YAMAHAから昨年発売された低価格帯スイッチのSWX-2110を購入しVLANによる宅内LANの分離を行いました。
先日10年使っていたスイッチの電源が不安定となり、せっかくならRTXと合わせてLANマップその他も使えるからと選んだのがSWX2110-8Gです。昨今の半導体不足でYAMAHAのネットワーク機器在庫が枯渇していますが、イートレンドに在庫があり1万2千円弱でした。
在宅勤務で自宅に仕事用PCがあるのですが、これを機にネットワーク分離を考えたのが導入のきっかけです。
今回設定した宅内LANの抜粋イメージ(NASはNICでVLAN対応)
タグVLANとポートVLANと802.1Q
同一LAN(ルーターを跨がない)内で複数の仮想ネットワークセグメントを使えるようにするのがVLANです。ポートVLANはスイッチのポート単位で設定、タグVLANはポートに複数VLAN設定を行うことができます。VLAN自体の規格が802.1Qとなります。
VLANの設定自体はスイッチでポート単位で指定するか、対応しているNICを搭載した機器(PC・サーバ)でVLANを指定するか、どちらかとなります。
VLANタグの作成
RTX830のWebGUIからLANマップ、タグVLANを選択、新規よりVLANグループを作成します。※下記画像は編集画面
VLANでDHCPサーバを使用する際はここで設定するか、ルータ側でまとめて設定します。
RTX側でのDHCP設定確認
RTX830側のDHCP設定を確認する場合、詳細設定のDHCPサーバを確認します。
ポートに対してのVLAN設定
WebGUIからLANマップ、タグVLAN、VLAN一覧の参加ポート選択よりVLANを適用するスイッチポートを設定します。
VLAN間の接続設定
VLAN間での通信を許可したい場合、許可したくない場合はタグVLAN画面のVLAN間フィルタで設定を行います。
DNSの設定
RTXのDNSサーバの接続先を全て許可にしていない場合、VLANに参加したPCからDNS参照ができません。
WebUIの詳細設定、セキュリティ、DNSサーバ、DNSサーバ機能の基本設定よりVLAN(LAN1/1,LAN1/2)からの許可を与えます。
WebGUIへのアクセス設定(任意)
VLANに参加したポートからRTXの管理画面を見たい場合は別途設定が必要です。WebGUIの管理、アクセス管理、各種サーバの設定よりアクセス許可をLAN1/1およびLAN1/2に設定します。
Synology DS720+のVLAN設定
NASのDS720+をRTX830直結で運用しているのですが、このままだとVLAN側からアクセス出来ません。DS720はLANポートが2つあるので、両方をRTXに接続し1つをVLAN用として
設定します。
コントロールパネルのネットワーク、ネットワークインタフェースでLAN2を選択。VLANを有効にして、VLAN IDを入力します。これで上記図のようにVLAN側からもアクセスが可能です。
複数のVLAN IDを設定することは出来ないのでLAN1合わせて2系統までの制限となります。
