中小規模の企業では、本来の業務に加えて、ネットワーク管理を任される管理者が多い。トラブル発生時には業務の手を止めて調査に取り掛からざるを得ない。そんな忙しい管理業務を少しでも助けてくれる“お役立ちツール”を、プロからのお薦めを基に厳選。通信の状態を調べる専用の機器から、現場にあるとちょっと便利な小物まで紹介しよう。

無線LAN Wi-Spy チャネル利用状況を調査

 「無線LANがつながらない」「つながるけど特定の時間帯だけ異様に遅い」。無線LANは見えない電波を利用するだけに、トラブルに見舞われることが多い。そのような無線LANのトラブル調査に役立つのが、小型の簡易スペクトラムアナライザーだ。スペクトラムアナライザーは、電波や電気信号の周波数ごとの強さなどを表示する測定器。無線LANトラブルの場合、チャネルの重なりなど電波の状況を調べるのに役立つ。

 無線LAN用のスペクトラムアナライザーとしてお薦めなのが、米メタギークの「Wi-Spy」(図1)。専用の解析ソフトと一緒に使用する。一般的なスペクトラムアナライザーだと波形を分析するのに相応の知識が必要だが、Wi-Spyの解析ソフトは無線LAN用に表示が最適化されているので、一般の管理者でも使いやすい。

図1 無線LANの電波を調べるためのスペクトラムアナライザー
図1 無線LANの電波を調べるためのスペクトラムアナライザー
無線LAN用のスペクトラムアナライザー「Wi-Spy」は、無線LAN以外の電波の状況も検知できる。無線LANが遅いなどのトラブル時の調査に使う。専用の解析用ソフトウエア「Chanalyzer」と共に使用する。
[画像のクリックで拡大表示]

専用のソフトで詳細に解析

 Wi-Spyの解析ソフト「Chanalyzer」は、周波数ごとの電波の強さやSSIDを表示するほか、ウォーターフォールと呼ばれる時間ごとの通信量の分析も可能。長期間のログを取り分析するのにも適している。

 測定結果や分析結果はどのように活用できるのだろうか。2.4GHz帯を例に考えてみよう。

 基本的に、電波は周波数帯が重なると干渉してしまい、通信が不安定になったり、通信速度が低下したりする。2.4GHz帯のチャネルは隣のチャネルと重なり合うように配置されているうえ、周囲にアクセスポイントが多数設置されていると、全く重ならないチャネルを選ぶのは難しい。だが、通信量の分布や電波の強さなども見ながらチャネルを調節すれば、通信状況が改善する可能性がある。

 また長期間のログを取ると、昼と夜で電波の状況がどのように変わるのかを確認するのに役立つ。例えば昼の特定の時間帯だけつながりにくい、といったトラブルが生じたときに、周囲でノイズとなる電波が発生していないかどうかを確認できる。

無線LAN WiPry タブレット対応で手軽

 タブレット端末などスマートデバイスでも使える無線LAN用のスペクトラムアナライザーもある。米オシウムの「WiPry」はAndroidとiOSに対応した製品だ(図2)。

図2 タブレット対応の無線LAN用スペクトラムアナライザー
図2 タブレット対応の無線LAN用スペクトラムアナライザー
スマートデバイスに接続して使う小型スペクトラムアナライザー「WiPry」は、解析用ソフトウエア「inSSIDer for Office」と共に使用する。Wi-Spy同様に無線LAN以外の電波も表示できる。簡易的な調査に向く。
[画像のクリックで拡大表示]

 複数カ所の電波の状況を調べる際、ノートパソコンを持ち歩くよりはタブレット端末のほうが手軽。Wi-SpyとWiPryの販売代理店である、いけりりネットワークサービス 代表取締役社長の竹下 恵さんは、「タブレット端末を利用したいというニーズは最近増えている。しかしiOSは、周囲の無線LANの電波の波形を取得できなかったり、SSIDスキャンなどの機能に制限があったりする。WiPryならそうした情報を取得できるようになる」と話す。

 WiPryは解析ソフトとして「inSSIDer for Office」を使う。Wi-Spyで使うChanalyzerに比べると機能は少ないものの、チャネルの使用状況やSSID、電波の受信レベル(RSSI)など無線LANのトラブルシューティングに必要な情報を表示できる。

