RTX1200とCatalyst2960SとWAB-I1750-PSでお家NOCをしよう
タイトル通りで、特別言うことないですが、私のお家ネットワークの備忘録として残しておきます。
同じような構成をする人には少しは参考になるかも??
ちなみにまだ、実験段階なので、細かいことは何も決まってないです。
構成
Router→YAMAHA RTX1200←定番
L2Switch→Catalyst 2960S (WS-C2960S-24PS-L V03)←PoE+まで吐けるやつ
AP→ELECOM WAB-I1750-PS ×4台←皆さんご存知の激安APです
VLAN
VLANは5個作ることにしました!少し多いような気がしますが、そこは御愛嬌ということで
VALN10→私的利用するためのやつ。ここでAPとかの管理もします
VLAN20→IOTネット用 監視カメラのLANが家の外に出てるので、セキュリティ確保のために分けます
VLAN30→家族に提供するネットワーク
VLAN40→ゲスト用ネットワーク(色々制限をしようと思います後述)
VLAN50→サーバー公開用のVLAN 今のところはあまり深く考えてないので、一旦作ってるだけ
IPfilter
まだ、実証実験段階なので、そこまで深く決めてないですが、各VLAN間の通信やその他の一般的な通信は遮断かけてます。
ip filter 601000 reject 192.168.10.0/24 192.168.20.0/24
ip filter 601001 reject 192.168.10.0/24 192.168.30.0/24
ip filter 601002 reject 192.168.10.0/24 192.168.40.0/24
ip filter 601003 reject 192.168.10.0/24 192.168.50.0/24
ip filter 602000 reject 192.168.20.0/24 192.168.10.0/24
ip filter 602001 reject 192.168.20.0/24 192.168.30.0/24
ip filter 602002 reject 192.168.20.0/24 192.168.40.0/24
ip filter 602003 reject 192.168.20.0/24 192.168.50.0/24
ip filter 603000 reject 192.168.30.0/24 192.168.10.0/24
ip filter 603001 reject 192.168.30.0/24 192.168.20.0/24
ip filter 603002 reject 192.168.30.0/24 192.168.40.0/24
ip filter 603003 reject 192.168.30.0/24 192.168.50.0/24
ip filter 604000 reject 192.168.40.0/24 192.168.10.0/24
ip filter 604001 reject 192.168.40.0/24 192.168.20.0/24
ip filter 604002 reject 192.168.40.0/24 192.168.30.0/24
ip filter 604003 reject 192.168.40.0/24 192.168.50.0/24
ip filter 605000 reject 192.168.50.0/24 192.168.10.0/24
ip filter 605001 reject 192.168.50.0/24 192.168.20.0/24
ip filter 605002 reject 192.168.50.0/24 192.168.30.0/24
ip filter 605003 reject 192.168.50.0/24 192.168.40.0/24
ip lan1/1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 601000 601001 601002 601003 609000
ip lan1/2 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 602000 602001 602002 602003 609000
ip lan1/3 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 603000 603001 603002 603003 609000
ip lan1/4 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 604000 604001 604002 604003 609000
ip lan1/4 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 605000 605001 605002 605003 609000
DHCP
RTX1200でDHCPを振ってます。来客用のNTWはDHCPの幅を絞ってます。
dhcp scope 10 192.168.10.2-192.168.10.191/24
dhcp scope 20 192.168.20.2-192.168.20.191/24
dhcp scope 30 192.168.30.2-192.168.30.191/24
dhcp scope 40 192.168.40.2-192.168.40.32/24
dhcp scope 50 192.168.50.2-192.168.50.191/24
RTX1200で一本のLANケーブルに複数のVLANを流すぞ
ここがだいぶん苦戦しましたよ。なにせうまくいかないのなんの
LAN1に複数のVLANを流したいときは以下のようにすればいいらしい
vlan lan1/1 802.1q vid=10 name=VLAN10
vlan lan1/2 802.1q vid=20 name=VLAN20
vlan lan1/3 802.1q vid=30 name=VLAN30
vlan lan1/4 802.1q vid=40 name=VLAN40
vlan lan1/5 802.1q vid=50 name=VLAN50
ip lan1/1 address 192.168.10.1/24
ip lan1/2 address 192.168.20.1/24
ip lan1/3 address 192.168.30.1/24
ip lan1/4 address 192.168.40.1/24
ip lan1/5 address 192.168.50.1/24
Catalyst2960Sでタグ付きVLANを振り分けよう
Gi1/0/24でtrunkポートとして受け取ります
interface GigabitEthernet1/0/24
switchport trunk allowed vlan 10,20,30,40,50
switchport mode trunk
WAB-I1750-PSでVLANを受信してSSIDに振り分ける
ここらへんがなかなかに苦労しました。
ELECOMさんのWAB-I1750-PSでPDポートをタグ付きにして管理VLANを10にしたら、他のVLANでネットへの接続はできるのに、管理画面にアクセスできなくなるのなんでだろう??
