2015年06月07日
Tweet
初めての作業なのでメモ。
無線APの用途としては、ゲスト用のSSIDを用意するのと、社員用のSSIDを用意することでした。
そして、社員用のSSIDからは特に制限無く、社内のサーバーやインターネットへのアクセスを可能にし、ゲスト用のSSIDを利用する場合には、Webの閲覧やメールの送受信に限ってのみ通信を許可したい。特に社内サーバーへのアクセスは絶対禁止。
そのような要件でした。
※論理構成としては、上記の通り。既存で利用している業務ネットワークセグメントはそのままに、社内セグメントに接続を許可する無線セグメントと、ゲスト用のセグメントを作成します。
本当は、業務セグメントと、業務用の無線セグメントは同一を利用したかったのですが、タグVLANの関係なのか、うまく連携できなかったため、このような構成としました。
ヤマハにはVLAN機能があることを知っていましたし、無線APでもVLANを使ってSSIDのネットワークを切り分けるのはよく行われていることでした。
ということで、以下の通り設定しました。
# VID=10 は社内ネットワーク
vlan lan1/1 802.1q vid=10
# VID=20 はゲストネットワーク
vlan lan1/2 802.1q vid=20
ip lan1/1 address 192.168.1.1/24
ip lan1/2 address 192.168.2.1/24
dhcp scope 2 192.168.1.10-192.168.1.20/24 gateway 192.168.1.1
dhcp scope 3 192.168.2.10-192.168.2.20/24 gateway 192.168.2.1
※通常のVID=1の設定は別に入っています。
これでゲストと社内用のネットワークを切り分けることができました。あとはフィルターで制御をかければ問題ないと思われます。
続けてバッファローの設定になります。
SSIDを作成します。このときに、VLAN IDを指定する欄があるので、Noを入力します。
LAN設定から、VLAN設定を選択し、ポートを Tagged Port に変更します。このとき、管理用のインターフェースの設定を変更すると、うまく通信できなくなる可能性があるので注意が必要です。僕は、サブのポートをtagged ポートに指定しました。
※2017-08-23 修正<リンク先が変更になりました。>
YAMAHA RTX系タグVLANの癖?
YAMAHA RTX系タグVLANの癖? :sidetech
同じようなことで悩みました。PVIDとかNativeVLANとか言われる部分が、他の機器と挙動が異なるように思いました。
無線APの用途としては、ゲスト用のSSIDを用意するのと、社員用のSSIDを用意することでした。
そして、社員用のSSIDからは特に制限無く、社内のサーバーやインターネットへのアクセスを可能にし、ゲスト用のSSIDを利用する場合には、Webの閲覧やメールの送受信に限ってのみ通信を許可したい。特に社内サーバーへのアクセスは絶対禁止。
そのような要件でした。
※論理構成としては、上記の通り。既存で利用している業務ネットワークセグメントはそのままに、社内セグメントに接続を許可する無線セグメントと、ゲスト用のセグメントを作成します。
本当は、業務セグメントと、業務用の無線セグメントは同一を利用したかったのですが、タグVLANの関係なのか、うまく連携できなかったため、このような構成としました。
ヤマハにはVLAN機能があることを知っていましたし、無線APでもVLANを使ってSSIDのネットワークを切り分けるのはよく行われていることでした。
ということで、以下の通り設定しました。
# VID=10 は社内ネットワーク
vlan lan1/1 802.1q vid=10
# VID=20 はゲストネットワーク
vlan lan1/2 802.1q vid=20
ip lan1/1 address 192.168.1.1/24
ip lan1/2 address 192.168.2.1/24
dhcp scope 2 192.168.1.10-192.168.1.20/24 gateway 192.168.1.1
dhcp scope 3 192.168.2.10-192.168.2.20/24 gateway 192.168.2.1
※通常のVID=1の設定は別に入っています。
これでゲストと社内用のネットワークを切り分けることができました。あとはフィルターで制御をかければ問題ないと思われます。
続けてバッファローの設定になります。
SSIDを作成します。このときに、VLAN IDを指定する欄があるので、Noを入力します。
LAN設定から、VLAN設定を選択し、ポートを Tagged Port に変更します。このとき、管理用のインターフェースの設定を変更すると、うまく通信できなくなる可能性があるので注意が必要です。僕は、サブのポートをtagged ポートに指定しました。
※2017-08-23 修正<リンク先が変更になりました。>
YAMAHA RTX系タグVLANの癖? :sidetech
同じようなことで悩みました。PVIDとかNativeVLANとか言われる部分が、他の機器と挙動が異なるように思いました。
stock_value at 12:27│Comments(0)│技術:2015年