図1 部署間の通信を制御する構成の例
図2 マンション型インターネットの構成例
$Date: 2024/09/26 18:57:27 $
VLAN間フィルターは、その名の通りVLAN間のフィルタリングをする機能です。インターフェース間の通信を許可または遮断することができます。フィルタリング対象となるインターフェースはLAN分割インターフェース、Native VLANインターフェース(タグVLANを使用しないLANインターフェース)およびタグVLANインターフェースです。
例えば、VLAN間フィルターでは次のようなことが実現できます。
図1 部署間の通信を制御する構成の例
図2 マンション型インターネットの構成例
これらのような構成はIPフィルターでも実現できますが、複数のIPフィルターが必要であり、設定が複雑化するのが問題でした。また、インターフェースを追加するとIPフィルターの設定も追加・変更が必要で、トラブルの元でした。
それをコマンド一つで実現できるようにしたのが「VLAN相互接続インターフェースグループ」です。使用するコマンドはvlan interconnect groupコマンドで、設定が非常に分かりやすく管理も容易になります。
例えば、Nativ VLANインターフェース(lan1)とタグVLANインターフェースを3つ(lan1/1, lan1/2, lan1/3)使用しているときに、これらすべてのインターフェース間の通信を遮断する場合、IPフィルターで実現するには次のような設定が必要です。フィルターに関する設定はip secure filterコマンドとip filterコマンドで17行になっています。
ip lan1 address 192.168.100.1/24 ip lan1 secure filter in 600000 600001 600002 6000012 vlan lan1/1 802.1q vid=101 name=VLAN101 ip lan1/1 address 192.168.101.1/24 ip lan1/1 secure filter in 600003 600004 600005 6000012 vlan lan1/2 802.1q vid=102 name=VLAN102 ip lan1/2 address 192.168.102.1/24 ip lan1/2 secure filter in 600006 600007 600008 6000012 vlan lan1/3 802.1q vid=103 name=VLAN103 ip lan1/3 address 192.168.103.1/24 ip lan1/3 secure filter in 600009 600010 600011 6000012 ip filter 600000 reject 192.168.100.0/24 192.168.101.0/24 ip filter 600001 reject 192.168.100.0/24 192.168.102.0/24 ip filter 600002 reject 192.168.100.0/24 192.168.103.0/24 ip filter 600003 reject 192.168.101.0/24 192.168.100.0/24 ip filter 600004 reject 192.168.101.0/24 192.168.102.0/24 ip filter 600005 reject 192.168.101.0/24 192.168.103.0/24 ip filter 600006 reject 192.168.102.0/24 192.168.100.0/24 ip filter 600007 reject 192.168.102.0/24 192.168.101.0/24 ip filter 600008 reject 192.168.102.0/24 192.168.103.0/24 ip filter 600009 reject 192.168.103.0/24 192.168.100.0/24 ip filter 600010 reject 192.168.103.0/24 192.168.101.0/24 ip filter 600011 reject 192.168.103.0/24 192.168.102.0/24 ip filter 600012 pass * *
本機能を使用すると、フィルターの設定はvlan interconnect groupコマンドのみとなり、たった一行の設定で実現できます。
ip lan1 address 192.168.100.1/24 vlan lan1/1 802.1q vid=101 name=VLAN101 ip lan1/1 address 192.168.101.1/24 vlan lan1/2 802.1q vid=102 name=VLAN102 ip lan1/2 address 192.168.102.1/24 vlan lan1/3 802.1q vid=103 name=VLAN103 ip lan1/3 address 192.168.103.1/24 vlan interconnect group lan1 none
本ドキュメントではVLAN相互接続インタフェースグループを使用したVLAN間フィルターについて説明します。
