新しい VLAN を定義する
新しい VLAN を作成する前に、次に説明されている VLAN のすべての概念と制限について理解してください:仮想ローカル エリア ネットワーク (VLAN) について。
このトピックでは、以下を行う方法について説明します。
- VLAN を構成する
- VLAN で DHCP を使用する
- VLAN で DHCP 中継を構成する
- イントラ VLAN トラフィックにファイアウォール ポリシーを適用する
- 外部インターフェイスの VLAN に対してネットワークの設定を構成する
- VLAN で IPv6 を有効にする
- VLAN セカンダリ IP アドレスを構成する
- スパニング ツリー プロトコルを有効化する
- VLAN インターフェイスの 802.1p マーキングを有効化する
Fireware Web UI で VLAN を構成する場合は、少なくとも 1 つの VLAN インターフェイスの VLAN タグ設定を選択する必要があります。VLAN を作成する前に、少なくとも 1 つのインターフェイスを VLAN インターフェイスとして構成する必要があります。
- ネットワーク > インターフェイス の順に選択します。
- VLAN スイッチに接続したインターフェイスを選択します。編集 をクリックします。
- インターフェイスの種類ドロップダウン リストから、VLAN を選択します。
- 保存 をクリックします。
- ネットワーク > VLAN の順に選択します。
既存のユーザー定義の VLAN およびその設定のリストを含む VLAN ページが表示されます。
インターフェースのリストからネットワーク インターフェースを構成することもできます。
- 追加 をクリックします。
VLAN 設定 ページが表示されます。
- 名前 テキスト ボックスにて、VLAN の新しい名を入力します。名前にスペースは使用できません。
- (任意) 説明 テキスト ボックスに、VLAN の説明を入力します。
- VLAN ID テキスト ボックスで、VLAN の値を入力または選択します。
- セキュリティゾーン テキスト ボックスで、信頼済み、任意、カスタム、または 外部 を選択します。
セキュリティゾーンは、インターフェイス セキュリティゾーンのエイリアスに対応します。たとえば、信頼済み の種類の VLAN は、送信元または宛先としてエイリアス Any-Trusted を使用するポリシーで使用されます。 - IP アドレス テキスト ボックスに、VLAN ゲートウェイのアドレスを入力します。
この新しい VLAN のすべてのコンピュータは、この IP アドレスを既定のゲートウェイとして使用する必要があります。 - 各インターフェイスの VLAN タグ設定を選択する リストから、1 つまたは複数のインターフェイスを選択します。
- トラフィックの選択 ドロップダウン リストから、選択されたインターフェイスに適用するオプションを選択します:
- タグ付きトラフィック — インターフェイスはタグ付きトラフィックを送信または受信します。
- タグなしトラフィック — インターフェイスはタグなしトラフィックを送信または受信します。
- トラフィックなし — この VLAN 構成からインターフェイスを削除します。
- 保存 をクリックします。
イントラ VLAN トラフィックの設定の詳細については、本ページのイントラ VLAN トラフィックにファイアウォール ポリシーを適用するセクションを参照してください。
Policy Manager で VLAN を構成する
Policy Manager で、インターフェイスをその VLAN のメンバーとして構成する前に、VLAN を作成する必要があります。Policy Manager の VLAN 構成の設定には、VLAN のメンバーであるインターフェイスのリストは含まれません。
- ネットワーク > 構成 の順に選択します。
ネットワーク構成ダイアログ ボックスが表示されます。 - VLAN タブを選択します。
既存のユーザー定義の VLAN およびその設定の表が表示されます。
- 追加 をクリックします。
新しい VLAN 構成 ダイアログ ボックスが表示されます。
- 名前 (エイリアス) テキスト ボックスに、VLAN の名前を入力します。
- (任意) 説明 テキスト ボックスに、VLAN の説明を入力します。
- VLAN ID テキスト ボックスで、VLAN の値を入力または選択します。
