Windows_Router Memo/TAG+Protected Ports VLAN のバックアップ差分(No.5)

[ トップ ]   [ 新規 | 一覧 | 検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 現在との差分 を表示
• ソース を表示
• バックアップ を表示
• Windows_Router Memo/TAG+Protected Ports VLAN へ行く。
  • 1 (2010-02-04 (木) 04:41:42)
  • 2 (2010-02-04 (木) 05:04:35)
  • 3 (2010-02-04 (木) 07:52:28)
  • 4 (2010-02-06 (土) 07:15:53)
  • 5 (2010-02-06 (土) 13:03:42)
  • 6 (2010-02-06 (土) 22:44:50)
  • 7 (2010-02-07 (日) 09:53:13)
  • 8 (2010-02-07 (日) 13:00:31)
  • 9 (2010-02-08 (月) 12:32:50)
  • 10 (2010-02-25 (木) 07:18:35)
  • 11 (2010-02-26 (金) 13:35:59)
  • 12 (2010-03-23 (火) 07:42:12)
  • 13 (2010-03-29 (月) 10:55:58)
  • 14 (2010-03-30 (火) 00:50:45)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

*9424T/SP-E + GS916M V2 [TAG+マルチプルVLAN（Protected Ports VLAN)] [#a8564ce0]

RIGHT:更新日&lastmod();

アライド製のスイッチ9424T/SP-E(L3) + GS916M V2(L2)で複数グループにおけるグループ間の接続を制御する設定~

**仕様 [#y90aeb66]
''9424T/SP-E(L3 SW)''

-UNTAGのProtected Ports VLAN(VLAN 31)を作成し、３つのグループに分ける。
-上記VLANはグループ内は接続するがRouterの属するVLAN(VLAN 10)、及びメンテ用VLAN(VLAn X)以外は接続しない
-上記VLANのすべてのグループから接続できるUPLINKポートを作成する
-GS916M接続できるVLAN（VLAN B)を作成する

''GS916M V2(L2 SW)''

-GS916M V2(L2 SW)内には9424T/SP-Eから３つTAGをうけるようにし、そのうちの１つのTAGの下ではProtected Ports VLAN(VLAN 41)で３つに分け、グループ間接続を禁止しする
-メンテナス用TAG VLAN(VLAN X)はポートに接続しないでTELNETとして制御部と接続できるようにする
-9424T/SP-EのVLAN Bと接続可能なProtected Ports VLAN(VLAN B)を作成
-すべてVLANはRouter属するVLAN(VLAN 10)と接続可能


***TAG VLAN と Protected Ports VLANの併用時の注意 [#j2233a95]

-L3 SWにおけるVLANはL2の上にルータが乗っているイメージで、このルータに各VLANへのインターフェースがありそれにIPを指定するとルータ内でルートができ接続できるようになる。よってVLAN間を制御するにはIPフィルタが必要になる
~''L3のイメージ''
               ----------------------------------------------------
               |            L3 SW                                 |
               |    --------------------------------------        |
               |    |       ルータ                       |        |
               |    --------------------------------------        |
               |         |IPアドレス1 |IPアドレス2   |IPアドレス3 |
               |         |            |              |            |
               |    ----------   ------------   ------------      |
               |    | VLAN A |   |  VLAN  B |   | VLAN  C31|      |
               |    ----------   ------------   ------------      |
               ------|--|--|------|---|---|-------|--|---|---------
          物理ポート□ □ □     □  □  □      □ □  □



-Protected Ports VLANはひとつのSWで完結している
-ポートにTAG VLAN と Protected Ports VLANが指定された場合はProtected Ports VLANのルールが優先される
~(GS916M V2の9424T/SP-Eに接続するポートはTAGの指定をするが、同時にProtected Ports VLANのUPLINKにも指定される。この場合TAGだけの接続でよいVLAN BはProtected Ports VLANは必要ないが、このポートはProtected Ports VLANに属しているためTAGが通らないそのため、VLAN BもProtected Ports VLANを作成しこのポートをUPLINKに指定する必要がある)
-TAGポートに指定したポートに接続されるデバイスはTAGを理解できるデバイスである必要がある。
~(UPLINKはどのProtected Ports VLANのグループからでもアクセスできるポートが、UPLINKもひとつのグループなので複数グループ作成できない。よってVLAN C41だけのUPLINKは作成できないのでたとえばポート15もUPLINKに指定するにはTAGも指定する必要がある。そのためポート15の接続デバイスはTAGを理解する必要がある)
-ポートに接続しないVLANはProtected Ports VLAN指定できないので仕様と思われるがUPKINKに指定されたポートからTAGVLANとして9424T/SP-Eと接続できる
-9424T/SP-EにおいてはProtected Ports VLAN（VLAN C31)はL3で別VLANと接続するためポート24をはUPLINKに指定する必要はない。

