VLAN インタフェース

このセクションでは、GAIA PortalとGAIA Clish で6in4 トンネルインタフェースを設定する方法を示します。

イーサネットインタフェースに仮想LAN (VLAN)インタフェースを設定できます。

VLAN インタフェースを使用すると、既存のトポロジを使用して、Security Gateway とManagement Server へのセキュアなプライベートリンクを使用してサブネットを設定できます。

VLAN インタフェースを使用すると、1 本のケーブルを使用してEthernet トラフィックを多数のチャネルに多重化できます。

重要 -クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

注:

  • Gaia のVLANインタフェースの名前は "<Name of Physical Interface>.<VLAN ID>"です。

    たとえば、物理インタフェースeth1 のVLAN ID が5 のVLAN インタフェースの名前は"eth1.5" です。

  • VLANトンネルは暗号化されていないため、安全ではありません。

  • VLAN インタフェースでMTU を設定するには、物理インタフェースでMTU を設定する必要があります。

    このMTU は、この物理インタフェースに設定されたすべてのVLAN インタフェースに適用されます。

  • Gaiaオペレーティングシステムは、VLANタグプロトコルIEEE 802.1Qをサポートしています。

Gaia PortalでのVLANインタフェースの設定

重要 -スケーラブルプラットフォーム(ElasticXL、Maestro、シャーシ)では、該当するセキュリティグループのGaia Portalに接続する必要があります。

ステップ

手順

1

ナビゲーションツリーで、Network Management > Network Interfaces をクリックします。

2

VLAN インタフェースを追加する物理インタフェースにIP アドレスがないことを確認します。

3

Add >VLAN をクリックします。

4

Add VLAN ウィンドウで、Enable オプションを選択してVLAN インタフェースをUP に設定します。

5

IPv4 タブで、次のいずれかを実行します。

  • DHCPv4サーバからIPv4アドレスを取得する場合は、Obtain IPv4 address automatically を選択します。

    重要 -スケーラブルプラットフォーム(ElasticXL、Maestro、シャーシ)はこの機能をサポートしていません。(既知の制限 MBS-3246)。

  • IPv4アドレスとサブネットマスクを該当するフィールドに入力します。

6

オプション: IPv6

  • Obtain IPv6 address automatically via Autoconfigを選択します。

  • Obtain IPv6 address automatically via Normal DHCPv6を選択します。

  • Obtain IPv6 address automatically via Prefix Delegationを選択します。

  • 選択Use the following IPv6 address.

重要:

  • まず、IPv6サポートを有効にし、再起動します。System Configuration)。

  • R82はGaia管理インタフェースのIPv6アドレスをサポートしていません(既知の制限 PMTR-47313)。

  • Multi-Domain Security Management Serverでは、以下の手順に従ってIPv6アドレスを設定します。Multi-Domain ServerでのIPv6アドレスの設定

  • スケーラブルプラットフォーム(ElasticXL、Maestro、シャーシ)はこの機能をサポートしていません。(既知の制限 MBS-3246)。

7

VLAN タブで、VLAN ID (VLAN タグ) を2 ~4094 の間で入力または選択します。

8

Member Ofフィールドで、該当する物理インタフェースを選択します。

9

クリックOK

ステップ

手順

1

ナビゲーションツリーで、Network Management > Network Interfaces をクリックします。

2

VLAN インタフェースを選択し、Edit をクリックします。

3

必要な設定を行います。

4

クリックOK

- 既存のVLAN インタフェースのVLAN ID または物理インタフェースは変更できません。これらのパラメータを変更するには、VLANインタフェースを削除してから、新しいVLANインタフェースを作成します。

ステップ

手順

1

ナビゲーションツリーで、Network Management > Network Interfaces をクリックします。

2

VLAN インタフェースを選択し、Delete をクリックします。

3

クリックOK確認メッセージが表示されたら

Gaia Clish でのVLANインタフェースの設定

重要:

  • Scalable Platform(ElasticXL、Maestro、およびシャーシ)では、該当するセキュリティグループのGaia gClishで該当するコマンドを実行する必要があります。

  • VLANインタフェースを追加する物理インタフェースにIP アドレスがないことを確認します。

構文

add interface <Name of Physical Interface> vlan <VLAN ID> 

set interface <Name of Physical Interface>.<VLAN ID>
      comments "Text"
      ipv4-address <IPv4 Address>
            subnet-mask <Mask>
            mask-length <Mask Length>
      ipv6-address <IPv6 Address> mask-length <Mask Length>
      ipv6-autoconfig {on | off}
      mtu <68-16000 | 1280-16000>
      state {on | off}

