安全なテレワークのために使える、案マネージプラススイッチGS305E

この記事では、安価なVLAN対応のアンマネージスイッチを使えば、家庭内のテレワーク用のネットワーク環境とプライベートのネットワーク環境を分けることができるらしいけど、どう設定したらいいかわからない方や、設定方法だけではなく、一体どういう仕組みで分けることができるか知りたい専門家ではない方向けの記事です。

色々な種類のものがありますが、今回は、僕自身が信頼して安心して使っている、アンマネージプラススイッチであるNETGEAR GS305Eの具体的な設定方法を説明しています。安価といわれても機器の値段はと気になる方は、アンマネージスイッチングハブの値段まで読み飛ばせます。

簡単なやり方説明

GS300シリーズのアンマネージプラススイッチを、プロバイダーから貸し出されるWi-Fiルータと、購入した高速のWi-Fiルータとの間に挟むことで、家庭内のネットワークと、テレワークでつなぐネットワークを隔離することができます。

どんなことができるの?

細かいことは後から説明しますが、ざっくり書くと、LANポートごとに、隔離や通過などのグループを設定することで、グループ内への接続ができても、グループ外からの接続ができない隔離状態のポートを作ることができます。

例えば、家庭用NAS(Network Attached Storage)やWi-FiルータやパソコンなどをつないだLANポートAと、テレワーク用のパソコンがつないだLANポートB、家の中のネットワークにつなぎたくない来客用のLANポートCがあったとします。

アンマネージプラススイッチのLANポートを設定することで、プロバイダからレンタルしたWi-FiルータのWANポートとは接続できるが、AとBとCの各LANポート間の通信パケットが通らないポートを作ることが来ます。

アンマネージプラススイッチを使う前のちょっとした技術的な前知識

アンマネージプラススイッチは、情報ネットワーク技術者がかかわる専門的な知識に踏み込んでいるため、簡単な説明をします。

技術的なことより設定方法が知りたいという方は、ページ内のネットワークを物理的に分離するハブの使い方に進むことで、具体的なやり方まで読み飛ばせます。

ここからは、具体的に仕組みを知ってより安心して頂くための内容になっています。

アンマネージプラススイッチについて

ネットワークに使うスイッチは大きく分けると、通常スイッチングハブと呼ばれてよく見かける「アンマネージドスイッチ」と、ネットワークに流れるトラフィックに対する強力な管理機能がついた「マネージドスイッチ」の2種類があります。アンはマネージしないという意味です。

アンマネージドスイッチのスイッチングハブは安いものなら1,000円程度からありますが、高機能な管理機能が付いているマネージドスイッチは1万円や10万円を超えるハブまであります。

高額で多機能なマネージドスイッチから、VLANやパケットキャプチャー機能だけに絞り込んで価格を抑えた製品が、アンマネージプラススイッチです。

アンマネージプラススイッチはNETGEAR社製品の名前で、スマートスイッチなど色々な名前があります。

パケットキャプチャ機能とは

通信パケットに宛先のIPアドレスが指定されている場合、通常のスイッチングハブでは、宛先のポート以外のポートへパケットを流しません。

パケットキャプチャー機能は、宛先が指定されたポート間の通信を、キャプチャー用に設定したポートにコピーして配信することで、スイッチングハブ内を経由するすべての通信パケットを受け取る機能です。

パケットキャプチャー機能より、ミラーリング機能という名前の方がイメージしやすいかもしれません。

パケットキャプチャー機能で何ができるの?

この機能は、通信監視に利用します。通信パケットをコピーしているだけなので、通信している相手はキャプチャーの存在に気づくすべがありません。

ステルス的な状態となり、アプリケーション開発や通信機能の確認(デバッグ)や通信エラー原因の解明作業などで利用されています。

基本的に、インターネット技術は悪用を考慮せず善意の技術として作られました。その善意のネットワークで、秘密の通信をするために、SSLやVPNという技術が登場しました。

少し脱線しますが、盗聴などの悪意を持ってFreeのWi-Fiスポットなどの設備にパケットキャプチャー機能ができる装置を挟み込み混まれていても、通信内容を隠しに暗号化することで安全を確保しようとしたのが、ソースネクストなどで販売されているVPNサービスアプリです。

VLAN技術とは

VLANとは、Virtual Local Area Network(バーチャル・ローカル・エリア・ネットワーク)の略で、物理的な接続とは別に仮想的にLANセグメントを構築する技術です。

つまり。。。スイッチングハブの物理的なLANコネクタ同士の接続を、仮想的なセグメントと言う単位にグループ分けをして、このセグメントに属するLANコネクタはつながる、つながらないといった感じで、接続先を制御してしまう機能です。

具体的にVLAN技術を使うと何ができるの?

VLAN技術をもう少し噛み砕くと、1つのLANの中に、1台のスイッチングハブに複数のネットワークを構築して、ネットワークを分割する仕組みです。

マネージドスイッチになると、VLANの物理コネクタは、一つの物理的なハブだけに収まらず、複数のハブをまたいでグループ分けをすることができます。

本来なら物理的に分ける必要があるスイッチングハブを同居させて1台で済ませることができます。

今回のGS300シリーズのVLANでは何ができて何ができないの?

