VLAN インタフェース

このセクションでは、GAIA PortalとGAIA Clish で6in4 トンネルインタフェースを設定する方法を示します。

イーサネットインタフェースに仮想LAN (VLAN)インタフェースを設定できます。

VLAN インタフェースを使用すると、既存のトポロジを使用して、Security Gateway とManagement Server へのセキュアなプライベートリンクを使用してサブネットを設定できます。

VLAN インタフェースを使用すると、1 本のケーブルを使用してEthernet トラフィックを多数のチャネルに多重化できます。

重要 - クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

注:

  • Gaia のVLANインタフェースの名前は "<Name of Physical Interface>.<VLAN ID>"です。

    たとえば、物理インタフェースeth1 のVLAN ID が5 のVLAN インタフェースの名前は"eth1.5" です。

  • VLANトンネルは暗号化されていないため、安全ではありません。

  • VLAN インタフェースでMTU を設定するには、物理インタフェースでMTU を設定する必要があります。

    このMTU は、この物理インタフェースに設定されたすべてのVLAN インタフェースに適用されます。

Gaia PortalでのVLANインタフェースの設定

重要 - Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

ステップ

手順

1

ナビゲーションツリーで、Network Management > Network Interfaces をクリックします。

2

VLAN インタフェースを追加する物理インタフェースにIP アドレスがないことを確認します。

3

Add > VLAN をクリックします。

4

Add VLAN ウィンドウで、Enable オプションを選択してVLAN インタフェースをUP に設定します。

5

IPv4 タブで、次のいずれかを実行します。

  • DHCPv4サーバからIPv4アドレスを取得する場合は、Obtain IPv4 address automatically を選択します。

    重要 - スケーラブルなプラットフォーム(MaestroとChassis)はこの機能をサポートしていません。 (既知の制限MBS-3246)。

  • IPv4アドレスとサブネットマスクを該当するフィールドに入力します。

6

オプション:IPv6タブで、以下のいずれかを実行します。

  • DHCPv6サーバからIPv6アドレスを取得する場合は、Obtain IPv6 address automaticallyを選択します。

    重要 - スケーラブルなプラットフォーム(MaestroとChassis)はこの機能をサポートしていません。 (既知の制限MBS-3246)。

  • IPv6アドレスとマスク長を該当するフィールドに入力します。

重要:

  • 最初に、IPv6 サポートを有効にして再起動する必要があります (システム設定を参照)。

  • R81.10では、Gaia 管理インタフェースでの IPv6 アドレスをサポートしていません (既知の制限 PMTR-47313)。

  • Multi-Domain Server はIPv6をまったくサポートしていません(既知の制限PMTR-14989)。

7

VLAN タブで、VLAN ID (VLAN タグ) を2 ~4094 の間で入力または選択します。

8

Member Ofフィールドで、該当する物理インタフェースを選択します。

9

OKをクリックします。。

ステップ

手順

1

ナビゲーションツリーで、Network Management > Network Interfaces をクリックします。

2

VLAN インタフェースを選択し、Edit をクリックします。

3

必要な設定を行います。

4

OKをクリックします。。

- 既存のVLAN インタフェースのVLAN ID または物理インタフェースは変更できません。これらのパラメータを変更するには、VLANインタフェースを削除してから、新しいVLANインタフェースを作成します。

ステップ

手順

1

ナビゲーションツリーで、Network Management > Network Interfaces をクリックします。

2

VLAN インタフェースを選択し、Delete をクリックします。

3

確認メッセージが表示されたら、OKをクリックします。。

Gaia Clish でのVLANインタフェースの設定

重要:

  • Scalable Platforms (MaestroおよびChassis)では、該当するセキュリティグループの Gaia gCLish で該当するコマンドを実行する必要があります。

  • VLANインタフェースを追加する物理インタフェースにIP アドレスがないことを確認します。

構文

add interface <Name of Physical Interface> vlan <VLAN ID>

set interface <Name of Physical Interface>.<VLAN ID>
      comments "Text"
      ipv4-address <IPv4 Address>
            subnet-mask <Mask>
            mask-length <Mask Length>
      ipv6-address <IPv6 Address> mask-length <Mask Length>
      ipv6-autoconfig {on | off}
      mtu <68-16000 | 1280-16000>
      state {on | off}

