タグVLAN(ネットワーク分割)となっており、2万4800円という価格を考えると、非常に充実している。特にSNMPによる管理機能は、より高額な他社製品でも省かれているモデルがあるため、コストパフォーマンスという点では、かなり優秀だ。

セキュアにネットワークを切り分けできるVLANを使ってみる

 実際に使ってみて感心させられるのは、やはり、その使いやすさだ。

 設置後、ネットワーク上のPCに「ビジネススイッチ設定ツール」をインストールすると、自動的にBS-GS2016を検出できる。ツール上のボタン、もしくは確認したIPアドレスを使ってブラウザから設定ページにアクセスすると、各種設定が可能となる。

設定ツールを利用してネットワーク上のBS-GS2016を検出する

 試しに、ポートVLANを設定してみよう。ポートVLANを利用すると、例えば、BS-GS2016のポート1〜8に接続した端末と、ポート9〜16に接続した端末で、論理的にネットワークを分割して、相互通信を遮断することができる。

 まずは、新しくVLAN2を作成する。「基本設定」の「VLAN」から「VLAN設定」を選択し、「VLANの追加/編集」欄に、VLAN ID「2」、VLAN名「VLAN2」を入力。ポート画面でポート9〜16を「Untagged」に登録する。

 続いて、標準で登録されているVLAN ID 1の設定を選択し、「編集」ボタンを使って内容を変更する。「VLAN1」と名前を付け、ポート1〜8を「Untagged」に割り当てたまま、ポート9〜16を「Not Member」に変更する。

 最後に「VLANポート」画面で、ポート番号9〜16の「PVID」を「2」に設定すれば完了だ。これで、ポート1〜8の端末とポート9〜16の端末は、同じスイッチに接続されながらも、お互いに通信できない別のネットワークに分割される。

 今回は単純に2つのVLANに分けたが、例えばルーターが接続されたポート1に対しては、VLAN1、VLAN2の両方からアクセス可能にすることも可能だ。その場合、VLAN3などとして全ポートUntaggedに設定したPVID3を作成し、ポート1に割り当てればいい。

 このような設定は、同社がサポートページで公開している「設定事例集」に掲載されている。単に設定画面がわかりやすいだけでなく、具体的なビジネスニーズに合わせて、どのように設定すればいいのかが公開されているのも、本製品ならではのメリットだ。

設定事例集も用意されるので、初めてでも安心

ネットワークの"健康"をSNMPで監視しよう

 続いてSNMPを利用して管理端末から状態を確認できるようにしたり、万が一、ネットワークに障害が発生した場合に通知を受信できるようにしてみよう。

 SNMPによる監視には、管理ソフトが必要になる。「TWSNMP(http://www.twise.co.jp/twsnmp.html)」などのフリーウェアも利用可能だが、今回は同社が販売している「WLS-ADT(http://buffalo.jp/product/wireless-lan/pro-option/wls-adt/)」を利用する。60日試用版が同ページからダウンロードできるので、導入前に試してみるといいだろう。

 まずは、BS-GS2016でSNMPを有効化する。「基本設定」の「SNMP」にある「SNMPコミュニティテーブル」を開き、「public」の「Get」と「Trap」にチェックを付ける。これで、管理ソフトからBS-GS2016の状態を取得したり、BS-GS2016で発生したエラー(後述)を管理端末向けにTrapとして送信できる。

 続いて、「SNMPホストテーブル」に管理ソフトをインストールしたPCを登録する。名前とIPアドレスを入力しておこう。

 最後に、Trapとして送信する情報を選択する。「認証トラップ(許可されていないIPアドレスからのSNMP要求があった場合に送信)」、「リンクアップ/ダウン(ポートの接続・切断状態を送信)」、「STP(複数経路を制御するSTP/RSTP構成変更を検知して送信)」、「ループ検知(ケーブル誤接続などでデータが永遠にループする状況になったときに送信)」、「トランク(複数ポートを束ねるポートトランクの設定変更時に送信)」が設定可能だ。

 設定完了後、WLS-ADTにて、ツールメニューから「新しい機器の検出」を実行すると、ネットワーク上のBS-GS2016が登録される。この状態で、設定情報を確認したり、BS-GS2016から送信されたトラップを確認することなどが可能になる。

 また、BS-GS2016の設定情報を保存したり、トラフィックの状況をグラフで表示することなども可能だ(要設定)。

面倒なQoSやセキュリティ機能も手軽に設定可能

 オフィスでIP電話を利用している場合は、その通信を優先させるようにBS-GS2016を構成することができる。

 QoSと聞くと難しそうに思えるが、BS-GS2016にはIP電話用の優先制御設定があらかじめ用意されているので、設定を有効にするだけと簡単だ。「QoS」画面で「VoIP優先制御」を選択し、「VoIP自動優先」にチェックを付けて有効化しておけばいい。

 もちろん、より細かにQoSを設定することもできるが、IP電話が切れるといったオフィスでありがちなトラブルをチェックボタンひとつで回避できるのは大きな魅力だ。

 同様に、セキュリティ関連の機能も簡単に設定できるように工夫されており、「詳細設定」の「セキュリティ」項目では、DOS攻撃などのよく知られた、それでいて発生頻度の高い攻撃に対抗するための設定を有効化することができる。

 中小企業のように、専任のネットワーク担当者がいないケースでは、企業の経営層レベルからセキュリティに関する取り込みを指示されても、具体的に何をどうすればいいのかがわからないケースも多い。

 しかし、本製品を利用すれば、設定画面でチェックを入れるだけで、ある程度の対策をすることができる。前述したVLANなども併用すれば、経営層を納得させるだけの対策を実施することができるだろう。

ファンレスでオフィス内設置もOK!

 ファンレスであることもメリットになる。フロアに設置したときに、ユーザーが動作音に悩まされるケースもあるが、本製品はまったくの無音で動作する。

 もちろん、温度対策は万全で、カタログスペック上の動作環境の温度は50度と、機種によってはファンを搭載したモデルよりも高い値となっている。設置場所が限られる中小企業では大きなメリットと言えるだろう。

もう単純なスイッチはいらない

 以上、バッファローから新たに登場したスマートスイッチ「BS-GSシリーズ」を実際に利用してみたが、価格からは考えられないほど多機能なスイッチとなっている。GUI画面で設定が簡単なうえ、事例集なども充実しており、初めてでも手軽に扱えるのも大きなメリットだ。

 中小企業が導入する初めてのスイッチとしてはもちろんのこと、大規模な企業の末端に残っているスイッチを置き換えるのにも適しているだろう。もちろん、小規模なオフィスや個人事務所でも十分に使いこなすことができる。

 この価格で、ここまでできることを知ってしまうと、もはや単純なスイッチを購入することに躊躇してしまうほどだ。BS-GSシリーズの登場を機にネットワーク環境を見直してみることを強くおすすめする。

***

 なお、このたび、インプレスとバッファローは共同で、モニター企画「オフィスの有線ネットワークをまるごと交換『スマートスイッチにスイッチ』キャンペーン」を実施する。この企画では、スマートスイッチのBS-GSシリーズを含む有線ネットワーク関連機器一式(機器費用合計 上限50万円程度を目安)と、これらの施工・設定に関わる工事費用を両社が負担するため、この範囲内であれば、負担なしでネットワーク機器を導入することが可能だ。詳細は、こちらのページをご覧いただきたい。

 応募は、2015年2月23日(月)午前9時まで受け付けている。

現在、応募は締め切っております。ご了承ください。

清水理史

製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できるWindows 8.1/7 XPパソコンからの乗り換え&データ移行」ほか多数の著書がある。