前回、IPv6でのIPoE接続をYAMAHA製ルーターRTX1200にて行いました。
ネット環境は改善され、特にクラウドサービス(One DriveとかGmailなど)が快適になりました。むろんアプリやドライバー等のダウンロードも。
ただ気になることがありました。
うちのネット環境は「BIGLOBE光」を1回線を引き込み、会社と自宅のPC、WiFi端末を共有しています。
ここで問題なのは、娘のパソコン。いわゆるネットゲー中毒というやつにかかり毎晩徹夜で「PSO2」やりまくり。もちろんPCにはいろいろなソフトがインストールされて(怪しいツールとか)いつウイルスに感染しても良い状況。
セキュリティソフトは入っていたと思うが、Windows付属のEssential程度。このパソコンから社内PCやらNAS等にランサムをばらまかれたら最後。
一般の会社ならL3スイッチを導入して、ネットワークを分割しますが、そこまで高価な機器を導入してまで、と思い調べたらなんとRTX1200にはポート分割VLAN機能がありました。
そこで以下の通り、設定を行い、ネットワークを分割しました。
------------以下 config.txt 該当部分 ----------------------------------
#
# VLAN Port Mapping configuration
#
vlan port mapping lan1.1 vlan1 # メインLAN
vlan port mapping lan1.2 vlan1 # メインLAN
vlan port mapping lan1.3 vlan1 # メインLAN
vlan port mapping lan1.4 vlan1 # メインLAN
vlan port mapping lan1.5 vlan1 # メインLAN
vlan port mapping lan1.6 vlan1 # メインLAN
vlan port mapping lan1.7 vlan2 # 個人LAN
vlan port mapping lan1.8 vlan2 # 個人LAN
#
# LAN configuration
#
lan type lan1 port-based-option=divide-network # lan1をVLAN用に設定
description vlan1 "Main LAN"
ip vlan1 address 192.168.11.254/24
ip vlan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099
description vlan2 "Private LAN"
ip vlan2 address 192.168.20.254/24
ip vlan2 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100050 100051 100052 100053 100054 100055 100056 100099
description lan3 "Debug Port" # デバッグ用ポート(設定調査用ポート)
ip lan3 address 192.168.2.254/24
lan shutdown lan3
#
# IP filter configuration
#
# Windows ファイル共有パケット流出防止
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
# vlan2の制約設定(vlan1,lan3へのアクセス禁止,ルーター,ONUの設定をさせない)
ip filter 100050 reject 192.168.20.0/24 192.168.11.0/24 * * *
ip filter 100051 reject 192.168.20.0/24 192.168.2.0/24 * * *
ip filter 100052 reject 192.168.20.1-192.168.20.253 192.168.1.2 tcp * www
ip filter 100053 reject 192.168.20.1-192.168.20.253 192.168.1.2 udp * tftp
ip filter 100054 reject 192.168.20.1-192.168.20.253 192.168.20.254 tcp * www
ip filter 100055 reject 192.168.20.1-192.168.20.253 192.168.20.254 udp * tftp
ip filter 100056 reject 192.168.20.1-192.168.20.253 192.168.1.1 tcp * www
# 全入力許可
ip filter 100099 pass * * * * *
#
# DHCP configuration
#
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.11.20-192.168.11.191/24 gateway 192.168.11.254 # vlan1
dhcp scope 2 192.168.20.2-192.168.20.191/24 gateway 192.168.20.254 # vlan2
dhcp scope 3 192.168.2.2-192.168.2.191/24 gateway 192.168.2.254 # lan3
------------------------以上---------------------------------------
ここでVLAN1(192.168.11.0/24)は社内ネットワーク、VLAN2(192.168.20.0/24)は家庭用ネットワークとしています。
※ここでLAN3とありますが、これは保守用のポート(制限なし)で、通常は機能させていません。
①接続構成
[PR-400KI]---[RTX1200]---[VLAN1](192.168.11.254 DHCP有) 社内LAN
|
--[VLAN2](192.168.20.254 DHCP有) 家庭用LAN
|
--[LAN3](192.168.2.254 DHCP有) 保守用(通常機能させない)
RTX1200のLAN1は8つのポートがあり、通常はスイッチングポートとして利用できますが、
“lan type lan1 port-based-option=divide-network”
で、ポートVLANの作成ができます。
少々面倒なのですが、各ポートをどのVLANに属するのか、指定してやればOKです。ここではPORT1-6をVLAN1、PORT7-8をVLAN2にしています(以下のように)。
vlan port mapping lan1.1 vlan1 # メインLAN
vlan port mapping lan1.2 vlan1 # メインLAN
vlan port mapping lan1.3 vlan1 # メインLAN
vlan port mapping lan1.4 vlan1 # メインLAN
vlan port mapping lan1.5 vlan1 # メインLAN
vlan port mapping lan1.6 vlan1 # メインLAN
vlan port mapping lan1.7 vlan2 # 個人LAN
vlan port mapping lan1.8 vlan2 # 個人LAN
残念ながら vlan port lan1.1 - lan1.7 という記述はできませんでした。
なお分割しただけでは、各VLANへのルーティングが可能となっており、お互いのネットワークを行き来できます。
そこでVLAN2を独立したネットワークとするため、フィルターを適用させています。
secure filterコマンドで上記例の通り設定させましたが、VLAN2からはVLAN1へのアクセス禁止、およびルーターへの設定不可(WEBおよびTFTPを破棄)、またLAN3へのアクセス不可、さらに上位ONU(PR-400KI)の設定不可とします。
なおVLAN1についてはファイル共有パケットが出ていかないようフィルタリングをかけています。
以上でVLAN2はインターネットアクセスのみ可能な、仮想的に独立したネットワークとなります。
またDHCPの設定は、上記のconfigの該当部分を参照願います。
なお補足ですが、“lan shutdown lan3”でLAN3を無効とできます。
(これをしておかないと、LAN3ポートにケーブルをつながれて好き勝手されますので)
