1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

【YAMAHAルーター】初期化の次はこれ!実務でよく使う「設定のおまじない」ter len 0 的なもの含む

1
Posted at

はじめに

先日投稿した記事【現場の味方YAMAHAルーター】初期化お約束コマンドと完全な「無」を作るcold start活用術では、ルーターを完全にまっさらな状態に戻す手順を解説しました。

今回は、その初期化した直後に「ひとまずこれだけは設定しておくという、よく使う定番のconfig(おまじない)について解説します。

実務においては、ガチガチのセキュリティ要件を求められる「本番環境」もあれば、「検証用のclosed環境だから、セキュリティよりもとにかく接続の利便性とトラブルシューティングのしやすさを最優先したい!」という「試験評価用(ユルユル環境)」の場面も多々あります。

今回は、そんな検証環境でストレスなく作業を爆速にするためのおまじない(ユルユル設定)のベースとなるconfig例を元に、各コマンドの意味と実務での見直しポイントを紐解いていきます。
 
RTX1210.JPG
今回はRTX1210で作成しましたが、他のYAMAHA RTであればほぼ設定と挙動は似ています。そこがYAMAHAのいいところ。
 
 

試験評価用(利便性重視・ユルユル)のベースconfig

(※LANのIPアドレスやルーティング、DNS/NTPといった基本設定を除いた、管理・デバッグ用の全容です)

RTX1210-1# show config
# RTX1210 Rev.14.01.42 (Fri Jul  5 11:17:45 2024)
# MAC Address : **:**:**:**:d4:ac, **:**:**:**:d4:ad, **:**:**:**:d4:ae
# Memory 256Mbytes, 3LAN, 1BRI
# main:  RTX1210 ver=00 serial=*********
# Reporting Date: Jul 5 18:00:00 2026

security class 1 on on on

console columns 4096
console lines infinity
console prompt RTX1210-1

syslog notice on
syslog info on
syslog debug on

telnetd host any
httpd host any
sshd host any

security class 1 on on on の意味(セキュリティレベルと踏み台対策)

初期化直後のconfigの最上部に登場するこのコマンド。初見だと「on が3つも並んでいて何の設定だろう?」と不思議に思いますが、実はルーターのセキュリティを担保する上で非常に重要な項目です。

security class 1 on on on

このコマンドの正しい構文は security class level forget [telnet [ssh]] となっています。外部からアクセスされる「サーバー側」の制限ではなく、 「パスワードを忘れたときの救済機能」 や、 「ルーター自身がクライアントになって外部へ通信する(踏み台になる)機能」 を制御しています。

詳しい仕様:RTPro - security class

各パラメータの意味と実務的な考察

  • level(設定値:1
    シリアルコンソール、TELNET、SSH、リモートセットアップ機能のすべてで管理者ログインを許可する最も標準的なレベルです。
  • forget(設定値:on
    万が一管理パスワードを忘れてしまった場合の救済機能です。on の場合、設定したパスワードの代わりに "w,lXlma" という固定文字列を入力することで、シリアルコンソール経由限定でログイン・設定変更が可能になります。
    • 【実務・トレンドの考察】
      非常に便利な救済機能ですが、物理的に機器に触れる人であれば誰でも管理者権限を奪取できてしまうというセキュリティリスクでもあります。そのためか、近年の新しい機種(RTX3510、RTX1300、RTX840 など)では、デフォルトが off に変更されています。なにか問題があったのかな…と思わせる変更ですが、昨今の厳しい物理セキュリティ基準(NISTなど)に合わせた仕様変更と考えられます。
  • telnet / ssh(設定値:on
    ルーター自身がクライアントとして動作し、外部の機器に対して telnetssh コマンドを実行することを許可(on)します。

検証中、一時的にルーターを踏み台にして他の検証機(スイッチや別のルーターなど)へ縦つなぎでアクセスしたい場合も、この設定が on のままであればスムーズにジャンプできます。
(※ただし本番環境では、万が一の乗っ取り時に社内ネットワークの他機材への「踏み台」として悪用されるリスクを孕むため、運用要件に合わせて off に制限していくことも検討すべきポイントです)


② コンソール表示とプロンプトの設定(Ciscoとの違い・YAMAHA方言)

次に、CLI(コマンドライン)での操作環境を整えるための3行です。特に他社製ルーター(Ciscoなど)に慣れている人が見落としがちなポイントや、検索需要が高い設定が詰まっています。

console columns 4096
console lines infinity
console prompt RTX1210-1
  • console columns 4096
    1行に表示する画面の幅(文字数)を指定します。デフォルトでは 80 に設定されていることが多いですが、長大なconfigやBGPなどのルート情報、パケットダンプを表示する際に改行されて画面が崩れるのを防ぐため、広めに設定しておくのが定番です。
     
    • ※最大値は機種によって異なります。古い機種(RTX1200など)では 200 が限界でしたが、RTX1210やRTX1300、RTX830 node現行に近い機種では 4096 まで拡張されているため、初期化後は最大値まで広げておくのがおすすめです。
       
  • console lines infinity ★一番の検索ポイント!
    コマンドの出力結果が長いときに、画面を途中で止めずに一気に表示させる設定です。
    Ciscoでいう terminal length 0 (ter len 0)に相当する設定ですが、YAMAHAでは infinity(無限)というキーワードを使います。これを入れておかないと、Tera Termなどのログ保存機能で show config を一括取得しようとした際に、画面が -- More -- で止まってしまい「configが最後まで保存できていなかった!」という事故が起きるため、実務では必須のおまじないです。この仕様を調べるために検索してくるエンジニアも多いのではないでしょうか。
     