無線LAN以外の電波も検知

 読者の中には、「無線LANの電波を調べるなら、専用の測定器がいらないスマートフォンアプリだけでいいのでは?」と思う人がいるかもしれない。確かに「Wifi Analyzer」などのアプリも無線LANのチャネルの利用状況や、SSIDを調べるのに役立つ。

 そうしたアプリとの違いは解析できる電波の種類にある。スマートフォンの場合、検出できるのは無線LANの電波のみ。「Wi-SpyやWiPryは無線LAN以外の電波(外来波)も検出できるのが強み。例えば、2.4GHz帯は電子レンジやBluetoothなど様々な機器が利用するが、そうした電波を検知して識別できる」(竹下さん)。

 Wi-SpyもWiPryもUSBメモリーと同じくらい小さくて持ち歩きやすい。トラブル調査の定番アイテムとして、常に鞄の中に入れておくのもよいだろう。

ネット構成管理 EasyBlocks DHCP 1500 アドレス台帳を簡単作成

 ネット管理者にとって、ネットワークにどのような機器が接続されていて、それらがどのIPアドレスを使っているのかを完全に把握するのは一苦労。そんな作業を効率化してくれるのが、社内のサーバーやパソコンにDHCPでIPアドレスを配布する「DHCPサーバーアプライアンス」である。

 ぷらっとホームの「EasyBlocksイージーブロックス DHCP 1500」は、手のひらサイズの小型Linuxサーバーに、オープンソースのDHCPサーバーソフトがインストールされた機器(図3)。EasyBlocksシリーズにはDHCPサーバー以外にも、プロキシサーバーやsyslogサーバーなど様々な種類があるが、「DHCPサーバーが最も売れている。DNSや監視ソフトなども搭載した統合型のアプライアンスもあるが、DHCP単体のサーバーへのニーズが高い」(ぷらっとホーム 営業部 パートナーSE担当 担当部長の白水 道成さん)という。

図3 アドレス管理に役立つDHCPサーバーアプライアンス
図3 アドレス管理に役立つDHCPサーバーアプライアンス
DHCPサーバーアプライアンス「EasyBlocks DHCP 1500」は、IPアドレスをLAN内の端末に配布するための専用機器。端末のIPアドレスやMACアドレス、部署、使用者などをリスト化できるため、アドレス台帳としても使える。
[画像のクリックで拡大表示]

 アプライアンスのメリットは、自分でサーバーを用意したりソフトウエアをインストールしたりする手間が不要で、必要最小限の設定で使えること。Web管理画面が用意されているものが多く、コマンドの知識は不要だ。

 EasyBlocks DHCP 1500は、最大1500台の機器にIPアドレスを割り当てられる。基本的には、指定した範囲内のIPアドレス群から端末に対してIPアドレスを割り当てるが、サーバーのような固定のIPアドレスが必要な機器には指定したIPアドレスを割り当てられる。

 管理者にとって最も役立つのは、DHCPで割り当てたIPアドレスをどの部署の誰が使っているのかを管理できることだ。IPアドレスを払い出した部署やユーザーの名前は管理者が入力する必要があるが、ネットワーク管理に必須の“アドレス台帳”を簡単に作成できる。

ネット構成管理 Yamaha LAN Monitor 監視カメラの再起動も

 ネットワーク管理に欠かせないのがネットワーク図。スイッチやパソコン、サーバーがどのように接続されているかを調べ、図に描き起こすには時間も労力も必要だ。

 そんな作業を少しでも軽くしてくれるのが、ヤマハが提供する「Yamaha LAN Monitorモニター」(図4)。パソコンにインストールして利用する管理用ソフトウエアである。同社のスイッチや無線LANアクセスポイントの情報を取得し、LAN内の端末の状態を確認できる。ネットワーク構成や端末の種類、アドレス情報などが手元のパソコンで把握できる。

図4 ネットワーク構成の把握が可能なネット機器管理ソフト
図4 ネットワーク構成の把握が可能なネット機器管理ソフト
ネット機器管理ソフト「Yamaha LAN Monitor」は、ヤマハ製スイッチや無線LANアクセスポイントの情報を取得し、端末の接続状況を可視化する。PoE対応機器を遠隔からオン、オフするなどの制御も可能。
[画像のクリックで拡大表示]

