はじめに
YAMAHA RTX で VLAN を構成する際は、RTX がスイッチでもファイアウォールでもなくルーターである点を最初に押さえておくと、設定方針が立てやすくなります。RTX には VLAN を扱う仕組みが 2 つあり、さらに対応や記法が機種ごとに異なるため、最初にモデルを理解しておくとハマりどころを避けられます。本記事は YAMAHA RTX を前提に、2 方式の VLAN 設定、ルーターとしての VLAN 間ルーティングとフィルター、確認までを整理します。
VLAN の設計そのものの考え方(アクセスとトランクの使い分けや VLAN 間ルーティングの方式選定、セキュリティ)は、別記事『VLAN 設計の基礎|トランクと VLAN 間ルーティングの設計指針』で扱っています。本記事は、その考え方を RTX で設定に落とし込む手順に焦点をあてています。
- RTX のタグ VLAN(802.1Q)の設定
- ポートベース VLAN(LAN 分割機能)の設定
- RTX をルーターとした VLAN 間ルーティングとフィルター
- 設定確認とトラブルシュートに使うコマンド
- 機種ごとのタグ VLAN 対応・記法の違い
RTX の VLAN には、802.1Q タグを使う「タグ VLAN」と、スイッチングハブを分割する「ポートベース VLAN(LAN 分割機能)」の 2 つの方式があります。タグ VLAN は既定で利用でき、ポートベース VLAN は専用モードへの切り替えが必要です。 RTX はルーターであるため、VLAN 間の通信はルーティングで処理し、IP フィルターで制御します。
前提: RTX の VLAN モデルと対応機種
RTX は複数の LAN インターフェース(lan1、lan2 など)を持つルーターです。機種によっては、lan1 などの LAN インターフェースが複数の物理ポートを束ねたスイッチングハブとして動作します。この構成を踏まえ、RTX の VLAN には次の 2 つの方式があります。
1 つ目はタグ VLAN(802.1Q)です。対向スイッチとのトランクで届いた VLAN タグ付きフレームを RTX が受け取り、タグを外してルーティングし、宛先 VLAN のタグを付け直して送出します。これはハブ記事で扱った router-on-a-stick の考え方に相当し、RTX では既定でタグ VLAN を利用できます。RTX のタグ VLAN によるルーティングの考え方は、ハブ記事『VLAN 設計の基礎』の VLAN 間ルーティングの項とあわせて読むと理解しやすくなります。
2 つ目はポートベース VLAN(LAN 分割機能)です。スイッチングハブを持つ LAN インターフェースを、仮想的に複数の LAN インターフェースに分割する機能で、各インターフェースに個別の IP アドレスを付与でき、その間のルーティングも可能です。利用にはport-based-optionによる専用モードへの切り替えが必要です。LAN 分割機能には基本機能と拡張機能があり、分割の仕方が異なります。
- 基本機能: スイッチングハブのすべてのポートが個別の LAN インターフェース(
lan1.N)として動作します。 - 拡張機能: 各ポートを自由に組み合わせて 1 つの VLAN インターフェース(
vlanN)にできます。vlan port mappingコマンドで設定します。
注意したいのが機種ごとの違いです。スイッチングハブのポート数、タグ VLAN の対応、インターフェースの記法(lan1.N / vlanN / タグ VLAN の記法)は、機種やファームウェアのリビジョンによって異なります。
設定前に、対象機種の公式コマンドリファレンスとファームウェアのリビジョンを確認することがおすすめです(具体的な機種差は後述の注意点で整理します)
参考: LAN 分割機能(RTpro – ヤマハ)
「LAN分割機能とは、ポートベースVLANを実現する機能です。」
https://www.rtpro.yamaha.co.jp/RT/docs/lan-divide/index.html
ポートベース VLAN(スイッチングハブの分割)
ポートベース VLAN は、LAN 分割機能を使い、スイッチングハブを持つ LAN インターフェースを仮想的に複数のセグメントに分割する方式です。各セグメントに個別の IP アドレスを付与でき、その間のルーティングも RTX が行います。
LAN 分割の拡張機能を使う場合は、対象の LAN インターフェースを分割モードに切り替えたうえで、各物理ポートを VLAN インターフェースに割り当てます。次は、lan1 のポート 1・2 を vlan10、ポート 3・4 を vlan20 に分割する例です。
lan type lan1 port-based-option=divide-network
vlan port mapping lan1.1 vlan10
vlan port mapping lan1.2 vlan10
vlan port mapping lan1.3 vlan20
vlan port mapping lan1.4 vlan20
ip vlan10 address 192.168.10.1/24
ip vlan20 address 192.168.20.1/24
