ヤマハRTX1200の設定例を使ってコンフィグを学ぶ2
About
VLAN周りの知識が怪しいので設定例を使いつつ学んでいきます。
VLANとは
物理的な配線を超えてNWを分割できる機能です。仮想的なNWを作成できるので、細かく通信を制御できます。VLANにはポートVLANとタグVLANの大きく2種類があるようです。ポートVLANはその名の通りポート毎に違うNWにしたり、複数のポートを同じNWにまとめたりできます。もうひとつがタグVLANです。こちらはフレームの仲にVLANを判別情報を入れて、その情報を元にNWを制御します。ポートVLANは物理的なポート数などの限りがあるので、より複雑な設定をする場合はタグVLANを使うことになりそうです。
実際の設定例を見ていきます。
設定例
ポートVLANを使って、部門ごとにNWを分ける例
リンク先の図を見るとわかりますが、LAN1のポート毎にNWを分けています。各NW間の通信は許可していますね。
# LAN分割機能の設定 # lan type lan1 port-based-option=divide-network
このdivide-networkの設定はポートの分割ではなく、あくまでLANの分割です。この設定でlan1においてvlanの設定ができるようになります。(自信ない)先日の記事ではlan type lan1 port-based-option=split-into-1234567:8となっていて、ポートの分割をしていました。解説には下記のように書いてあります。
基本機能では、スイッチングハブの各ポートが個別の LAN インタフェースとして動作する。各インタフェースにはそれぞれ個別の IP アドレスを付与でき、その間でのルーティグも可能になる。例えば RTX1100 は通常は LAN インタフェースを 3 つ持つルーターなのだが、LAN 分割機能を使えば LAN インタフェースを 6 個利用できることになる。拡張機能では、スイッチングハブの各ポートを自由に組み合わせて 1 つの LAN インタフェース (VLAN インタフェース ) とすることができる。同一の VLAN インタフェースに所属するポート間はスイッチとして動作する。
わかりにくいですが、LAN分割機能は各ポートを別のポートlan1.1,1.2のように認識するための機能、拡張機能がポートVLANのインターフェースというところでしょうか。LAN分割とポート分割の違いはLAN分割はNWを192.168.1.0/24,192.168.2.0/24の用に分けていますが、ポート分割は同じNWに所属しています。が通信ができないというところです。
# # LANのインタフェースの設定 # ip vlan1 address 192.168.100.1/24 ip vlan2 address 192.168.101.1/24 ip vlan3 address 192.168.102.1/24 ip vlan4 address 192.168.103.1/24 ip vlan5 address 192.168.104.1/24 ip vlan6 address 192.168.105.1/24 ip vlan7 address 192.168.106.1/24 ip vlan8 address 192.168.107.1/24
RTX1200(1210)にはLAN1にポートが8つあるので、1ポート1NWとすると8つのNWができます。
ちなみにですがポートVLANやタグVLANは記法が変わるのでここで押さえておきたいです。
| インタフェースの種類 インタフェース名 | |
|---|---|
| メインモジュール上の LAN | lan1 |
| タグ VLAN lan1/1 | lan1/1, lan1/2, ... |
| LAN 分割機能の LAN | lan1.1,lan1.2 ... |
| LAN 分割機能の拡張機能の LAN | vlan1,vlan2 ... |
記法見れば何を使っているのかわかりますね!