ところでTAG VLANで接続されている場合はスタティックIPを使用すればVLAN間は今回ように接続されたVLAN Bであれば接続できる。（当たり前）

**構成図 [#ec1b81a4]

下の添付ファイル


**設定内容 [#ea65ccd9]

 # VLAN ID 10 Defalut Route
 # VLAN ID 3x,4x間の接続は不可
 # VLAN ID 3x,4xと20間の接続は不可
 # VLAN ID 10と VLAN ID 20間の接続は可
 # VLAN ID 10と VLAN ID 3x,4x間の接続は可
 # VLAN ID 10と 99間の接続は可(メンテナス用)


''NetWork''

 VLAN 10  192.168.1.0/24
 VLAN 20  192.168.2.0/24
 VLAN 31  192.168.31.0/24
 VLAN 41  192.168.41.0/24
 VLAN 99  192.168.99.0/24

***設定内容 [#s48bc0db]


''スイッチの設定(9424T/SP-E)　TagPortが21''

 CREATE VLAN=A VID=10
 CREATE VLAN=B VID=20
 
 # Protected Ports VLANの設定
 
 CREATE VLAN=C31 VID=31 PORTPROTECTED
 CREATE VLAN=C41 VID=41
 CREATE VLAN=X VID=99
 
 ADD VLAN=A PORT=24
 ADD VLAN=B PORT=1-2
 
 # Protected Ports VLAN（グループ内通信、UPLINK、別ネットワークへの接続が可)
 
 ADD VLAN=C31 PORT=3-8 GROUP=1
 ADD VLAN=C31 PORT=9-14 GROUP=2
 ADD VLAN=C31 PORT=15-19 GROUP=3
 
 #上記ポートより接続可なポート（プリンタなど）を指定
 ADD VLAN=C31 PORT=20 GROUP=UPLINK 
 
 
 # TAGを流すPort21はVlanTagIDが20,41,99
 
 ADD VLAN=B PORT=21 FRAME=TAGGED
 ADD VLAN=C41 PORT=21 FRAME=TAGGED
 ADD VLAN=X PORT=21 FRAME=TAGGED
 
 
 ADD IP INT=vlan-A IP=192.168.10.51 MASK=255.255.255.0
 ADD IP INT=vlan-B IP=192.168.2.1 MASK=255.255.255.0
 ADD IP INT=vlan-C31 IP=192.168.31.1 MASK=255.255.255.0
 ADD IP INT=vlan-C41 IP=192.168.41.1 MASK=255.255.255.0
 ADD IP INT=vlan-X IP=192.168.99.1 MASK=255.255.255.0
 
 #Telnet conect vlan(SW内部へのアクセスするVLAN)
 
 SET IP LOCAL INT vlan-x
 
 # Hard Filter
 CREATE CLASSIFIER=1 IPSADDR=192.168.2.0/24 IPDADDR=192.168.31.0/24 
 CREATE CLASSIFIER=2 IPSADDR=192.168.2.0/24 IPDADDR=192.168.41.0/24 
 CREATE CLASSIFIER=8 IPSADDR=192.168.31.0/24 IPDADDR=192.168.2.0/24 
 CREATE CLASSIFIER=9 IPSADDR=192.168.31.0/24 IPDADDR=192.168.41.0/24 
 CREATE CLASSIFIER=15 IPSADDR=192.168.41.0/24 IPDADDR=192.168.2.0/24 
 CREATE CLASSIFIER=16 IPSADDR=192.168.41.0/24 IPDADDR=192.168.31.0/24 
 
 
 CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=1-24 
 CREATE ACL=2 ACTION=DENY CLASSIFIERLIST=2 PORTLIST=1-24
 CREATE ACL=8 ACTION=DENY CLASSIFIERLIST=8 PORTLIST=1-24
 CREATE ACL=9 ACTION=DENY CLASSIFIERLIST=9 PORTLIST=1-24 
 CREATE ACL=15 ACTION=DENY CLASSIFIERLIST=15 PORTLIST=1-24 
 CREATE ACL=16 ACTION=DENY CLASSIFIERLIST=16 PORTLIST=1-24
 