ヤマハルーターでは以下の機種およびファームウェアで、VLAN相互接続インターフェースグループによるVLAN間フィルターをサポートしています。
| 機種 | ファームウェア |
|---|---|
| RTX3510 | Rev.23.01.02以降 |
| RTX1300 | Rev.23.00.12以降 |
| RTX1220 | Rev.15.04.07以降 |
| RTX830 | Rev.15.02.31以降 |
| NVR510 | Rev.15.01.26以降 |
| NVR700W | Rev.15.00.25以降 |
図3 フィルタリング出来ない通信の例
VLAN間フィルターは、vlan interconnect groupコマンドで「VLAN相互接続インターフェースグループ」を設定することにより実現します。
[書式]
![vlan interconnect group PHYS_LAN GROUP [GROUP ...]](data:image/webp;base64,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)
PHYS_LANにフィルタリングの対象とする物理LANインターフェースを指定します。ここで指定した物理LANインターフェースに従属するLANインターフェース間の通信をフィルタリングできます。
GROUPにはPHYS_LANに指定した物理LANインターフェースに従属するLANインターフェースのグループを指定します。相互に通信を許可するインターフェースをグループとすることで、以下の制御が可能です。
VLAN相互接続インターフェースグループを設定していない状態、すなわち初期状態では物理LANインターフェースに従属するすべてのLANインターフェース間の通信が許可されています。
ここでは目的に応じたグループの設定方法を説明します。
相互に通信を許可するインターフェースのグループを設定する場合は、GROUPにお互いの通信を許可したいインターフェースをカンマ区切りで列挙します。
GROUPはスペース区切りで複数指定することができ、同じグループ内のインターフェース間の通信は許可され、異なるグループ間の通信は遮断されます。
例えば、タグVLANインターフェースを4つ(lan1/1, lan1/2, lan1/3, lan1/4)使用しているとします。
図4 2つのグループを設定した例のイメージ図
このようにフィルタリングする場合は「lan1/1,lan1/2」と「lan1/3,lan1/4」の二つのグループを指定します。具体的なコマンドは次のようになります。
# vlan interconnect group lan1 lan1/1,lan1/2 lan1/3,lan1/4
あるインターフェースと複数のグループ間の通信を許可するには、共通のインターフェースを複数のグループに所属させます。
図5 両方のグループと通信を許可するインターフェースのグループ設定
このようにフィルタリングする場合は次のように設定します。
# vlan interconnect group lan1 lan1/1,lan1/2 lan1/1,lan1/3
lan1/1が一つ目のグループと二つ目のグループの両方に所属しています。lan1/1はどちらのグループとも通信が可能です。
グループに設定されていないインターフェースは、どのグループにも所属せずに独立した状態となります。
例えば、タグVLANインターフェースを4つ(lan1/1, lan1/2, lan1/3, lan1/4)とNative VLANインターフェース(タグVLANを使用しない lan1)を使用しているとき、lan1/1とlan1/2の間の通信を許可する設定をしたとします。
# vlan interconnect group lan1 lan1/1,lan1/2
このときlan1/1とlan1/2以外のインターフェース間の通信は遮断された状態になります。
図6 グループに設定されていないインターフェースのイメージ図
タグVLANインターフェースを使用しているときに、LAN分割インターフェースのグループを設定すると、タグVLANインターフェースとNative VLANインターフェースはどのクループにも所属せず独立した状態になります。すなわち、タグVLANインターフェース(Native VLANインターフェースを含む)間の通信はすべて遮断されます。逆に、LAN分割インターフェースを使用しているときに、タグVLANインターフェースのグループを設定すると、LAN分割インターフェース間の通信は遮断されます。なお、タグVLAN機能とLAN分割機能は同時に使用できないため、タグVLANインターフェースとLAN分割インターフェースをグループに含めた場合、コマンドはエラーになります。
連続する仮想インターフェースは「-」(ハイフン)を使うことで簡略化して表現することができます。
LAN分割インターフェースの場合、「vlan1,vlan2,vlan3,vlan4」は「vlan1-4」と表現できます。
# vlan interconnect group lan1 vlan1,vlan2,vlan3,vlan4
これは次のように書くことができます。
# vlan interconnect group lan1 vlan1-4
タグVLANインターフェースの場合、「lan1/1,lan1/2,lan1/3,lan1/4」は「lan1/1-4」と表現できます。
# vlan interconnect group lan1 lan1/1,lan1/2,lan1/3,lan1/4
これは次のように書くことができます。
