yasuです。
ヤフオクでアライドテレシス AT-x510 28GTXを購入しました。
これで自宅の有線と無線のネットワークセグメントを分割してみようと思います。
https://www.allied-telesis.co.jp/products/list/switch/x510/catalog.html
「ネットワークセグメント分けるだけならルータでもできるやんけ~」と言われてしまえばその通りなのですが、L3スイッチってどんなものなのか触ってみたかったんですよね。
一般のご家庭界隈でL3スイッチ所有している方よく見かけますし・・・。
AT-x510 28GTX導入前のネットワーク構成はこんな感じでした。
上の記事でご紹介したように、無線LANルータ1台で自宅のどこでも平均的に電波が届くように浴槽屋根裏のスイッチをアライドテレシス AT-x230-10GPに交換して、書斎のAT-x210-24GT共々タグVLANの設定を行い、和室に無線LANルータを移動させました。
AT-x510 28GTX導入後はこのような形にしました。
浴槽屋根裏のAT-x230-10GPと今回購入したAT-x510-28GTXでタグVLAN通信をやる事にしました。
AT-x510-28GTXには有線と無線、DMZ、WANのVLANを作成し、有線と無線のVLANにはIPアドレスを払い出しました。
AT-x510-28GTXに下記設定を行います。
<AT-x510-28GTX>
■特権EXECモードに移行
> enable
■グローバルコンフィグモードに移行
# configure terminal
■VLANモードに移行
# vlan database
■有線・無線・DMZ・WAN用VLANを作成
# vlan 100 name lan0
# vlan 110 name dmz
# vlan 120 name wifi
# vlan 999 name wan
■VLANモード終了
# exit
■インターフェーズモードに移行
# interface port1.0.1-1.0.4
■タグ無しポートの設定(デフォルトタグ無しなので、下記コマンドは実施しなくても可)
# switchport mode access
■所属するVLAN IDを指定(有線LAN用VLAN)
# switchport access vlan 100
■インターフェーズモード終了
# exit
■インターフェーズモードに移行
# interface port1.0.9
■タグ無しポートの設定(デフォルトタグ無しなので、下記コマンドは実施しなくても可)
# switchport mode access
■所属するVLAN IDを指定(無線LAN用VLAN)
# switchport access vlan 120
■インターフェーズモード終了
# exit
■インターフェーズモードに移行
# interface port1.0.17-1.0.18
■タグ無しポートの設定(デフォルトタグ無しなので、下記コマンドは実施しなくても可)
# switchport mode access
■所属するVLAN IDを指定(DMZ用VLAN)
# switchport access vlan 110
■インターフェーズモード終了
# exit
■インターフェーズモードに移行
# interface port1.0.23
■タグ無しポートの設定(デフォルトタグ無しなので、下記コマンドは実施しなくても可)
# switchport mode access
■所属するVLAN IDを指定(WAN用VLAN)
# switchport access vlan 999
■インターフェーズモード終了
# exit
■インターフェーズモードに移行
# interface port1.0.24
■タグ付きポートの設定
# switchport mode trunk
■所属するVLAN IDを指定(有線用・無線用・WAN用VLAN)
# switchport trunk allowed vlan add 100,110,999
■タグ付きポートに設定されるVLAN1を削除
# switchport trunk native vlan none
■インターフェーズモード終了
# exit
■インターフェーズモードに移行
# interface vlan100
■有線LAN用VLANにIPアドレスを設定
# ip address 192.168.0.254/24
■インターフェーズモード終了
# exit
■インターフェーズモードに移行
# interface vlan120
■無線LAN用VLANにIPアドレスを設定
# ip address 192.168.100.254/24
■インターフェーズモード終了
# exit
■スパニングツリープロトコルを無効
(無効にしないとAT210-24GTと繋いだ時、通信できなくなるため)
# no spanning-tree rstp enable
■グローバルコンフィグモード終了
# exit
■VLANの設定確認
# show vlan all
VLAN ID Name Type State Member ports
(u)-Untagged, (t)-Tagged
======= ================ ======= ======= ====================================
1 default STATIC ACTIVE port1.0.5(u) port1.0.6(u) port1.0.7(u)
port1.0.8(u) port1.0.10(u)
port1.0.11(u) port1.0.12(u)
port1.0.13(u) port1.0.14(u)
port1.0.15(u) port1.0.16(u)
port1.0.19(u) port1.0.20(u)
port1.0.21(u) port1.0.22(u)
port1.0.25(u) port1.0.26(u)
port1.0.27(u) port1.0.28(u)
100 lan0 STATIC ACTIVE port1.0.1(u) port1.0.2(u) port1.0.3(u)
port1.0.4(u) port1.0.24(t)
110 dmz STATIC ACTIVE port1.0.17(u) port1.0.18(u)
120 wifi STATIC ACTIVE port1.0.9(u) port1.0.24(t)
999 wan STATIC ACTIVE port1.0.23(u) port1.0.24(t)
■IPアドレスの設定確認
# show ip interface
Interface IP-Address Status Protocol
lo unassigned admin up running
vlan1 unassigned admin up down
vlan100 192.168.0.254/24 admin up running
vlan110 unassigned admin up running
vlan120 192.168.100.254/24 admin up running