- セキュリティゾーン テキスト ボックスで、信頼済み、任意、カスタム、または 外部 を選択します。
セキュリティ ゾーンは、インターフェイス セキュリティ ゾーンのエイリアスに対応します。たとえば、信頼済み の種類の VLAN は、送信元または宛先としてエイリアス Any-Trusted を使用するポリシーで使用されます。 - IP アドレス テキスト ボックスに、VLAN ゲートウェイのアドレスを入力します。
この新しい VLAN のすべてのコンピュータは、この IP アドレスを既定のゲートウェイとして使用する必要があります。
イントラ VLAN トラフィックの設定の詳細については、本ページのイントラ VLAN トラフィックにファイアウォール ポリシーを適用するセクションを参照してください。
VLAN を作成したら、インターフェイスを VLAN のメンバーとして構成することができます。詳細については、次を参照してください:インターフェイスを VLAN に割り当てる
VLAN のメンバーであるインターフェイスを見分ける
VLAN タブで、VLAN 構成の概要および VLAN のメンバーであるインターフェイスのリストを表示することができます。
VLAN タブの インターフェイス 列の番号により、この VLAN のメンバーである物理インターフェイスを見分けることができます。太字のインターフェイス番号は、VLAN にタグなしデータを送信するインターフェイスを示します。
VLAN で DHCP を使用する
信頼済み、任意、またはカスタム セキュリティゾーンの VLAN の場合は、VLAN ネットワークのコンピュータの DHCP サーバーとして Firebox を構成することができます。
- VLAN 設定で、ネットワーク タブを選択します。
- DHCP モード ドロップダウン リストから、DHCP サーバー を選択します
- (任意) DHCP クライアントに提供する ドメイン名 を入力します。
- 既定のリース時間を変更するには、リース時間 テキスト ボックスに数字を入力または選択して、ドロップダウン リストで単位を指定します。
これは、DHCP サーバーから受信した IP アドレスを DHCP クライアントで使用できる期間です。リースの期限が終了しようとしている場合、クライアントは新しいリース時間を取得する要求を DHCP サーバーに送信します。 - IP アドレス プールを追加するには、アドレス プール セクションで 追加 をクリックします。
- 開始 IP および 終了 IP テキスト ボックスに、プールの最初と最後の IP アドレスを入力します。
アドレス プールの範囲を最大 6 つまで設定できます。 - クライアントに特定の IP アドレスを予約するには、予約済みアドレス セクションで、追加 をクリックします。
- デバイスの IP アドレス、予約名、MAC アドレス を入力します。OK をクリックします。
- DHCP 構成に DNSまたは WINS サーバーを追加するには、リストのすぐ隣にあるテキスト ボックスに、サーバー アドレスを入力します。追加 をクリックします。
- リストからサーバーを削除するには、リストでサーバーを選択して、削除 をクリックします。
- DHCP オプションを構成するには、DHCP オプション をクリックします。
- (Fireware v12.1.1 以降) 既定では、Firebox の IP アドレスは既定のゲートウェイです。別の IP アドレスを既定のゲートウェイとして指定するには、指定 を選択して IP アドレスを入力します。
- 新しい VLAN 構成 ダイアログ ボックスで、DHCP サーバーを使用する を選択します。
- IP アドレス プールを追加するには、アドレス プール セクションで、追加 をクリックして、分配用として割り当てられている最初と最後の IP アドレスを入力します。OK をクリックします。
アドレス プールの範囲を最大 6 つまで設定できます。 - クライアントに特定の IP アドレスを予約するには、予約済みアドレス セクションで、追加 をクリックします。予約の 予約名、予約する IP アドレス、およびクライアントのネットワーク カードの MAC アドレス を入力します。OK をクリックします。
- 既定のリース時間を変更するには、リース時間 ドロップダウン リストから別の時間間隔を選択します。