# vlan interconnect group lan1 lan1/1-4
なお、連続したインターフェース番号を「-」で指定する場合は、昇順で指定してください。例えば「vlan4-1」はエラーになります。
vlan interconnect groupコマンドの設定値は、入力値のまま設定に反映されます。
対象物理LANインターフェースに従属するすべてのインターフェースとの通信が可能なインターフェースを設定するには、すべてのLANインターフェースとのペアをGROUPに設定することになります。すべてのLANインターフェースとのペアは「$」(ドルマーク)を使って表します。
二つの例で説明します。
一つ目の例は、タグVLANインターフェースを4個(lan1/1~lan1/4)とNative VLANインターフェース(タグVLANを使用しない lan1)を使用しているとき、Native VLANインターフェースのみに他のすべてのタグVLANインターフェースとの通信を許可する場合です。この場合、GROUPはlan1を軸にした「lan1,lan1/1」「lan1,lan1/2」「lan1,lan1/3」「lan1,lan1/4」の4つのグループを指定することになります。
| グループ1: | lan1,lan1/1 |
| グループ2: | lan1,lan1/2 |
| グループ3: | lan1,lan1/3 |
| グループ4: | lan1,lan1/4 |
図7 すべてのインターフェースとの通信を許可する場合のインターフェースグループのイメージ図
具体的なコマンドは次のようになります。
# vlan interconnect group lan1 lan1,lan1/1 lan1,lan1/2 lan1,lan1/3 lan1,lan1/4
この4つのグループをまとめて「lan1$」(「軸になるインターフェース」+「$」)と表現できます。これを用いると次のように書くことができます。
# vlan interconnect group lan1 lan1$
二つ目の例は、LAN分割インターフェースを6個(VLAN1~VLAN6)使用しているとき、VLAN2インターフェースのみが他のすべてのLAN分割インターフェースとの通信を許可する場合です。この場合は、GROUPにはvlan2を軸にした「vlan2,vlan1」「vlan2,vlan3」「vlan2,vlan4」「vlan2,vlan5」「vlan2,vlan6」の5つのグループを指定する必要がありますが、これを「vlan2$」と簡略化して指定することができます。
# vlan interconnect group lan1 vlan1,vlan2 vlan2,vlan3 vlan2,vlan4 vlan2,vlan5 vlan2,vlan6
この設定は次のように書くことができます。
# vlan interconnect group lan1 vlan2$
なお、「$」が設定されている状態で、新たにインターフェース(ネットワーク)を追加したときは、当コマンドを再設定しなくても、追加したインターフェースと対象インターフェースとのペアもグループに追加されます。
図8 「$」設定のとき追加されたインターフェースの扱い
GROUPに「$」を使わずに「$」と同等の設定をした場合でも、「$」を使った表現への最適化は行われず、コンフィグには設定したままの値が保存されます。「$」を使用した表現に置換されることはありません。
対象物理LANインターフェースに従属するすべてのLANインターフェース間の通信を許可する場合は、GROUPに「all」を指定します。
vlan interconnect groupコマンドを設定していないときは、「all」を指定しているのと同じ動作になります。つまり、初期状態では物理LANインターフェースに従属するすべてのLANインターフェース間の通信が許可されています。
例えば、タグVLANインターフェースを2つ(lan1/1, lan1/2)とNative VLANインターフェース(タグVLANを使用しない lan1)を使用しているとき、これらすべてのインターフェース間の通信を許可する場合は次のように設定します。
# vlan interconnect group lan1 all
これは、使用しているすべてのLANインターフェース(lan1, lan1/1, lan1/2)が1つのグループに所属している状態です。
図9 すべて許可する場合のインターフェースグループのイメージ図
なお、「all」が設定されている状態で、新たにインターフェース(ネットワーク)を追加したときは、当コマンドを再設定しなくても、追加したインターフェースとの間の通信も許可されます。
図10 「all」設定のとき追加されたインターフェースの扱い
対象物理LANインターフェースに従属するすべてのLANインターフェース間の通信を遮断する場合は、GROUPに「none」を指定します。
例えば、タグVLANインターフェースを2つ(lan1/1, lan1/2)とNative VLANインターフェース(タグVLANを使用しない lan1)を使用しているとき、これらすべてのLANインターフェース間の通信を遮断する場合は次のように設定します。
# vlan interconnect group lan1 none
これは、使用しているすべてのLANインターフェース(lan1, lan1/1, lan1/2)がどのグループにも所属せずに独立している状態です。
