私はこのガイドに従っています:
https://homenetworkguy.com/how-to/set-up-a-fully-functioning-home-network-using-opnsense/
これは、VLAN のスイッチ構成でタグ付きポートとタグなしポートがわからなくなるまで、非常に役立っていました。
潜在的な VLAN 構成は次のとおりです。
| 仮想LAN | IP | NIC ポート | スイッチポート | タグ付け | タグなし | ノート |
|---|---|---|---|---|---|---|
| 無線LAN | 192.168.1.1 | 0 | 1 | いいえ | はい | 専用LAN管理ポート |
| ユーザー | 192.168.10.1 | 1 | 2 | はい | いいえ | 他のすべてのVLANにアクセスできる |
| ゲスト | 192.168.20.1 | 3 | 3 | はい | いいえ | 不明なデバイスはここにルーティングされます。他のVLANにアクセスできません。 |
| モノのインターネット | 192.168.30.1 | 3 | 3 | はい | いいえ | 他のVLANにアクセスできない |
| IPカメラ | 192.168.40.1 | 3 | 3 | はい | いいえ | インターネットにアクセスできません。NASのUSERにアクセスできます |
| 仕事 | 192.168.50.1 | 2 | 4 | はい | いいえ | 他のVLANにアクセスできない |
WAP (古いルーター) を、VLAN トラフィックを想定するだけでなくタグ付けされるスイッチのポート 5 に追加する必要がありますか?
不明なデバイスがスイッチに接続されると、デフォルトで LAN に設定されますか? MAC アドレスがわかっている場合は、そのコンパニオン VLAN にルーティングされますか?
答え1
不明なデバイスがスイッチに接続されると、デフォルトで LAN になりますか?
デフォルトでは、「タグなし」として割り当てられたVLANが使用されます。そのポートで。
(スイッチに個別の「PVID」設定がある場合は、パケット送信済みデバイスによって送信され、スイッチによって受信されたVLANは、そのポートのPVIDとして設定されたVLANにデフォルト設定されますが、適切な動作のためには、各ポートのPVIDはいつもそのポートのタグなしVLANと一致します。
MAC アドレスがわかっている場合は、対応する VLAN にルーティングされますか?
いいえ、そのようには機能しません。VLANの割り当てはないMACアドレスに基づいて、またはデバイスが一般的に「知られている」かどうかに基づいていません1。通常、802.1Q VLANはスイッチポートに静的に割り当てられ、どれでも特定のスイッチ ポートに接続されたデバイスは常に同じ VLAN に接続されます。
OpnSense は VLAN 割り当てに影響を与えることはできません。できるのは、「この VLAN では不明」なデバイスへの IP アドレスの発行を完全に拒否することだけです。たとえば、Wi-Fi アクセス ポイントがトースターを「IOT」VLAN ではなく「USER」VLAN に配置する場合、OpnSense に DHCP リースの発行を拒否させることはできますが、デバイスを「IOT」VLAN に移動させることはできません。
1 MACベースのVLAN割り当ては技術的に可能性は十分あります。これは、TP-Link JetStream/Omada シリーズなど、より「エンタープライズ」寄りのスイッチや AP にのみ搭載されている機能です。通常は 802.1X (Wi-Fi の別名「WPA-Enterprise」) の一部として搭載されています。TL-SG108E では、せいぜい静的 802.1Q タグベースの VLAN しか実行できないため、この機能は搭載されていません。
タグ付きポートとタグなしポートがわからなくなってしまいました。
「タグ付き」と「タグなし」はそもそもポートには適用されません。代わりに適用されるのは各VLAN各ポートに – 例のように単一の列があるのではなく、マトリックスどのポートにどのVLANがタグ付けされているかを示す。同じVLANでも(通常は意思) は OpnSense ポートでは「タグ付け」されますが、別のポートでは「タグ付けなし」になります。
(「タグ付け」のポイントは、OpnSenseシステムに接続するポートなど、1つのポートで複数のVLANを同時に伝送できるようにすることです。ただし、デバイスはタグ付けを理解する必要があるため、通常はスイッチがOpnSenseからタグ付けされたVLANを受信し、それを次のように公開します。タグなし他のポートでは。
つまり、表の半分は意味をなしますが、残りの半分は意味をなしません。2つの別々の表が必要です。1つはのみVLAN ID の IP サブネット (および場合によっては OpnSense インターフェイス) への割り当て、およびスイッチ ポートへの VLAN 割り当てを説明する 2 番目のテーブル。例:
| インターフェース | VLANID | IP | ノート |
|---|---|---|---|
| 無線LAN | 1 | 192.168.1.1/24 | 専用LAN管理ポート |
| ユーザー | 2 | 192.168.10.1/24 | 他のすべてのVLANにアクセスできる |
| ゲスト | 3 | 192.168.20.1/24 | 他のVLANにアクセスできません |
| モノのインターネット | 4 | 192.168.30.1/24 | 他のVLANにアクセスできない |
| IPカメラ | 5 | 192.168.40.1/24 | インターネットにアクセスできません。NASのUSERにアクセスできます |
| 仕事 | 6 | 192.168.50.1/24 | 他のVLANにアクセスできない |
そして:
| スイッチポート | VLAN 1 (LAN) |
VLAN 2 (ユーザー) |
VLAN 3 (ゲスト) |
VLAN 4 (IoT) |
VLAN 5 (IPCAM) |
VLAN 6 (ワーク) |
|---|---|---|---|---|---|---|
| 1 (オプセンス) | タグなし | タグ付け | タグ付け | タグ付け | タグ付け | タグ付け |
| 2 (Windows PC) | - | タグなし | – | – | – | - |
| 4 (IPカメラ) | - | - | - | - | タグなし | - |
| 5 (安価な汎用AP) | - | - | タグなし | - | - | - |
| 6 (マルチSSID AP) | タグなし | タグ付け | タグ付け | タグ付け | - | - |
この例では、「タグ付き」VLANを持つポートは、理解するタグ付き VLAN を使用します (タグ付き VLAN を信頼できます)。その他すべてには、タグなしの VLAN (別名「アクセス ポート」) が 1 つだけ割り当てられます。
たとえば、OpnSense は 802.1Q VLAN タグを理解します。各「VLAN」インターフェースはタグに対応しており、これは Linux デバイスでも同様です。一方、Windows PC は一般にタグ付き VLAN をうまく処理できません (Hyper-V を実行している場合を除く)。または高度なドライバーを備えた「サーバーグレード」の NIC を搭載しています。
スイッチに「PVID」設定がある場合、送信パケットと受信パケットの対称性を保つために、各ポートの PVID はそのポートのタグなし VLAN の ID と一致する必要があります。(スイッチは、VLAN タグのないパケットを受信すると、そのパケットが「PVID」VLAN に属していると想定します。これは、「タグなし」VLAN からパケットを送信する場合とまったく逆です。)