vlan999 unassigned admin up running
■設定を保存
# write memory
続いて浴槽屋根裏のAT-x230-10GPに無線用VLAN設定とタグVLANの設定をします。
<AT-x230-10GP>
■特権EXECモードに移行
> enable
■グローバルコンフィグモードに移行
# configure terminal
■VLANモードに移行
# vlan database
■無線用VLANを作成
# vlan 120 name wifi
■VLANモード終了
# exit
■インターフェーズモードに移行
# interface port1.0.2
■タグ無しポートの設定(デフォルトタグ無しなので、下記コマンドは実施しなくても可)
# switchport mode access
■所属するVLAN IDを指定(無線LAN用VLAN)
# switchport access vlan 120
■インターフェーズモード終了
# exit
■インターフェーズモードに移行
# interface port1.0.7
■タグ付きポートの設定
# switchport mode trunk
■所属するVLAN IDを指定(有線用・無線用・WAN用VLAN)
# switchport trunk allowed vlan add 100,120,999
■タグ付きポートに設定されるVLAN1を削除
# switchport trunk native vlan none
■インターフェーズモード終了
# exit
■グローバルコンフィグモード終了
# exit
■VLANの設定確認
# show vlan all
VLAN ID Name Type State Member ports
(u)-Untagged, (t)-Tagged
======= ================ ======= ======= ====================================
1 default STATIC ACTIVE port1.0.6(u) port1.0.9(u)
port1.0.10(u)
100 lan0 STATIC ACTIVE port1.0.1(u) port1.0.3(u) port1.0.4(u)
port1.0.5(u) port1.0.7(t)
120 wifi STATIC ACTIVE port1.0.2(t) port1.0.7(t)
999 wan STATIC ACTIVE port1.0.7(t) port1.0.8(u)
■設定を保存
# write memory
次にAT-x210-24GPのVLANを再設定します。
<AT-x210-24GP>
■特権EXECモードに移行
> enable
■グローバルコンフィグモードに移行
# configure terminal
■VLANモードに移行
# vlan database
■無線用VLANを作成
# vlan 120 name wifi
■VLANモード終了
# exit
■インターフェーズモードに移行
# interface port1.0.1-port1.0.6
■タグ無しポートの設定(デフォルトタグ無しなので、下記コマンドは実施しなくても可)
# switchport mode access
■所属するVLAN IDを指定(有線LAN用VLAN)
# switchport access vlan 100
■インターフェーズモード終了
# exit
■インターフェーズモードに移行
# interface port1.0.7-port1.0.12
■タグ無しポートの設定(デフォルトタグ無しなので、下記コマンドは実施しなくても可)
# switchport mode access
■所属するVLAN IDを指定(無線LAN用VLAN)
# switchport access vlan 120
■インターフェーズモード終了
# exit
■インターフェーズモードに移行
# interface port1.0.13-port1.0.18
■タグ無しポートの設定(デフォルトタグ無しなので、下記コマンドは実施しなくても可)
# switchport mode access
■所属するVLAN IDを指定(デフォルトVLAN)
# switchport access vlan 1
■インターフェーズモード終了
# exit
■インターフェーズモードに移行
# interface port1.0.19-port1.0.24
■タグ無しポートの設定(デフォルトタグ無しなので、下記コマンドは実施しなくても可)
# switchport mode access
■所属するVLAN IDを指定(DMZ用VLAN)
# switchport access vlan 110
■インターフェーズモード終了
# exit
■グローバルコンフィグモード終了
# exit
■VLANの設定確認
# show vlan all
VLAN ID Name Type State Member ports
(u)-Untagged, (t)-Tagged
======= ================ ======= ======= ====================================
1 default STATIC ACTIVE port1.0.13(u) port1.0.14(u)
port1.0.15(u) port1.0.16(u)
port1.0.17(u) port1.0.18(u)
100 lan0 STATIC ACTIVE port1.0.1(u) port1.0.2(u) port1.0.3(u)
port1.0.4(u) port1.0.5(u) port1.0.6(u)
110 dmz STATIC ACTIVE port1.0.19(u) port1.0.20(u)
port1.0.21(u) port1.0.22(u)
port1.0.23(u) port1.0.24(u)
120 wifi STATIC ACTIVE port1.0.7(u) port1.0.8(u) port1.0.9(u)
port1.0.10(u) port1.0.11(u)
port1.0.12(u)
■設定を保存
# write memory
最後にRTX1210に無線LAN用の静的経路設定を追加します。
この設定を入れてあげないと、RTX1210(ルーター)は無線LAN用のIPアドレスが処理できないので、無線LAN用宛の通信が来たらAT-x510-28GTXを経由させますという設定になります。
<RTX1210>
■管理者にスイッチ
> administrator
Password: 管理者のパスワードを入力
■静的経路情報の設定
# ip route 192.168.100.0/24 gateway 192.168.0.254
■設定を保存
# saveこれでひとまず有線LANと無線LANのIPアドレスの分割ができました。
まだアクセス制御設定がありませんので、有線LANセグメントと無線LANセグメントは自由に通信し放題です。いずれ必要に応じたアクセス制御を設定していこうと思います。