Windows_Router Memo/TAG+Protected Ports VLAN のバックアップ(No.3)

[ トップ ]   [ 新規 | 一覧 | 検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Windows_Router Memo/TAG+Protected Ports VLAN へ行く。
  • 1 (2010-02-04 (木) 04:41:42)
  • 2 (2010-02-04 (木) 05:04:35)
  • 3 (2010-02-04 (木) 07:52:28)
  • 4 (2010-02-06 (土) 07:15:53)
  • 5 (2010-02-06 (土) 13:03:42)
  • 6 (2010-02-06 (土) 22:44:50)
  • 7 (2010-02-07 (日) 09:53:13)
  • 8 (2010-02-07 (日) 13:00:31)
  • 9 (2010-02-08 (月) 12:32:50)
  • 10 (2010-02-25 (木) 07:18:35)
  • 11 (2010-02-26 (金) 13:35:59)
  • 12 (2010-03-23 (火) 07:42:12)
  • 13 (2010-03-29 (月) 10:55:58)
  • 14 (2010-03-30 (火) 00:50:45)

---

9424T/SP-E + GS916M V2 [TAG+マルチプルVLAN（Protected Ports VLAN)] †

アライド製のスイッチ9424T/SP-E(L3) + GS916M V2(L2)で複数グループにおけるグループ間の接続を制御する設定

仕様 †

9424T/SP-E(L3 SW)

• UNTAGのProtected Ports VLAN(VLAN 31)を作成し、３つのグループに分ける。
• 上記VLANはグループ内は接続するがRouterの属するVLAN(VLAN 10)、及びメンテ用VLAN(VLAn X)以外は接続しない
• 上記VLANのすべてのグループから接続できるUPLINKポートを作成する
• GS916M接続できるVLAN（VLAN B)を作成する

GS916M V2(L2 SW)

• GS916M V2(L2 SW)内には9424T/SP-Eから３つTAGをうけるようにし、そのうちの１つのTAGの下ではProtected Ports VLAN(VLAN 41)で３つに分け、グループ間接続を禁止しする
• メンテナス用TAG VLAN(VLAN X)はポートに接続しないでTELNETとして制御部と接続できるようにする
• 9424T/SP-EのVLAN Bと接続可能なProtected Ports VLAN(VLAN B)を作成
• すべてVLANはRouter属するVLAN(VLAN 10)と接続可能

TAG VLAN と Protected Ports VLANの併用時の注意 †

• L3 SWにおけるVLANはL2の上にルータが乗っているイメージで、このルータに各VLANへのインターフェースがありそれにIPを指定するとルータ内でルートができ接続できるようになる。よってVLAN間を制御するにはIPフィルタが必要になる

  L3のイメージ

                ----------------------------------------------------
                |            L3 SW                                 |
                |    --------------------------------------        |
                |    |       ルータ                       |        |
                |    --------------------------------------        |
                |         |IPアドレス1 |IPアドレス2   |IPアドレス3 |
                |         |            |              |            |
                |    ----------   ------------   ------------      |
                |    | VLAN A |   |  VLAN  B |   | VLAN  C31|      |
                |    ----------   ------------   ------------      |
                ------|--|--|------|---|---|-------|--|---|---------
           物理ポート□ □ □     □  □  □      □ □  □

• Protected Ports VLANはひとつのSWで完結している
• ポートにTAG VLAN と Protected Ports VLANが指定された場合はProtected Ports VLANのルールが優先される

  (GS916M V2の9424T/SP-Eに接続するポートはTAGの指定をするが、同時にProtected Ports VLANのUPLINKにも指定される。この場合TAGだけの接続でよいVLAN BはProtected Ports VLANは必要ないが、このポートはProtected Ports VLANに属しているためTAGが通らないそのため、VLAN BもProtected Ports VLANを作成しこのポートをUPLINKに指定する必要がある)

• TAGポートに指定したポートに接続されるデバイスはTAGを理解できるデバイスである必要がある。

  (UPLINKはどのProtected Ports VLANのグループからでもアクセスできるポートが、UPLINKもひとつのグループなので複数グループ作成できない。よってVLAN C41だけのUPLINKは作成できないのでたとえばポート15もUPLINKに指定するにはTAGも指定する必要がある。そのためポート15の接続デバイスはTAGを理解する必要がある)

• ポートに接続しないVLANはProtected Ports VLAN指定できないので仕様と思われるがUPKINKに指定されたポートからTAGVLANとして9424T/SP-Eと接続できる
• 9424T/SP-EにおいてはProtected Ports VLAN（VLAN C31)はL3で別VLANと接続するためポート24をはUPLINKに指定する必要はない。

ところでTAG VLANで接続されている場合はスタティックIPを使用すればVLAN間は今回ように接続されたVLAN Bであれば接続できる。（当たり前）

構成図 †

下の添付ファイル

設定内容 †

# VLAN ID 10 Defalut Route
# VLAN ID 3x,4x間の接続は不可
# VLAN ID 3x,4xと20間の接続は不可
# VLAN ID 10と VLAN ID 20間の接続は可
# VLAN ID 10と VLAN ID 3x,4x間の接続は可
# VLAN ID 10と 99間の接続は可(メンテナス用)

NetWork

VLAN 10  192.168.1.0/24
VLAN 20  192.168.2.0/24
VLAN 31  192.168.31.0/24
VLAN 41  192.168.41.0/24
VLAN 99  192.168.99.0/24