これは、DHCP サーバーから受信した IP アドレスを DHCP クライアントで使用できる期間です。リースの期限が終了しようとしている場合、クライアントは新しいリース時間を取得する要求を DHCP サーバーに送信します。 - DHCP 構成に DNS または WINS サーバーを追加するには、DNS/WINS サーバーを構成する をクリックします。
- (任意) DNS/WINS 設定で、DHCP クライアントに提供する ドメイン名 を入力します。
- DHCP オプションを構成するには、DHCP オプション をクリックします。
- (Fireware v12.1.1 以降) 既定では、Firebox の IP アドレスは既定のゲートウェイです。別の IP アドレスを既定のゲートウェイとして指定するには、指定 を選択して IP アドレスを入力します。
インターフェイスごとの DNS/WINS および DHCP オプションの詳細については、次を参照してください: IPv4 DHCP サーバーを構成する。
VLAN で DHCP 中継を使用する
- ネットワーク タブの DHCP モード ドロップダウン リストから、DHCP 中継 を選択します。
- 最大 3 つの DHCP サーバーの IP アドレスを追加することができます。
- 新しい VLAN 構成 ダイアログ ボックスで、DHCP 中継を使用する を選択します。
- 最大 3 つの DHCP サーバーの IP アドレスを追加することができます。
必要に応じて、DHCP サーバーへのルートを追加します。
DHCP 中継の詳細については、次を参照してください: DHCP 中継を構成する。
イントラ VLAN トラフィックにファイアウォール ポリシーを適用する
同じ VLAN のメンバーとして、複数の Firebox インターフェイスを構成することができます。この種類の構成の例については、次を参照してください: 2 つのインターフェースをブリッジする 1 つの VLAN を構成する。
ローカル インターフェイス間の VLAN トラフィックにファイアウォール ポリシーを適用するには、イントラ VLAN トラフィックにファイアウォール ポリシーを適用するチェックボックスを選択します。
イントラ VLAN トラフィックは、同じ VLAN を宛先とする VLAN トラフィックです。この機能を有効にすると、Firebox によって、同じ VLAN 上のホスト間でファイアウォールを通過するトラフィックに対してポリシーが適用されます。イントラ VLAN トラフィックにポリシーを適用する場合は、送信元と宛先の間に代替パスがないことを確認してください。ファイアウォール ポリシーを適用するには、VLAN トラフィックが Firebox を通過する必要があります。
外部 VLAN インターフェイスでは、この設定を有効にする必要があります。そうすれば、Firebox が以下を実行することができます。
- 受信したトラフィックおよび同じ外部 VLAN インターフェイスから送信されたトラフィックに、ポリシーベースのルーティングと VPN トンネル ルートを適用する。
- 受信したトラフィックおよび同じ外部 VLAN インターフェイスから送信されたトラフィックに、ファイアウォール ポリシーと NAT を適用する。
イントラ VLAN ポリシーは、IP アドレス別、ユーザー別、またはエイリアス別に適用されます。イントラ VLAN トラフィックが定義済みのポリシーに一致しない場合、そのトラフィックは未処理のパケットとして拒否されます。イントラ VLAN 非 IP パケットはが許可されます。
Fireware v12.1.1 以降では、新しい外部 VLAN インターフェイスのこの設定は既定で有効です。
外部インターフェイスの VLAN に対してネットワーク設定を構成する
外部インターフェイスで VLAN を構成する場合、VLAN が外部 IP アドレスを取得する方法を設定する必要があります。
- VLAN 設定 タブの セキュリティゾーン ドロップダウン リストから、外部 を選択します。
- ネットワーク タブを選択します。
- 構成モード ドロップダウン リストから、静的 IP、DHCP、または PPPoE を選択します。
- 他の外部インターフェイスに対して使用するのと同じ方法で、ネットワークの設定を構成します。
詳細については、外部インターフェイスを構成する を参照してください。
- セキュリティ ゾーン ドロップダウン リストから 外部 を選択します。
