ポート分離機能

概要
対応機種とファームウェアリビジョン
詳細
- 基本機能
- 拡張機能
注意事項
コマンド仕様
関連文書

概要

ポート分離機能とは、スイッチングハブを持つLANインタフェースにおいて、スイッチングハブのポート間での通信を制限する機能です。

LAN 分割機能とは異なり、ポート分離機能によって LAN インタフェースが増減することはありません。分離されたポートはすべて同じ LAN インタフェースとして認識され、同一の IP アドレスを持ちます。

ポート分離機能には基本機能と拡張機能があります。
基本機能ではポート間での通信を制限しつつ、ルーターを経由した通信が可能です。
拡張機能ではポート間での通信の制限に加え、指定ポートからのルーターを経由した通信も制限することができます。

拡張機能は Rev.11.01 系以降のファームウェアで使用することができ、それ以外のファームウェアでは基本機能のみ使用することができます。

対応機種とファームウェアリビジョン

各機能の対応機種およびファームウェアは以下の通りとなります。

ポート分離機能 (基本機能)

機種	ファームウェア
RTX840	すべてのリビジョン
RTX3510
RTX1220
RTX830
NVR700W
RTX1210
RTX5000
RTX3500
FWX120
RTX810
RTX1200
SRT100
RT107e	Rev.8.03.24以降
RTX1100	Rev.8.02.31以降
RTX1500	Rev.8.02.14以降

ポート分離機能 (拡張機能)

機種	ファームウェア
RTX840	すべてのリビジョン
RTX3510
RTX1220
RTX830
NVR700W
RTX1210
RTX5000
RTX3500
FWX120
RTX810

詳細

ポート分離機能の設定は lan type コマンドの port-based-option オプションで行います(SRT100、RT107e、RTX1100、RTX1500 は port-based-ks8995m オプションになります)。

4ポートのスイッチングハブを持つ lan1 インタフェースを例として、ポート分離機能の動作を説明します。lan1 には 192.168.1.1/24 のIPアドレスを割り当てた状態とします。

基本機能

スイッチングハブのポートをグループに分離し、グループ内の通信およびルーターとの通信は可能なまま、他のグループのポートとは通信できないようにします。

ポート分離のパターンは lan type lan1 port-based-option=split-into-split_pattern コマンドの split_pattern で指定します。split_pattern はポート番号の数字の並びで分離する部分に":" を入れて記述します。

例 1) ポート1とその他のポートを分離
```
# lan type lan1 port-based-option=split-into-1:234
```
ポート1とその他のポートは通信不可、ポート2から4同士は通信可能
例 2) ポート1、ポート2、その他のポートを分離
```
# lan type lan1 port-based-option=split-into-1:2:34
```
ポート1、ポート2は他のポートと通信不可、ポート3と4は通信可能

拡張機能

スイッチングハブのポート毎に受信したパケットを転送するポートを指定することで、ポート間やルーター自身、ルーターを経由した通信を制限することができます。
つまり本機能でポートのグループ化を行うと、どのグループからもアクセスが可能であるポートやグループ、ルーターを経由して外部に出られないポートやグループの設定が可能です。

具体的には、以下のように設定します。

  lan type lan1 port-based-option=X1,X2,X3,X4

Xn(n = 1..4)にはポートnで受信したパケットを転送するポート番号を羅列し、末尾に"+"もしくは"-"をつけたものを指定します。
"+"はルーター自身との通信・ルーターを経由した通信を許可することを意味し、"-"は禁止することを意味します。ただし、"+"は省略可能です。
"-"を指定した場合、そのポートで受信したパケットはルーティングされなくなります。また、そのポートに接続された機器はルーターとの通信ができなくなります。

例)
```
# lan type lan1 port-based-option=4+,4+,4+,123-
```
この設定の場合、以下のような動作になります。
- ポート1、ポート2、ポート3に接続された機器は、
  - お互いに通信できない
  - ポート4に接続された機器と通信可能
  - ルーター自身と通信可能
  - ルーターを経由した通信可能
- ポート4に接続された機器は、
  - ポート1、ポート2、ポート3に接続された機器と通信可能
  - ルーター自身と通信できない
  - ルーターを経由した通信ができない
これはつまり、ポート1と4、ポート2と4、ポート3と4 の3つのグループに分離された状態になります。
このように、拡張機能によって複数のグループに同一のポートを含める設定などが可能になります。

以下に詳細を説明します。
1. ポート1で受信したパケットの転送先の設定は設定値 4+,4+,4+,123- の第一項目の 4+ になります。
  パケットはポート4にのみ転送されます。また、"+"を指定しているのでルーター自身との通信、ルーターを経由した通信が可能となります。
2. ポート2で受信したパケットの転送先の設定は設定値 4+,4+,4+,123- の第二項目の 4+ になります。
  パケットはポート4にのみ転送されます。また、"+"を指定しているのでルーター自身との通信、ルーターを経由した通信が可能となります。
3. ポート3で受信したパケットの転送先の設定は設定値 4+,4+,4+,123- の第三項目の 4+ になります。
  パケットはポート4にのみ転送されます。また、"+"を指定しているのでルーター自身との通信、ルーターを経由した通信が可能となります。
4. ポート4で受信したパケットの転送先の設定は設定値 4+,4+,4+,123- の第四項目の 123- になります。
  パケットはポート1からポート3に転送されます。また、"-"を指定しているのでルーター自身との通信、ルーターを経由した通信はできません。
補足
ポート1の転送先の設定としてポート4を指定していますが(4+,4+,4+,123-)、これは"ポート1で受信したパケットをポート4へ転送する"という設定なのでこれだけではポート4に接続した機器と双方向通信できません。ポート4の転送先の設定にポート1を指定することで(4+,4+,4+,123-)、ポート1とポート4の双方向通信が可能になります。

注意事項

パケットの転送先に自ポートを含めると、そのポートで受信したパケットがそのまま折り返されることになります。例えば以下の設定のようにポート1の転送先にポート1自身を含めた設定をした場合、ポート1で受信したパケットはポート1からも送信されることになります。

# lan type lan1 port-based-option=14+,4+,4+,123-

ポート分離機能

補足