はじめに
NEC UNIVERGE IX で VLAN を構成する際は、IX がルーターであり、CLI が Cisco IOS に近い体系である点を押さえておくと進めやすくなります。IX は 802.1Q のタグ VLAN と、内蔵スイッチングハブを使うポートベース VLAN の両方に対応し、機種によっては両者を併用することもできます。一方で、機種ごとの対応差や独自の記法、サブインターフェースの初期状態など、IX 固有の前提を知らないとハマりやすい箇所もあります。本記事は NEC IX を前提に、2 方式の VLAN 設定(併用を含む)、ルーターとしての VLAN 間ルーティングとフィルター、確認までを整理します。
VLAN の設計そのものの考え方(アクセスとトランクの使い分けや VLAN 間ルーティングの方式選定、セキュリティ)は、別記事『VLAN 設計の基礎|トランクと VLAN 間ルーティングの設計指針』で扱っています。本記事は、その考え方を IX で設定に落とし込む手順に焦点をあてています。
- IX のタグ VLAN(802.1Q サブインターフェース)の設定
- 内蔵スイッチングハブを使うポートベース VLAN の設定
- ポートベース VLAN とタグ VLAN の併用
- IX をルーターとした VLAN 間ルーティングとフィルター
- 設定確認とトラブルシュート、機種ごとの注意点
IX の VLAN には、802.1Q のタグ VLAN(サブインターフェース)と、内蔵スイッチングハブを分割するポートベース VLAN の 2 つの方式があり、機種によっては両者を併用できます。 IX はルーターであるため、VLAN 間の通信はルーティングで処理し、IP フィルターで制御します。CLI が Cisco IOS に近いため、Cisco の運用経験があれば移行しやすい点も特徴です。
前提: IX の VLAN モデルと CLI
IX は、オペレーションモードやグローバルコンフィグモードなどを持つルーターで、操作感は Cisco IOS に近いものです。Cisco の運用経験があれば違和感なく扱えますが、コマンド自体は NEC 独自であるため、設定の際は対象機種の公式コマンドリファレンスで裏取りすることがおすすめです。CLI の対比という観点では、Cisco 側の手順をまとめた関連記事『Cisco Catalyst の VLAN 設定|トランクと SVI の構築手順』とあわせて読むと、両者の違いが把握しやすくなります。
IX の VLAN には次の 2 つの方式があります。
1 つ目はタグ VLAN(IEEE 802.1Q)です。ルーターのインターフェースにサブインターフェース(GigaEthernetN.M の形式)を作成して VLAN を構成します。IX では、タグあり・タグなしを明示的に指定する仕組みになっていない点に注意が必要です。
2 つ目はポートベース VLAN です。スイッチングハブ(SW-HUB)を内蔵する機種(IX2106、IX2215、IX2235 など)で、内蔵スイッチングハブの各ポートをグループ化し、グループごとに異なるネットワークへ接続できます。
IX の特徴は、機種によってこの 2 方式を併用できる点です。 たとえば IX2235 では、ポートベース VLAN 1 つあたり 8 個のタグ VLAN を利用でき、8 ポートをすべて異なるポートベース VLAN に分ければ、最大で 64 個(8 ポート × 8 タグ VLAN)の VLAN を構成できます。同じルーター系でも、タグ VLAN と LAN 分割が排他となる YAMAHA RTX とは異なる挙動です。
設定にあたっての注意点として、サブインターフェースは初期状態で administratively down のため、no shutdownの投入が必要です。また、802.1Q サブインターフェースの作成・変更を有効にするには、機種によって設定保存後の装置のリスタートが必要になる場合があります。
SW-HUB の有無、サブインターフェース数の上限、ポートベース VLAN の対応は機種によって異なるため、設定前に対象機種の公式 FAQ とマニュアルを確認してください。
参考: VLAN(FAQ – UNIVERGE IX シリーズ、NEC)
「工場出荷時はポートベースVLANの設定が行われていないので、通常のスイッチングハブとして動作します。」
https://jpn.nec.com/univerge/ix/faq/vlan.html
タグ VLAN(IEEE 802.1Q サブインターフェース)の設定
タグ VLAN は、物理インターフェースにサブインターフェースを作成し、encapsulation dot1qで VLAN ID(VID)を紐付けて IP アドレスを付与する方式です。Cisco の router-on-a-stick に相当する考え方です。次は、GigaEthernet0 をトランクとして VID 2・3 の 2 つの VLAN を構成する例です。
Router(config)# interface GigaEthernet0.2
Router(config-GigaEthernet0.2)# encapsulation dot1q 2
Router(config-GigaEthernet0.2)# ip address 192.168.2.1/24
Router(config-GigaEthernet0.2)# no shutdown
Router(config-GigaEthernet0.2)# exit
Router(config)# interface GigaEthernet0.3
Router(config-GigaEthernet0.3)# encapsulation dot1q 3
Router(config-GigaEthernet0.3)# ip address 192.168.3.1/24
Router(config-GigaEthernet0.3)# no shutdown各コマンドの役割は次のとおりです。interface GigaEthernet0.Nは物理インターフェース GigaEthernet0 のサブインターフェースで、Nはサブインターフェース番号です(物理インターフェースそのものは.0)。encapsulation dot1q <VID>でそのサブインターフェースを VID に紐付けます(tpidは省略時に 0x8100 が設定されます)。ip addressで VLAN のゲートウェイ IP を設定し、サブインターフェースは初期状態で administratively down のためno shutdownを投入します。
