既存VLANへのスイッチ追加も「NETGEAR Insight」ならば簡単設定だ
(※このストーリーはフィクションです。ネットギア以外の実在する人物・組織には一切関係ありません)
ちょっとしたネットワークの構成変更作業が発生
「牛丼、買ってきたぞー」。営業部長がほかほかの弁当をケンタロウの机の上に置く。
「わーありがとうございます! いただきます!」。忙しくて昼食を菓子パン1個で済ませていたケンタロウは、すぐに弁当のふたを開けて牛丼をかき込んだ。
今日は、先日導入したスマートスイッチに無線LANアクセスポイントを接続して、VLANを設定する日だ。その作業中は社内ネットワークがつながらなくなるので、部長にも相談して、業務の終わった夜間に作業を行うことにしたのだった。
頭の中であれこれと作業手順を考えながら、あっという間に弁当を平らげたケンタロウ。おなかが満たされ、気合いも充填された。「よーし、やるぞ」。そうつぶやいて、ネットワークの再構成を始めるべく、ルーターとスイッチが置かれた部屋の隅へと向かった。
「つなぐだけ」ではなく設定変更が必要な理由
ゴチソー弁当の社内ネットワーク(Gochisooネットワーク)には、「NETGEAR Insight」で管理されているルーターとアクセスポイント3台(営業部用、商品開発部用、社員リフレッシュスペース用)が接続されている。そして前回は、将来的なアクセスポイント台数増加に対応するために、新たにスマートスイッチの「GS110TPP」を導入した。もちろんこのスイッチもInsight管理対応だ。
今回の作業では、ルーターとアクセスポイントをつなぐケーブルをいったん外し、ルーターとアクセスポイントの間にGS110TPPをはさむ構成にする。このスイッチはPoE+給電に対応しているので、アクセスポイントへの電源アダプター接続が不要になる。これから増設するアクセスポイントの設置が簡単になって便利なはずだ。
ただし、ルーターから外したケーブルをスイッチにつなぎ直すだけで作業完了、というわけにはいかない。Gochisooネットワークでは、来客用にゲストWi-Fiを提供している。このゲストWi-Fiのトラフィックを社員用トラフィックと切り分けるために、アクセスポイントやルーターにはVLANを設定済みだ。したがって、今回その間に入るスイッチにもVLANを設定しなければ、ゲストWi-Fiの通信ができなくなってしまう※注。
※注:このネットワークでは社員用VLANにVLAN ID 1、ゲスト用ネットワークにVLAN ID 100を設定している。VLAN ID 1は「デフォルトVLAN」と呼ばれ、あらかじめスマートスイッチの初期設定に含まれているため、社員用VLANは設定なしでも通信できる。一方で、初期設定に含まれないゲスト用VLAN(ID 100)は設定しなければ通信できない。
GS110TPPスイッチ設置後のゴチソー弁当ネットワーク図
なお良い機会なので、Insightで管理するアクセスポイントのデバイス名も見直すことにした。これまでは「GochiAP1」「GochiAP2」と単純に連番を割り当てていたのだが、これからフロアを拡張してアクセスポイント台数が増えてくると、どれがどこにあるアクセスポイントなのか直感的にわかりづらくなる。そこで、営業部は「GochiAP-Eigyo」、商品開発部は「GochiAP-Shohin」、リフレッシュルームは「GochiAP-Refresh」と、それぞれアクセスポイント名を変更した。設置場所が具体的にわかる名前にしておけば、万が一トラブルが発生した場合でも、どこにあるのかがすぐにわかる。
もちろんこれも、スマートフォンのInsightアプリから簡単に設定変更できる。Gochisooネットワークのデバイス一覧から、名称変更したいデバイスをタップしてデバイス画面を開き、デバイス名の横にある鉛筆アイコンをタップする。新しい名前に変更したら、Insightクラウド側に変更が反映されるのを少し待って、もう一度ネットワークのデバイス一覧を確認してみよう。
デバイス一覧からデバイス画面に入る。鉛筆アイコンをクリックすれば、デバイスの管理名を変更できる
Insightスマホアプリから簡単に設定変更
前置きが長くなったが、いよいよGS110TPPスイッチにVLANを設定していく。……とは言っても、このスイッチはすでに前回、「Insight管理モード」に切り替え、ネットワークロケーション(Gochisooネットワーク)に追加されている。このあとの設定手順は、ルーターでVLANを設定したときとさほど変わらない。
まずはスマートフォンでInsightアプリを起動し、「ロケーション」をタップしてVLANを設定するネットワークロケーションを選択する(筆者の場合は「Gochisoo」を選択)。
続いて、画面中央の「ネットワーク設定」をタップすると、設定するVLANの選択画面が表示される(右上の+をタップすれば新規VLANも追加できる)。ここで設定するのは社員用VLAN(VLAN ID 1)の「Management Network」と、ゲスト用VLAN(VLAN ID 100)の「Guest Wi-Fi」の2つだ。設定の流れは同じなので、ここではManagement Networkで設定方法を説明する。
VLANを設定するネットワークロケーションを開き、「ネットワーク設定」画面を開いて設定開始!