 特徴の一つが、PoE対応機器の制御ができる点。同社のPoEスイッチに接続された無線LANアクセスポイントやネットワークカメラなどの状態を監視し、遠隔からPoEでの電源供給をポート単位で制御できる。例えば、ネットワークカメラが停止したときに、LAN MonitorでPoEスイッチの給電を止める。その後給電を開始することで、ネットワークカメラを遠隔から再起動できる。

 ヤマハ 楽器・音響営業本部 音響事業統括部 営業推進部 国内営業グループ 主幹の平野 尚志さんは、「監視カメラをつないだネットワークの場合、必ずしもインターネットに接続するとは限らない。そのようなルーターのない環境で、従来ルーターで実現していたLANマップに近いツールを提供することを目指した」と話す。

セキュリティ L2Blocker 不正な端末を検出・遮断

 ネットワーク管理者は、社内のセキュリティ対策も任されることが多い。セキュリティ対策では、ネットワークの入口や出口、内部において多層の防御が必要となる。対策の一つとして考えられるのが、「不正な端末を接続させない仕組み」である。

 不正端末を検知し遮断する仕組みを簡単に実現するのが、ソフトクリエイトの「L2Blocker」だ(図5)。L2Blockerは管理サーバーの「L2Bマネージャー」と、通信を監視するセンサー「L2Bセンサー」で構成される。レイヤー2のプロトコルであるARPを利用して不正な端末を検出・遮断する

図5 レイヤー2で不正端末を検知し遮断するセンサー
図5 レイヤー2で不正端末を検知し遮断するセンサー
L2Blockerは、管理サーバー「L2Bマネージャー」とセンサー「L2Bセンサー」で構成される。L2BセンサーはIPアドレスとMACアドレスの対応を問い合わせるARPの通信を監視し、許可されていない端末の通信を遮断する。L2Bマネージャーをクラウドサービスとして提供するクラウド版もある。
[画像のクリックで拡大表示]

 パソコンやネットワーク機器は、パケットの送信に先立って宛先のIPアドレスにひも付くMACアドレスを調べる。このときに使うプロトコルがARPである。

 L2BセンサーはこのARPパケットを監視し、接続されている端末のリストを作成する。このリストに登録されていない端末がARPパケットを送信すると、L2Bセンサーが検知し、偽装したARPの応答パケットを送る。すると、登録外の端末の通信を遮断できる

 ARPの通信を監視するため、L2BセンサーはARPパケットが届く範囲(ブロードキャストドメイン)ごとに必要になる。VLANを設定しているネットワーク向けに、タグVLAN対応のL2Bセンサーもある。最大32VLANまで監視できる。

自動リスト化で棚卸しに活用

 L2Blockerは、ネットワークに接続している機器のIPアドレスやMACアドレス、機種の種類を自動でリスト化する。最終検知日時のリストを利用すると、IT資産の棚卸しにも使える。ソフトクリエイト 技術本部 プロダクト&サービス部 部長の植松 卓さんは、「個人の機器や部門で購入した機器をひそかにつないでいるケースがある。そうした機器もリスト化し、管理者が接続を許可するかどうかを設定できる」と説明する。

セキュリティ AX260A スイッチで不正端末を遮断

 不正端末の検知・遮断を、専用のセンサーではなく一般的なスイッチで実現する製品もある。アラクサラネットワークスの「AX260A」は、自動でホワイトリストを作成し、登録外の通信を検知・遮断する機能を備えたスイッチだ(図6)。

図6 自動でホワイトリストを作成して通信を制御するスイッチ
図6 自動でホワイトリストを作成して通信を制御するスイッチ
ホワイトリストを自動作成するスイッチ「AX260A」は、パケットのヘッダーを見て、宛先および送信元のIPアドレスなどのリストを作り、リストに登録されていない通信を遮断する。これにより、登録外の端末の通信やウイルスなどの不正な通信を止める。
[画像のクリックで拡大表示]

