今回導入した機器
オフィスはレイアウト変更をしたり、無線機を追加したりと、メンテナンスが必要になる事が忘れた頃に起こります。入手しやすい機器を選定し、なるべく簡単なネットワーク構成を設計しています。
ルーター
タグVLANを利用し各セグメントをルーティングさせるために利用します。
YAMAHA RTX1100
VPNルータが在庫の山となって転がっていましたので転用しました。RTX1100は販売終了しているので、通常は現行機(RTX1210、RTX830)を利用可能します。
関連記事 Amazonで【YAMAHA ルーター】をお得に買う方法
今回は、LANの接続口を1つしか使わない構成(LAN1とLAN1/1)にします。悩む必要がないので、タグVLANを増やしたりスイッチと連携したりする際に複雑になることを防げます。
もちろん標準的な考え方のLAN接続口を2つ利用する構成(LAN1とLAN2)も動作します。
スイッチ
BUFFALO BS-GS2024
ポート数の多いYAMAHAのスイッチは高かったのでBUFFALOを選定しました。タグVLANが使えれば何でも構いません。
今回の構成は、ただのスイッチングハブとして利用しています。
関連記事 Amazonで【BUFFALO スイッチングハブ】をお得に買う方法
アクセスポイント
YAMAHA WLX302
複数のSSIDが使えるもの、同時接続数を保証しているものを選定しました。後継機のWLX402、WLX202でも利用可能です。タグVLANを「ハイブリッド」モードで利用するので、GUIからしか設定できないWLX202でも動作します。
関連記事 Amazonで【ヤマハ 無線LANアクセスポイント】をお得に買う方法
今回の構成は、スイッチを経由せずRTX1100に接続しています。スイッチを挟む場合はタグVLANの設定を行う必要があります。
当初はBUFFALO製のアクセスポイント(WAPM-1166D)を利用していたのですが、原因不明の通信断が発生します。ファームを更新しても改善しません。リリースノートを見ると該当してそうな感じなのですがダメなようです。使い物にならずBUFFALO製品のアクセスポイントは避けようと思います。
ネットワーク構成
ネットワークの概要です。
- 宅内LANは単一セグメント
- IPマスカレード、DHCPサーバ、フィルター、QoS、タグVLANを利用(RTX1100の機能)
- マルチSSID、タグVLANを利用(WLX302の機能)
RTX1100のLAN1にBS-GS2024とWLX302をそれぞれ結線します。LAN1インタフェースは4ポートのスイッチングハブとして機能します。
WLX302は有線LANと同一セグメント(192.168.0.0/24)に接続するSSID(RINKA)と、IPマスカレードのセグメント(10.0.0.0/24)に接続するSSID(GUEST)を作成します。
RTX1100とWLX302では、タグVLAN(ハイブリット)で通信させます。
ルーター(YAMAHA RTX1100)
# デフォルトデートウェイの設定 ip route default gateway ゲートウェイIP # DNSサーバの指定 dns server 内部DNS1 内部DNS2 # LAN1インタフェースの設定 ip lan1 address 192.168.0.1/24 # NAT ディスクリプタの適用 ip lan1 nat descriptor 1 # LAN1/1インタフェースの設定 # ゲスト用のセグメント # IPマスカレードされて外部に送信される ip lan1/1 address 10.0.0.1/24 # タグVLANの設定 vlan lan1/1 802.1q vid=2 name=vlan2_guest # フィルター # プライベートIP(社内LAN)セグメントへはアクセス不可 # グローバルIP(インターネット)のみアクセス可 ip lan1/1 secure filter in 1010 1011 1012 3000 ip filter 1010 reject * 10.0.0.0/8 * * * ip filter 1011 reject * 172.16.0.0/12 * * * ip filter 1012 reject * 192.168.0.0/16 * * * ip filter 3000 pass * * # IPマスカレードの設定 # 外側から受信したパケットは全て破棄する nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade incoming 1 reject # 管理に利用するパケットは内部にNATし疎通させる nat descriptor masquerade static 1 1 10.0.0.1 tcp telnet nat descriptor masquerade static 1 2 10.0.0.1 udp snmp nat descriptor masquerade static 1 3 10.0.0.1 tcp www # VPNに利用するパケットは内部にNATし疎通させる nat descriptor masquerade static 1 4 10.0.0.1 tcp 1723 nat descriptor masquerade static 1 5 10.0.0.1 gre nat descriptor masquerade static 1 6 10.0.0.1 esp nat descriptor masquerade static 1 7 10.0.0.1 udp 500 # QoSの設定 # 送信先、送信元で帯域制限を実施する # 社内用セグメントのパケットは最大値(100M)まで # ゲスト用セグメントのパケットは5Mまでに帯域制限を行う queue lan1 type shaping queue lan1 class filter list 1 2 3 4 queue lan1 class property 1 bandwidth=100m queue lan1 class property 2 bandwidth=5m queue class filter 1 1 ip 192.168.0.0/24 * * * * queue class filter 2 1 ip * 192.168.0.0/24 * * * queue class filter 3 2 ip 10.0.0.0/24 * * * * queue class filter 4 2 ip * 10.0.0.0/24 * * * # DHCPサーバ dhcp service server dhcp scope 1 192.168.0.100-192.168.0.200/24 dhcp scope 2 10.0.0.100-10.0.0.200/24 # ゲスト用のDNSは外部DNSを指定させる dhcp scope option 2 dns=外部DNS1,外部DNS2
アクセスポイント(YAMAHA WLX302)
# デフォルトデートウェイの設定 ip route default gateway ゲートウェイIP # DNSサーバの指定 dns server 内部DNS1 内部DNS2 # タグVLAN(ハイブリッド)の設定 vlan-port-mode lan1:1 hybrid vlan-id 1 1 vlan-id 2 2 vlan-access lan1:1 1 vlan-trunk lan1:1 2 join # LANインタフェースの設定 ip vlan-id 1 address 192.168.0.2/24 # 通信モジュールの設定 # 2G帯 airlink select module1 airlink mode 11b+g+n airlink channel auto bandwidth=40 primary=lower airlink enable module1 # 5G帯 airlink select module2 airlink mode 11a+n airlink channel auto bandwidth=40 primary=lower airlink enable module2 # SSID の設定 airlink select 1 airlink ssid RINKA airlink vlan-id 1 airlink bind module2 airlink auth wpa2mixed-psk aes airlink psk-key "PASSWORD" airlink enable 1 # SSID の設定 airlink select 2 airlink ssid GUEST airlink vlan-id 2 airlink bind module1 airlink auth wpa2mixed-psk aes airlink psk-key "PASSWORD" airlink enable 2