昨日より速いパケットを求めて 第1ホップ目

この記事を読むと得られること

  • 家庭内NWをVLANで分離・セキュアにするための設計思考
  • YAMAHA RTX1210をL3として使う際の、VLAN設定上の「意外な制約」と注意点

目指せ!逸般の誤家庭(笑)

最近、自宅に人が遊びに来てWiFiを貸すことも増えたし…
サーバーも増えてきたし…
中華の怪しいガジェットも増えてきたし…
NWをちゃんと分離してセキュリティ向上したいなぁ…
とかいろいろ言い訳したけど

自宅にVLAN入れてみたい!!!

という単純な知的好奇心が本音で今回の企画?が始まりました。
普段NWエンジニア(笑)を名乗ってるくせにVLANの設計構築運用を0からやったこともないしなぁと思い
自宅NWをちょっとリッチにしようと思って試行錯誤した様子をつらつらと記録していきます。

少し長くなりそうなので第1ホップ目とある通り、自作キーボードの時みたいにシリーズ物にしてみたいと思います。
最終的にはルーターを自作するところまでいきたいと思います(ネタバレ)

現状の確認

と、勢いで始めたはいいものの何を改善すればいいのかもわかっていないのでまずは現状の確認
雑ですが当時のNW構成(フェイクあり)
論理と物理がごちゃごちゃになってるけど、小規模だから許して

ちょいっと説明をすると

  • OpenWRT
    • 市販のとあるルーターのROMを無理矢理書き換えて、オープンソースOSのOpenWRTを入れた魔改造ルーター。でもこの時点ではただのAP+L2スイッチとしてしか機能してない
  • 無線K
    • Kってのは適当。ただの無線SSIDです。
  • 部屋X
    • 家にある宅内LANのポート。

一般のご家庭であればこれで十分というか、まぁこういうもんかな?と思いますが
VLANを導入するモチベーションのために以下の3つの問題点を自分の中ででっちあげました(手段と目的の逆転)。

  • 無線や宅内LANの物理ポート、無線のすべてが単一のNWに所属しており誰でもどこにでも行けてしまう
  • YAMAHA RTX1210性能を全く活かしておらず完全に漬物石でもったいない
  • L3機能がある機器が2つあり無駄が多い

解決策の検討

先程の課題を解決すべく以下の新NWを考えてみました。

、黒、ピンクがそれぞれのVLANのアクセスポート、赤の二重線はトランクポートとすることで
管理者用NW」「一般用途NW」「来客用NW」という3つのVLANによってそれぞれのNWを分離することが出来ると考えました。

こうすればサーバーへのアクセスも限られたユーザーのみになり、来客者や怪しいガジェットは他の機器とは一切関わりのないNWに閉じ込めることが出来るので高セキュリティなNWが完成…!
…のはずでした

【悲報】RTX1210、お前…そうだったのか……

さぁとりあえず設計は出来たし、いざ実装!
と意気込んで設定コマンドを RTX1210に流し込んでいくんですが…

いくらやっても出来ない!!

実はこれは私のリサーチ不足が招いた悲劇で、結論から言うとRTX1210では先ほどのようなNWは構築できません。

RTX1210君は10個のLANポートが画像のように3つのLANグループに分けられています。
そして1つのLANグループの中ではTag VLANとUntagged VLANが同居できない仕様でした。
つまりLANポートが8個もあるLAN1は全部をトランクポートorアクセスポートにするしかないということです(´・ω・`)
(語弊を恐れずに簡単に言うと、LAN1は独立した通常のL2スイッチと考えるとわかりやすいかと思います)

OpenWRTみたいにポートにアクセスポートとトランクポートが自由に設定出来ると思ってたのにぃ!!!

ただこれはYAMAHA社の設計思想によるもので「YAMAHA社の技術力がない」とか「欠陥製品を販売してる」わけでないです。
YAMAHA社の設計思想としては、おそらくRTX1210のようなものをオフィスのL3スイッチとして導入して、LAN2か3にインターネット回線(ONU)と接続。
LAN1はすべてトランクポートとしてフロア間配線して、各フロアにコアL2スイッチとしてYAMAHAのSWXを配備してそこからポートVLANでアクセスを割り振って部署ごとの通信を制御…といったことを可能にするための製品かと思います。

じゃぁそのYAMAHA様の設計思想で試してやろうじゃんかよ!と思いSWXを買ってきました(謎)
最寄りのハードオフでSWXのジャンク(箱付き!!)が転がってたんだよ…買うしかないじゃん…

お手製検証環境

左下がRTX1210、右下がSWX2200-8PoE、右上が例の魔改造された某牛?さんメーカーの無線LANルーターです(左上のNETGEAR君は検証環境のためにインターネット回線分岐してるだけなので割愛)

検証の結果、この構成ではやりたいことが出来ることは確認出来ました(流石YAMAHA様)
ただですね、これは完全に我が家の要件の問題で他の方には関係のない話ではあるのですが
我が家ではNW機器の設置スペースの都合上機器は2つまでしか置けないんですよ
SWX2200を入れた構成だと画像のとおり
・ルーター
・スマートL2スイッチ
・AP
と3つになってしまうんですよね。なので泣く泣くこの構成は断念。
(あと今回のSWXはPoEの機能があるため、ファンレスではなく結構うるさいのも断念ポイント)
別のNW構成を考えるしかありません。

【続報】RTX1210、お前…消えるのか?……

それからずっとなんとかならないかなぁといろいろ考えてみたのですが…
結論からいうとRTX1210をL3として使い続ける限り不可能だと判断しました。
LAN2をトランクポートとして使う案も考えたのですが

RTXではLANのグループを跨いだ同一のVLANを構成することが出来ないため(仕様)
上記のような構成の場合、無線のVLAN IDと有線のVLAN IDが異なる状態になります。
とはいえ、その点はRTX1210君が理解しているのでNWを跨いだ通信を許可することは出来るので擬似的に今回の仕様を満たすことは出来ます。
ただ…なにかVLANの設定を変更をする際に有線・無線それぞれ変更しなければ行けないし、設定がうまく動いてるかの試験も2倍やることがあるし、なんといっても

美しくない!!!

という訳で、唯一希望があったこの構成も見送ることにしました…

第2ホップに続く

長くなってきたの今回は一旦ここで終わりです。
次回は最終決定したNW構成の話と、自作ルーターへの決意について書いてみたいと思います。

末筆となりますが、検証環境の構築で納戸を圧迫しても許して?くれた妻へここで感謝申し上げます。

今回の豆知識

ルーターのデフォルトIP帯域と同じ物を使うな

例えばYAMAHAの場合、192.168.100.1がルーターの初期IPとして設定されるのですが、YAMAHAを使い続けていく場合は本番NWのIP帯をこれと同じしない方が良いです。
検証環境とかで新しいRTXを用意する度にIPを変更しないといけないので面倒くさいです…(5敗)

OpenWrtAP,L2,L3,Linux,NW,OpenWRT,RTX,VLAN,YAHAMA,サーバー,セキュリティ,ポート,自作ルーター

Posted by 結月 悠