ポート分離機能とは、スイッチングハブを持つLANインタフェースにおいて、スイッチングハブのポート間での通信を制限する機能です。
LAN 分割機能とは異なり、ポート分離機能によって LAN インタフェースが増減することはありません。分離されたポートはすべて同じ LAN インタフェースとして認識され、同 一の IP アドレスを持ちます。
ポート分離機能には基本機能と拡張機能があります。
基本機能ではポート間での通信を制限しつつ、ルーターを経由した通信が可能です。
拡張機能ではポート間での通信の制限に加え、指定ポートからのルーターを経由した通信
も制限することができます。
拡張機能は Rev.11.01 系以降のファームウェアで使用することができ、それ以外のファームウェアでは基本機能のみ使用することができます。
各機能の対応機種およびファームウェアは以下の通りとなります。
ポート分離機能 (基本機能)機種 | ファームウェア |
---|---|
RTX3510 | すべてのリビジョン |
RTX1220 | |
RTX830 | |
NVR700W | |
RTX1210 | |
RTX5000 | |
RTX3500 | |
FWX120 | |
RTX810 | |
RTX1200 | |
SRT100 | |
RT107e | Rev.8.03.24以降 |
RTX1100 | Rev.8.02.31以降 |
RTX1500 | Rev.8.02.14以降 |
機種 | ファームウェア |
---|---|
RTX3510 | すべてのリビジョン |
RTX1220 | |
RTX830 | |
NVR700W | |
RTX1210 | |
RTX5000 | |
RTX3500 | |
FWX120 | |
RTX810 |
ポート分離機能の設定は lan type コマンドの port-based-option オプションで行います(SRT100、RT107e、RTX1100、RTX1500 は port-based-ks8995m オプションになります)。
4ポートのスイッチングハブを持つ lan1 インタフェースを例として、ポート分離機能の動作を説明します。lan1 には 192.168.1.1/24 のIPアドレスを割り当てた状態とします。
スイッチングハブのポートをグループに分離し、グループ内の通信およびルーターとの通信は可能なまま、他のグループのポートとは通信できないようにします。
ポート分離のパターンは lan type lan1 port-based-option=split-into-split_pattern コマンドの split_pattern で指定します。split_pattern はポート番号の数字の並びで分離する部分に":" を入れて記述します。
# lan type lan1 port-based-option=split-into-1:234
# lan type lan1 port-based-option=split-into-1:2:34
スイッチングハブのポート毎に受信したパケットを転送するポートを指定することで、ポート間やルーター自身、ルーターを経由した通信を制限することができます。
つまり本機能でポートのグループ化を行うと、どのグループからもアクセスが可能であるポートやグループ、ルーターを経由して外部に出られないポートやグループの設定が可能です。
具体的には、以下のように設定します。
lan type lan1 port-based-option=X1,X2,X3,X4
Xn(n = 1..4)にはポートnで受信したパケットを転送するポート番号を羅列し、末尾に"+"もしくは"-"をつけたものを指定します。
"+"はルーター自身との通信・ルーターを経由した通信を許可することを意味し、"-"は禁止することを意味します。ただし、"+"は省略可能です。
"-"を指定した場合、そのポートで受信したパケットはルーティングされなくなります。また、そのポートに接続された機器はルーターとの通信ができなくなります。
# lan type lan1 port-based-option=4+,4+,4+,123-この設定の場合、以下のような動作になります。
パケットの転送先に自ポートを含めると、そのポートで受信したパケットがそのまま折り返されることになります。例えば以下の設定のようにポート1の転送先にポート1自身を含めた設定をした場合、ポート1で受信したパケットはポート1からも送信されることになります。
# lan type lan1 port-based-option=14+,4+,4+,123-
指定したLANインタフェースの速度と動作モードの種類、およびオプション機能について設定する。
スイッチングハブを持つLANインタフェースについては、ポート毎に速度と動作モードを指定できる。
"port-based-ks8995m/port-based-option" を設定する場合、コマンド文字列として、Rev.10.00 系以前のファームウェアでは "port-based-ks8995m" を、Rev.10.01 系以降のファームウェアでは "port-based-option" を入力する。Rev.10.01以降のファームウェアでも "port-based-ks8995m" を入力することはできるが、show configの出力には "port-based-option" と表示される。
インタフェースで送受信できる最大データ長を指定する。データ長にはMACヘッダとFCSは含まれない。また、タグVLAN時のタグ長 (4バイト) も含まれない。
指定できるデータ長の範囲はLANインタフェースによって異なる。ジャンボフレームをサポートしていないLANインタフェースでは、64〜1500の範囲となる。ジャンボフレームをサポートしているLANインタフェースでは、以下のようになる。
機種 | インタフェース | 設定範囲 |
---|---|---|
RTX5000、RTX3500 | LAN1、LAN2、LAN3、LAN4 | 64〜9578 |
