ポート分離機能


概要

ポート分離機能とは、スイッチングハブを持つLANインタフェースにおいて、スイッチングハブのポート間での通信を制限する機能です。

LAN 分割機能とは異なり、ポート分離機能によって LAN インタフェースが増減することはありません。分離されたポートはすべて同じ LAN インタフェースとして認識され、同 一の IP アドレスを持ちます。

ポート分離機能には基本機能と拡張機能があります。
基本機能ではポート間での通信を制限しつつ、ルーターを経由した通信が可能です。
拡張機能ではポート間での通信の制限に加え、指定ポートからのルーターを経由した通信 も制限することができます。

拡張機能は Rev.11.01 系以降のファームウェアで使用することができ、それ以外のファームウェアでは基本機能のみ使用することができます。


対応機種とファームウェアリビジョン

各機能の対応機種およびファームウェアは以下の通りとなります。

ポート分離機能 (基本機能)
機種 ファームウェア
RTX830 Rev.15.02.01以降
NVR700W Rev.15.00.02以降
RTX1210 Rev.14.01.05以降
RTX5000 Rev.14.00.08以降
RTX3500 Rev.14.00.08以降
FWX120 Rev.11.03.02以降
RTX810 Rev.11.01.04以降
RTX1200 Rev.10.01.07以降
SRT100 Rev.10.00.08以降
RT107e Rev.8.03.24以降
RTX1100 Rev.8.02.31以降
RTX1500 Rev.8.02.14以降

ポート分離機能 (拡張機能)
機種 ファームウェア
RTX830 Rev.15.02.01以降
NVR700W Rev.15.00.02以降
RTX1210 Rev.14.01.05以降
RTX5000 Rev.14.00.08以降
RTX3500 Rev.14.00.08以降
FWX120 Rev.11.03.02以降
RTX810 Rev.11.01.04以降

詳細

ポート分離機能の設定は lan type コマンドの port-based-option オプションで行います(SRT100、RT107e、RTX1100、RTX1500 は port-based-ks8995m オプションになります)。

4ポートのスイッチングハブを持つ lan1 インタフェースを例として、ポート分離機能の動作を説明します。lan1 には 192.168.1.1/24 のIPアドレスを割り当てた状態とします。

基本機能

スイッチングハブのポートをグループに分離し、グループ内の通信およびルーターとの通信は可能なまま、他のグループのポートとは通信できないようにします。

ポート分離のパターンは lan type lan1 port-based-option=split-into-split_pattern コマンドの split_pattern で指定します。split_pattern はポート番号の数字の並びで分離する部分に":" を入れて記述します。

拡張機能

スイッチングハブのポート毎に受信したパケットを転送するポートを指定することで、ポート間やルーター自身、ルーターを経由した通信を制限することができます。
つまり本機能でポートのグループ化を行うと、どのグループからもアクセスが可能であるポートやグループ、ルーターを経由して外部に出られないポートやグループの設定が可能です。

具体的には、以下のように設定します。

  lan type lan1 port-based-option=X1,X2,X3,X4

Xn(n = 1..4)にはポートnで受信したパケットを転送するポート番号を羅列し、末尾に"+"もしくは"-"をつけたものを指定します。
"+"はルーター自身との通信・ルーターを経由した通信を許可することを意味し、"-"は禁止することを意味します。ただし、"+"は省略可能です。
"-"を指定した場合、そのポートで受信したパケットはルーティングされなくなります。また、そのポートに接続された機器はルーターとの通信ができなくなります。


注意事項

パケットの転送先に自ポートを含めると、そのポートで受信したパケットがそのまま折り返されることになります。例えば以下の設定のようにポート1の転送先にポート1自身を含めた設定をした場合、ポート1で受信したパケットはポート1からも送信されることになります。

# lan type lan1 port-based-option=14+,4+,4+,123-

コマンド仕様

LANインタフェースの動作タイプの設定

[書式]

lan type interface_with_swhub speed [port] [speed [port]...] [option=value...]
lan type interface_with_swhub option=value [option=value]
lan type interface_without_swhub speed [option=value...]
lan type interface_without_swhub option=value [option=value]
no lan type interface [...]

[設定値]
[説明]

指定したLANインタフェースの速度と動作モードの種類、およびオプション機能について設定する。

スイッチングハブを持つLANインタフェースについては、ポート毎に速度と動作モードを指定できる。

"port-based-ks8995m/port-based-option" を設定する場合、コマンド文字列として、Rev.10.00 系以前のファームウェアでは "port-based-ks8995m" を、Rev.10.01 系以降のファームウェアでは "port-based-option" を入力する。Rev.10.01以降のファームウェアでも "port-based-ks8995m" を入力することはできるが、show configの出力には "port-based-option" と表示される。

[ノート]

本コマンドの実行後、LANインタフェースのリセットが自動で行われ、その後に設定が有効となる。

[初期値]
[設定例]
  1. スイッチングハブを持つLANインタフェースで、ポート1、2は100BASE-TX全二重、その他のポートはオートネゴシエーションで接続する。

    # lan type lan1 100-fdx 1 2
    
  2. スイッチングハブを持つLANインタフェースで、ポート1は100BASE-TX全二重、その他のポートはオートネゴシエーションで接続する。LAN分割機能を使用する。

    • Rev.10.00 系以前のファームウェアの場合
      # lan type lan1 100-fdx 1 port-based-ks8995m=divide-network
      
    • Rev.10.01 系以降のファームウェアの場合
      # lan type lan1 100-fdx 1 port-based-option=divide-network
      
  3. スイッチングハブを持つLANインタフェースで、すべてのポートでオートネゴシエーションで接続する。ポート分離機能でポートを分離する。

    • Rev.10.00 系以前のファームウェアで、4つのポートを持つスイッチングハブの1、2と3、4を分離する場合
      # lan type lan1 port-based-ks8995m=split-into-12:34
      
    • Rev.10.01 系以降のファームウェアで、8つのポートを持つスイッチングハブの1、2、3と4、5、6とその他を分離する場合
      # lan type lan1 port-based-option=split-into-123:456:78
      

      [分離パターンを省略して記述する場合]

      # lan type lan1 port-based-option=split-into-123:456
      
  4. LAN1で、ジャンボフレーム (9000バイト) を使用できるようにする。

    # lan type lan1 auto mtu=9000
    
[適用モデル]

RTX5000 RTX3500 RTX3000 RTX2000 RTX1500 RTX1210 RTX1200 RTX1100 RTX1000 RTX830 RTX810 RT300i RT250i RT107e FWX120 SRT100

関連文書