NVR510とかRTX830でタグVLANで区切った際のVLAN間通信を制御する方法です。
ルーターでフィルタリング設定する方法はそんなに難しくありません。特にGUIでの設定は非常に簡単なので割愛し、この記事ではCLIのコマンドを記載します。
手順は、以下のとおり。
- フィルタのルールを定義する
- 定義したルールをVLANに適用する
lan1/1 192.168.101.0/24
lan1/2 192.168.102.0/24
lan1/3 192.168.103.0/24
の3つにタグVLANで分割しているものとします。
lan1/1に対して、他のVLANからの通信を制御する具体的なコマンドは以下のとおり。
ip lan1/1 secure filter in 400000 400001 ip filter 400000 reject 192.168.101.0/24 192.168.102.0/24 ip filter 400001 reject 192.168.101.0/24 192.168.103.0/24
2~3行目でreject(拒否)するリストを定義
上記の例はin方向なので、
192.168.102.0/24
192.168.103.0/24
のセグメントから192.168.101.0/24の通信をrejectするフィルタになります。
同様にlan1/2やlan1/3に対して他のVLANからの通信制御はこの3行を編集すればOK
1行目は定義したフィルタを指定のインターフェースに適用するコマンドです。
設定自体シンプルになっており、WebGUIからも設定できるので、そっちのほうが簡単かも。
WebGUIから設定する場合は、確か40000番台だったか60000番台のフィルタを自動生成するので、この番号あたりに任意で作成したフィルタがあると勝手に上書きされてしまうので、CLIで同番台を設定している場合は、注意が必要です。lan1/2やlan1/3に対しても
ちなみに端末にルーター以外のデフォルトゲートウェイ(ルーター配下にL3スイッチ)があったりすると、ACLなどで制御しないとこのフィルタに通る前に各セグメントにルーティングされちゃいますのでしっかりとゲートウェイをルーターに向けましょう。ポートベースVLANやマルチプルVLANという手もありますが、前者はVLANの数が増えるほどポートを浪費、マルチプルVLANはグルーピングがめんどいと個人的に感じるので、導入のしやすさを含めタグVLANがわかりやすいですかね。
余談ですが、今回のコマンドはIPv4に対してのフィルタになります。IPv6もデュアルスタックしているネットワークの場合は、ipv6 filter~で同じようにIPv6アドレスに対し、フィルタ定義&適用する必要があります。多少コマンドの違いはあれど、基本的には変わりないです。IPv6もVLANごとにセグメント分けしているようであれば、すでに定義すべきアドレス体系もわかっているではと思います。そのうち追記するかもしれません。
コメント