タグVLANの設定手順(ルーターモード)

UTX100/UTX200で、ルーターモード時にタグVLANのネットワークを構成するための手順になります。

  1. タグVLANを利用可能な構成
  2. タグVLANのネットワーク構成図
  3. タグVLANの設定
  4. タグVLANの ID構成
  5. タグVLANの動作を確認する
  6. タグVLANアクセスポリシーの追加
  7. 補足1 - セグメント同士のアクセスをブロックする
  8. 補足2 - ゲスト用ネットワークにホットスポットを使う

※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、UTX200のファームウェアバージョンR80.20.40 (992002701) のキャプチャーになります。


1. タグVLANを利用可能な構成

タグ VLAN は、次のポートに対して割り当てることが可能です。

  1. 単独のLANポート
    LAN2、LAN5など、単独の物理ポート
  2. DMZポート(UTX200のみ)
  3. スイッチポート(R80.20.25以降で利用可能
    LAN1 Switchなど、複数の物理ポートをまとめたスイッチポート
  4. ボンディング(チーミング)ポート(R80.20.25以降で利用可能
    リンクアグリケーション機能で複数の物理ポートをまとめたポート

ブリッジモードで使用する場合は、タグVLANの設定手順(ブリッジモード)を参照してください。

以下の点に注意してネットワーク設計をすることをお薦めします。


2. タグVLANのネットワーク構成図

本書では以下の構成に基づいて設定を行います。

UTX構成

構成モード

  • ルーターモード

ポート構成1

  • LAN1 Switch (Port1-4) : 192.168.100.1/24

ポート構成2

  • LAN1 Switch (Port5-8) : VLAN ID 101・201をトランク
    • VLAN ID 101 : 192.168.101.0/24
    • VLAN ID 201 : 192.168.201.0/24

アクセスポリシー

  • VLAN ID 101 → VLAN ID 201は接続許可
  • VLAN ID 201 → VLAN ID 101は接続拒否

L2スイッチ構成

※ ご利用環境に合わせて構成してください

  • LAN ポート1 : VLAN ID 101・201をトランク
  • LAN ポート2-4 : VLAN ID 101を割り当て
  • LAN ポート5-8 : LAN ID 201を割り当て

3. タグVLANの設定

3-1. ポート構成1の編集

※ LAN1_Switch (192.168.100.0/24)が既に構成されている例の手順です。

  1. 左のメニューから【デバイス】 > 【ローカルネットワーク】メニューを開きます
  2. 【LAN1_Switch】をダブルクリックしてスイッチの編集画面を開きます
  3. スイッチの設定欄で、ポート構成2に割り当てるポートのチェックを外します

    ※ 例ではLAN5〜LAN8のチェックを外します

  4. チェックを外した後、【適用】をクリックします
  5. 確認画面が表示された場合は【はい】をクリックします

3-2. ポート構成2の編集

  1. 【LAN5】〜【LAN8】がLAN1 Switchから外れたことを確認します
  2. 【新規】より【スイッチ】を選択します
  3. スイッチの作成画面で【LAN5】〜【LAN8】にチェックを入れます
  4. 割り当て先のプルダウンメニューから【別のネットワーク】を選択します

    ※【未割り当て】にすると、VLANを構成してもポートが有効になりません

  5. インターフェース設定を以下のように指定します
    ローカルIPv4アドレス192.168.0.1
    サブネットマスク255.255.255.0
  6. DHCPサーバー機能が必要な場合は、DHCPv4サーバを【有効】にし、割り当て範囲を設定します
  7. 【適用】をクリックします

4. タグVLANのID構成

4-1. VLAN【ID:101】を構成する

  1. 左のメニューから【デバイス】 > 【ローカルネットワーク】メニューを開き、【新規】より【VLAN】をクリックします
  2. VLANの作成画面が開くので、VLAN IDを【101】と指定します
  3. 下記のようにインターフェース設定を行います
    ローカルネットワークポートLAN5 Switch
    割り当て先別のネットワーク
    ローカル IPv4 アドレス192.168.101.1
    サブネットマスク255.255.255.0
  4. DHCPサーバー機能が必要な場合は、DHCPv4サーバを【有効】にし、割り当て範囲を設定します

    ※ 今回の例では次の構成にしています

    DHCPv4 サーバ有効
    IP アドレス範囲192.168.101.50 - 192.168.101.100
  5. 完了後、【適用】をクリックします
  6. LAN5 Switch内にVLAN ID:101がトランキングされたことを確認します

