実家のネットワークに設置されている 6 台の中華製 IP カメラを他の機器と分離するため、複数の VLAN を設定してネットワークを再構築する。
現状のネットワーク構成
- ルータ: IX2215
- 無線AP: WLX313(IX2215 のポート 2:1.0 に接続)
- PVEサーバ: IX2215 のポート 2:1.0 に接続
- NVR500: IX2215 のポート 2:3.0 および 2:1.0 に接続
- IPカメラ: 無線(802.11g)で接続
新規VLANの設定
新規VLANを以下のように設定する。
- VLAN10: 無線機器用(192.168.10.0/24)
- VLAN20: サーバ用(192.168.20.0/24)
- VLAN30: 予備(192.168.30.0/24)
- VLAN40: 中華製機器用(192.168.0.0/24)
- VLAN50: 管理用(192.168.50.0/24)
IPv6 に関してもそれぞれサブネットを割り当てる。
PVE サーバおよび NVR500 用の VLAN インタフェース設定と移行
IX2215 の VLAN インタフェース設定
IX2215 の GigaEthernet2:1 に VLAN を追加する。
GigaEthernet2:1.0 に現在の家庭内 LAN が収容されている。このインタフェースに設定されている情報は一番最後に VLAN インタフェース GigaEthernet2:1.4 へ移動し、インタフェース自体を shutdown する。
この段階では、GigaEthernet2:1.2 を VLAN20 および GigaEthernet2:1.5 を VLAN50 のように設定する。設定はマニュアルみれば特に難しいことはないと思われるのでここにわざわざ設定をのせることはしない。
PVE サーバの VLAN 設定
PVE サーバで VLAN 設定するのは実は初めてかも。「VLAN インタフェースを作る→ブリッジインタフェースを作る→ブリッジインタフェースに VLAN インタフェースを割り当てる」という方式が VM で利用しやすいとのことなのでこのやり方にする。
VLAN20 と VLAN50 用のインタフェースを設定し、VLAN50 用のブリッジインタフェースにアドレスを割りあて、経路情報をちょいと変更してインタフェースを再起動すると、新アドレスでアクセスできるようになるはず。この時点で元のブリッジインタフェースからアドレスが削除できる。
PVE 上の VM の設定変更
ここにはゲストがふたつあるのでそのアドレスを VLAN20 のものに変更する。また、各種設定(例えばsyslog サーバがこのうちの一つなので、IX2215 の syslog 設定の変更など)の変更を行っておく。
NVR500 の VLAN 設定
lan1 の設定を削除し、lan1/1 に vlan および IP 関連の設定を行う。アドレスが変更になるので経路情報も変更しておくこと。
VLAN40 の設定と移行
ここからは VLAN20 に設定したルータアドレスに接続して作業を行う。
IX2215 の ip フィルター設定
この時点で ip フィルターを設定しておく。特に重要なのは中華系機器から他の機器への通信に対して適切なアクセス権限を付与すること。
VLAN40 の設定
GE2:1.0 の設定を削除し shutdown しておく。つづいて GE2:1.4 にそれらの情報を設定する。
確認作業
VLAN 分割を実施した後、各機器の設定を見直して動作確認する。
コメント