RTX3000 | LAN1、LAN2 | 64〜9578 |
RTX3510 | LAN1〜LAN8 | 64〜10218 |
インターフェースの mtu を設定して、かつ、ip mtu コマンドまたは ipv6 mtu コマンドの設定が初期値のままの場合、IPv4 や IPv6 での MTU にはインターフェースの mtu が利用される。一方、ip mtu コマンドまたは ipv6 mtu コマンドが設定されていて、かつ、その設定値がインターフェースの mtu より小さい場合、ip mtu コマンドまたはipv6 mtu コマンドの設定値が MTU として利用される。インターフェースの mtu も含めてすべて設定されていない時には、初期値である 1500 が利用される。
LANケーブルがストレートケーブルかクロスケーブルかを自動的に判定して接続する機能。この機能が有効になっていると、ケーブルのタイプがどのようなものであるかを気にする必要が無くなる。
このオプションはRTX2000、RT300iでは利用できない。
Rev.10.01以降のファームウェアで、1000BASE-Tのインタフェースを持つ機種で利用できる。
例えば1000BASE-Tで使用できないケーブルを接続された時に、速度を落としてリンクを試みる機能である。
スイッチングハブを持つLANインタフェースでのみ利用できる。
スイッチングハブが持つMACアドレステーブル内のエントリを、一定時間で消去していく機能。この機能をoffにすると、一度スイッチングハブが記憶したMACアドレスは自動的に消去されないのはもちろん、clear switching-hub macaddressコマンドを実行しても消去されない。エントリが消去されるのは、この機能をonに設定し直した時だけになる。
以下の機種では設定値に秒数を指定することができる。ただし、コマンドの設定値と実際に消去されるまでの時間に誤差が生じる場合がある。
機種 | 設定範囲 |
---|---|
RTX3510 | 4〜819 |
RTX5000、RTX3500、RTX830 | 1〜3825 |
RTX1210、RTX1220 | 10〜630 |
RTX1200 | 1〜86400 |
RTX810、FWX120 | 1〜3551 |
秒数を指定できる機種でonを入力すると初期値である300に変換される。
MACアドレステーブルの大きさは以下の通りとなる。
機種 | 最大エントリ数 |
---|---|
RTX3510 | 16378 |
RTX5000、RTX3500、RTX1220、RTX1210、RTX1200、RTX830 | 8192 |
RTX1500、RTX1100、RTX1000、RTX810、RT107e、FWX120、SRT100 | 1024 |
スイッチングハブを持つLANインタフェースでのみ利用できる。
このオプションはRT107eでは利用できない。
LAN分割機能には基本機能と拡張機能があり、拡張機能は Rev.10.01 系以降のファームウェアで利用できる。
基本機能では、スイッチングハブの各ポートが個別のLANインタフェースとして動作する。各インタフェースにはそれぞれ個別のIPアドレスを付与でき、その間でのルーティグも可能になる。例えばRTX1100は通常はLANインタフェースを3つ持つルーターなのだが、LAN分割機能を使えばLANインタフェースを6個利用できることになる。
拡張機能では、スイッチングハブの各ポートを自由に組み合わせて1つのLANインタフェース (VLANインタフェース) とすることができる。同一のVLANインタフェースに所属するポート間はスイッチとして動作する。
LAN分割で使用するインタフェース名は基本機能と拡張機能で異なる。
基本機能におけるLANインタフェースのインタフェース名は元のLANインタフェース名にピリオドとポート番号をつなげることで表される。例えば、RTX1100はlan1が4ポートのスイッチングハブを持つLANインタフェースなので、以下のLANインタフェースが使用できるようになる。
ポート番号 | インタフェース名 |
---|---|
1 | lan1.1 |
2 | lan1.2 |
3 | lan1.3 |
4 | lan1.4 |
拡張機能では、LANインタフェースのインタフェース名としてvlan1、vlan2、vlan3・・・ (VLANインタフェース) を使用する。基本機能とは異なり、VLANインタフェースは特定のポートと関連付けられてはいない。vlan port mappingコマンドを用いて、スイッチングハブの各ポートがどのVLANインタフェースに所属するかを設定することで、分割方法を自由に変更することができる。
同時にいくつのVLANインタフェースを使用できるかは機種ごとに異なり、以下の通りとなる。
機種 | 設定できるVLANインタフェース |
---|---|
RTX5000、RTX3510、RTX3500 | vlan1-vlan4 (LAN1)、vlan5-vlan8 (LAN2) |
RTX1220、RTX1210、RTX1200 | vlan1-vlan8 |
RTX830、RTX810、FWX120 | vlan1-vlan4 |
LAN分割機能を有効にした場合、lan1インタフェースに対する設定は、lan1.1 (基本機能の場合) もしくは vlan1 (拡張機能の場合) に引き継がれる。
LAN分割で使用するLANインタフェースのMACアドレスは元のLANインタフェースのMACアドレスに一致する。したがって上記の例では、lan1.1-lan1.4やvlan1-vlan4のMACアドレスはすべてlan1と同一になる。
Rev.8.03.24以降のファームウェアで、スイッチングハブを持つLANインタフェースでのみ利用できる。
通常は、スイッチングハブの各ポートは他のポートと制限無く通信できるが、ポート分離機能を利用すると、ポート間での通信を制限することができる。