図11 すべて遮断する場合のインターフェースグループのイメージ図
なお、「none」が設定されている状態で、新たにインターフェース(ネットワーク)を追加したときは、当コマンドを再設定しなくても、追加したインターフェースとの間の通信も遮断されます。
図12 「none」設定のとき追加されたインターフェースの扱い
vlan interconnect logコマンドを設定することでフィルタリングのログを記録することができます。
SYSLOGのレベルとフォーマットは以下の通りです。
| レベル | フォーマット |
|---|---|
| NOTICE | (対象物理LAN) Passed at VLAN INTERCONNECT: (入力インターフェース) (送信元アドレス) > (出力インターフェース) (宛先アドレス) |
| NOTICE | (対象物理LAN) Rejected at VLAN INTERCONNECT: (入力インターフェース) (送信元アドレス) > (出力インターフェース) (宛先アドレス) |
#show log 2024/06/06 16:49:40: LAN1 Passed at VLAN INTERCONNECT: LAN1 192.168.100.10 > LAN1/1 10.0.1.2 2024/06/06 16:49:50: LAN1 Rejected at VLAN INTERCONNECT: LAN1 192.168.100.10 > LAN1/2 10.0.2.2
IPフィルターなど他のフィルター機能と併用した場合、VLAN間フィルターより前に他のフィルターでパケットが破棄された場合は、VLAN間フィルターのログは出力されません。フィルターの処理順序に関しては4-3. VLAN間フィルターと他のフィルターを併用するを参照ください。
VLAN間フィルターは、IPフィルターやDPIフィルターなど既存のフィルター機能と併用可能です。適用しているすべてのフィルターで通信が許可されたパケットがインターフェース間を通過できます。
既存のフィルター機能は、イーサネットフィルター、IPフィルター、URLフィルター、DPIフィルターがあり、各フィルターは受信インターフェースと送信インターフェースのそれぞれで処理されます。下図は各フィルターの処理順序を示しています。VLAN間フィルターより前段のフィルターでパケットが破棄された場合は、VLAN間フィルターのログは出力されません。
図13 フィルターが評価される順序
WebGUIを搭載している機種では、[詳細設定]のメニュー[VLAN]-[VLAN間フィルター]からVLAN間フィルターの設定をすることができます。
図14 Web GUIのVLAN間フィルター設定ページ
本機能に対応する前のファームウェアでは、LANマップのタグVLANページからVLAN間フィルターを設定することができました。
LANマップの「全遮断」と本機能の全遮断である「インターフェース間の通信をすべて遮断する」の動作には以下の違いがあります。
| LAMマップの全遮断 | 本機能の全遮断 | |
|---|---|---|
| 実現方法 | IPフィルター | vlan interconnect groupコマンド |
| 動作 | 遮断する対象のインターフェースにNative VLANインターフェースは含まない | 遮断する対象のインターフェースにNative VLANインターフェースも含まれる |
LANマップの全遮断と同じ動作をさせたい場合は、VLAN間フィルターの設定ページで「LAN1のすべてのインターフェースとの通信を許可するインターフェースを指定する」にチェックを入れ、インターフェースにLAN1を選択してください。
図15 LANマップの「全遮断」と同じ動作をさせる設定
これは、Native VLANインターフェースのみに他のすべてのタグVLANインターフェースとの通信を許可する設定です。つまり次の設定と同じです。
# vlan interconnect group lan1 lan1$
VLAN間フィルターの設定ページは、LANマップの「全遮断」の設定(IPフィルターによる全遮断の設定)がある状態でも正しく設定を解釈して表示できます。LANマップの「全遮断」の設定がある状態でVLAN間フィルターの設定ページを開くと、「LAN1のすべてのインターフェースとの通信を許可するインターフェースを指定する」でLAN1を選択している状態として表示されます。LANマップの「全遮断」と本機能における「LAN1 の各インターフェース間の通信をすべて遮断する」はイコールではないことに注意してください。
図16 IPフィルターによる全遮断の設定があるときのVLAN間フィルター設定ページの表示
LANマップの「全遮断」の設定がある状態で、VLAN間フィルターの設定ページからVLAN間フィルターを設定しなおした場合、IPフィルターによる全遮断の設定は削除され、vlan interconnect groupコマンドが設定されます。
物理 LAN インターフェースごとに、相互に接続可能な LAN インターフェースのグループを設定する。
仮想 LAN インターフェース( LAN 分割インターフェース、または、タグ VLAN インターフェース)を使用する場合、初期状態では物理 LAN インターフェースとの間の通信、および、すべての仮想 LAN インターフェースとの間の通信が可能であるが、本コマンドによって相互に通信を許可する LAN インターフェースのグループを任意に指定できる。
