14-3-2.タグベースVLANの設定
"IEEE 802.1Q VLANタグ" によって、LANをグループ化するための設定について説明します。
−
タグベースVLAN設定時の注意事項
−
タグベースVLANグループを複数作成する場合、それぞれのグループの「VLAN ID」を別々の値にして下さい。
(タグベースVLANグループは、最大8グループまで作成可能です。)
VLAN IDが同じ値のグループを複数作成した場合、グループ番号が最も小さなグループのみ有効になりますので注意して下さい。
例)
タグベースVLANグループ1の "VLAN ID":
1
タグベースVLANグループ2の "VLAN ID":
1
→
タグベースVLANグループ1のみが有効になります。
(タグベースVLANグループ2は動作しません。)
タグベースVLANグループを複数作成する場合、インターネット接続(「ルータ」ポートへのアクセス)が可能なグループは1つのみとなります。
タグベースVLANグループの「VLAN ID」と、「ルータ」ポートの「デフォルトVLAN ID」を同じ値にする必要がありますので注意して下さい。
〔 タグベースVLAN グループ1のインターネット接続を可能にする例 〕
端末側のLANカード(アダプタ)が "IEEE 802.1Q VLANタグ" に対応している必要があります。
LANカード(アダプタ)側の "IEEE 802.1Q VLANタグ" の設定方法等については、LANカード(アダプタ)のマニュアル等を参照して下さい。
端末−NetGenesisの間に他のHUBやルータがある場合、それらの機器も "IEEE 802.1Q VLANタグ" に対応している必要があります。
対応していないHUBやルータがある場合、通信不良が発生する可能性があります。
NetGenesisはWAN側に "IEEE 802.1Q VLANタグ" を送出しません。
タグベースVLANは、NetGenesisのLAN側(HUBポート側)でのみ使用することが可能です。
NetGenesisの「WAN側(WANポート)・LAN側(HUBポート)を跨いだタグベースVLAN」は作成できませんので注意して下さい。
*
NetGenesisのWAN側(WANポート)は、VLANタグの有無に関係なくパケットを受信します。
ただし(WAN側から)受信したパケットをLAN側に送出する際は、VLANタグが無い状態になります。
(NetGenesisの「タグ挿入」の設定を行うことにより、「ルータ」ポートの「デフォルトVLAN ID」を挿入して送出することも可能です。)
本設定を行うことにより、異なるグループとの通信を遮断することが可能になり、プライバシー侵害やウィルス・ワーム等の2次感染を予防することが可能になります。
【 ポートベースVLANとタグベースVLANの違い 】
ポートベースVLAN
は「NetGenesisの各ポート(L1〜L4)単位にグループ化」を行います。
=
1つのポートに接続された端末を複数のグループに分けることはできない。
これに対し、
タグベースVLAN
は「端末から送出されるパケット中の "IEEE 802.1Q VLANタグ"(VLAN ID) を識別し、どのグループに所属しているか」判別を行い、適切なポートへ転送します。
=
1つのポートに接続された端末を、それぞれ別のグループへ所属させることができる。
【 設定画面と設定項目 】
メニューの「HUBポートの設定」の中の[VLAN設定]をクリックして下さい。
「VLAN設定」画面が開きます。
[VLAN機能を使用する]と[タグベースVLAN(IEEE 802.1Q)を設定する]の両方にチェックを入れて下さい。
以降、各設定項目毎に説明します。
−タグベースVLANグループの作成−
タグベースVLANのグループを作成します。
[VLAN ID]
作成するタグベースVLANグループのVLAN IDを入力して下さい。
チェック!