- 既存のVLAN インタフェースのVLAN ID または物理インタフェースは変更できません。これらのパラメータを変更するには、VLANインタフェースを削除してから、新しいVLANインタフェースを作成します。

show interface<SPACE><TAB>

show interface <Name of VLAN Interface>

delete interface <Name of Physical Interface> vlan <VLAN ID>

重要 - 機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。

パラメータ

パラメータ

説明

<Name of Physical Interface>

物理インタフェースを指定します。

comments "Text"

オプションのコメントを定義します。

  • テキストを二重引用符で囲みます。

  • テキストは最大100 文字です。

  • このコメントは、Gaia Portal および"show configuration" コマンドの出力に表示されます。

<VLAN ID>

VLAN インタフェースのID を設定します(2 ~4094 の整数)。

<IPv4 Address>

IPv4 アドレスを割り当てます。

<IPv6 Address>

IPv6 アドレスを割り当てます。

重要 - まず、IPv6 サポートを有効にして再起動する必要があります(システム設定 を参照)。

subnet-mask <Mask>

ドット付き10 進表記(X.X.X.X) - 2 ~32 の整数を使用してIPv4 サブネットマスクを設定します。

mask-length <Mask Length>

CIDR 表記 (/xx) - 1 ~ 128 の整数を使用して IPv6 サブネットマスク長を設定します。

ipv6-autoconfig {on | off}

このインタフェースがDHCPv6 サーバからIPv6 アドレスを取得するかどうかを設定します。

  • on - DHCPv6 サーバからIPv6 アドレスを取得する

  • off - DHCPv6 サーバからIPv6 アドレスを取得しない(手動で割り当てる必要あり)。

重要 - まず、IPv6 サポートを有効にして再起動する必要があります(システム設定 を参照)。

mtu <68-16000 | 1280-16000>

インタフェースの最大伝送単位サイズを設定します。

IPv4の場合:

  • 範囲:68 - 16000 バイト

  • デフォルト:1500バイト

IPv6の場合:

  • 範囲:1280 ~16000 バイト

  • デフォルト:1500バイト

state {on | off}

インタフェースの状態を設定します。

  • on - 有効

  • off - 無効

gaia> add interface vlan eth1
gaia> set interface eth1.99 ipv4-address 99.99.99.1 subnet-mask 255.255.255.0
gaia> set interface eth1.99 ipv6-address 209:99:1 mask-length 64
gaia> delete interface eth1 vlan 99

アクセスモードVLAN とトランクモードVLAN

VLANトラフィックは、次のいずれかのモードでブリッジインタフェースを通過できます。

スイッチポートをアクセスモードに設定する場合は、2 つのVLAN インタフェースを下位インタフェースとしてブリッジインタフェースを作成します。

VLAN 変換では、異なる番号のVLAN インタフェースを使用してブリッジインタフェースを作成します。

同じSecurity Gateway 上に複数のVLAN 変換ブリッジを構築できます。

  1. 2 つのVLAN インタフェースを設定します。

  2. ブリッジインタフェースを作成し、下位インタフェースとしてVLAN インタフェースを選択します(ブリッジインタフェース を参照)。

- VLAN 変換はFONIC のブリッジポートではサポートされません(Fail-Open NIC、sk85560 を参照)。

トポロジの例:

項目

説明

1

セキュリティゲートウェイ

2

スイッチ

3

VLAN 変換によるアクセスモードブリッジ1

4

VLAN 変換によるアクセスモードブリッジ2

5

VLAN 3 (eth 1.3)

6

VLAN 33 (eth 2.33)

7

VLAN 2 (eth 1.2)

8

VLAN 22 (eth 2.22)

スイッチポートをVLAN トランクとして設定する場合、Check Point ブリッジインタフェースがVLAN に干渉することはありません

VLAN トランクを使用してブリッジインタフェースを設定するには、2 つの物理(非VLAN)インタフェースを下位インタフェースとしてブリッジインタフェースを作成します(ブリッジインタフェース を参照)。

Security Gateway はタグ付きパケットを処理し、VLAN タグを削除しません。

トラフィックは、元のVLAN タグとともに宛先に渡されます。

- VLAN 変換はトランクモードではサポートされません。