届いた。
環境
EdgeRouter X
- 新たにVLANを3つ作成(1,10,53)
- VLAN1は管理用VLANとして定義
- この記事では
192.168.0.0/24として定義
- この記事では
- VLAN10はゲストネットワークとして定義
- この記事では
192.168.10.0/24として定義
- この記事では
- VLAN53はゲストネットワークとして定義
- この記事では
192.168.53.0/24として定義
- この記事では
Cisco WAP125
- SSIDを設定
- ゲストWi-fiのVLANを53に
- プライベートwi-fiのVLANを10に
- 管理用VLAN1をタグ付きで設定すると、通信速度が1Mbpsを切る現象が発生する。
やったこと
- SSIDを複数たてて、VLANでネットワーク分割+ゲスト認証
- VLANの数だけDHCPの設定
まだやれてないこと
- IEEE802.1X/EAP-TLS
構築にハマったところ
- EdgeRouterのVLANの設定が少しややこしかった。
- pvidとvidがあり、 pvidはポートVLANのID、 vidはタグVLANのIDを指している。
- 管理用VLAN1はpvidで設定し、外のVLANはvidで設定する。
config
今回変更した部分や関係あるところのみ抜粋
EdgeRouter
switchの部分
- switch0にはaddressは付与せず、vifに付与する
- switch-portにて、各interfaceに
pvid 1を設定し、vif 1に向ける
delete interfaces switch switch0 address '192.168.0.1/24' set interfaces switch switch0 description 'Local' set interfaces switch switch0 mtu '1500' set interfaces switch switch0 switch-port interface eth1 vlan pvid '1' set interfaces switch switch0 switch-port interface eth2 vlan pvid '1' set interfaces switch switch0 switch-port interface eth3 vlan pvid '1' set interfaces switch switch0 switch-port interface eth4 vlan pvid '1' set interfaces switch switch0 switch-port interface eth4 vlan vid '53' set interfaces switch switch0 switch-port interface eth4 vlan vid '10' set interfaces switch switch0 switch-port vlan-aware 'enable' set interfaces switch switch0 vif 1 address '192.168.0.1/24' set interfaces switch switch0 vif 10 address '192.168.10.1/24' set interfaces switch switch0 vif 53 address '192.168.53.1/24'
DHCP
set service dhcp-server shared-network-name vlan53 authoritative 'disable' set service dhcp-server shared-network-name vlan53 subnet 192.168.53.0/24 default-router '192.168.53.1' set service dhcp-server shared-network-name vlan53 subnet 192.168.53.0/24 dns-server '1.1.1.1' set service dhcp-server shared-network-name vlan53 subnet 192.168.53.0/24 lease '86400' set service dhcp-server shared-network-name vlan53 subnet 192.168.53.0/24 start 192.168.53.101 stop '192.168.53.200' set service dhcp-server shared-network-name vlan1 authoritative 'disable' set service dhcp-server shared-network-name vlan1 subnet 192.168.0.0/24 default-router '192.168.0.1' set service dhcp-server shared-network-name vlan1 subnet 192.168.0.0/24 dns-server '1.1.1.1' set service dhcp-server shared-network-name vlan1 subnet 192.168.0.0/24 lease '86400' set service dhcp-server shared-network-name vlan1 subnet 192.168.0.0/24 start 192.168.0.101 stop '192.168.0.200' set service dhcp-server shared-network-name vlan10 authoritative 'disable' set service dhcp-server shared-network-name vlan10 subnet 192.168.10.0/24 default-router '192.168.10.1' set service dhcp-server shared-network-name vlan10 subnet 192.168.10.0/24 dns-server '1.1.1.1' set service dhcp-server shared-network-name vlan10 subnet 192.168.10.0/24 lease '86400' set service dhcp-server shared-network-name vlan10 subnet 192.168.10.0/24 start 192.168.10.101 stop '192.168.10.200'
firewall
- private networkへのアクセスはrejectする
- が、private networkに存在するWAP125はゲスト認証時にアクセスするため許可
delete firewall name GUEST_IN set firewall name GUEST_IN default-action 'accept' set firewall name GUEST_IN rule 10 action 'accept' set firewall name GUEST_IN rule 10 description 'allow WAP125' set firewall name GUEST_IN rule 10 destination address '192.168.0.254/32' set firewall name GUEST_IN rule 10 log 'enable' set firewall name GUEST_IN rule 10 protocol 'tcp' set firewall name GUEST_IN rule 20 action 'reject' set firewall name GUEST_IN rule 20 description 'deny private network' set firewall name GUEST_IN rule 20 destination address '192.168.0.0/16' set firewall name GUEST_IN rule 20 log 'enable' set firewall name GUEST_IN rule 20 protocol 'all' set firewall name GUEST_IN rule 20 source address '192.168.0.0/16' set firewall name GUEST_IN rule 30 action 'drop' set firewall name GUEST_IN rule 30 description 'drop invalid state' set firewall name GUEST_IN rule 30 state invalid 'enable' set interfaces switch switch0 vif 53 firewall in name 'GUEST_IN'
自宅ネットワーク環境が最高になってきた。
