2 つのインターフェースをブリッジする 1 つの VLAN を構成する

Firebox の 2 つのインターフェイスをブリッジする VLAN を構成することができます。組織が複数の場所に分散している場合は、2つのインターフェースをブリッジして1つのVLANを追求することでしょう。例えば、ネットワークが同じビルの1階と2階にあるとします。1階のいくつかのコンピューターは、2階の複数のコンピューター同様に 同じ機能を持ったグループに属するとします。これらのコンピューターを1つのブロードキャストドメインにまとめたることにします。そうすることで、献身的なファイルサーバーであるLAN、共有ファイルに基づいたホスト、プリンタターや他のネットワークアクセサリーなどがより簡易にリソースを共有することができりようになります。

この例は、2 つの 802.1Q スイッチの接続方法を示しています。こうすることで、両方のスイッチが、同じ VLAN から同じ Firebox の 2 つのインターフェイスにトラフィックを送信することができるようになります。

このトピックの VLAN アーキテクチャの図このダイアグラムでは、スイッチAはインターフェース3に接続され、スイッチBは、インターフェース4に接続されています。

この例では、2 つの 802.1Q スイッチが Firebox のインターフェイス 3 と 4 に接続されており、同じ VLAN からのトラフィックを伝達します。

Firebox で VLAN を定義する

Firebox で、インターフェイス 3 および 4 からのタグ付き VLAN トラフィックを処理するように VLAN10 を構成します。

  1. ネットワーク > 構成 の順に選択します。
  2. VLAN タブを選択します。
  3. 追加 をクリックします。

    新しい VLAN 構成 ダイアログ ボックスが表示されます。
  4. 名前 (エイリアス) テキスト ボックスに、VLAN の名前を入力します。この例では、VLAN10 と入力します。
  5. 説明 テキスト ボックスに、説明を入力します。この例では、会計 と入力します。
  6. [VLAN ID]テキスト ボックスに、スイッチの VLAN のために構成された VLAN 番号を入力します。この例では、10 と入力します。
  7. セキュリティ ゾーン ドロップダウン リストからセキュリティ ゾーンを選択します。この例では、信頼済み を選択します。
  8. IP アドレス テキスト ボックスに、この VLAN の Firebox で使用する IP アドレスを入力します。この例では、192.168.10.1/24 と入力します。

既定のゲートウェイとしてどのコンピューターもこの新しいVLANでは、このIPアドレスを使用しなければいけません。

  1. (任意)VLAN 10 のコンピュータの DHCP サーバーとして機能するように Firebox を構成するには、以下の手順を実行します:
  • DHCP サーバーを使用する を選択します。
  • アドレス プール リストの右側にある 追加 をクリックします。
  • この例では、開始アドレス のテキスト ボックスに 192.168.10.10 と入力し、終了アドレス のテキスト ボックスに 192.168.10.20 と入力します。

この例で設定したVLAN10 の構成は以下のようになります。

[ネットワーク構成] ダイアログ ボックス、[VLAN] タブ(VLAN10を構成済み)のスクリーンショット

  1. OK をクリックして新しい VLAN を追加します。
  2. Firebox のインターフェイス 3 と 4 を新しい VLAN のメンバーとするには、インターフェイス タブを選択します。
  3. インターフェイス 3 を選択します。構成 をクリックします。
    インターフェイス設定 ダイアログ ボックスが表示されます。

Screen shot of General tab in Interface Settings dialog box

  1. インターフェイスの種類ドロップダウン リストから、VLAN を選択します。
  2. 選択したVLAN へのタグ付きトラフィックを送受信する チェックボックスを選択します。
  3. メンバーの列で、VLAN10へのチェックボックスを選択します。OK をクリックします。
  4. インターフェイス4 を選択します。構成 をクリックします。
    インターフェイス設定 ダイアログ ボックスが表示されます。

Screen shot of General tab in Interface Settings dialog box

  1. インターフェイスの種類ドロップダウン リストから、VLAN を選択します。
  2. 選択したVLAN へのタグ付きトラフィックを送受信する チェックボックスを選択します。
  3. メンバーの列で、VLAN10へのチェックボックスを選択します。OK をクリックします。
  4. VLAN タブを選択します。

[ネットワーク構成] ダイアログ ボックス、[VLAN] タブのスクリーンショット

  1. VLAN10 の インターフェース の列は、インターフェース3 と 4を表示しています。
  2. 構成をデバイスに保存します。
  1. ネットワーク > インターフェイス の順に選択します。
  2. インターフェイス 3 を選択します。編集 をクリックします。
  3. [インターフェイスの名前] (エイリアス) テキスト ボックスに、名前を入力します。例、vlanfloor1を入力します。
  4. インターフェイスの種類ドロップダウン リストから、VLAN を選択します。