注意点として、encapsulation dot1qの設定を反映させるには、装置のリスタート(reload)が必要です。 設定を保存してからリスタートしてください(出典: VLAN、FAQ – UNIVERGE IX シリーズ、NEC https://jpn.nec.com/univerge/ix/faq/vlan.html )
ポートベース VLAN(内蔵スイッチングハブの分割)の設定
ポートベース VLAN は、スイッチングハブ(SW-HUB)を内蔵する機種で、HUB の各ポートをグループ化し、グループごとに異なるネットワークへ接続する方式です。deviceモードで HUB ポートをvlan-groupに割り当て、対応する L3 インターフェースに IP アドレスを付与します。次は、内蔵 SW-HUB(GigaEthernet2)の 8 ポートを 2 つのグループに分割する例です。
Router(config)# device GigaEthernet2
Router(config-GigaEthernet2)# vlan-group 2 port 1 2 3 4
Router(config-GigaEthernet2)# vlan-group 3 port 5 6 7 8
Router(config-GigaEthernet2)# exit
Router(config)# interface GigaEthernet2:2.0
Router(config-GigaEthernet2:2.0)# ip address 192.168.2.1/24
Router(config-GigaEthernet2:2.0)# no shutdown
Router(config-GigaEthernet2:2.0)# exit
Router(config)# interface GigaEthernet2:3.0
Router(config-GigaEthernet2:3.0)# ip address 192.168.3.1/24
Router(config-GigaEthernet2:3.0)# no shutdowndevice GigaEthernet2で内蔵 SW-HUB の device モードに入り、vlan-group <番号> port <ポート…>で HUB ポートをグループに割り当てます。グループに対応する L3 インターフェースはGigaEthernetN:X.0(device N の vlan-group X、.0は物理相当)で、ip addressでゲートウェイ IP を設定し、no shutdownを投入します。グループとポートの対応はshow vlansで確認できます(出典: VLAN、FAQ – UNIVERGE IX シリーズ、NEC https://jpn.nec.com/univerge/ix/faq/vlan.html )
ポートベース VLAN とタグ VLAN の併用
IX の特徴として、ポートベース VLAN の上にタグ VLAN を載せて併用できます。インターフェース名は[デバイス]:[vlan-group].[サブインターフェース番号]の形式で表され、たとえばGigaEthernet2:3.4は、device2 の vlan-group3 上にあるサブインターフェース 4 を指します。
Router(config)# interface GigaEthernet2:3.4
Router(config-GigaEthernet2:3.4)# encapsulation dot1q 100
Router(config-GigaEthernet2:3.4)# ip address 192.168.100.1/24
Router(config-GigaEthernet2:3.4)# no shutdownこのように、ポートベース VLAN(vlan-group)の上にタグ VLAN(encapsulation dot1q)を重ねられます。物理相当のインターフェースはサブインターフェース番号.0、タグ VLAN は.1以降で表します。IX2235 ではポートベース VLAN 1 つあたり 8 個のタグ VLAN を構成でき、タグ VLAN と LAN 分割が排他となる YAMAHA RTX とは対照的です。
VLAN 間ルーティングとフィルター
IX はルーターであり、各 VLAN インターフェース(サブインターフェースや vlan-group のインターフェース)に IP アドレスが設定されているため、VLAN 間は既定でルーティングされ、追加設定なしで疎通します。 スイッチの SVI が ip routing の有効化を必要とし、FortiGate がポリシーを必要とするのに対し、IX は同じルーター系の YAMAHA RTX と同様、標準で VLAN 間が通ります。そのため、セグメントを分離したい場合は、不要な通信をアクセスリスト(ACL)によるフィルターで遮断する設計が重要になります。VLAN 間の通信制御の考え方は、ハブ記事『VLAN 設計の基礎』の該当項を参照してください。
フィルターは、ip access-list <名前> <permit|deny> ip src <送信元> dest <宛先>で条件を定義し、ip filter <ACL 名> <番号> <in|out>でインターフェースに適用します。IX の ACL 自体にはシーケンス番号がなく、記述順に評価され、インターフェースへの適用時に番号を指定します。次は、vlan2 と vlan3 の相互通信を遮断し、それ以外(インターネット向けなど)は許可する例です。
Router(config)# ip access-list deny-vlan3 deny ip src any dest 192.168.3.0/24
Router(config)# ip access-list deny-vlan3 permit ip src any dest any
Router(config)# ip access-list deny-vlan2 deny ip src any dest 192.168.2.0/24
Router(config)# ip access-list deny-vlan2 permit ip src any dest any