タグベースVLANグループを複数作成する場合、それぞれのグループの「VLAN ID」を別々の値にして下さい。
VLAN IDが同じ値のグループを複数作成した場合、グループ番号が最も小さなグループのみ有効になりますので注意して下さい。
グループのインターネット接続(及び設定画面へのログオン)を許可する場合、ここで設定するグループの「VLAN ID」と、「ルータ」ポートの「デフォルトVLAN ID」を同じ値にして下さい。
(「デフォルトVLAN ID」については
こちら
を参照して下さい。)
[L1〜L4]、[ルータ]、[有効]
グループ化するポートにチェックを入れ、[有効]にチェックを入れて下さい。
([有効]にチェックを入れないと、そのグループが有効になりません。)
L1〜L4
:
HUBの各ポートです。
ルータ
:
NetGenesis内部のLANポートです。
各ポートの(NetGenesis内部の)位置関係は以下のようになっています。
端末−
各ポートの位置関係(略図)
HUBポート
(L1〜L4)
ルータポート
(LANポート)
<ルータ処理>
WANポート
−インターネット
例えば、NetGenesisのLAN内(HUBポート側)からインターネット接続を行う場合、L1〜L4からルータポート(LANポート)を経由し、内部でルータ処理が行われた後にWANポートへ出力されます。
ルータポート
インターネット
接続
設定画面への
ログオン
チェック有り
グループの
「VLAN ID」
=
「ルータ」ポートの
「デフォルトVLAN ID」
○
○
チェック有り
グループの
「VLAN ID」
≠
「ルータ」ポートの
「デフォルトVLAN ID」
×
×
チェック無し
×
×
メ モ
「ルータ」ポートは IEEE 802.1Q VLANタグ(VLAN ID) を含まないパケットを出力します。
LANカード(アダプタ)の中には「(パケットを受信する際)VLAN IDが一致しないパケットを破棄する」ものがあり、これに該当する場合は 「タグ挿入」 の設定が必要となります。
・
上記に該当する場合、「タグ挿入」の設定を行わないと、インターネット接続(「ルータ」ポートへのアクセス)ができなくなります。
(「タグ挿入」については
こちら
を参照して下さい。)
チェック!
グループのインターネット接続(及び設定画面へのログオン)を許可する場合、必ず「ルータ」ポートにチェックを入れて下さい。
タグベースVLANグループを複数作成する場合、インターネット接続(「ルータ」ポートへのアクセス)が可能なグループは1つのみとなります。
・
タグベースVLANグループの「VLAN ID」(他のグループと重複不可)と、「ルータ」ポートの「デフォルトVLAN ID」を同じ値にする必要があります。
(「デフォルトVLAN ID」については
こちら
を参照して下さい。)
−IEEE 802.1Q タグ制御設定−
NetGenesisの各ポートの IEEE 802.1Q タグ制御設定を行います。
[タグ挿入]
(設定対象ポート:L1〜L4)
各ポートが端末に対してパケットを出力する(送る)際に、IEEE 802.1Q VLANタグ(VLAN ID) を挿入するか否かを決めます。
*
チェックを入れると、パケット出力時に IEEE 802.1Q VLANタグ(VLAN ID)を挿入します。
(パケットにVLANタグがない場合にのみ挿入します。)
◆
発信元のパケットに
IEEE 802.1Q VLANタグ(VLAN ID) がない場合
発信元のパケットを最初に受信したポートの「デフォルトVLAN ID」を挿入して、パケットを出力します。
(「デフォルトVLAN ID」については
こちら
を参照して下さい。)
・
PC4(
VLAN ID:なし
/ L4ポートに接続)から
PC1(L1ポートに接続)へパケットを発信した例
◆
発信元のパケットに
IEEE 802.1Q VLANタグ(VLAN ID) がある場合
そのまま出力します。(VLANタグを挿入しません。)
・
PC4(
VLAN ID:111
/ L4ポートに接続)から
PC1(L1ポートに接続)へパケットを発信した例
LANカード(アダプタ)の中には「(パケットを受信する際)VLAN IDが一致しないパケットを破棄する」ものがあり(※1)、これに該当する場合は 「タグ挿入」 の設定を行わないと、インターネット接続や設定画面へのログオンができなくなりますので注意して下さい。(※2)
※1:
お使いのLANカード(アダプタ)の仕様を確認して下さい。
※2:
「ルータ」ポートは IEEE 802.1Q VLANタグ(VLAN ID) を含まないパケットを出力します。
「タグ挿入」の設定を行うことにより、L1〜L4ポートがパケットを出力する際に「ルータ」ポートの「デフォルトVLAN ID」を挿入します。
LANカード(アダプタ)のVLAN IDと「ルータ」ポートの「デフォルトVLAN ID」が一致すると、LANアダプタがパケットを受信します。
(「デフォルトVLAN ID」については
こちら
を参照して下さい。)