今回のGS300シリーズは単体内でのVLAN制御はできますが、ネットワーク全体に設置された複数のVLAN対応スイッチングハブの管理制御はできません。その代わり、マネージドスイッチに、管理されることは可能です。

1対1に対応させるポートベースと、タグベースと呼ばれる1つのポートに複数のポートを対応させる拡張ポートベースの機能が利用できます。

VLAN環境を統括するマネージドスイッチに接続して管理される複数のGS300シリーズを、仮想的な一つのスイッチングハブにすることもできます。

ネットワークを物理的に分離するハブの使い方

ネットワークの隔離に使ったのは、アンマネージプラススイッチです。ちなみにアンマネージプラススイッチはNETGEAR社の名前です。

スマートスイッチなど色々な名前がありますが、中身は、マネージドスイッチという高価なスイッチから、よく使う機能に絞ったスイッチングハブです。スイッチングハブにプラス1,000円ぐらいで買えます。

値段については、記事の一番下にあります。

1つのネットワーク環境を隔離し分離した我が家の設定

家では、このような使い方で設定しています。

我が家のネットワーク図。契約プロバイダーのWi-Fiルータと家内で使っているWi-Fiルータの間にアンマネージプラススイッチをはさみ、VPNや来客用のネットワークを分離しているシステムイラスト。

プロバイダーから貸し出されているWi-Fiルータと、購入した最新型のNEC Wi-Fiルータとの間に、今回購入したアンマネージプラススイッチ(GS305E)を挟んで、回線経路をハード的に分離しています。

図にあるとおり内部的には、プロバイダー方向のWANである灰色と、黄、緑、赤の3本は相互接続できますが、黄、緑、赤の3ポート間の相互通信は遮断されています。

プロバイダー貸し出しのWi-Fiルータの無防備ですがDHCP機能もオフににして、NECのWi-Fiルータをルータモードという2段ルータモードで動作しています。

おっとここで、記事紹介です。図の中の「速いVPN」は「ソースネクストの「速いVPN」を2ヶ月使ってわかったこと」という記事に書きました。

アンマネージプラススイッチの設定

初期設定では、VLAN IDは全て1となっているので、普通のスイッチングハブと同じ動作をします。

GS305EのVLAN設定画面です。

今回は、1対1のポートベースとタグベース複数のポートに所属できる用に拡張した、VLAN IDを設定しています。

GS305 VLAN設定画面キャプチャ。ポート間通信の遮断設定。

上の図では、プロバイダーの貸し出したルータをつないだ2番と、3,4,5番ポートでVLAN IDを分けて、2にはつながるけど、他のポートとはつながらない設定になっています。

ちなみに1番ポートは、どこのポートにも接続できない設定専用ポートとしての使用を想定しています。1番である必要性はなく、となりにLED動作ランプあるため見つけやすいという理由だけです。

アンマネージスイッチングハブの値段

アンマネージプラススイッチは、通常のスイッチングハブより1,000円程度の差額で、パケットキャプチャとVLANなどの簡単な管理機能を利用することができます。

VLAN機能により、外部のネットワークと内部のネットワークを離したりすることができ、家のネットワークに接続されたくないパソコンや、家庭内のネットワークとも分離したいVPN接続パソコン用ポートを設定できたりと役立つ商品です。

国産のコレガのスイッチングハブを店頭で見かけなくなってからは、安くて高品質なNETGEARを使っています。実績の面から見ても安心です。ただ、最近値段がちょっと上がりました。

TP-Linkは中国企業です。このスイッチはネットワーク上から遠隔で設定できる機器です。ホビー三昧Dの個人的な意見ですがバックドアなどが心配な方は中国政府の法律に従う義務がない米国企業のNETGEARをお勧めします。

読み飛ばした方へ、ここからページ上部の仕組みについての簡単な説明まで戻れます。
設定方法については、記事の中央にある設定方法まで戻れます。

Amazon販売リンク
Amazon販売 NETGEAR GS305E 5ポート VLAN QoS 静音ファンレス 省電力 5年保証

NETGEAR GS305E 5ポート VLAN QoS 静音ファンレス 省電力 5年保証

米国NETGEARの卓上型コンパクト アンマネージプラス スイッチングハブです。スペックは5ポートのギガビットと、Webページで設定できるVLAN、QoS設定機能が付きます。3W程度の省電力で静音ファンレス 省電力 製品登録で5年のメーカー保証になります。

Amazon販売 NETGEAR GS308E 8ポート VLAN QoS 静音ファンレス 省電力 5年保証

NETGEAR GS308E 8ポート VLAN QoS 静音ファンレス 省電力 5年保証

GS305Eの8ポートバージョンです。時々4ポートプラス300円ぐらいの値段で売られています。

「速いVPN」については、ソースネクストの販売する「速いVPN」を買ったので、VPNについて調べてみた(書きかけ記事)に記事があります。今回のアンマネージプラススイッチ購入など、色々試しながらやっているため、まだ書きかけです。

この記事も、もう少し細かく書いた方がいいと思いつつ、収集が付かなくなるので、細かいことは良いから、何ができるの?と言うことを意識して書いてみました。