以上でVLAN ID:101の構成は完了です。続いてVLAN ID:201を構成するため、再度【新規】より【VLAN】を作成します。

4-2. VLAN【ID:201】 を構成する

  1. 新しいVLANの作成画面でVLAN IDを【201】と指定します
  2. 下記のようにインターフェース設定を行います
    ローカルネットワークポートLAN5 Switch
    割り当て先別のネットワーク
    ローカルIPv4アドレス192.168.201.1
    サブネットマスク255.255.255.0
  3. DHCPサーバー機能が必要な場合は、DHCPv4サーバを【有効】にし、割り当て範囲を設定します

    ※ 今回の例では次の構成にしています

    DHCPv4 サーバ有効
    IPアドレス範囲192.168.201.50 - 192.168.201.100
  4. 完了後、【適用】をクリックします
  5. LAN5 Switch に VLAN ID:101 と VLAN ID:201 がトランキングされたことを確認します

5. タグVLANの動作を確認する

UTXのLAN5〜LAN8のいずれかにL2スイッチを接続し、IPアドレスが取得できているかなど、VLANが正常に動作していることを確認します。


6. タグVLANアクセスポリシーの追加

デフォルトでは、【LAN Network】同士の通信は自動生成ルールで許可されています。アクセスを制御したい場合は、通信をブロックする着信ポリシーを別途追加する必要があります。

6-1. アクセスポリシーの新規追加

  1. 左のメニューから【アクセスポリシー】 > 【ポリシー】 とメニューを開きます
  2. 「着信、内部およびVPNトラフィック」の【新規】より新規ルールを作成します

6-2. 「ソース」の編集

  1. 【ソース】の「* すべて」をクリックし、ソースの編集画面を表示します
  2. 右下の【新規】をクリックし【ネットワークオブジェクト】を選択します

6-3. ネットワークオブジェクトの作成

  1. 【新しいネットワークオブジェクト】作成画面が開くので、以下のように指定します
    タイプネットワーク
    ネットワークアドレス192.168.201.0
    サブネットマスク255.255.255.0
    オブジェクトに名前を付けて保存任意

    ※ 後から同じネットワークオブジェクトを再利用したい場合、名前を付けることで検索しやすくなります

  2. 完了後、【適用】をクリックします

6-4. 「宛先」の編集

  1. 【ソース】が変更されたことを確認します
  2. 【宛先】の「* すべて」をクリックし、宛先の編集画面を表示します
  3. 【新規】 > 【ネットワークオブジェクト】を選択します
  4. 「5-3. ネットワークオブジェクトの作成」と同じ手順で、宛先のネットワークオブジェクトを作成します
    タイプネットワーク
    ネットワークアドレス192.168.101.0
    サブネットマスク255.255.255.0
    オブジェクトに名前を付けて保存任意

6-5. 残り項目の編集

  1. 【宛先】が変更されたことを確認します
  2. 残りの項目を編集します
    サービス*任意
    ※ 特定のポートのみ制御したい場合は編集します
    アクションブロック
    ログログ記録
    ※ ログ確認が不要であれば【なし】でも構いません
  3. 【適用】をクリックします

6-6. 作成したアクセスポリシーの確認

下図のようにルールが追加されたことを確認します。

6-7. Ping によるブロック確認

PC3:192.168.201.50 (VLAN ID:201) から PC2:192.168.101.50 (VLAN ID:101) に対してPingを実施します。セキュリティーログを確認すると、「rule 1」によってブロックされていることが確認できます。


7. 補足1 - セグメント同士のアクセスをブロックする

VLAN ID:101(192.168.101.0/24) とVLAN ID:201(192.168.201.0/24) のセグメントが互いにアクセスできないようにする場合は、「6. タグVLANアクセスポリシーの追加」との手順を参考にして、192.168.101.0/24 → 192.168.201.0/24 をブロックするポリシーを作成します。


8. 補足2 - ゲスト用ネットワークにホットスポットを使う

「ホットスポット」機能を使うと、インターネット接続をする際にブラウザ認証を行わせることができます。

8-1. ホットスポットを設定するネットワークを編集する

ゲスト用のネットワークに対してホットスポットを設定します。ここでは、「VLAN ID:201」をゲスト用ネットワークとして設定します。

  1. 左のメニューから【デバイス】 > 【ローカルネットワーク】とメニューを開きます
  2. ホットスポットを有効にするインターフェースを選択し、ダブルクリックして編集画面を開きます

8-2. ホットスポットを有効にする

  1. 「ネットワーク接続時はホットスポットを使用」にチェックを入れます
  2. 適用ボタンをクリックします

    ※ この機能はあくまでも接続確認用のホットスポットです。ID / Password 入力を要求するホットスポットを、 1つのネットワークに対して構成することはできません。


[EOF]