設定内容 †

スイッチの設定(9424T/SP-E)　TagPortが21

CREATE VLAN=A VID=10
CREATE VLAN=B VID=20

# Protected Ports VLANの設定

CREATE VLAN=C31 VID=31 PORTPROTECTED
CREATE VLAN=C41 VID=41
CREATE VLAN=X VID=99

ADD VLAN=A PORT=24
ADD VLAN=B PORT=1-2

# Protected Ports VLAN（グループ内通信、UPLINK、別ネットワークへの接続が可)

ADD VLAN=C31 PORT=3-8 GROUP=1
ADD VLAN=C31 PORT=9-14 GROUP=2
ADD VLAN=C31 PORT=15-19 GROUP=3

#上記ポートより接続可なポート（プリンタなど）を指定
ADD VLAN=C31 PORT=20 GROUP=UPLINK 


# TAGを流すPort21はVlanTagIDが20,41,99

ADD VLAN=B PORT=21 FRAME=TAGGED
ADD VLAN=B PORT=22 FRAME=TAGGED
ADD VLAN=C41 PORT=21 FRAME=TAGGED
ADD VLAN=X PORT=21 FRAME=TAGGED


ADD IP INT=vlan-A IP=192.168.10.51 MASK=255.255.255.0
ADD IP INT=vlan-B IP=192.168.2.1 MASK=255.255.255.0
ADD IP INT=vlan-C31 IP=192.168.31.1 MASK=255.255.255.0
ADD IP INT=vlan-C41 IP=192.168.41.1 MASK=255.255.255.0
ADD IP INT=vlan-X IP=192.168.99.1 MASK=255.255.255.0

#Telnet conect vlan(SW内部へのアクセスするVLAN)

SET IP LOCAL INT vlan-x

# Hard Filter
CREATE CLASSIFIER=1 IPSADDR=192.168.2.0/24 IPDADDR=192.168.31.0/24 
CREATE CLASSIFIER=2 IPSADDR=192.168.2.0/24 IPDADDR=192.168.41.0/24 
CREATE CLASSIFIER=8 IPSADDR=192.168.31.0/24 IPDADDR=192.168.2.0/24 
CREATE CLASSIFIER=9 IPSADDR=192.168.31.0/24 IPDADDR=192.168.41.0/24 
CREATE CLASSIFIER=15 IPSADDR=192.168.41.0/24 IPDADDR=192.168.2.0/24 
CREATE CLASSIFIER=16 IPSADDR=192.168.41.0/24 IPDADDR=192.168.31.0/24 


CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=1-24 
CREATE ACL=2 ACTION=DENY CLASSIFIERLIST=2 PORTLIST=1-24
CREATE ACL=8 ACTION=DENY CLASSIFIERLIST=8 PORTLIST=1-24
CREATE ACL=9 ACTION=DENY CLASSIFIERLIST=9 PORTLIST=1-24 
CREATE ACL=15 ACTION=DENY CLASSIFIERLIST=15 PORTLIST=1-24 
CREATE ACL=16 ACTION=DENY CLASSIFIERLIST=16 PORTLIST=1-24

# DHCP

ENABLE DHCP

CREATE DHCP POLICY=base LEASE=7200

ADD DHCP POLICY=base SUBNET=255.255.255.0 DNSSERVER=192.168.10.253

CREATE DHCP POLICY=B LEASE=7200 INHERIT=base 
CREATE DHCP POLICY=C31 LEASE=7200 INHERIT=base 
CREATE DHCP POLICY=C41 LEASE=7200 INHERIT=base 

ADD DHCP POLICY=B ROUTER=192.168.2.1
ADD DHCP POLICY=C31 ROUTER=192.168.31.1
ADD DHCP POLICY=C41 ROUTER=192.168.41.1

CREATE DHCP RANGE=Bip POLICY=B IP=192.168.2.100 NUMBER=100 
CREATE DHCP RANGE=C31ip POLICY=C31 IP=192.168.31.100 NUMBER=100 
CREATE DHCP RANGE=C41ip POLICY=C41 IP=192.168.41.100 NUMBER=100 

# Default G/Wの設定
ADD IP ROUTE=0.0.0.0 int=vlan-A nexthop=192.168.10.253

ADD IP ROUTEのINTの指定等 vlan-(VLAN名)のように"vlan-"をつける必要がある指定があるので注意

スイッチの設定(GS916M V2)　TagPortが16

#VLAN BもポートプロテクトVLANに指定しないとGS916M V2では9424T/SP-EとTAG接続できなった。
#ポートプロテクトVLAN(マルチプルVLAN)はスイッチをまたいでは構成できない

CREATE VLAN=B VID=20 PORTPROTECTED
CREATE VLAN=C41 VID=41 PORTPROTECTED
CREATE VLAN=X VID=99

# Protected Ports VLAN（グループ内通信、UPLINK接続が可)

 ADD VLAN=B PORT=1-2 GROUP=4

ADD VLAN=C41 PORT=3-5 GROUP=1
ADD VLAN=C41 PORT=6-12 GROUP=2
ADD VLAN=C41 PORT=13-14 GROUP=3


# TAGを流すPort16はVlanTagIDが20,41,99
ADD VLAN=B PORT=16 FRAME=TAGGED GROUP=UPLINK
ADD VLAN=C41 PORT=16 FRAME=TAGGED GROUP=UPLINK
ADD VLAN=X PORT=16 FRAME=TAGGED

#内部制御用のIPの設定
ADD IP INT=X IP=192.168.99.2 MASK=255.255.255.0 GATEWAY=192.168.99.1

参考 †

• マニュアル(9424T/SP-E)
• マニュアル(GS916M V2)

     

Site admin: JE2ISM

PukiWiki 1.5.3 © 2001-2020 PukiWiki Development Team. Powered by PHP 7.2.7. HTML convert time: 0.010 sec.