今回の記事では自宅ネットワーク環境の改善を試した話をしてみます。ルーターの性能強化やセキュリティの強化といった観点で構築しています。
使用した機器や作業の流れを記載しておくので、同じようなことを試す予定がある方、検討している方の助けになれば幸いです。
Contents
ネットワーク構成
以前のネットワーク構成
現在のネットワーク構成
行った作業
ルーターの性能強化
ルーターの性能強化と設定の自由度のため、ルーター(RTX830)とL2SW(SWX2210-8G)の導入をしました。
とりあえず自分の用途に事足りる機能がありそうかで選択しています。結果やりたいことに対してオーバースペックになってしまった感は否めないですが、大は小を兼ねるので良しとします。
ルーターを選ぶ際には以下の内容を確認しました。特に一番上の項目が対応してなかったら大問題(手動で設定する必要がある)なのですが、YAMAHAの場合ドキュメント記載があったので安心できます。
- ビッグローブ光のV6オプション対応
- 1000BASE-T ~
- VLAN機能(ポートベースVLAN)
- パケットフィルタ
- その他コマンドで自由に構成をいじれること
次にスイッチを選ぶ際には以下の機能を持っていることを要件としました。ルーターの決定後だったため、一つの管理画面で設定できるYAMAHAで絞ってます。
- 1000BASE-T ~
- タグVLAN
- マルチプルVLAN
- ACL
機器の導入後、以下のような構成になりました。このタイミングではネットワークの分割をしていないため、すべての機器が相互に通信可能な状態です。
サーバーに固定IPを設定
次にサーバ用のPCに固定IPを割り振っていきます。ここでは詳細に触れませんがサーバー用PCにはUbuntu Server 24.04 LTSがインストールされています。
固定IPの割り振りはルーター側でコマンドを使って行いました。まずDHCP設定で固定IP用のIP割り当て設定を行い、その範囲のIPアドレスに対してサーバーPCをbindします。
以下のようなコマンドでDHCPのアドレス範囲をいじることで、192.168.100.2-192.168.100.51/24の範囲はDHCPで割り振られなくなり、固定IPで使いやすい状態になります。
dhcp scope lease type 1 bind-only
dhcp scope 1 192.168.100.2-192.168.100.51/24
dhcp scope 2 192.168.100.102-192.168.100.151/24参考: https://www.rtpro.yamaha.co.jp/RT/manual/rt-common/dhcp/dhcp_scope_lease_type.html
参考: https://www.rtpro.yamaha.co.jp/RT/manual/rt-common/dhcp/dhcp_scope.html
次にサーバーPCのMACアドレス、もしくはクライアントIDを確認します。自分の場合はshow dhcp statusコマンドで対象ホストのクライアントIDを確認しました。確認出来たら最後にDHCPに対して固定IPを割り振る対象としてサーバーPCを登録します。
例えば以下のようなコマンドで登録できます。
dhcp scope bind 1 192.168.100.2 ff aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa参考: https://www.rtpro.yamaha.co.jp/RT/manual/rt-common/dhcp/dhcp_scope_bind.html
ここまで完了したら固定IPが設定されていることを一回確認しましょう。とりあえずSSHだかtelnetだかでサーバー内に入れることを確認すればよい気がします。
余談ですが、おうちのテレビ君が勝手に192.168.100.2を持っていくため、だいぶ苦労しました。IP掴んで離さない現象が割と起こるらしいので注意してください。
仕事用ネットワークをネットワーク分離
仕事用ネットワークのネットワーク分離にはマルチプルVLANを使用しました。ネットワークを分離せずに相互アクセスを遮断できるため、だいぶお手軽に設定できます。ただ初期状態ではどのグループからでもルーターの管理画面に入れてしまうようなので、その点だけアクセスの遮断やパスワード設定など気を付けてください。
各ポートは以下のように接続されています。
- RTX830(ルーター)
- サーバーPC
- メインPC
- 無線AP(スマホ、ゲーム類)
- 仕事用PC(のハブ)
マルチプルVLANでやりたいことは以下です。
- サーバーPCとメインPCの接続は通す
- サーバーPCと無線APの接続は通す
- 仕事用PCは内部アクセスさせない
上を満たすため設定は以下のようにしていきます。
switch select (SWX2210のMACアドレス)
switch control function set vlan-multiple-use on
# サーバーPCとメインPCの接続は通す(グループ1)
switch control function set vlan-multiple 1 1 join
switch control function set vlan-multiple 2 1 join
switch control function set vlan-multiple 3 1 join
# サーバーPCと無線APの接続は通す(グループ2)
switch control function set vlan-multiple 1 2 join
switch control function set vlan-multiple 2 2 join
switch control function set vlan-multiple 4 2 join
# 仕事用PCは内部アクセスさせない(グループ3)
switch control function set vlan-multiple 1 3 join
switch control function set vlan-multiple 5 3 join参考: https://network.yamaha.com/setting/router_firewall/switch_control/switch_swx-command/multiple_vlan
またまた余談ですが、ポートベースVLAN/タグVLANなどについては今回選択肢に入りませんでした(というか、入れることができませんでした)。理由としては光回線を光電話なしで契約しているためです。
光電話なしの場合はRA広告という方法でIPv6アドレスが降ってくるのですが、ネットワーク一個分(/64)だけ降ってくるため、一つのネットワーク以外がIPv6通信できなくなってしまいます。やりようはあるのかもしれませんが、設定が複雑になると思われるため考えません。
光電話あり(もしくは10Gbps回線)の場合はDHCPv6-PDという異なる方法で/56 ~ /63のIPv6アドレスが割り当てられるため、複数のネットワークにIPv6アドレスを広告することが可能になります。そのため、タグVLAN/ポートベースVLANといった方法を取りつつIPv6対応したい場合は、諦めて光電話契約を入れた方がラクかと思います。
(参考)https://www.rtpro.yamaha.co.jp/RT/docs/ipoe/index.html#setting3
※もしかすると上記の内容はプロバイダや契約により異なるかもしれません
この時点では以下のような構成になっています。これにより仕事用のネットワークとプライベート用のネットワークが分割できました(本当はタグVLANで分割したかった…)
最後に
ここまでで仕事用ネットワークとプライベート用ネットワークの単純な分割までできるようになりました。だいぶ小手先でやってしまった気がするので、他よさげな方法があれば教えてください。その他質問、相談、指摘などお待ちしてます。
