タグVLANの設定手順（ルーターモード）

UTX100/UTX200で、ルーターモード時にタグVLANのネットワークを構成するための手順になります。

1. タグVLANを利用可能な構成
2. タグVLANのネットワーク構成図
3. タグVLANの設定
4. タグVLANの ID構成
5. タグVLANの動作を確認する
6. タグVLANアクセスポリシーの追加
7. 補足1 - セグメント同士のアクセスをブロックする
8. 補足2 - ゲスト用ネットワークにホットスポットを使う

※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、UTX200のファームウェアバージョンR80.20.25 (992002163) のキャプチャーになります。

1. タグVLANを利用可能な構成

タグ VLAN は、次のポートに対して割り当てることが可能です。

1. 単独の LAN ポート
   LAN2、LAN5など、単独の物理ポート
2. DMZ ポート
3. スイッチポート（R80.20.25以降で利用可能）
   LAN1 Switchなど、複数の物理ポートをまとめたスイッチポート
4. ボンディング（チーミング）ポート（R80.20.25以降で利用可能）
   リンクアグリケーション機能で複数の物理ポートをまとめたポート

ブリッジモードで使用する場合は、タグVLANの設定手順（ブリッジモード）を参照してください。

2. タグVLANのネットワーク構成図

本書では以下の構成に基づいて設定を行います。

3. タグVLANの設定

3-1. ポート構成1の編集

※ LAN1_Switch (192.168.100.0/24)が既に構成されている例の手順です。

1. 左のメニューから【デバイス】 > 【ローカルネットワーク】メニューを開きます
   
2. 【LAN1_Switch】をダブルクリックしてスイッチの編集画面を開きます
3. スイッチの設定欄で、ポート構成2に割り当てるポートのチェックを外します

   ※ 例ではLAN5〜LAN8のチェックを外します

   
4. チェックを外した後、【適用】をクリックします
5. 確認画面が表示された場合は【はい】をクリックします
   

3-2. ポート構成2の編集

1. 【LAN5】〜【LAN8】がLAN1 Switchから外れたことを確認します
2. 【新規】より【スイッチ】を選択します
   
3. スイッチの作成画面で【LAN5】〜【LAN8】にチェックを入れます
4. 割り当て先のプルダウンメニューから【未割り当て】を選択します
5. 【適用】をクリックします
   

4. タグVLANのID構成

4-1. VLAN【ID:101】を構成する

1. 左のメニューから【デバイス】 > 【ローカルネットワーク】メニューを開き、【新規】より【VLAN】をクリックします
   
2. VLANの作成画面が開くので、VLAN IDを【101】と指定します
   
3. 下記のようにインターフェース設定を行います

   ローカルネットワークポート	LAN5 Switch
   割り当て先	別のネットワーク
   ローカル IPv4 アドレス	192.168.101.1
   サブネットマスク	255.255.255.0

   
4. DHCPサーバー機能が必要な場合は、DHCPv4サーバを【有効】にし、割り当て範囲を設定します

   ※ 今回の例では次の構成にしています

   DHCPv4 サーバ	有効
   IP アドレス範囲	192.168.101.50 - 192.168.101.100

5. 完了後、【適用】をクリックします
6. LAN5 Switch内にVLAN ID:101がトランキングされたことを確認します
   

以上でVLAN ID:101の構成は完了です。続いてVLAN ID:201を構成するため、再度【新規】より【VLAN】を作成します。

4-2. VLAN【ID:201】 を構成する

1. 新しいVLANの作成画面でVLAN IDを【201】と指定します
2. 下記のようにインターフェース設定を行います

   ローカルネットワークポート	LAN5 Switch
   割り当て先	別のネットワーク
   ローカルIPv4アドレス	192.168.201.1
   サブネットマスク	255.255.255.0

   
3. DHCPサーバー機能が必要な場合は、DHCPv4サーバを【有効】にし、割り当て範囲を設定します

   ※ 今回の例では次の構成にしています

   DHCPv4 サーバ	有効
   IPアドレス範囲	192.168.201.50 - 192.168.201.100

4. 完了後、【適用】をクリックします
5. LAN5 Switch に VLAN ID:101 と VLAN ID:201 がトランキングされたことを確認します
   

