我が家のルータNVR500に、連携管理対応しているスイッチWX2200-8Gを追加し、タグVLAN化してみました。NVR500はもともとVLAN(仮想LAN)機能がついているんですが、物理的なLANポートx4は分割できず、この別売りのWX2200-8Gを足しタグVLAN機能を使うことで、VLANが作成できます。WX2200-8Gの8ポートの一部を独立のネットワークとして分割する感じです。具体的には元からあった192.168.0.0/24のLANとは別に、10.0.0.0/24の同居人用ネットワークと作成し、余ってたAirMac Extremeをそちらにつなげました。AirMac Extremeの発するESSIDにつないだ端末にはDHCPで10.0.0.xのIPアドレスが降られ、NVR500のマルチセッション機能で別のプロバイダ契約のPPPoEセッションにつながる感じです。ルーターや光回線は1つなんですが、仮想的に全く独立のインターネット接続がある感じ。σ(^^)の方は固定IPだし、サーバー用でそれなりに帯域も使うので、分散した方がプロバイダに目を付けられにくかろうとか。
VLANでわけ、それぞれにDHCPサーバーを稼働させること自体はGUIでそこそこ簡単にできました。トリッキーなのはネットワーク毎にデフォルトゲートウェイをPP1とPP2に振り分けるところで、YAHAMAの場合、フィルター型ルーティングという方法を使うのが一般的みたいです。ソースのIPアドレスが一定範囲の場合はPP1(プロバイダ1)に、それ以外はPP2(プロバイダ2)に、みたいな条件分岐を設定するイメージ。IPアドレス別以外にも、プロトコル別(メールはこっちとか)などかなり柔軟に設定できるみたい。
またネットワーク間はデフォルトでは特にブロック指定はされておらず、普通にIPアドレス指定で別ネットワーク側にあるNASやサーバーは見えます。ただ、外からVPNでつないで192.168.0.xなIPアドレスがふられた場合、同一ネットワーク以外のアクセスはVPN外のゲートウェイにつなごうとしてしまうので、VPNサーバー(ウチの場合はOSX Server)に10.0.0.xもこっちだよってルーティング設定を追加してあげる必要がありました。この場合、192.168.0.xと両方指定しないとダメっぽかったです。
もし今度来客がある時は、さらに余っているWi-Fiアクセスポイントで3番目のVLANを作り、完全に内部LANと分離したゲストWi-Fiを構築できそうです。ウチはルーターとアクセスポイントは分ける派なので、Wi-Fiルーターのゲストネットワーク機能ってあんま意味をなさないんですよね。NVR500+SWX2200-8Gとの組み合わせならきちんとVLANとしてわけられるのでフィルター設定も楽そう。
NVR500はエントリーモデルですが、調べるとまだまだ色々できて楽しいですね。こうなってくると俄然RTX1210とか810とか欲し待ってきます。まぁ、オーバースペックなんでしょうけど。NATテーブルが4096と少なめな点がよく指摘されますが、実際調べてみたら常時200くらいで済んでました。あとは速度的なネックになっていないかですねぇ。ちなみに最近フレッツギガラインに変更してスピードテストで500~600Mbps程度出てますが、その計測中にNVR500のCPU負荷を調べてみた感じ、70%前後ってとこでした。余裕があるとも言えないですが足りてないという感じでもないビミョーなラインですねw。いくらスマフォやらタブレットやらで20台前後端末があったって、同時に使うのは2人ですし。あとはRTX1210にしてL2TP VPNが速くなるかって位かなぁ。それよりは同社のWLX302を買って無線LANも統括管理してみたいですが、あれの11ac版後継モデルが出ないのかなぁ。
