ネットワーク

YAMAHAルーター「RTX1210」でポートVLANの設定方法

投稿日:2018年4月17日 更新日:

RTX1210のLAN1ポートは8個あり、通常は同一セグメントのスイッチングハブ(ギガビット)として機能しますが、「ポートVLAN機能」を使えばポートごとに仮想的に異なるセグメントにすることが可能になっています。例えば会社の部門ごとに異なるセグメントにしたい場合、LAN1を8個の仮想LANとして個別のIPアドレスを設定し、部門間の通信を遮断したり、ゲスト用のアクセスポイントを設定してセキュリティを高めることなどに利用されます。今回は8ポートすべてを異なるVLANで設定してみましょう。

RTX1210の初期IPアドレスは192.168.100.1ですが、ポート番号とIPアドレスの対応がわかりやすいように192.168.1.1に変更しました。以下のようなセグメントになるように設定します。

  • ポート1(192.168.1.0/24)
  • ポート2(192.168.2.0/24)
  • ポート3(192.168.3.0/24)
  • ポート4(192.168.4.0/24)
  • ポート5(192.168.5.0/24)
  • ポート6(192.168.6.0/24)
  • ポート7(192.168.7.0/24)
  • ポート8(192.168.8.0/24)

設定方法

YAMAHAのサイトからテキストをダウンロードして、一部改良してtftpコマンドで流し込む方法も取れますが、今の環境を維持しながら変更したい場合はRTX1210にログインしてWebからコマンド入力して変更していきます。

LAN1をポートVLANへの切り替え

RTX1210にログインしてコマンド入力する場合、設定用のPCを必ずLAN1ポートに接続

lan type lan1 port-based\option=divide-network

と入力してLAN1ポートを分離設定しようとしたが、失敗。エラー:重複して使用できない設定がありますとログ表示

原因はL2MSの設定がされていたためでした。L2MSとはヤマハ製スイッチ以外がルーターのLAN1に直接接続されることを防ぐための機能です。

switch control use lan1 off

が設定されていたためコマンド削除

no switch control use lan1 off

上のコマンドを入力して実行すると削除成功、保存成功

そのあと再度

lan type lan1 port-based\option=divide-network

を実行したところポートVLAN設定が成功しました。

VLANとポートの対応付け

8ポートすべてを分離する場合

  • ポート1をVLAN1
  • ポート2をVLAN2
  • ポート3をVLAN3
  • ポート4をVLAN4
  • ポート5をVLAN5
  • ポート6をVLAN6
  • ポート7をVLAN7
  • ポート8をVLAN8

に設定するには以下のコマンドを入力

vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan2
vlan port mapping lan1.3 vlan3
vlan port mapping lan1.4 vlan4
vlan port mapping lan1.5 vlan5
vlan port mapping lan1.6 vlan6
vlan port mapping lan1.7 vlan7
vlan port mapping lan1.8 vlan8

 

※以下のように複数ポートを同じセグメントにする場合

  • ポート1~6をVLAN1
  • ポート7をVLAN7
  • ポート8をVLAN8に設定する場合は
vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan1
vlan port mapping lan1.3 vlan1
vlan port mapping lan1.4 vlan1
vlan port mapping lan1.5 vlan1
vlan port mapping lan1.6 vlan1
vlan port mapping lan1.7 vlan7
vlan port mapping lan1.8 vlan8

 

VLANのIPアドレスを入力

以下のようにポート1~8のアドレスを設定するとします

  • VLAN1のアドレスを192.168.1.1/24
  • VLAN2のアドレスを192.168.2.1/24
  • VLAN3のアドレスを192.168.3.1/24
  • VLAN4のアドレスを192.168.4.1/24
  • VLAN5のアドレスを192.168.5.1/24
  • VLAN6のアドレスを192.168.6.1/24
  • VLAN7のアドレスを192.168.7.1/24
  • VLAN8のアドレスを192.168.8.1/24
ip vlan2 192.168.2.1/24
ip vlan3 192.168.3.1/24
ip vlan4 192.168.4.1/24
ip vlan5 192.168.5.1/24
ip vlan6 192.168.6.1/24
ip vlan7 192.168.7.1/24
ip vlan8 192.168.8.1/24

 

VLAN1のアドレスはLAN1アドレスが反映されるので入力する必要はありません

各VLANからDNSのアクセスを許可

dns host any

DHCPサーバーの追加

ポート1DHCPサーバー設定済の場合、ポート2~8までを追加してください。ポートのアドレスは1なので2~191の190個のアドレスをDHCPサーバー機能により割り当てていきます。割り当てるアドレスの数は適宜変更してください。

RTX1210のどれかのポートにローカルルーターを接続する場合、ローカルルーターによるDHCPサーバー機能を使うのでRTX1210側のDHCP機能は削除しておきます。例えばVLAN8に無線LANルーターを接続した場合、dhcp scope 8 192.168.8.2-192.168.8.191/24を削除しておきます。

dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.1.2-192.168.1.191/24
dhcp scope 2 192.168.2.2-192.168.2.191/24
dhcp scope 3 192.168.3.2-192.168.3.191/24
dhcp scope 4 192.168.4.2-192.168.4.191/24
dhcp scope 5 192.168.5.2-192.168.5.191/24
dhcp scope 6 192.168.6.2-192.168.6.191/24
dhcp scope 7 192.168.7.2-192.168.7.191/24
dhcp scope 8 192.168.8.2-192.168.8.191/24