  • console prompt RTX1210-1
    いわゆる「ホスト名(hostname)」を設定するコマンドです。(64文字までのお好きな文言で入れ替えてください。)一般的なルーターやスイッチでは hostname コマンドを使いますが、YAMAHAでは console prompt というコマンド名になっているのが面白い「YAMAHA方言」です。

syslog [notice/info/debug] on (検証・デバッグの命綱)

冒頭のユルユルconfigで全開にしているのが、このシステムログの出力設定です。

syslog notice on
syslog info on
syslog debug on

YAMAHAルーターはデフォルトでは debugnoticeoff になっているため、そのままでは詳細なログが残りません。検証中に「なぜか通信が通らない」「意図しない挙動をする」といったときの原因究明には、

上記を on にして(リズムよく3行を念仏を唱えるようにポン♪ポン♪ポン♪と入れて!)、
clear log→何某かの試験動作実施→show logです。

logはすべてを知っている状態にしておきましょう。Let's debug!

(※本番環境で syslog debug on を常時有効にすると、トラフィック量によってはログが溢れてルーターの負荷が上がるリスクがあります。物事にはバランスが必要。お約束。)


④ Telnet / SSH / Web GUI の有効化・無効化

リモートアクセス手段(Telnet / SSH / Web GUI)の接続制御です。ここが本番環境と検証環境で一番大きく設定が変わるポイントになります。

試験評価用(ユルユル環境)の場合

telnetd host any
httpd host any
sshd host any

接続元ホストを any(すべて)に解放しています。試験評価環境では「作業端末のIPアドレスを一時的に変更した」「別セグメントの検証用PCからアクセスしたい」といったことが頻繁に起こるため、any にしておくことで「IPを変えたらアクセスできなくなった!」という検証中のストレスやタイムロスを完全にゼロにできます。

エンドユーザー納品(本番環境)の場合

本番環境では、セキュリティ観点や誤操作による事故防止のため、ガチガチに固めるのが鉄則です。

  • Telnetの無効化(パケットが暗号化されず盗聴リスクがあるため)
    telnetd service off
    
     
  • SSHの有効化(暗号化された安全なリモート管理のため、LAN1などの特定セグメントに絞る。事前に鍵生成が必要)
    sshd service on
    sshd host lan1
    # 鍵の生成(初回のみ実行)
    sshd host key generate
    
     
  • Web GUI(httpd)の無効化・制限
    ヤマハルーターのWeb GUIは非常に便利ですが(昔、検証用に買ったCLI専用機のRTX3500にGUIが無くて驚いたのも良い思い出です。tunnel上限を確認した後、若い子にあげちゃいました。)、本番環境では「かんたん設定」等のGUI操作によって自動的にフィルターやconfigが書き換わってしまい・・・という不幸を防ぐため、完全に off にするか、特定の保守セグメントのみに絞ることが多かったように思います。
    httpd service off
    

⑤ 【おまけ】さらにやっておきたいおまじない(タイムゾーン・NTP・環境確認)

初期化直後、上記に加えて仕込んでおきたいのが「時間管理」と「名前解決」、そして筐体のステータス確認です。先ほど全開にしたsyslogの時間を正確に保つことは、トラブルシューティングの基本になります。

  • 時計・DNSの設定と定期同期スケジュール
    timezone +09:00
    dns server 8.8.8.8 1.1.1.1
    ntpdate 192.168.XXX.XXX
    schedule at 1 */* 01:00 * ntpdate 192.168.XXX.XXX
    
    ルーターのタイムゾーンを日本時間(+09:00)に合わせ、ルーター自身が外と通信(ファームウェアの自動更新など)できるようにDNSサーバーを設定します。
    ここで重要な実務のポイントが、**「ntpdate コマンド単体だと、その瞬間に1回しか同期しない」**という点です。時間の経過とともにルーターの内部時計は徐々にずれていってしまうため、YAMAHAの(crontab的な)スケジュール機能(schedule at)を使って、定期的に時刻同期を実行するおまじないを仕込みます。
    上記の例では、「毎日、1時間ごと(*/* 01:00)」に自動で ntpdate を実行するタスク(タスクID: 1)を登録しています。これで検証が長期間に及んでも、ログのタイムスタンプがずれる心配がなくなります。
     
  • show environment (筐体ステータスの確認)
    RTX1210-1# show environment
    
    初期設定やおまじないを流し込んだ後、あるいは検証中にルーターの調子がおかしいと感じたときに叩くコマンドです。
    ルーターの現在の動作温度、時間、CPU負荷、メモリ使用量などが確認できます。

まとめ

YAMAHAルーターを初期化した後に設定すると良いかもしれないコマンドを幾つかご紹介しました。

  1. コンソール幅を 4096 に広げ、 infinity(Ciscoの ter len 0 相当)でログ取得効率を上げる
  2. security classsyslog debugschedule at による時計同期を活用して、検証・追跡のしやすさを最大化する
  3. 本番環境(ガチガチ)と評価環境(ユルユル)のポリシーの差を意識して、適切に使い分ける

 

いつも作業のたびに調べては忘れ・・またgoogleる(geminiさんやcopilotさんに聞く)loopを、これまで幾星霜繰り返してきたことでしょう。
纏めたので、今度はこのindexページを参照することとしましょう。ありがとうQiita。
(syslog debug、notice、info は体で覚えているのですが・・・ね。)


参考ソース

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?