GROUP に all を指定した場合は、PHYS_LAN_INTERFACE に従属するすべての LAN インターフェースの相互接続が可能となる(全開放)。GROUP に none を指定した場合は、PHYS_LAN_INTERFACE に従属するすべての LAN インターフェースが互いに遮断され、相互接続ができなくなる(全遮断)。ただし、none を指定した場合でも、PHYS_LAN_INTERFACE に指定した物理 LAN インターフェースには従属しない他の物理 LAN インターフェース、および、仮想 LAN インターフェースへの通信は遮断されない。なお、all / none の指定は本コマンド実行後に作成した仮想 LAN インターフェースに対しても有効になるため、仮想 LAN インターフェースを増やす度に本コマンドを実行する必要はない。
相互接続を許可するグループを任意に設定する場合は、グループごとに複数の物理 LAN インターフェース名、および、仮想 LAN インターフェース名を「-」(ハイフン)または「,」(カンマ)で連結した LAN インターフェース群を GROUP に指定する。
「$」(ドルマーク)を使用すれば、すべての LAN インターフェースとのペアを簡略化して表現することができる。例えば、LAN 分割インターフェース 6 個(VLAN1~VLAN6)を使用しているとき、VLAN2 インターフェースのみが他のすべての LAN 分割インターフェースとの相互接続を可能とする場合、GROUP は「vlan1,vlan2 vlan2,vlan3 vlan2,vlan4 vlan2,vlan5 vlan2,vlan6」のように 5 個のグループを指定する必要があるが、これを「vlan2$」と簡略化して指定することができる。「$」はすべての LAN インターフェースと個別にペアになった複数のグループへ展開されることを意味する。同様に、タグ VLAN インターフェース 10 個(LAN1/1~LAN1/10)を使用しているとき、lan1/1 インターフェースのみが他のすべてのタグ VLAN インターフェースおよび Native VLAN インターフェース(タグ VLAN を使用しない LAN1 インタ―フェース)との相互接続を可能とする場合、GROUP は「lan1,lan1/1 lan1/1,lan1/2 lan1/1,lan1/3 lan1/1,lan1/4 lan1/1,lan1/5 lan1/1,lan1/6 lan1/1,lan1/7 lan1/1,lan1/8 lan1/1,lan1/9 lan1/1,lan1/10」のように 10 個のグループを指定する必要があるが、これを「lan1/1$」と簡略化して指定することができる。「$」も all / none の指定と同様に、本コマンド実行後に作成した仮想 LAN インターフェースに対しても有効になるため、仮想 LAN インターフェースを増やす度に本コマンドを実行する必要はない。
本コマンドに似た機能として LAN 分割拡張機能のポート分離機能があるが、ポート分離機能は同一の仮想 LAN インターフェース内の通信(内蔵スイッチングハブ内で折り返される通信)を制御する機能であり、複数の仮想 LAN インターフェースをまたぐ通信は制御できない。本コマンドは複数の仮想 LAN インターフェースをまたぐ通信を制御できる。
LAN インターフェースと LAN インターフェース以外のインターフェース( PP インターフェースや TUNNEL インターフェースなど)との間の通信、および、複数の物理 LAN インターフェースをまたぐ通信は本コマンドによる制御の対象外である。
IP フィルター機能と併用する場合は、OUT 側 IP フィルターのチェック処理の後で本コマンドによる通信制御処理が行われ、IP フィルター機能と本コマンドの両方で通信が許可されているパケットがインターフェース間を通過できる。
# vlan interconnect group lan1 all
# vlan interconnect group lan2 none
# vlan interconnect group lan1 vlan1-3 vlan2-4
# vlan interconnect group lan1 vlan2$
# vlan interconnect group lan2 lan2/1-3,lan2/18
# vlan interconnect group lan2 lan2$ lan2/1$
| 設定値 | 説明 |
| pass | 相互接続が許可されたインターフェース間の通信に関するログを記録する |
| reject | 相互接続が許可されていないインターフェース間の遮断された通信に関するログを記録する |
VLAN 相互接続インターフェースグループによる通信制御のログを記録するか否かを設定する。
本コマンドを設定した場合、VLAN 相互接続インターフェースグループで通信制御が行われた際に NOTICE レベルの syslog を出力する。
IP フィルター機能と VLAN 相互接続インターフェースグループによる通信制御を併用する場合は、先に IP フィルターのチェック処理が行われる。そのため、IP フィルターでパケットが破棄された場合は、本コマンドによるログは出力されない。