— まぎらわしぃ@超パ2025待機組 (@mgrwsli) March 29, 2025
逆に、PDポートをタグなしにしたら管理VLAN以外のVLANIDを当ててるSSIDにDHCPからIPアドレスが降ってこなくなる
結論から言うと、
SSIDそれぞれにVLANIDを振ってあげて、PDポートをタグ付きにしてあげればよかったみたい?です
正直曖昧な部分がおおすぎて、これだ!!!とは言えない。。。
一応コンソールポート経由で情報取得できたので、それだけ乗せておきます。
man$show status system_info
System Information
System
Model WAB-I1750-PS
Product Name WAB-I1750-PS
Boot from Internal memory
Boot-Loader Version 1.0.2
Version 2.0.4i
MAC Address 38:**:**:**:**:**
Management VLAN ID 10
IP Address 192.168.10.134
Default Gateway 192.168.10.1
DNS 8.8.8.8
DHCP Server ---
--------------------------------------------------------------------------------
Wired Port (PD)
Status Connected (1000Mbps-Full-Duplex)
VLAN Mode Tagged port
VLAN ID 10
Wired Port (PSE)
Status Connected (1000Mbps-Full-Duplex)
VLAN Mode Untagged port
VLAN ID 1
--------------------------------------------------------------------------------
Wireless 11g
Status Enable
MAC Address 38:**:**:**:**:**
Channel 13
Transmit Power 100 %
SSID1 VLAN20
Authentication Mode WPA2-PSK
Encryption Type AES
VLAN ID1 20
Additional Authentication No additional authentication
Wireless Client Isolation Disable
SSID2 VALN40
Authentication Mode WPA2-PSK
Encryption Type AES
VLAN ID2 40
Additional Authentication No additional authentication
Wireless Client Isolation Disable
--------------------------------------------------------------------------------
WDS Settings (11g)
Mode Disabled
MAC Address No WDS entries.
Encryption Type No WDS entries.
VLAN Mode / ID No WDS entries.
--------------------------------------------------------------------------------
Wireless 11a
Status Enable
MAC Address 38:**:**:**:**:**
Channel 36 + 40 + 44 + 48
Transmit Power 100 %
SSID1 VLAN10
Authentication Mode WPA2-PSK
Encryption Type AES
VLAN ID1 10
Additional Authentication No additional authentication
Wireless Client Isolation Disable
SSID2 VLAN30
Authentication Mode WPA2-PSK
Encryption Type AES
VLAN ID2 30
Additional Authentication No additional authentication
Wireless Client Isolation Disable
--------------------------------------------------------------------------------
WDS Settings (11a)
Mode Disabled
MAC Address No WDS entries.
Encryption Type No WDS entries.
VLAN Mode / ID No WDS entries.
--------------------------------------------------------------------------------
There is no change.
ちなみに、CLIのマニュアルは、探さないとまじで出てこない
Catalyst側
interface GigabitEthernet1/0/1
switchport trunk allowed vlan 10,20,30,40
switchport mode trunk
めっちゃ雑やけど、こっからいろいろ整備していこうと思います(まだ始まったばかり!)
最後まで読んだ人がどのくらいいるかわからないけれど、読んでくれてThanks!