 AX260Aは入ってきたパケットのヘッダー情報を見て、宛先と送信元のIPアドレスやMACアドレス、プロトコル、ポート番号などを自動でリスト化する。これによって、サーバーには社内の登録済みのパソコンからしかアクセスできないようにするなどの運用が可能になる

 「従来、サーバーへのアクセス制御を実現しようとすると、知識のある管理者がアクセスリストを記述しなければならなかった。この製品なら、ネットワークに接続したら自動で許可リストを作成するので設定の知識は不要」(アラクサラネットワークス ネットワークシステム部 技師の内住 圭吾さん)。

登録モードでホワイトリスト作成

 AX260Aには、(1)登録モードと(2)運用モードの2種類のモードがある。まず登録モードで1週間ほどネットワークに接続し、ホワイトリストを作成する。次に運用モードに変更し、ホワイトリストに登録されていない通信を制御する。制御では登録外の通信を「遮断」するか「中継」するかを選べる。中継する場合、登録外の通信をログに残したり、ミラーリングを設定したポートにパケットのコピーを転送して後から解析したりできる。

ネット監視・通知 SPEED Call 電話をかけて異常を通知

 サーバーが稼働しているかどうかを監視し、もし止まっていたらすぐに担当者に連絡する─。このような仕組みを実現するとき、意外と難しいのはどうやって確実に連絡するかだ。メールだけでは担当者がすぐに気付かない可能性がある。

 確実に担当者に知らせるなら、電話をかけるのが手っ取り早い。まほろば工房が提供するSPEED Callは、ユーザーのサーバーを監視し、異常を検知したら担当者に電話やメールで通報するサービス(図7)。pinコマンドやHTTP(HTTPS)、NTP、DNSなど10種類の監視が可能だ。

図7 機器の異常を電話とメールで知らせる
図7 機器の異常を電話とメールで知らせる
電話で通報する監視システム「SPEED Call」は、機器の監視で異常を検知したら、指定された担当者へ電話やメールで知らせる。複数人に同時または順番に電話をかけられるほか、時間帯に応じて電話をかける担当者を指定できる。
[画像のクリックで拡大表示]

 エラー発生時、SPEED Callサーバーは指定された通知グループのメンバーに電話をかける。通知は自動音声で、「○○○の異常を検知しました。すぐに対応してください」「○○○が異常から復旧しました」といったメッセージを流す。○○○の部分はユーザーがカスタマイズできる。

 まほろば工房 代表取締役の近藤 邦昭さんは、「ユーザー自身で電話通報の仕組みを作るとなると、複数の担当者に電話をかける際の留守電応答や話し中の対応が難しい。単純な仕組みだと、留守番電話なのに通話完了となったり、話し中でリトライが多発する可能性がある」と話す。

 監視自体はユーザーが実施することも可能。エラー発生時に社内の監視サーバーからSPEED Callサーバーにメールで通知する。同社によるとこの形態での利用が多いという。

ネット監視・通知 警子ちゃん 光や声で知らせる

 異常をランプで知らせるのは、もはや定番といってもいい。多くの人に同時に知らせるなら、これほどわかりやすい手段はない。

 アイエスエイのネットワーク対応警告灯「警子ちゃん」は、ランプの色や点滅でエラー内容を通知できる(図8)。このほか、ユーザーが設定した音声ファイルを再生し“声”で知らせることもできる。監視方法は、pingコマンドでの死活監視と、SNMP Trapによるエラー通知の2種類。SNMP Trapは40種類登録できる。

図8 機器の異常をランプや音声で知らせる
図8 機器の異常をランプや音声で知らせる
ネットワーク対応警告灯「警子ちゃん」は、機器の監視結果に応じて光や音でアラートを出す装置。pingコマンドによる死活監視や、SNMPを利用した状態の監視ができる。
[画像のクリックで拡大表示]

 警子ちゃんは現在、第4世代の製品が最新版。PoE対応のモデルも登場した。アイエスエイ セールス&マーケティング マネージャの松本 健平さんは、「無線LANのアクセスポイントやネットワークカメラを監視したいというニーズが増えている。PoE対応モデルなら、電源が近くにないところや、アクセスポイントやカメラが見えるところに警子ちゃんを置ける」と説明する。

