L2スイッチを購入するほどではないけど。。。
ER605 で (WAN冗長構成とVLAN)でお手軽ホームオフィスを構築してみました。意外とお手軽に構築できたのでそのメモ。
こんな構成にしたい
今回やりたいことは、以下の3つ。
① VPNで外からメンテしたい(前回 L2TP の設定方法を説明したので割愛します)
② WAN側は、NUROと楽天(sim)との物理回線で冗長化したい
③ 自分と仕事、家族のセグメンは明示的に切り分けしたい
④ 家族のセグメンは内側DMZにアクセス禁止としたい
※ふつーにL2スイッチ買えば?と思いつつ、遊ぶだけならER605が安くてお勧め。
WAN側を冗長化したい
ER605 で WANを冗長化するのは簡単です。単に WAN物理ポートを 追加・再定義するだけです。
で物理WAN側を 2つに設定して。WAN/LAN1 の設定を・・・
ってすると下記のように、WAN/WAN1で冗長になる。
なんか記事みると片方が障害あると1msで切り替わる?とかなんとかww
ちなみに楽天SIMをHR01で運用する場合は以下を参照
VLANの設定
「Network -> LAN」の「LAN」タブを設定します。
下記のように2つの VLAN 定義をします。ここではネットワークの定義とDHCPを定義するのですが name は、混合しやすいので分かりやすいよう付けるのが〇。
「Network -> VLAN」の「VLAN」タブを設定します。
上記で指定したネットワークの定義をどのPortに割り当てるかを設定します。
私は、下記としました。ちなみに「VLAN ID:1」は、管理用としています。
- VLAN ID:1 / Port:3(UNTAG)
- VLAN ID:2 / Port:4(UNTAG),5(UNTAG)
「Network -> VLAN」の「Ports」タブを設定します。
あとportで、どの定義を使うかを指定する。ここまでくればあと少し!!
FireWallの設定
このまま使っていてもいいのだけど、どちらのVLANもメインである 192.168.0.0/24 にアクセスできてしまうので、片方のLVLAN2のみ Block します。若干どう定義するのか?と思いますが「アドレス範囲名前付け→そのアドレスをグループ化名前付け→ACLで指定する」っていう流れです。
「Prefernces -> IP Group」の「IP Adress」タブを設定します。
FireWallで対象としたいアドレス範囲を名前付けします。ここでは、VLAN2つと元々のDMZ側の3つを定義します。
- HOME_RANGE:192.168.0.0/24
- ip001:192.168.1.0/24
- ip200:192.168.200.0/24
「Prefernces -> IP Group」の「IP GRoup」タブを設定します。
- HOME_RANGE:HOME_RANGE(上記で定義したアドレス範囲)
- ip001G:ip001
- ip200G:ip002
「Firewall -> Access Control」の「Access Control」タブを設定します。
HOME_RANGEに対してVLAN2の通信を全てBlock(禁止)します。
- policy:Block
- Service Type:ALL ※すべての通信を対象とします
- Direction:ALL ※「LAN->WAN」としたいがALLでないとダメらしい
- Source:IP200G
- Destination:HOME_RANGE
- Effective Time:Any
上記ではすべての通信をBlockするため Service Type:ALL としていますが、特定の通信のみ禁止ということもできます。そのときには、下記のように設定します。
「Preferences -> Service Type」の「Service Type」タブを設定します。
これで納得な感じになった
なんちゃって自宅インフラ、ちょっと勉強になりました。次こそ「サイト対サイトVPN(IPSec)」やってむる。
ER605 簡単なのはいいんだけど、電源入れてから起動するまで2分ぐらいかかる・・・。
あとせめて 2.5G タイプでないかな~~~。