ポートVLANの設定手順

UTX100/UTX200で、ポートVLANを構成するための手順になります。

  1. ポートVLANのネットワーク構成図
  2. ポートVLANの設定
  3. アクセスポリシーの追加
  4. 補足1 - セグメント同士のアクセスをブロックする
  5. 補足2 - ゲスト用ネットワークにホットスポットを使う

ポートVLANはブリッジモードでは利用できません。
※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001680) のキャプチャーになります。

1. ポートVLANのネットワーク構成図

本書では以下の構成に基づいて設定を行います。

構成モードルーターモード (必須)
ポート構成1LAN1_Switch (Port1-4)
192.168.100.0/24
ポート構成2LAN5_Switch (Port5-6)
192.168.200.0/24

2. ポートVLANの設定

2-1. ポート構成1の編集

※ LAN1_Switch (192.168.100.0/24)が既に構成されている例の手順です。

  1. 左のメニューから【デバイス】タブ > 【ローカルネットワーク】メニューを開きます
  2. 【LAN1_Switch】をダブルクリックし編集画面を開きます
  3. スイッチの設定欄で、別のセグメントに割り当てるポートのチェックを外します

    ※ 例では LAN5-6 のチェックを外します

  4. チェックを外した後、【適用】をクリックします
  5. 確認画面が表示された場合は【はい】をクリックします

2-2. ポート構成2の編集

  1. 【LAN5〜LAN6】が LAN1 Switch から外れたことを確認します
  2. 【新規】より【スイッチN】を選択し、新しいスイッチの作成画面を開きます
  3. 【LAN5】【LAN6】にチェックを入れます
  4. 新しいスイッチに割り当てる【ローカルIPアドレス】と【サブネットマスク】を入力します
    割り当て先別のネットワーク
    ローカルIPv4アドレス192.168.200.1
    サブネットマスク255.255.255.0
  5. 必要な場合は、DHCP サーバー機能を有効にして割り当て IP アドレス範囲を設定します

    ※ 今回の例では次の構成にしています

    DHCPサーバ有効
    IPアドレス範囲192.168.200.50-100
  6. 完了後、【適用】をクリックします
  7. 【LAN5 Switch】が作成されたことを確認します

以上で、ポートVLANの構成は完了です。

3. アクセスポリシーの追加

デフォルトでは、【LAN Network】同士の通信は自動生成ルールで許可されています。アクセスを制御したい場合は、通信をブロックする着信ポリシーを別途追加する必要があります。

3-1. アクセスポリシーの新規登録

  1. 左のメニューから【アクセスポリシー】タブ > 【ポリシー】 とメニューを開きます
  2. 「着信、内部およびVPNトラフィック」の【新規】より新規ルールを作成します

3-2. 「ソース」の編集

  1. 【ソース】の「* すべて」をクリックし、ソースの編集画面を表示します
  2. 右下の【新規】をクリックし【ネットワークオブジェクト】を選択します

3-3. ネットワークオブジェクトの編集

  1. 【新しいネットワークオブジェクト】作成画面が開くので、以下のように指定します
    タイプネットワーク
    ネットワークアドレス192.168.200.0
    サブネットマスク255.255.255.0
    オブジェクトに名前を付けて保存任意

    ※ 後から同じネットワークオブジェクトを再利用したい場合、名前を付けることで検索しやすくなります

  2. 完了後、【適用】をクリックします

3-4. 「宛先」の編集

  1. 【ソース】が変更されたことを確認します
  2. 【宛先】の「* すべて」をクリックし、宛先の編集画面を表示します
  3. 【新規】 > 【ネットワークオブジェクト】を選択します
  4. 「3-3. ネットワークオブジェクトの作成」と同じ手順で、宛先のネットワークオブジェクトを作成します
    タイプネットワーク
    ネットワークアドレス192.168.100.0
    サブネットマスク255.255.255.0
    オブジェクトに名前を付けて保存任意 ※

3-5. 残り項目の編集

  1. 【宛先】が変更されたことを確認します
  2. 残りの項目を編集します
    サービス*任意
    ※ 特定のポートのみ制御したい場合は編集します
    アクションブロック
    ログログ記録
    ※ ログ確認が不要であれば【なし】でも構いません
  3. 【適用】をクリックします

3-6. 作成したアクセスポリシーの確認

下図のようにルールが追加されたことを確認します。

3-7. Ping によるブロック確認

PC2(192.168.200.50) から LAN1_Switch(192.168.100.1) に対して Ping を実施します。セキュリティーログを確認すると、「ルール 1」によってブロックされていることが確認できます。

4. 補足1 - セグメント同士のアクセスをブロックする

LAN1_Switch(192.168.100.0/24) と LAN5_Switch(192.168.200.0/24) のセグメントが互いにアクセス できないようにする場合は、手順3と同じ方法で、192.168.100.0/24→192.168.200.0/24 をブロックするポリシーを作成します。

5. 補足2 - ゲスト用ネットワークにホットスポットを使う

「ホットスポット」機能を使うと、インターネット接続をする際にブラウザ認証を行わせることができます。

5-1. ホットスポットを設定するネットワークを編集する

ゲスト用のネットワークに対してホットスポットを設定します。ここでは、「LAN5_Switch」をゲスト用ネットワークとして設定します。

  1. 左のメニューから【デバイス】タブ > 【ローカルネットワーク】とメニューを開きます
  2. ホットスポットを有効にするインターフェースを選択し、ダブルクリックして編集画面を開きます

5-2. ホットスポットを有効にする

  1. 「ネットワーク接続時はホットスポットを使用」にチェックを入れます
  2. 適用ボタンをクリックします
[EOF]