インターフェースの設定ページのスクリーンショット

  1. 保存 をクリックします。
  2. 同じ手順を繰り返して、インターフェイス 4 を VLAN インターフェイス(vlanfloor2 と呼ばれる)として構成します。
  3. ネットワーク > VLAN の順に選択します。
  4. 追加 をクリックします。
  5. 名前 テキスト ボックスにて、VLAN の新しい名を入力します。この例では、VLAN10 と入力します。
  6. 説明 テキスト ボックスに、説明を入力します。この例では、会計 と入力します。
  7. [VLAN ID]テキスト ボックスに、スイッチの VLAN のために構成された VLAN 番号を入力します。この例では、10 と入力します。
  8. セキュリティ ゾーン ドロップダウン リストからセキュリティ ゾーンを選択します。この例では、信頼済み を選択します。
  9. IP アドレス テキスト ボックスに、この VLAN の Firebox で使用する IP アドレスを入力します。この例では、192.168.10.1/24 と入力します。
  10. インターフェイスのリストから、両方のインターフェイスを選択します。
  11. トラフィックの選択 ドロップダウン リストから、タグ付きトラフィック を選択します。

[IPS 構成] ページのスクリーンショット

  1. 保存 をクリックします。

この VLAN の一部である 2 つのネットワーク間のトラフィックにファイアウォール ポリシーを適用するには、VLAN 構成で イントラ VLAN トラフィックにファイアウォール ポリシーを適用する チェックボックスを選択します。詳細については、新しい VLAN を定義する を参照してください。

スイッチを設定します。

Firebox のインターフェイス 3 と 4 に接続される各スイッチを構成します。スイッチの設定方法についての詳細は、スイッチの製造業者のガイドを参照してください。

Firebox に接続されるスイッチ インターフェイスを構成する

スイッチ インターフェイスと Firebox インターフェイス間の物理セグメントは、タグ付きデータ セグメントとなります。このセグメントを通るトラフィックには、802.1Q VLAN タグ付けが使用されている必要があります。

いくつかのスイッチ製造業者は、インターフェースの設定をトランクポート、あるいはトランクインターフェースを参照します。

各スイッチにおいて、Firebox に接続されるスイッチ インターフェイスに以下を実行します:

  • Spanning Tree プロトコールを無効にする。
  • VLAN10 のメンバーになるためにインターフェースを設定します。
  • VLAN10 タグでトラフィックを送信するインターフェースを設定します。
  • スイッチに必要であれば、スイッチモードをトランクに設定します。
  • スイッチに必要であれば、カプセル モードを 802.1Q に設定します。

他のスイッチインターフェースを設定します

他の各インターフェイスと、接続されているコンピュータ (または他のネットワークデバイス) との間の物理セグメントは、タグなしのセグメントです。これらのセグメントに送信されるフローには、VLAN タグがありません。

各スイッチ上の、コンピュータをスイッチに接続するスイッチ インターフェイス

  • VLAN10 のメンバとするようにスイッチ インターフェイスを構成します。
  • スイッチ インターフェイスを構成して、VLAN10 にタグなしトラフィックを送信します。

すべてのデバイスを物理的に接続します。

  1. イーサネット ケーブルを使用して、Firebox インターフェイス 3 を、VLAN10 (スイッチ A の VLAN トランク インターフェイス) のタグを付けるように構成したスイッチ A インターフェイスに接続します。
  2. イーサネット ケーブルを使用して、Firebox インターフェイス 4 を、VLAN10 (スイッチ B の VLAN トランク インターフェイス) のタグを付けるように構成したスイッチ B インターフェイスに接続します。
  3. VLAN10 のタグなしトラフィックを送信するように構成したスイッチ A のインターフェイスに、コンピュータを接続します。
  4. 接続されているコンピュータのネットワーク設定を構成します。Firebox の VLAN を定義する のステップ 9 で説明されているように、Firebox を VLAN10 上のコンピュータの DHCP サーバーとして機能するように構成するかどうかにより、設定が異なります。
  • Firebox を VLAN10 のコンピュータの DHCP サーバーとして機能するよう構成する場合は、DHCP を使用して IP アドレスを自動的に取得するようにコンピュータを構成してください。上記の手順 9 の VLAN を定義する を参照してください。
  • Firebox を VLAN10 のコンピュータの DHCP サーバーとして機能するように構成しない場合は、VLAN サブネット 192.168.10.x の IP アドレスを使用してコンピュータを構成してください。サブネット マスク 255.255.255.0 を使用して、コンピュータの既定のゲートウェイを Firebox VLAN IP アドレス 192.168.10.1 に設定します。
  1. 前の 2 つのステップを繰り返して、コンピュータをスイッチ B に接続します。

接続をテストします。

これらの手順を完了した後、スイッチ A に接続されているコンピュータとスイッチ B に接続されているコンピュータは、同じ物理ローカル エリア ネットワークに接続されているかのように通信できます。接続をテストするには、次の手順に従います。

  • スイッチ A に接続されているコンピュータからスイッチ B に接続されているコンピュータへの Ping
  • スイッチ B に接続されているコンピュータからスイッチ A に接続されているコンピュータへの Ping