 # DHCP
 
 ENABLE DHCP
 
 CREATE DHCP POLICY=base LEASE=7200
 
 ADD DHCP POLICY=base SUBNET=255.255.255.0 DNSSERVER=192.168.10.253
 
 CREATE DHCP POLICY=B LEASE=7200 INHERIT=base 
 CREATE DHCP POLICY=C31 LEASE=7200 INHERIT=base 
 CREATE DHCP POLICY=C41 LEASE=7200 INHERIT=base 

 
 ADD DHCP POLICY=B ROUTER=192.168.2.1
 ADD DHCP POLICY=C31 ROUTER=192.168.31.1
 ADD DHCP POLICY=C41 ROUTER=192.168.41.1

 
 CREATE DHCP RANGE=Bip POLICY=B IP=192.168.2.100 NUMBER=100 
 CREATE DHCP RANGE=C31ip POLICY=C31 IP=192.168.31.100 NUMBER=100 
 CREATE DHCP RANGE=C41ip POLICY=C41 IP=192.168.41.100 NUMBER=100 

 # Default G/Wの設定
 ADD IP ROUTE=0.0.0.0 int=vlan-A nexthop=192.168.10.253
 
&color(red){ADD IP ROUTEのINTの指定等 vlan-(VLAN名)のように"vlan-"をつける必要がある指定があるので注意};


''スイッチの設定(GS916M V2)　TagPortが16''


 #VLAN BもポートプロテクトVLANに指定しないとGS916M V2では9424T/SP-EとTAG接続できなった。
 #ポートプロテクトVLAN(マルチプルVLAN)はスイッチをまたいでは構成できない
 
 CREATE VLAN=B VID=20 PORTPROTECTED
 CREATE VLAN=C41 VID=41 PORTPROTECTED
 CREATE VLAN=X VID=99
 
 # Protected Ports VLAN（グループ内通信、UPLINK接続が可)
 
  ADD VLAN=B PORT=1-2 GROUP=4
 
 ADD VLAN=C41 PORT=3-5 GROUP=1
 ADD VLAN=C41 PORT=6-12 GROUP=2
 ADD VLAN=C41 PORT=13-14 GROUP=3
 
 
 # TAGを流すPort16はVlanTagIDが20,41,99
 ADD VLAN=B PORT=16 FRAME=TAGGED GROUP=UPLINK
 ADD VLAN=C41 PORT=16 FRAME=TAGGED GROUP=UPLINK
 ADD VLAN=X PORT=16 FRAME=TAGGED
 
 #内部制御用のIPの設定
 ADD IP INT=X IP=192.168.99.2 MASK=255.255.255.0 GATEWAY=192.168.99.1
 

**スパニングツリープロトコル/Multiple STP [#c7407a05]

今回の構成図で

以下のように予備線を接続しスパニングツリープロトコルを実践するにはVLANごとに設定の必要があうようだが、Multiple STPにすると複数のVLANをまとめたMSTインスタンスごとにスパニングツリーを作成して管理できるようだ.~
また１つのインスタンスには複数のVLANを入れることができる。

''構成図''

  9424T/SP-E
  --------------------------------------
  |                                    |
  |         Port 21  22(両方TAG VLAN)  |
  --------------------------------------
                  |   |
                  |   |(予備線)
  GS916M V2       |   |
  ------------------------------------|
  |         Port 15  16(両方TAG       |
  |                      +UPLINK VLAN)|
  |                                   |
  -------------------------------------


***設定 [#i1f32cd9]

基本設定
-MSTをアクティブまたは有効にする
-その後MSTインスタンスのインスタンスを作成
-作成インスタンスにVLANを割り振る

''9424T/SP-E''

 ACTIVATE MSTP
 ENABLE MSTP 
MSTインスタンスを作成
defaultで0があるが、GS916M V2では0が設定できないので1を作成
 CREATE MSTP MSTIID=1
MSTインスタンスにVLANを指定
 SET MSTP MSTIVLANASSOC MSTIID=1 VLANLIST=20,41,99

''GS916M V2''
 ENABLE MSTP
 CREATE MSTP MSTI=1
 ADD MSTP MSTI=1 VLAN=20,41,99


**参考 [#ta20c4c2]

-[[マニュアル(9424T/SP-E):http://www.allied-telesis.co.jp/support/list/switch/9424t_sp-e/manual.html]]
-[[マニュアル(GS916M V2):http://www.allied-telesis.co.jp/support/list/switch/gs900mv2/manual.html]]

     

Site admin: JE2ISM

PukiWiki 1.5.3 © 2001-2020 PukiWiki Development Team. Powered by PHP 7.2.7. HTML convert time: 0.010 sec.