概要
リモートワークだの何だの言われ、会社のマシンを自宅のNWに繋げる必要があるが、某空海ソフトウエアが動作している怪しいPCを、自宅のNWに繋ぎたくない。自宅のセキュリティの甘いマシンが、社用PCに悪影響与える可能性も無視できない。
そこで、Yamahaルーターでリモートワーク用のVlanを作成。Vlanが扱える無線AP WAPM-APG600Hを使用し、作成したVlanを飛ばす。
機材
- RTX1200
- Cisco 2960G
- Buffalo AirStationPro WAPM-APG600H
設計
- ルーターは分けたくない
- タグVlanが話せるスイッチを持っている(多分無くても良さそう?)
- リモートワーク用ネットワークは、他のVlanへ一切アクセスできない
- リモートワーク用APは、WAPM-APG600Hを用い、Trunkポートで通信。他のVlanも飛ばせるようにしておく。
vlan一覧
既存vlanを流用しつつ追加する物は追加する方向で。
| Vlan id | addr | description |
|---|---|---|
| 1 | 192.168.50.0/24 | 生活用のVlan |
| 101 | 10.10.101.0/24 | WAPM-APG600H 管理Vlan |
| 110 | 10.10.110.0/24 | リモートワーク用Vlan |
NWポリシ
- Vlan1 to 110 は疎通しない
- Vlan110 to 1も疎通しない。
- Vlan1 to 101は疎通する
- Vlan101 to 1は疎通しない
このうち、3,4は別用途で用いているVlanを転用しているからで、別にやらなくて良い。WindowsXP等の旧環境保持用に用意してある。
WAPM-APG600Hは、仕様なのかTag Vlanを使用する際は、管理Vlanを1に出来ない。多分やり方があると思うけど、ちょっとしばらく放置。
接続
最終的には、こうなる
RTX1200 -(trunk)-> Cisco 2960G -(trunk)-> WAPM-APG600H
Vlanの作成
vlan lan1/1 802.1q vid=101 name=VLAN101
ip lan1/1 address 10.10.101.1/24
ip lan1/1 secure filter in 4000 4001 4003
ip lan1/1 secure filter out 4000 4003 dynamic 200 210
vlan lan1/5 802.1q vid=110 name=VLAN110
ip lan1/5 address 10.10.110.1/24
ip lan1/5 secure filter in 5000 5001 dynamic 301
ip lan1/5 secure filter out 3000 dynamic 100 101 102 103 104 105 106 301
フィルタ
# vlan1 -> vlan101だけ許可。ただしicmpは例外とする。
# WAPM-APG600Hの管理だけなので、やらなくていい
ip filter 4000 pass * * icmp
ip filter 4001 reject 10.10.101.0/24 192.168.50.0/24
ip filter 4002 pass 192.168.50.0/24 10.10.101.0/24
ip filter 4003 pass * *
# vlan110が他のvlanへアクセスできないようにしておく
ip filter 5000 reject * 192.168.50.0/24
ip filter 5001 reject * 10.10.101.0/24
# dynamic filter
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 200 192.168.50.0/24 10.10.101.0/24 tcp
ip filter dynamic 210 192.168.50.0/24 10.10.101.0/24 udp
ip filter dynamic 301 * * filter 5101
DHCP
dhcp scope 101 10.10.101.50-10.10.101.191/24
dhcp scope 110 10.10.110.50-10.10.110.191/24
WAPM-APG600Hの設定
WAPM-APG600Hは、管理Vlan1の時、タグVlanを上手く扱えないようだ。設定事例集にはあるのに。管理Vlanを1以外にしておけば、タグVlanも正常に扱えそうだ。つまり、シスコスイッチのTrunkポートに接続する場合、APから飛ばすVlanと別に管理Vlanを立てておく必要がある。困った奴め。(設定方法がまずいだけなのかも...)
まず、Cisco 2960Gに、
- vlan 1のポート(ただのswitchport mode access)
- Truinkポート (switch port mode trunk)
を設定しておく。WAPM-APG600Hはまず、vlan1へ繋げておく。
RTX1200 -(trunk)-> Cisco 2960G -(vlan1)-> WAPM-APG600H
advanced ip scannder等を用いて、ipスキャン。見つかったIPアドレスにアクセス。
下図のように、VLANモードをTagged,管理VLANを101に変更。
接続先をTrunkポートに設定する。
RTX1200 -(trunk)-> Cisco 2960G -(trunk)-> WAPM-APG600H
Vlan101に所属している他マシンからipスキャン。
見つかったアドレスにアクセスし、無線設定を変更。
下図のようにUntagged VlanIDを110へ変更
結果とポイント
- 設定したSSIDにアクセスすると、隔離用のVlanに接続されるはず!
- WAPM-APG600Hのためだけに管理Vlanが必要。
- よいリモートワークを!!