save各コマンドの役割は次のとおりです。lan type lan1 port-based-option=divide-networkで lan1 を LAN 分割(拡張機能)のモードに切り替えます。vlan port mappingで各物理ポート(lan1.N)を VLAN インターフェース(vlanN)に割り当て、ip vlanN addressで各セグメントのゲートウェイ IP を設定します。基本機能を使う場合は、スイッチングハブの全ポートが個別のlan1.Nとして動作し、vlan port mappingを使わずにip lan1.N addressで IP を付与します(出典: LAN 分割機能、RTpro https://www.rtpro.yamaha.co.jp/RT/docs/lan-divide/index.html )。
タグ VLAN(802.1Q)の設定
タグ VLAN は、実 LAN インターフェースにサブインターフェースを定義し、VLAN ID(VID)を設定して IP アドレスを付与する方式です。対向スイッチとはトランクで接続し、RTX がタグを処理します。次は、lan1 をトランクとして VID 10・20 の 2 つの VLAN を構成する例です。
vlan lan1/1 802.1q vid=10
vlan lan1/2 802.1q vid=20
ip lan1/1 address 192.168.10.1/24
ip lan1/2 address 192.168.20.1/24
savevlan lanX/N 802.1q vid=…で、実 LAN インターフェース lanX のサブインターフェース lanX/N を定義し、VID を設定します。ip lanX/N addressで各 VLAN インターフェースにゲートウェイ IP を設定すると、RTX のルーティングによって VLAN 間の通信が可能になります。name=オプションで VLAN に名前を付けることもできます(例: vlan lan1/1 802.1q vid=10 name=VLAN10)。
タグなし(ネイティブ)のセグメントが必要な場合は、実 LAN インターフェース自体にip lan1 addressを設定すると、タグなしフレーム用のセグメントとして利用できます。
ここで、設計時に必ず押さえておきたい制約があります。同一の LAN インターフェースでは、タグ VLAN(802.1Q)と LAN 分割機能(port-based-option)を併用できません。
先に設定したほうが有効となり、後から入力したコマンドはエラーになります。1 ポートでもタグ VLAN を設定すると、その LAN インターフェース全体がタグ VLAN モードになるため、ポート設計の段階でどちらの方式を使うかを決めておくことがおすすめです。
参考: VLAN ID の設定(RTpro – ヤマハ コマンドリファレンス)
「LAN インタフェースで使用する VLAN の VLAN ID を設定する。」
https://www.rtpro.yamaha.co.jp/RT/manual/rt-common/vlan/vlan_interface_802.1q.html
VLAN 間ルーティングとフィルター
RTX はルーターであり、各 VLAN インターフェースに IP アドレスが設定されているため、VLAN 間は既定でルーティングされ、追加設定なしで疎通します。 スイッチの SVI が ip routing の有効化を必要とし、FortiGate がファイアウォールポリシーを必要とするのに対し、RTX は標準で VLAN 間が通る点が大きな違いです。そのため、セグメントを分離したい場合は、不要な通信を IP フィルターで明示的に遮断する設計が重要になります。VLAN 間ルーティングの方式選定の考え方は、『VLAN 設計の基礎|トランクと VLAN 間ルーティングの設計指針』の該当項を参照してください。
IP フィルターは、ip filter <番号> <pass|reject> <送信元> <宛先> [プロトコル] [ポート]で条件を定義し、ip <インターフェース> secure filter in/out <番号リスト>でインターフェースに適用します。次は、vlan10・vlan20・vlan30 の相互通信を遮断しつつ、それ以外(インターネット向けなど)は許可する例です。
ip filter 1010 reject * 192.168.10.0/24
ip filter 1020 reject * 192.168.20.0/24
ip filter 1030 reject * 192.168.30.0/24
ip filter 3000 pass * * * * *
ip vlan10 secure filter in 1020 1030 3000
ip vlan20 secure filter in 1010 1030 3000
ip vlan30 secure filter in 1010 1020 3000
save各 VLAN のinフィルターで、他 VLAN セグメント宛の通信をrejectし、最後の3000で残りをpassします。これにより VLAN 間は遮断され、各 VLAN からその他の宛先への通信は許可されます。フィルターは番号リストの順に評価され、先にマッチしたものが適用されます。設定できるフィルター数には上限があり、静的・動的フィルターの合計で、多くの機種は 129 個以内、上位機種(RTX5000・RTX3510・RTX3500 など)は 300 個以内です。
参考: フィルタリングによるセキュリティーの設定(RTpro – ヤマハ コマンドリファレンス)
「ip filter コマンドによるパケットのフィルターを組み合わせて、インターフェースで送受信するパケットの種類を制限する」