現場のノウハウ満載! 手作りネット構築の便利ツール
カンファレンスやイベントでは無線LANなどのネットワーク接続が提供されることが多い。構築の現場ではどんなツールが使われているのだろうか。ネットワーク技術者チーム「CONBU」のメンバーが選んだ1位は「譜面台」、2位は「トランシーバーアプリ」、3位は「ホワイトボードシート」。このほか現場で役立つ便利ツールを紹介する。
1 譜面台
1 譜面台
これは便利!との声が最も多かったのは「譜面台」。無線LANのアクセスポイント(AP)をくくり付け、接続情報を書いた紙を貼る。ネット通販で800円台で購入できるのも魅力的
[画像のクリックで拡大表示]
2 トランシーバーアプリ
2 トランシーバーアプリ
[画像のクリックで拡大表示]
3 静電気で貼り付くホワイトボードシート
3 静電気で貼り付くホワイトボードシート
[画像のクリックで拡大表示]

これもオススメ! 現場で大活躍のツール

カーペット用ケーブルガード
カーペット用ケーブルガード
[画像のクリックで拡大表示]
マグネットフック
マグネットフック
[画像のクリックで拡大表示]
ゴムシート
ゴムシート
[画像のクリックで拡大表示]
六輪台車
六輪台車
[画像のクリックで拡大表示]
隙間用LANケーブル
隙間用LANケーブル
[画像のクリックで拡大表示]
はがしやすいラベルシール
はがしやすいラベルシール
[画像のクリックで拡大表示]
360度カメラ
360度カメラ
[画像のクリックで拡大表示]
面ファスナーテープ
面ファスナーテープ
[画像のクリックで拡大表示]
深めの折り畳みコンテナー
深めの折り畳みコンテナー
[画像のクリックで拡大表示]
タグ付きのケーブルバンド
タグ付きのケーブルバンド
[画像のクリックで拡大表示]
外付けのNIC
外付けのNIC
[画像のクリックで拡大表示]
 
カンファレンス会場などのネットワークを構築する技術者チーム「CONBU(Conference Network Builders)」のみなさん。左から、熊谷 暁さん、中川 淳さん、佐々木 健さん、高橋 祐也さん、大本 貴さん、板谷 郷司さん、板谷 藍子さん、岡田 雅之さん、田島 弘隆さん
カンファレンス会場などのネットワークを構築する技術者チーム「CONBU(Conference Network Builders)」のみなさん。左から、熊谷 暁さん、中川 淳さん、佐々木 健さん、高橋 祐也さん、大本 貴さん、板谷 郷司さん、板谷 藍子さん、岡田 雅之さん、田島 弘隆さん
[画像のクリックで拡大表示]
様々なカンファレンスやイベントで活動。規模では「Yet Another Perl Conference(YAPC) Asia TOKYO 2015」が最大で、2130 人が来場
様々なカンファレンスやイベントで活動。規模では「Yet Another Perl Conference(YAPC) Asia TOKYO 2015」が最大で、2130 人が来場
[画像のクリックで拡大表示]
会場によっては2400mほどのLANケーブルを引き回すこともある
会場によっては2400mほどのLANケーブルを引き回すこともある
[画像のクリックで拡大表示]
定番!想像以上に使える便利アイテム

 ネットワーク管理は少しの工夫で想像以上に楽になる。例えば、スイッチの使わないポートを塞ぐ「ポートキャップ」はループ対策に効果大。情報・通信エンジニアの久保 幸夫さんに聞いた製品を中心に、定番の便利アイテムを紹介する。

