TPLink製のスイッチングHUBでVLANの設定をした話
2024年07月30日
TPLink製のスイッチングHUBでVLANの設定をした話
会社で使っている一部のネットワークのセキュリティ強化を行うため、グループごとにVLANで分割することになった。
今回は、スイッチングHUBを購入してVLANの設定をした話。グループを跨いだ通信は遮断するけど、各グループでインターネットはできるようにすることがミッション。
会社で使っている一部のネットワークのセキュリティ強化を行うため、グループごとにVLANで分割することになった。
今回は、スイッチングHUBを購入してVLANの設定をした話。グループを跨いだ通信は遮断するけど、各グループでインターネットはできるようにすることがミッション。
VLANについて
VLANは、virtual LANの略でポート間でやり取りする電文の中にグループ番号を付与したタグを付加することで、グループの異なるポート同士を通信させない仕組み。複数のHUBでもグループを設定してポート間の通信可否を制御できる。
機器購入
ネットで価格を比較して機器を購入。VLANに対応したスイッチングハブで最安のTPLink製 スイッチングハブTL-SG108E 。2024年7月現在、 4,400円。(在庫によって金額変わったりするのね。。。)
動作確認
HUBなのにどうやって設定するの?という疑問が最初に湧く。ネットで調べた限り、専用ソフトを使って設定と書いてあり、初回はその通りに実施。
3台目以降は、192.168.0.1宛にadmin/adminでログインできることに気づいた。管理ソフト要らんやん。
今回のメインはVLANなのでその他の説明は割愛。設定は、参考リンクのページを見ながらやった。とはいえほぼ変更していない。
VLANの設定
大規模な構成を個人で組むことがないからか情報が少ない。VLANの生の設定なんて開示したくないし。。。参考ページを見ながら設定を考えることにした。
各ポートの動作設定
設定画面では、VLAN IDごとに各ポートの動作をuntagged、tagged、notmemberから選択する。最初はこれが全然理解できなかった。デフォルトでは、全ポートにVLAN1がuntaggedで設定され、PVIDも全て1の状態からスタート。
VLANの動作
VLANの動作として、各ポートから受けた電文にタグを付与して、タグに書かれたグループ情報を見て転送先ポートを決める。ハブ同士を接続するトランクポートには、他のスイッチが付与したタグがあるので、転送先ポートを正しく設定できる。
ポートの設定と動作
untaggedは、タグなし電文を出力するポートで、パソコン等を接続するアクセスポートに設定する。taggedは、タグ付き電文を出力するトランクポートで、トランクリンクでVLANに対応したHUBに接続するポートに設定する。
notmemberは、当該VLAN IDに属さないポートを設定する。
なお、全てのポートがnotmemberのVLAN IDは設定できない。
5つのVLAN IDを作ってみた
試しに1-5にそれぞれ10-50のVLAN IDのアクセスポートを設定して、6-8をトランクポートに設定したHUB 2台の8番ポート同士を接続して動作確認をしてみた。1-5番ポートの動作は狙い通り。ポート番号の違うネットワークはHUBを跨いでも通信できない。
トランクポートから通信できちゃう
上手く行ったかのように見えて、HUB1の1番ポートとHUB2の6番ポートが通信できてしまった。どうやらこれは、PVIDの設定でトランクポートを全てデフォルトのVLAN ID1に振ったことが原因。
PVIDは、当該ポートからタグなし電文を受けたらどのVLAN IDを付与するかという設定。
デフォルトVLANIDの1番は全ポートが所属しているからこのような動きになってるっぽし。
ダミーのVLAN ID5を設定して、トランクポートのPVIDを1から5に変更したら改善した。
ついでに未使用ポートにもPVID5を割り振って、HUBへアクセスだけはできるようにした。
インターネット回線ポートの設定
最後にインターネットに接続する回線の設定をして終わりと思ったら、全く通信できない。。。原因判明
原因はインターネット回線用のVLAN IDを用意していなかったため。通常はデフォルトのVLAN ID1を使うようだけど、トランクポートからインターネットに出られないようにVLAN ID1を使わずにVLAN ID5をPVIDとしてインターネット回線ポートに設定していたため。インターネット回線ポートのPVIDを1に設定して、VLAN ID1をインターネットに接続するポートに限定して設定完了。
双方向のパケットにタグが付く
どうやらポート間の通信は、双方向でVLANの設定がされていないといけない。同じVLAN IDを使ったポート同士ならわかりやすいけど、部署A、部署B、部署Cがそれぞれインターネットに繋ぐ場合は、以下の6つの設定が必要になる。
①Aからネット、 ②ネットからA
③Bからネット、 ④ネットからB
⑤Cからネット、 ⑥ネットからC
設定例
上記の例に設定を表にまとめてみた。
部署ABCがポートを2つずつ使って、ポート7のインターネットに接続。ポート8をトランクリンクにする場合は以下の表のとおり。
部署ABCがポートを2つずつ使って、ポート7のインターネットに接続。ポート8をトランクリンクにする場合は以下の表のとおり。
port | PVID | VLAN1 | VLAN10 | VLAN20 | VLAN30 |
1 | 10 | a | a | ||
2 | 10 | a | a | ||
3 | 20 | a | a | ||
4 | 20 | a | a | ||
5 | 30 | a | a | ||
6 | 30 | a | a | ||
7 | 1 | a | a | a | a |
8 | 5 | t | t | t | t |
aはアクセスポート、tはトランポートを表す。
各ポートのPVIDで設定したタグが付与され、そのタグを見て出力先のポートを決める。aはタグなしで、tはタグあり電文。
トランクポートからインターネットに出れないようダミーのVLAN5をPVIDとして設定している。
まとめ
今回は、セキュリティ強化のためにVLANを設定した話。ポイントは以下の3点。トランクポートがtaggedで、アクセスポートがUntaggedということ。
ポートから入った電文はPVIDの設定に従ってタグが付与され、VLAN設定に従って各ポートから出力される。
ポート間の通信は、双方向てVLANの設定をしないと通信できないということ。
機器を購入するときは、こんな安い機器で上手くいくかドキドキだったけど、無事に設定することができました。
参考にしたサイト
VLANを勉強したサイト
わかりやすい図を使って、アクセスポートとトランクポートなど、各ポートの意味を勉強したサイトhttps://www.infraexpert.com/study/vlanz2.html
設定関係で参考にしたサイト
TL-SG108Eの設定で参考にしたサイト。各設定について画面付きで説明していてわかりやすい。https://ardent.jp/rentoffice-consultation-center/news/it-kiki/tp-link-tl-sg108pe/
VLANの設定についてはこちらの方が詳しい。
https://ameblo.jp/naginosen/entry-12843367082.html
インターネット回線ポートの設定で参考になったサイト
https://free-ne.com/m-o-tplink.html
tp-linkのタグVLAN設定について
PR
Comment