あとの設定は代替先日のものと同じようなので2箇所だけ
ip pp secure filter in 1020 1021 1022 1023 1024 1025 1026 1027 1030 1031 1032 1033 1034 1035 1036 1037 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
長い!!!どんどん可読性が落ちそうな予感。。。
仮に部署間のNWを分割するとなったときの設定もありますが、
ip vlan1 secure filter in 1041 1042 1043 1044 1045 1046 1047 3000 ip vlan1 secure filter out 1021 1022 1023 1024 1025 1026 1027 3000 ip vlan2 secure filter in 1040 1042 1043 1044 1045 1046 1047 3000 ip vlan2 secure filter out 1020 1022 1023 1024 1025 1026 1027 3000 ip vlan3 secure filter in 1040 1041 1043 1044 1045 1046 1047 3000 ip vlan3 secure filter out 1020 1021 1023 1024 1025 1026 1027 3000 ip vlan4 secure filter in 1040 1041 1042 1044 1045 1046 1047 3000 ip vlan4 secure filter out 1020 1021 1022 1024 1025 1026 1027 3000 ip vlan5 secure filter in 1040 1041 1042 1043 1045 1046 1047 3000 ip vlan5 secure filter out 1020 1021 1022 1023 1025 1026 1027 3000 ip vlan6 secure filter in 1040 1041 1042 1043 1044 1046 1047 3000 ip vlan6 secure filter out 1020 1021 1022 1023 1024 1026 1027 3000 ip vlan7 secure filter in 1040 1041 1042 1043 1044 1045 1047 3000 ip vlan7 secure filter out 1020 1021 1022 1023 1024 1025 1027 3000 ip vlan8 secure filter in 1040 1041 1042 1043 1044 1045 1046 3000 ip vlan8 secure filter out 1020 1021 1022 1023 1024 1025 1026 3000 ip filter 1040 reject * 192.168.100.0/24 ip filter 1041 reject * 192.168.101.0/24 ip filter 1042 reject * 192.168.102.0/24 ip filter 1043 reject * 192.168.103.0/24 ip filter 1044 reject * 192.168.104.0/24 ip filter 1045 reject * 192.168.105.0/24 ip filter 1046 reject * 192.168.106.0/24 ip filter 1047 reject * 192.168.107.0/24
NWが増えてくると厳しいですね。大規模ならこのくらいわけるんでしょうかね。
タグVLANを使って、NWを分ける
ゲスト用の無線ネットワークを設定する(RTX1200 GUI設定例) « 設定例
こちらはタグVLANを使った形式です。ポートに依存しないより柔軟なNWの構築が可能です。
# # VLANの設定 # vlan lan2/1 802.1q vid=201 name=VLAN201 ip lan2/1 address 192.168.201.1/24 ip lan2/1 secure filter in 9000 9001 3000 ip lan2/1 secure filter out 9002 9003 3000
先ほど書いた表の用にvlan lan2/1というような書き方になっていてvidとnameを指定しています。802.1qはIEEEが取り決めたVLAN規格なのでそういうものだと思っておけば。。
vlanのfilter定義は下記のようになっています。
ip filter 3000 pass * * ip filter 9000 reject 192.168.201.0/24 192.168.100.0/24 ip filter 9001 reject 192.168.201.0/24 192.168.200.0/24 ip filter 9002 reject 192.168.100.0/24 192.168.201.0/24 ip filter 9003 reject 192.168.200.0/24 192.168.201.0/24
2行目を例に挙げると、192.168.201.0/24から192.168.100.0/24への通信を拒否しています。すっと頭に入るでしょうか?私はなかなかこのfilterを理解できませんでした。最初は”inだからNW内への通信だ。でも201 -> 100への通信?ん?”と。LANという観点で見るとin/outは逆なんですよね。
WANとの関係で見ると、外部から内部へのアクセスがinで内部から外部がoutはわかりやすいと思います。一方、LANでは今いるLANから別のNWに出て行くものがin、別のNWからLAN内に入ってくるものがoutなんです。わかりづらいですね。"誰にとってのin/out"なのかを考えるとよいかもしれません。私なりの覚え方は”ルーターに向かって通信が来るものがin、ルーターからどこかに出て行くのがout”です。このタイミングで理解できてよかった。他の記事は間違っているかもしれないです(あとで確認します)
またfilterつながりでもう一つ。yamahaのルータはdefaultフィルタ(暗黙的に採用)という考え方でフィルタリングしています。これは、設定がない場合はすべてpass、何か設定があるとその設定と一致した場合はそのactionに従い、どれとも一致しなかった場合はパケットを破棄します。どちらかというとホワイトリストに近い考え方でしょうか。
filterの設定ができたら、後はWLX302の設定です。今回は疲れたので割愛します。
まとめ
VLANに関する部分をまとめました。ポートとタグVLANどっちがいいんでしょうかね?「間違ってLANケーブル抜いちゃって適当なところに挿したら通信できなくなった!!」みたいなことが起きないようにタグVLANの方がいいのかなーと思っています。パフォーマンス的にはどのくらい影響するんでしょうか。ほんと奥が深い世界だ。
リンクにも貼りましたが設定事例集を見つけました。細かくいろんなパターンが書いてあるのでこれらを読み解いていけばある程度設定はできそうです。
