実家のネットワークに設置されている6台の中華製IPカメラを他の機器と分離するため、複数のVLANを設定してネットワークを再構築する。
現状のネットワーク構成
- ルータ: IX2215
- 無線AP: WLX313(IX2215のポート2:1.0に接続)
- PVEサーバ: IX2215のポート2:1.0に接続
- NVR500: IX2215のポート2:3.0および2:1.0に接続
- IPカメラ: 無線(802.11g)で接続
新規VLANの設定
新規VLANを以下のように設定する。
- VLAN10: 無線機器用(192.168.10.0/24)
- VLAN20: サーバ用(192.168.20.0/24)
- VLAN30: 予備(192.168.30.0/24)
- VLAN40: 中華製機器用(192.168.0.0/24)
- VLAN50: 管理用(192.168.50.0/24)
IPv6に関してもそれぞれサブネットを割り当てる。
PVEサーバおよびNVR500用のVLANインタフェース設定と移行
IX2215のVLANインタフェース設定
IX2215のGigaEthernet2:1にVLANを追加する。
GigaEthernet2:1.0に現在の家庭内LANが収容されている。このインタフェースに設定されている情報は一番最後にVLANインタフェースGigaEthernet2:1.4へ移動し、インタフェース自体をshutdownする。
この段階では、GigaEthernet2:1.2をVLAN20およびGigaEthernet2:1.5をVLAN50のように設定する。設定はマニュアルみれば特に難しいことはないと思われるのでここにわざわざ設定をのせることはしない。
PVEサーバのVLAN設定
PVEサーバでVLAN設定するのは実は初めてかも。「VLANインタフェースを作る→ブリッジインタフェースを作る→ブリッジインタフェースにVLANインタフェースを割り当てる」という方式がVMで利用しやすいとのことなのでこのやり方にする。
VLAN20とVLAN50用のインタフェースを設定し、VLAN50用のブリッジインタフェースにアドレスを割りあて、経路情報をちょいと変更してインタフェースを再起動すると、新アドレスでアクセスできるようになるはず。この時点で元のブリッジインタフェースからアドレスが削除できる。
PVE上のVMの設定変更
ここにはゲストがふたつあるのでそのアドレスをVLAN20のものに変更する。また、各種設定(例えばsyslogサーバがこのうちの一つなので、IX2215のsyslog設定の変更など)の変更を行っておく。
NVR500のVLAN設定
lan1の設定を削除し、lan1/1にvlanおよびIP関連の設定を行う。アドレスが変更になるので経路情報も変更しておくこと。
VLAN40の設定と移行
ここからはVLAN20に設定したルータアドレスに接続して作業を行う。
IX2215のipフィルター設定
この時点でipフィルターを設定しておく。特に重要なのは中華系機器から他の機器への通信に対して適切なアクセス権限を付与すること。
VLAN40の設定
GE2:1.0の設定を削除しshutdownしておく。つづいてGE2:1.4にそれらの情報を設定する。
確認作業
VLAN分割を実施した後、各機器の設定を見直して動作確認する。
コメント