 

フィルターの追加

もともと設定していた192.168.1.0/24以外に7つのVLANが作成されたので、1022~1028 1032~1038を追加してください。

ip pp secure filter in 1021 1022 1023 1024 1025 1026 1027 1028 1031 1032 1033 1034 1035 1036 1037 1038 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 pp enable 1

ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1021 reject 192.168.1.0/24 *
ip filter 1022 reject 192.168.2.0/24 *
ip filter 1023 reject 192.168.3.0/24 *
ip filter 1024 reject 192.168.4.0/24 *
ip filter 1025 reject 192.168.5.0/24 *
ip filter 1026 reject 192.168.6.0/24 *
ip filter 1027 reject 192.168.7.0/24 *
ip filter 1028 reject 192.168.8.0/24 *
ip filter 1031 pass * 192.168.1.0/24 icmp
ip filter 1032 pass * 192.168.2.0/24 icmp
ip filter 1033 pass * 192.168.3.0/24 icmp
ip filter 1034 pass * 192.168.4.0/24 icmp
ip filter 1035 pass * 192.168.5.0/24 icmp
ip filter 1036 pass * 192.168.6.0/24 icmp
ip filter 1037 pass * 192.168.7.0/24 icmp
ip filter 1038 pass * 192.168.8.0/24 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * submission
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

 

部門間の通信を遮断するには

以下のフィルターを追加します

ip filter 1041 reject * 192.168.1.0/24
ip filter 1042 reject * 192.168.2.0/24
ip filter 1043 reject * 192.168.3.0/24
ip filter 1044 reject * 192.168.4.0/24
ip filter 1045 reject * 192.168.5.0/24
ip filter 1046 reject * 192.168.6.0/24
ip filter 1047 reject * 192.168.7.0/24
ip filter 1048 reject * 192.168.8.0/24

ip vlan1 secure filter in 1042 1043 1044 1045 1046 1047 1048 3000
ip vlan1 secure filter out 1022 1023 1024 1025 1026 1027 1028 3000
ip vlan2 secure filter in 1041 1043 1044 1045 1046 1047 1048 3000
ip vlan2 secure filter out 1021 1023 1024 1025 1026 1027 1028 3000
ip vlan3 secure filter in 1041 1042 1044 1045 1046 1047 1048 3000
ip vlan3 secure filter out 1021 1022 1024 1025 1026 1027 1028 3000
ip vlan4 secure filter in 1041 1042 1043 1045 1046 1047 1048 3000
ip vlan4 secure filter out 1021 1022 1023 1025 1026 1027 1028 3000
ip vlan5 secure filter in 1041 1042 1043 1044 1046 1047 1048 3000
ip vlan5 secure filter out 1021 1022 1023 1024 1026 1027 1028 3000
ip vlan6 secure filter in 1041 1042 1043 1044 1045 1047 1048 3000
ip vlan6 secure filter out 1021 1022 1023 1024 1025 1027 1028 3000
ip vlan7 secure filter in 1041 1042 1043 1044 1045 1046 1048 3000
ip vlan7 secure filter out 1021 1022 1023 1024 1025 1026 1028 3000
ip vlan8 secure filter in 1041 1042 1043 1044 1045 1046 1047 3000
ip vlan8 secure filter out 1021 1022 1023 1024 1025 1026 1027 3000

 

以上で部門間の通信は遮断されます。

-ネットワーク
-,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

フレッツ・セッションプラス

ひかり電話はVoIPルーター「RT200KI」(沖電気製)を使っていますが、設定変更した場合再起動する必要があります。ひかり電話は通話時にはセッションは利用しません RT200KIの電源立上げ時 最新 …

BUFFALO製NAS HDD「LS410D」のファームウェア更新

NAS HDDとしてBUFFALO製のLS410Dシリーズを使っていますが、容量が2TBでそろそろ残容量が少なくなってきた。その影響なのかPanasonicのTV、ビエラから時々DLNA接続できなくな …

YAMAHAルーターすべてに使える「tftpコマンド」によるファームウェア更新方法

ファームウェアの更新はRTX1210の「ネットワークの見える化」により簡単にできるようになりましたが、Windowsの「tftpコマンド」を使えばYAMAHA製ルーターすべてにファームウェアの更新をす …

インターネットサイマル試験放送radiko.jp

3月15日から民放ラジオのインターネットサイマル試験放送radiko.jpが始まっている。以下の放送局が参加し、指定地域でのみ聞くことができる。 目次1 東京局2 大阪局 東京局 TBSラジオ 文化放 …

no image

VPNって何なの?

インターネットは便利ですが、セキュリティには注意が必要です。一番簡単なのが覗き見です。ごく普通にメールのやりとりをしていると思いますが、メールは平文(暗号化されていないテキストデータ)なので誰でも見る …

2019年9月
« 5月    
 1
2345678
9101112131415
16171819202122
23242526272829
30  
Top
%d人のブロガーが「いいね」をつけました。