外付けのNIC
外付けのNIC
[画像のクリックで拡大表示]
ケーブルテスター
ケーブルテスター
サンワサプライのLAN-TST3Z。LANケーブル両端のコネクターを接続し、導通を確認する装置。トラブル原因の調査に役立つ
[画像のクリックで拡大表示]
LAN省配線アダプター
LAN省配線アダプター
ネットメカニズムのAC5-T。1本のLANケーブルで2本分の通信を可能にする。LANケーブルの両端に接続して使う
[画像のクリックで拡大表示]
雷サージ対策製品
雷サージ対策製品
サンコーシャのLAN-CAT5e-P+ II。落雷時の過電流から機器を守る。「特に屋外設置のアクセスポイントには、不可欠なツール」(久保さん)
[画像のクリックで拡大表示]
車輪付きメジャー
車輪付きメジャー
シンワ測定のE20-S 75422。必要なLANケーブルの長さを測定するときに使えるメジャー。車輪付きだと一人で楽に測定でき便利
[画像のクリックで拡大表示]
ケーブル延長アダプター
ケーブル延長アダプター
エレコムのLD-RJ45JJ5Y2。LANケーブルの長さが足りないときに、もう1本ケーブルを継ぎ足すためのアダプター
[画像のクリックで拡大表示]
ロック付きモジュラーカバー
ロック付きモジュラーカバー
サンワサプライのADT-MCSL-CL。LANケーブルが抜けるのを防ぐ、ロック付きの自作用モジュラーカバー。専用の解除キーがある
[画像のクリックで拡大表示]
ロック付き電源ケーブル
ロック付き電源ケーブル
エイム電子のAPW15-C14/C13LP。抜け防止機能を備えた電源ケーブル。固定用の金具や、ロックのための特別な工具は不要
[画像のクリックで拡大表示]
スイッチのポートキャップ
スイッチのポートキャップ
エレコムのLD-DUSTBK6。スイッチの空きポートに差し込む。本来はほこり対策だが、勝手にケーブルを挿されるのを防げる
[画像のクリックで拡大表示]
▼SSID
Service Set IDentifierの略。無線LANネットワークに付ける名前(識別子)のこと。
▼DHCP
Dynamic Host Configuration Protocolの略。クライアントにネットワーク情報を動的に割り当てるためのプロトコル。
▼syslog
ログデータをやり取りするための通信プロトコル。syslogサーバーは、ログを取得するサーバーやネットワーク機器から、ログを収集し保存する。
▼DNS
Domain Name Systemの略。
▼PoE
Power over Ethernetの略。イーサネットのケーブルを使って機器に電力を供給する技術。
▼LANマップ
ヤマハ独自のL2MS(Layer2 Management Service)と呼ぶ技術で、同社製のネットワーク機器や、LANにつながる端末の状態を確認し管理できるようにする機能。同社のRTX1210以降のルーターに搭載されている。
▼ARP
Address Resolution Protocolの略。イーサネットにおけるアドレスと、IPにおけるアドレスを関連付けるプロトコル。
▼通信を遮断できる
L2Blockerには「収集モード」「保留モード」「ブロックモード」の三つの動作モードがある。収集モードでアドレス情報を収集した後、登録外の端末の通信を一定期間許可するときは保留モードで運用する。また、ブロックモードで通信を遮断した機器に対して、接続が許可されていないことを通知する機能もある。
▼ブロードキャストドメイン
全端末に対しての通信を「ブロードキャスト」といい、ブロードキャストが届く範囲を「ブロードキャストドメイン」と呼ぶ。
▼VLAN
Virtual LANの略。
▼棚卸しにも使える
L2Blockerを簡易的なIT資産台帳として使うほかに、他社の資産管理ソフトと連携させることもできる。資産管理ソフトでの検出漏れをL2Blockerで補完したり、許可されていない端末を遮断したりする。このほか、セキュリティ機器と連携し、標的型攻撃対策ソリューションとしても提供している。トレンドマイクロの「Deep Discovery Inspector」(DDI)と連携し、DDIでウイルスによる不正な通信を検知したら、ウイルスに感染した端末の通信をL2Bセンサーで遮断する。
▼可能になる
重要サーバーの保護以外にも、検討中の事例として、工場のシステムや大規模な監視カメラシステム、ビルの監視システムなどへの導入がある。
▼ミラーリング
特定のポートが送受信するパケットを、そのままコピーして別のポートに流すこと。
▼HTTP(HTTPS)
HyperText Transfer Protocolの略。HTTPSはTLS/SSLを利用したHTTP。
▼NTP
Network Time Protocolの略。
▼通知グループ
通知グループには3人まで登録でき、同時に通知するか順番に通知するかを選べる。このほか、電話に出なかったときのリトライの回数や間隔も指定できる。シフト体制を記述したExcelファイルを基に、時間帯ごとに異なる担当者を指定する機能もある。