会社のネットワークを分割することとなった。
前提条件とやりたいことをまとめる。
★前提条件
1、外部への通信はフレッツ光ONUでグローバルIPなし
◆やりたいこと
1、ネットワークは3つ(A棟、B棟、C工場)に分ける。
2、A棟からはB棟アドレス帯、C工場アドレス帯へアクセス可能
3、B棟からは自アドレス帯以外にアクセスできない(外にも出れない)
4、C工場からは自アドレス帯以外にアクセスできない(外には出れる)
5、各拠点でDHCPによるIPアドレスの払い出しを行う(101~199)
6、LAN2をWANポートにする
ここからは設計内容を実現するためのRTX1210へ設定するコンフィグ
■□■ LAN1のLAN分割 ■□■
LAN1のポート1をA棟(vlan1)、ポート4をC工場(vlan2)、ポート8をB棟(vlan3)
# lan type lan1 port-based-option=divide-network
# vlan port mapping lan1.1 vlan1
# vlan port mapping lan1.4 vlan2
# vlan port mapping lan1.8 vlan3
■□■ 各vlanポートのアドレス定義 ■□■
# ip vlan1 address 192.168.1.254/24
# ip vlan2 address 192.168.10.254/24
# ip vlan3 address 192.168.99.254/24
■□■ 各vlanポートのDHCP定義 ■□■
# dhcp service server
# dhcp scope 1 192.168.1.101-192.168.1.199/24
# dhcp scope 2 192.168.10.101-192.168.10.199/24
# dhcp scope 3 192.168.99.101-192.168.99.199/24
■□■ フィルターの定義 ■□■
# ip filter 1040 reject * 192.168.1.0/24 * * *
# ip filter 1041 reject * 192.168.10.0/24 * * *
# ip filter 1042 reject * 192.168.99.0/24 * * *
# ip filter 1043 pass * 192.168.1.105,192.168.1.254
# ip filter 1044 pass * 192.168.1.254
# ip filter 2000 pass * 192.168.1.0/24 icmp 0
# ip filter 3000 pass * * * * *
# ip filter 5000 pass * * * * *
# ip filter 200000 reject 10.0.0.0/8 * * * *
# ip filter 200001 reject 172.16.0.0/12 * * * *
# ip filter 200002 reject 192.168.0.0/16 * * * *
# ip filter 200003 reject 192.168.1.0/24,192.168.10.0/24 * * * *
# ip filter 200010 reject * 10.0.0.0/8 * * *
# ip filter 200011 reject * 172.16.0.0/12 * * *
# ip filter 200012 reject * 192.168.0.0/16 * * *
# ip filter 200013 reject * 192.168.1.0/24,192.168.10.0/24 * * *
# ip filter 200020 reject * * udp,tcp 135 *
# ip filter 200021 reject * * udp,tcp * 135
# ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
# ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
# ip filter 200024 reject * * udp,tcp 445 *
# ip filter 200025 reject * * udp,tcp * 445
# ip filter 200026 restrict * * tcpfin * www,21,nntp
# ip filter 200027 restrict * * tcprst * www,21,nntp
# ip filter 200030 pass * 192.168.1.0/24,192.168.10.0/24 icmp * *
# ip filter 200031 pass * 192.168.1.0/24,192.168.10.0/24 established * *
# ip filter 200032 pass * 192.168.1.0/24,192.168.10.0/24 tcp * ident
# ip filter 200033 pass * 192.168.1.0/24,192.168.10.0/24 tcp ftpdata *
# ip filter 200034 pass * 192.168.1.0/24,192.168.10.0/24 tcp,udp * domain
# ip filter 200035 pass * 192.168.1.0/24,192.168.10.0/24 udp domain *
# ip filter 200036 pass * 192.168.1.0/24,192.168.10.0/24 udp * ntp
# ip filter 200037 pass * 192.168.1.0/24,192.168.10.0/24 udp ntp *
# ip filter 200099 pass * * * * *
# ip filter 200100 pass * 192.168.1.254 tcp * 1723
# ip filter 200101 pass * 192.168.1.254 gre * *
# ip filter 500000 restrict * * * * *
# ip filter dynamic 301 * * filter 5000
# ip filter dynamic 200080 * * ftp
# ip filter dynamic 200081 * * domain
# ip filter dynamic 200082 * * www
# ip filter dynamic 200083 * * smtp
# ip filter dynamic 200084 * * pop3
# ip filter dynamic 200085 * * submission
# ip filter dynamic 200098 * * tcp
# ip filter dynamic 200099 * * udp
■□■ フィルターの適用 ■□■
# ip vlan1 secure filter in 3000
# ip vlan1 secure filter out 3000
# ip vlan2 secure filter in 2000 1043 1040 1042 3000 dynamic 301
# ip vlan2 secure filter out 3000 dynamic 301
# ip vlan3 secure filter in 2000 1044 1040 1041 3000 dynamic 301
# ip vlan3 secure filter out 3000 dynamic 301
■□■ 外向き(インターネット設定) ■□■
# pp select 1
# description pp [設定名(任意)]
# pp keepalive interval 30 retry-interval=30 count=12
# pp always-on on
# pppoe use lan2
# pppoe auto disconnect off
# pp auth accept pap chap
# pp auth myname [プロバイダーからのユーザーID] [パスワード]
# ppp lcp mru on 1454
# ppp ipcp ipaddress on
# ppp ipcp msext on
# ppp ccp type none
# ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200100 200101
# ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
# ip pp nat descriptor 1000
これらの設定を流し込むと一応要求は満たした。
注意:コンフィグ設定中にハマったことですが、疎通確認に接続したPCからPingを打って応答を見ていたのですが、icmpパケットの透過をし忘れてずっとPingが通らないコトで悩み続けていました。
もっと複雑な設定にも挑戦したいと思います。
参考HP
http://jp.yamaha.com/products/network/solution/security/lan_side/disjunction/
http://jp.yamaha.com/products/network/solution/security/lan_side/security-lan_side-divide_network-rtx1200/