選択画面でManagement Networkをタップすると、まずはこのVLANの設定(ネットワーク名やVLAN名、VLAN IDなど)画面が表示される。VLANのネットワーク名をわかりやすいものに変えてもよいが、今回は変更せず「次へ」をタップする。
次に「有線設定」という画面が表示される。この画面では、ルーターとスイッチ、アクセスポイントの各ポートでVLANを扱えるように設定を行う。ここが今回の設定における“メインイベント”と言える。
VLANを扱う有線ポートは「トランクポート」または「アクセスポート」に設定する必要がある。前々回の記事で紹介したとおり、トランクポートは1つの物理ポートでVLAN IDタグが付いた複数のVLANトラフィックを扱えるモードだ。一方でアクセスポートは、ポート自身にVLAN IDが設定され、1つのVLANトラフィックしか扱えない。
今回の場合は、無線LANで社員用SSIDに接続したPCやスマートフォンのトラフィックにはVLAN ID 1、ゲスト用SSIDに接続した端末のトラフィックにはVLAN ID 100のタグが付き、アクセスポイントからスイッチ、ルーターを経由してインターネット通信をすることになる。したがって、その経路にあたる各デバイスのポートをすべてトランクポートに設定すればよい。
画面には各デバイスとポートが表示されているので、画面下部にある「トランクポート」ボタンをタップしたうえで、アクセスポイント-スイッチ-ルーターとケーブル接続されている各ポートをタップする。ポート番号の横に「T」の文字が付けばよい。
最初にVLANそのものの設定画面が、次に有線ポートの設定画面が表示される。LANケーブルを接続しているポートを、VLANが扱える「トランクポート」モードに設定する
VLANトラフィックが通過するアクセスポイント、スイッチ、ルーターの有線LANポートをすべて「トランクポート」に設定することで、ゲストWi-Fiからインターネットアクセスができるようになる
次の画面は、VLAN間で通信できるようにするかどうかの設定画面だ。セキュリティ上、社員用VLANとゲスト用VLANの間は通信できないようにしたいので、ここの設定はオフにして「次へ」をタップする。
最後の画面は、このVLANで使用するIPアドレス範囲やDHCPサーバーなどの設定画面だ。今回は、以前の設定が引き継がれているので変更せずに「次へ」をタップした。これで社員用VLANの設定は完了だ。
同じようにして、ゲスト用VLANの設定も行う。ただし、基本的にはこれまでの設定が引き継がれているので、トランクポートの設定を行う部分だけを行えば問題ないはずだ。
社員用VLANとゲスト用VLANの間の通信は許可しない。またIPアドレス範囲やDHCPサーバーの設定は、これまでの設定をそのまま使えばよいだろう
設定後は念のため、社員用SSID、ゲスト用SSIDのそれぞれに端末を接続して、インターネット通信ができるか、ゲストWi-Fiから社員用ネットワークへのアクセスはきちんとブロックされているか、といったことを確認しておこう。
ケンタロウがすべての設定変更を終えたのは、開始から1時間後だった。「設定を間違えてつながらなくなったらどうしよう?」と不安に思っていたが、作業はスムーズに終わった。
今回の作業でアクセスポイントを接続したポートや、設定した内容を忘れないように、ケンタロウはネットワーク構成を図面に書き起こしておくことにした。その様子を肩越しに眺めながら、部長が「なんかすごくネットワークっぽい感じになってきたよな」と言った。先日、自分がつぶやいたのとまったく同じ感想に、ケンタロウは思わず笑ってしまった。部長のいぶかしげな視線を受けて、さらに笑いが止まらないケンタロウだった。