5. タグVLANの動作を確認する

UTXのLAN5〜LAN8のいずれかにL2スイッチを接続し、IPアドレスが取得できているかなど、VLANが正常に動作していることを確認します。

6. タグVLANアクセスポリシーの追加

デフォルトでは、【LAN Network】同士の通信は自動生成ルールで許可されています。アクセスを制御したい場合は、通信をブロックする着信ポリシーを別途追加する必要があります。

6-1. アクセスポリシーの新規追加

1. 左のメニューから【アクセスポリシー】 > 【ポリシー】 とメニューを開きます
2. 「着信、内部およびVPNトラフィック」の【新規】より新規ルールを作成します
   

6-2. 「ソース」の編集

1. 【ソース】の「* すべて」をクリックし、ソースの編集画面を表示します
2. 右下の【新規】をクリックし【ネットワークオブジェクト】を選択します
   

6-3. ネットワークオブジェクトの作成

1. 【新しいネットワークオブジェクト】作成画面が開くので、以下のように指定します

   タイプ	ネットワーク
   ネットワークアドレス	192.168.201.0
   サブネットマスク	255.255.255.0
   オブジェクトに名前を付けて保存	任意

   ※ 後から同じネットワークオブジェクトを再利用したい場合、名前を付けることで検索しやすくなります

2. 完了後、【適用】をクリックします
   

6-4. 「宛先」の編集

1. 【ソース】が変更されたことを確認します
2. 【宛先】の「* すべて」をクリックし、宛先の編集画面を表示します
3. 【新規】 > 【ネットワークオブジェクト】を選択します
4. 「5-3. ネットワークオブジェクトの作成」と同じ手順で、宛先のネットワークオブジェクトを作成します

   タイプ	ネットワーク
   ネットワークアドレス	192.168.101.0
   サブネットマスク	255.255.255.0
   オブジェクトに名前を付けて保存	任意

   

6-5. 残り項目の編集

1. 【宛先】が変更されたことを確認します
2. 残りの項目を編集します

   サービス	＊任意 ※ 特定のポートのみ制御したい場合は編集します
   アクション	ブロック
   ログ	ログ記録 ※ ログ確認が不要であれば【なし】でも構いません

3. 【適用】をクリックします
   

6-6. 作成したアクセスポリシーの確認

下図のようにルールが追加されたことを確認します。

6-7. Ping によるブロック確認

PC3:192.168.201.50 (VLAN ID:201) から PC2:192.168.101.50 (VLAN ID:101) に対してPingを実施します。セキュリティーログを確認すると、「rule 1」によってブロックされていることが確認できます。

7. 補足1 - セグメント同士のアクセスをブロックする

VLAN ID:101(192.168.101.0/24) とVLAN ID:201(192.168.201.0/24) のセグメントが互いにアクセスできないようにする場合は、「6. タグVLANアクセスポリシーの追加」との手順を参考にして、192.168.101.0/24 → 192.168.201.0/24 をブロックするポリシーを作成します。

8. 補足2 - ゲスト用ネットワークにホットスポットを使う

「ホットスポット」機能を使うと、インターネット接続をする際にブラウザ認証を行わせることができます。

8-1. ホットスポットを設定するネットワークを編集する

ゲスト用のネットワークに対してホットスポットを設定します。ここでは、「VLAN ID:201」をゲスト用ネットワークとして設定します。

1. 左のメニューから【デバイス】 > 【ローカルネットワーク】とメニューを開きます
2. ホットスポットを有効にするインターフェースを選択し、ダブルクリックして編集画面を開きます
   

8-2. ホットスポットを有効にする

1. 「ネットワーク接続時はホットスポットを使用」にチェックを入れます
2. 適用ボタンをクリックします
   

   ※ この機能はあくまでも接続確認用のホットスポットです。ID / Password 入力を要求するホットスポットを、 1つのネットワークに対して構成することはできません。