- 既存のVLAN インタフェースのVLAN ID または物理インタフェースは変更できません。これらのパラメータを変更するには、VLANインタフェースを削除してから、新しいVLANインタフェースを作成します。

show interface<SPACE><TAB>

show interface <Name of VLAN Interface>

delete interface <Name of Physical Interface> vlan <VLAN ID>

重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。Scalable Platformは自動的に変更を保存します。

パラメータ

パラメータ

説明

<Name of Physical Interface>

物理インタフェースを指定します。

comments "Text"

オプションのコメントを定義します。

  • テキストを二重引用符で囲みます。

  • テキストは最大100 文字です。

  • このコメントは、Gaia Portal および"show configuration" コマンドの出力に表示されます。

<VLAN ID>

VLAN インタフェースのID を設定します(2 ~4094 の整数)。

<IPv4 Address>

IPv4 アドレスを割り当てます。

<IPv6 Address>

IPv6 アドレスを割り当てます。

重要 - まず、IPv6サポートを有効にして再起動する必要があります。System Configuration)。

subnet-mask <Mask>

ドット付き10 進表記(X.X.X.X) - 2 ~32 の整数を使用してIPv4 サブネットマスクを設定します。

mask-length <Mask Length>

CIDR 表記 (/xx) - 1 ~ 128 の整数を使用して IPv6 サブネットマスク長を設定します。

ipv6-autoconfig {on | off}

このインタフェースがDHCPv6 サーバからIPv6 アドレスを取得するかどうかを設定します。

  • on- DHCPv6サーバからIPv6アドレスを取得する

  • off- DHCPv6サーバからIPv6アドレスを取得しない(手動で割り当てる必要がある)

重要 - まず、IPv6サポートを有効にして再起動する必要があります。System Configuration)。

mtu <68-16000 | 1280-16000>

インタフェースの最大伝送単位サイズを設定します。

IPv4の場合:

  • 範囲:68~16000バイト

  • デフォルト:1500バイト

IPv6の場合:

  • 範囲:1280~16000バイト

  • デフォルト:1500バイト

state {on | off}

インタフェースの状態を設定します。

  • on- 有効

  • off- 無効

 
gaia> add interface eth1 vlan 99
gaia> set interface eth1.99 ipv4-address 99.99.99.1 subnet-mask 255.255.255.0
gaia> set interface eth1.99 ipv6-address 209:99:1 mask-length 64
gaia> delete interface eth1 vlan 99

アクセスモードVLAN とトランクモードVLAN

VLANトラフィックは、次のいずれかのモードでブリッジインタフェースを通過できます。

スイッチポートをアクセスモードに設定する場合は、2 つのVLAN インタフェースを下位インタフェースとしてブリッジインタフェースを作成します。

VLAN 変換では、異なる番号のVLAN インタフェースを使用してブリッジインタフェースを作成します。

同じSecurity Gateway 上に複数のVLAN 変換ブリッジを構築できます。

  1. 2 つのVLAN インタフェースを設定します。

  2. ブリッジインタフェースを作成し、その下位インタフェースとしてVLANインタフェースを選択します。ブリッジインタフェース)。

- FONIC(Fail-Open NIC、sk85560 参照)のブリッジポート上では、VLAN変換はサポートされていません。

トポロジの例:

項目

説明

1

セキュリティゲートウェイ

2

スイッチ

3

VLAN 変換によるアクセスモードブリッジ1

4

VLAN 変換によるアクセスモードブリッジ2

5

VLAN 3 (eth 1.3)

6

VLAN 33 (eth 2.33)

7

VLAN 2 (eth 1.2)

8

VLAN 22 (eth 2.22)

スイッチポートをVLAN トランクとして設定する場合、Check Point ブリッジインタフェースがVLAN に干渉することはありません

VLAN トランクを持つブリッジインタフェースを設定するには、2 つの物理(非 VLAN)インタフェースを従属インタフェースとして持つブリッジインタフェースを作成します (ブリッジインタフェース)。

Security Gateway はタグ付きパケットを処理し、VLAN タグを削除しません。

トラフィックは、元のVLAN タグとともに宛先に渡されます。

- VLAN 変換はトランクモードではサポートされません。