https://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ip/ip_interface_secure_filter.html
新しめのファームウェアでは、VLAN 相互接続インターフェースグループを使うと、グループ内の VLAN 間通信の制御を簡潔に記述できます。たとえばvlan interconnect group lan1 noneは、グループ内の VLAN 間通信をまとめて遮断します。ただし、異なる物理 LAN インターフェースにまたがる通信は対象外となるため、対応機種とファームウェアのリビジョンを公式で確認してから利用してください。
設定確認とトラブルシューティングのコマンド
設定後の確認と障害時の切り分けには、VLAN インターフェースの状態、ルーティング、フィルターを表示するコマンドを使います。
show status vlan: VLAN インターフェースの状態(VID・IP アドレス・リンク状態)を確認します。show ip route: ルーティングテーブルを表示し、各 VLAN セグメントが接続ルートとして見えているかを確認します。show config: 投入した VLAN・フィルターの設定を確認します。show status lan1: 物理 LAN インターフェースのリンク状態を確認します。show ip connection: 動的フィルターやコネクションの状態を確認します。
障害時は、症状から切り分けると効率的です。
VLAN インターフェースが上がらない、または通信できない場合は、show status vlanで VID・IP・リンク状態を確認します。
特定の VLAN だけ通らない場合は、対向スイッチの許可 VLAN と RTX のサブインターフェースの VID が一致しているかを確認します。タグ付きパケットの VID が受信 LAN インターフェースに設定されていないと、そのパケットは破棄されます。
VLAN 間で意図せず通信できる、またはできない場合は、show configでsecure filterのin / outとフィルター番号、pass / rejectの順序を確認します。
タグ VLAN と LAN 分割が混在してエラーになる場合は、同一 LAN インターフェースでの併用ができないため、show configでどちらが設定されているかを確認します。
参考: VLAN(RTpro – ヤマハ)
「異なるVLANに同一のVIDを設定することはできません。」
https://www.rtpro.yamaha.co.jp/RT/docs/vlan/
機種ごとの注意点
RTX は、対応する VLAN の機能や上限、インターフェースの記法が機種・ファームウェアによって異なります。設定前に確認しておきたい点を整理します。
| 項目 | 注意点 |
|---|---|
| タグ VLAN 対応機種 | RTX5000・RTX3510・RTX3500・RTX1300・RTX1220・RTX1210・RTX840・RTX830 など。NVR・FWX シリーズは対応や上限が異なる |
| 1 LAN インターフェースあたりの VLAN 数 | RTX 系は最大 32、NVR500 は最大 8 など、機種により異なる |
| タグ VLAN と LAN 分割の併用 | 同一 LAN インターフェースでは併用不可。先に設定した方式が有効 |
| インターフェースの記法 | タグ VLAN は lan1/N、LAN 分割の基本機能は lan1.N、拡張機能は vlanN |
| フィルター数の上限 | 静的・動的の合計で、多くの機種は 129、上位機種は 300 |
| VLAN 相互接続グループ | 対応機種・ファームウェアが限定。物理 LAN をまたぐ通信は対象外 |
なお、LAN 分割機能では、基本機能で作成した設定をそのまま拡張機能でも活用できる仕組みがあり、たとえば旧機種から後継機種へ移行する際に役立ちます。記法が lan1.N から vlanN に変わっても、設定の考え方は引き継げます。
参考: VLAN ID の設定(RTpro – ヤマハ NVR500 コマンドリファレンス)
「ひとつの LAN インタフェースあたり最大 8VLAN の設定ができる。」
https://www.rtpro.yamaha.co.jp/RT/manual/nvr500/vlan/vlan_interface_802.1q.html
まとめ
RTX の VLAN 設定は、タグ VLAN とポートベース VLAN(LAN 分割)の 2 方式から選び、RTX がルーターとして VLAN 間をルーティングし、IP フィルターで通信を制御する、という流れに集約されます。両方式は同一 LAN インターフェースで併用できず、対応や上限が機種によって異なるため、設定前のモデル確認が要点になります。
- RTX の VLAN はタグ VLAN とポートベース VLAN の 2 方式
- タグ VLAN は実 LAN インターフェースのサブインターフェースに VID を設定する。
- ポートベース VLAN は port-based-option で LAN を分割する。
- 同一 LAN インターフェースでタグ VLAN と LAN 分割は併用不可
- RTX は標準で VLAN 間をルーティングし IP フィルターで制御する。
- タグ VLAN の対応機種と VLAN 数の上限は機種ごとに異なる。
- 設定前に対象機種の公式リファレンスとファームウェアのリビジョンを確認する。
以上、最後までお読みいただきありがとうございました。