Router(config)# interface GigaEthernet0.2
Router(config-GigaEthernet0.2)# ip filter deny-vlan3 100 in
Router(config-GigaEthernet0.2)# exit
Router(config)# interface GigaEthernet0.3
Router(config-GigaEthernet0.3)# ip filter deny-vlan2 100 inGigaEthernet0.2(vlan2)のinフィルターで vlan3 宛をdenyし、残りをpermitします。GigaEthernet0.3(vlan3)のinフィルターで vlan2 宛をdenyします。これにより vlan2 と vlan3 の相互通信は遮断され、各 VLAN からその他の宛先への通信は許可されます(出典: パケットフィルタの設定、IX-R/IX-V 機能説明書、NEC プラットフォームズ https://support.necplatforms.co.jp/ix-nrv/manual/fd/02_router/20_filter.html )
設定確認とトラブルシューティングのコマンド
設定後の確認と障害時の切り分けには、VLAN インターフェースの状態、ルーティング、ACL を表示するコマンドを使います。
show vlans: vlan-group とポートの対応(ポートベース VLAN)を確認します。show interface GigaEthernet0.2: 各インターフェースの状態と IP アドレスを確認します。show ip route: ルーティングテーブルを表示し、各 VLAN セグメントが見えているかを確認します。show ip access-list <名前>: ACL のエントリとヒット数を確認し、フィルターが効いているかを確認します。show running-config: 投入した設定を確認します。
障害時は、症状から切り分けると効率的です。
タグ VLAN が機能しない場合は、encapsulation dot1qの設定後にリスタート(reload)したかを確認します。リスタートしないと反映されません。
インターフェースが上がらない場合は、サブインターフェースが初期状態で administratively down であるため、no shutdownが投入されているかを確認します。
特定の VLAN だけ通らない場合は、対向スイッチの許可 VLAN と、IX のサブインターフェースの VID(encapsulation dot1qの値)が一致しているかを確認します。
VLAN 間で意図せず通信できる、またはできない場合は、show ip access-listでヒット数とpermit/denyの記述順を確認します。
ポートベース VLAN とタグ VLAN を併用してブリッジする構成では、IP アドレスを BVI(ブリッジ仮想インターフェース)に移すため、サブインターフェース側の L3 設定が機能しなくなる点に注意が必要です(高度な構成)。
機種ごとの注意点
IX は、内蔵スイッチングハブの有無やサブインターフェースの上限、対応する VLAN 機能が機種によって異なります。設定前に確認しておきたい点を整理します。
| 項目 | 注意点 |
|---|---|
| 内蔵スイッチングハブ(SW-HUB) | IX2106・IX2215・IX2235 など一部機種が内蔵。上位機種にはルーターインターフェース中心で SW-HUB 非搭載のものもある |
| タグ VLAN の反映 | encapsulation dot1q の設定後は装置のリスタート(reload)が必要 |
| サブインターフェース数の上限 | 機種で異なる。IX3315 は system subinterfaces で拡張可(要再起動) |
| タグ VLAN とポートベース VLAN の併用 | 機種により可能。IX2235 はポートベース VLAN 1 つあたり 8 タグ VLAN |
| サブインターフェースの初期状態 | administratively down のため no shutdown が必要 |
| CLI | Cisco IOS に近いが NEC 独自。公式リファレンスで裏取りが必要 |
内蔵スイッチングハブを持つ機種では、device モードで HUB ポートを個別にシャットダウンでき、誤接続の防止や省エネに活用できます(例: device GigaEthernet2 配下で port 7 shutdown port 8 shutdown)また、前述のとおり、ポートベース VLAN とタグ VLAN を併用してブリッジする構成では、IP アドレスを BVI(ブリッジ仮想インターフェース)側に持たせる必要があるため、設計時に整理しておくことがおすすめです。
参考: IX2235(FAQ – UNIVERGE IX シリーズ、NEC)
「ポートベースVLAN当たり8個のタグVLANを利用することが可能です。」
https://jpn.nec.com/univerge/ix/faq/ix2235.html
<ここに機種別の VLAN 関連の対応・上限の早見表(イメージ)の添付を推奨>
まとめ
NEC IX の VLAN 設定は、802.1Q のタグ VLAN(サブインターフェース)と、内蔵スイッチングハブのポートベース VLAN の 2 方式があり、機種によっては両者を併用できます。IX はルーターとして VLAN 間をルーティングし、ACL フィルターで通信を制御します。CLI は Cisco IOS に近いものの、encapsulation dot1q の反映にリスタートが必要など IX 固有の前提を押さえることが要点になります。
- IX の VLAN はタグ VLAN とポートベース VLAN の 2 方式
- タグ VLAN は encapsulation dot1q で VID を紐付ける。
- encapsulation dot1q の反映には装置のリスタートが必要
- ポートベース VLAN は device と vlan-group でポートを分割する。
- 機種によりタグ VLAN とポートベース VLAN を併用できる。
- IX は標準で VLAN 間をルーティングし ACL で制御する。
- CLI は Cisco IOS に近いが設定前に公式リファレンスを確認する。
以上、最後までお読みいただきありがとうございました。
