勉強がてら自宅のサーバを VPS のように外部に公開しよう�と思い準備を進めていましたが、自宅内の LAN と外部に公開しているサーバが同一 LAN にあるのはセキュリティ的に嫌だなと思ったので、VLAN を構成してネットワークを分離してみました。
VLAN とは?
VLAN は「Virtual Local Area Network」の略で、1 台の物理的なスイッチを、あたかも複数の独立したスイッチがあるかのように見せかける技術です。
使用する機器
TP-Link の TL-SG105E を使用しました(5 ポート)。価格も Amazon で 3000 円ぐらいで買えるので、コストも抑えられてありがたいです。
設定用ソフトをインストールする
機器のサポートページから設定用のソフトをダウンロードします。
インストール後は本体に割り当てる IP や管理画面にログインするためのユーザーなどを設定します。
VLAN の設定
画面上部の「VLAN」タブから、サイドバーの「802.1Q VLAN」を選択します。
シンプルに分離した LAN のセグメント間の通信が遮断されていれば良いので、設定マニュアルを参考に Tagged Ports(タグ VLAN)ではなく Untagged Ports で設定しました。
デフォルトで設定されている VLAN1 はインターネットに接続するためのポートとして使用します。すべてのポートが VLAN1 に所属しています。
次に任意の VLAN ID と名前を指定し、この VLAN に所属させたいポートを選択します。VLAN1 を含めてください。
同様に家庭内の LAN を想定した VLAN を作成します。
通信の確認
VLAN101(server)側のポートの用途は以下を想定しています。
- ポート 2: サーバの LAN ケーブルを接続
- ポート 3: 作業用の端末の LAN ケーブルを接続(普段は使用しない)
NetEnum5というネットワーク管理用ソフトを使用して、セグメントが正しく分離されているか確認します。
家庭内LAN(VLAN102)に接続しているPCにUSB LANアダプタを追加し、サーバーLAN(VLAN101)の作業用ポートであるポート3に接続します。
今回サーバとして動作させるマシンのIPアドレスは192.168.10.6です。作業用のLANポートに接続しているのでサーバのIPが見えるはずです。
サーバのIPが見えました。PINGの疎通もできていました。
次に、作業用のポートを外して再びネットワークの検索を実行します。
192.168.10.6が検索されていないことが確認できました。正しくLANが分離できているようです。
さいごに
3,000円程度のスイッチでここまで手軽にネットワークを分離できるのはありがたいです。
同じように「自宅サーバーを公開したいけど、セキュリティがちょっと心配…」と思っている方の、最初の一歩としてこの記事が参考になれば嬉しいです。