ポート分離機能には基本機能と拡張機能があり、基本機能ではポート間での通信を制限しつつ、ルーターを経由した通信が可能であり、拡張機能では指定ポートからのルーターを経由した通信も制限することができる。
拡張機能は Rev.11.01 系以降のファームウェアで利用できる。
基本機能では、ポートをグループに分離し、グループ内の通信およびルーターとの通信は可能としつつ、他のグループのポートとは通信を制限できる。
LAN分割機能とは異なり、ポート分離機能によってLANインタフェースが増減することはない。分離されたポートはすべて同じLANインタフェースとして認識され、同一のIPアドレスを持つ。
ポートの分離パターンは、ポート番号の数字の並びで分離する部分に ":" を入れて記述する。例を以下に示す。
split_pattern | ポート | 説明 | |||
---|---|---|---|---|---|
1 | 2 | 3 | 4 | ||
1:234 | <--> | <--------> | ポート1とその他 | ||
1:2:34 | <--> | <--> | <------> | ポート1、ポート2とその他 | |
1:2:3:4 | <--> | <--> | <--> | <--> | 全ポートを分離 |
最後のグループの記述を省略することができる。以下の表では、省略形を括弧内に示す。
split_pattern | ポート | 説明 | |||||||
---|---|---|---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | ||
123:45678 (123) | <--------> | <------------> | ポート1-3とその他 | ||||||
1:234:5678 (1:234) | <--> | <--------> | <----------> | ポート1とポート2-4とその他 | |||||
12:34:56:78 (12:34:56) | <------> | <------> | <------> | <------> | ポート1、2、ポート3、4、ポート5、6とその他 | ||||
1:2:3:4:5:6:7:8 (1:2:3:4:5:6:7) | <--> | <--> | <--> | <--> | <--> | <--> | <--> | <--> | 全ポートを分離 |
省略形でコマンドを入力しても、show configの出力には省略しない形で表示される。
同一LANインタフェースにおけるプライマリアドレスのネットワークとセカンダリアドレスのネットワーク間の通信はルーターを経由するので、他のグループとの通信も可能である。
拡張機能では、ポート毎に受信したパケットを転送するポートを設定することで、ポート間やルーター自身、ルーターを経由した通信を制限することができる。
具体的には、以下のように設定する。
lan type lan1 port-based-option=X1,X2,X3,X4
Xn(n = 1..4)にはポートnで受信したパケットを転送するポート番号を羅列し、ルーター自身との通信・ルーターを経由した通信を許可する場合は"+"、禁止する場合は"-"を末尾に付ける。ただし"+"は省略可能である。
"-"を指定した場合、そのポートで受信したパケットはルーティングされなくなる。またそのポートに接続された機器はルーターとの通信ができなくなる。
例えば以下の設定の場合、ポート1から3で受信したパケットはポート4とルーターに転送され、ポート4で受信したパケットはポート1から3に転送されるがルーターには転送されない。つまり、ポート1と4、ポート2と4、ポート3と4の3つのグループに分離された状態となり、ポート1から3はお互いのポートと通信できずポート4とのみ通信可能になる。また、ポート1から3はルーターと通信可能だが、ポート4は通信不可であり受信パケットもルーティングされない。
lan type lan1 port-based-option=4,4,4,123-
本コマンドの実行後、LANインタフェースのリセットが自動で行われ、その後に設定が有効となる。
スイッチングハブを持つLANインタフェースで、ポート1、2は100BASE-TX全二重、その他のポートはオートネゴシエーションで接続する。
# lan type lan1 100-fdx 1 2
スイッチングハブを持つLANインタフェースで、ポート1は100BASE-TX全二重、その他のポートはオートネゴシエーションで接続する。LAN分割機能を使用する。
# lan type lan1 100-fdx 1 port-based-ks8995m=divide-network
# lan type lan1 100-fdx 1 port-based-option=divide-network
スイッチングハブを持つLANインタフェースで、すべてのポートでオートネゴシエーションで接続する。ポート分離機能でポートを分離する。
# lan type lan1 port-based-ks8995m=split-into-12:34
# lan type lan1 port-based-option=split-into-123:456:78
[分離パターンを省略して記述する場合]
# lan type lan1 port-based-option=split-into-123:456
LAN1で、ジャンボフレーム (9000バイト) を使用できるようにする。
# lan type lan1 auto mtu=9000
RTX5000 | RTX3510 | RTX3500 | RTX3000 | RTX2000 | RTX1500 | RTX1220 | RTX1210 | RTX1200 | RTX1100 | RTX1000 | RTX830 | RTX810 | RT300i | RT250i | RT107e | FWX120 | SRT100 |
---|