〔 「タグ挿入」の設定が必要なLANカード(アダプタ)の一例 〕
L1ポートに接続した端末のLANカードが「Intel PRO/100+」や「Intel PRO/1000MT」「Intel PRO/1000CT」等、Intel製 IEEE 802.1Q VLANタグ対応製品 の場合
→「L1」の「タグ挿入」にチェックを入れる必要があります。
[タグ削除]
(設定対象ポート:L1〜L4)
各ポートが端末に対してパケットを出力する(送る)際に、IEEE 802.1Q VLANタグ を削除するか否かを決めます。
*
チェックを入れると、パケット出力時に IEEE 802.1Q VLANタグ を削除します。
(パケットにVLANタグがある場合にのみ削除します。)
[グループに含まれない場合はパケットを破棄]
(設定対象ポート:L1〜L4)
端末からパケットを受信したポートがタグベースVLANグループに含まれていない際に、パケットを破棄するか否かを決めます。
*
チェックを入れると、パケットを受信したポートがタグベースVLANグループに含まれない際に、パケットを破棄します。
なお、パケットの破棄は「端末からパケットを受信したポートでのみ」行われますので注意して下さい。
例)
◆
タグベースVLANグループ1:L2、L3、L4、ルータ
(グループ2〜8:未使用)
◆
タグベースVLANグループ1 VLAN ID:111
◆
グループに含まれない場合はパケットを破棄:
L1
◆
PC1:
L1
に接続(VLAN ID:111)
◆
PC2:L2に接続(VLAN ID:111)
=>
PC1→PC2
:
通信不可。
L1
がパケットを受信、破棄。
(L1はタグベースVLANグループ1に含まれていないため。)
PC1
→
L1
→
破棄
備考)
上記の「グループに含まれない場合はパケットを破棄」の "L1" のチェックを外した場合、以下のような動作になる可能性があります。
・PC2→PC1
:
通信不可(※)
・PC1→PC2
:
通信可能
※
PC1→PC2の通信によって、PC1のMACアドレスがPC2に通知された場合、一時的(PC2がPC1のMACアドレスを記憶している間)にPC2→PC1が通信可能になることがあります。
[VLAN IDが一致しない場合はパケットを破棄]
(設定対象ポート:L1〜L4、ルータ)
受信したパケットのVLAN IDを確認するか否かを決めます。
*
チェックを入れると、パケット受信時に以下の3つのVLAN IDをチェックし、全て一致した場合にのみ通信可能になります。
(一致しない場合、パケットを破棄します。)
◆
受信したパケットの「VLAN ID」。
◆
タグベースVLANグループ1〜8の「VLAN ID」。
◆
チェックを入れたポートの「デフォルトVLAN ID」。
(「デフォルトVLAN ID」については
こちら
を参照して下さい。)
メ モ
受信したパケットに IEEE 802.1Q VLANタグがない場合、「受信したポートのデフォルトVLAN ID」と「タグベースVLANグループ1〜8のVLAN ID」が一致した時のみ通信可能になります。
[各ポートのデフォルトVLAN ID]
(設定対象ポート:L1〜L4、ルータ)
各ポートのVLAN IDを入力します。
チェック!
グループのインターネット接続(及び設定画面へのログオン)を許可する場合、「ルータ」ポート
の「デフォルトVLAN ID」と、そのグループの「VLAN ID」を同じ値にして下さい。
−
ポートベースVLANとタグベースVLANの
両方を設定した場合の動作について
−
ポートベースVLANとタグベースVLANの両方を設定した場合、「両方の条件を満たした場合にのみ通信が可能」となります。
例)
◆
VLAN機能を使用する:チェックあり
・
ポートベースVLANを設定する:チェックあり
L1
L2
L3
L4
ルータ
有効
ポートベース
グループ1
チェック
無し
チェック
有り
チェック
有り
チェック
有り
チェック
有り
チェック
有り
(ポートベース グループ2〜8:未設定)
・
タグベースVLAN(IEEE 802.1Q)を設定する:チェックあり
VLAN ID
L1
L2
L3
L4
ルータ
有効
タグベース
グループ1
1
チェック
有り
チェック
有り
チェック
有り
チェック
有り
チェック
有り
チェック
有り
※「IEEE 802.1Q タグ制御設定」は省略します。
(タグベース グループ2〜8:未設定)
→
上記のように設定した場合、L1ポートは通信できません。
(ポートベースVLANのL1が「チェック無し」のため。)
設定が完了した後、[設定]ボタンをクリックして下さい。
全ての設定が完了した場合は、
左のメニューの
設定の更新
をクリックして下さい。
"設定の更新" と "NetGenesisの再起動" を行って下さい。
詳しくは
3-4.設定の終了(更新・再起動)
を参照して下さい。
引き続き設定を行う場合は、左のメニューをクリックし、必要な設定を行って下さい。
14-3.VLAN設定 へ戻る
14.HUBポートの設定 へ戻る