- オプションを選択します: 静的 IP を使用する、DHCP クライアントを使用する、または PPPoE を使用する。
- 他の外部インターフェイスに対して使用するのと同じ方法で、ネットワークの設定を構成します。
詳細については、外部インターフェイスを構成する を参照してください。
VLAN で IPv6 を有効にする
VLAN インターフェイスで IPv6 を有効にするには、以下の手順を実行します:
- IPv6 タブを選択します。
- IPv6 を有効化する チェックボックスを選択します。
- IPv6 ネットワーク設定を、他のインターフェイスと同じ手順で構成します。
IPv6 設定を構成する方法の詳細については、次を参照してください:
VLAN セカンダリ IP アドレスを構成する
- セカンダリ タブを選択します。
- セカンダリ ネットワーク(secondary network)に属する未割り当てのホスト IP アドレスをスラッシュ表記で入力します。
- 追加 をクリックします。
- セカンダリ タブを選択します。
- 追加 をクリックします。
- セカンダリ ネットワークに属する、未割り当てのホスト IP アドレスを入力します。
- OK をクリックします。
セカンダリ インターフェイス IP アドレスの詳細については、次を参照してください: セカンダリ ネットワーク IP アドレスを追加する。
スパニング ツリー プロトコルを有効化する
一部の VLAN 構成では、スパニング ツリー プロトコルを有効にすることができます。すべての VLAN 構成がサポートされているわけではありません。スパニング ツリー プロトコルの詳細については、スパニング ツリー プロトコルについて を参照してください。
既定のスパニング ツリー プロトコル設定を変更するには、Fireware Command Line Interface (CLI) を使用する必要があります。既定のスパニング ツリー プロトコル設定の詳細については、CLI でスパニング ツリー プロトコルの設定を構成する を参照してください。
Web UI でスパニング ツリー プロトコルを有効にするには、以下の手順を実行します:
- ブリッジ プロトコル タブをクリックします。
- スパニング ツリー プロトコルを有効化する を選択します。
- 保存 をクリックします。
Policy Manager でスパニング ツリー プロトコルを有効にするには、以下の手順を実行します:
- ブリッジ プロトコル タブをクリックします。
- スパニング ツリー プロトコルを有効化する を選択します。
- 保存 をクリックします。
VLAN インターフェイスの 802.1p マーキングを有効化する
Fireware v12.7 以降では、Firebox の VLAN インターフェイスで 802.1p の優先度付け (タグ付け) を有効にすることができます。
802.1p は、MAC レイヤ (レイヤ 2) で動作する QoS (Quality of Service)/CoS (Class of Service) 方式です。802.1p に対応した機器では、イーサネット フレームの優先度を示す値の追加、および認識を行うことができます。802.1p を有効にすることで、VoIP などのレイテンシーの影響を受けやすいリアルタイム通信において、高品質を確保することができます。
802.1p マーキングの詳細情報については、次を参照してください:VLAN インターフェイスの 802.1p マーキングについて。
802.1p マーキングを有効にするには、Fireware Web UI で以下の手順を実行します。
- ネットワーク > VLAN の順に選択します。
- 既存の VLAN インターフェイスを選択して、編集 をクリックします。
- ブリッジ プロトコル タブを選択します。
- レイヤ 2 フレームで 802.1p 優先度のタグ付けを有効にする チェックボックスを選択します。
802.1p マーキングを有効にするには、Policy Manager で以下の手順を実行します。
- ネットワーク > 構成 > VLAN の順に選択します。
- 既存の VLAN インターフェイスを選択して、編集 をクリックします。
- ブリッジ プロトコル タブを選択します。
- レイヤ 2 フレームで 802.1p 優先度のタグ付けを有効にする チェックボックスを選択します。
次のステップ
この VLAN を保存する前に、インターフェイスを VLAN に割り当てる。