部門ごとに社内ネットワークを構成する(LAN1ポートをポート別に分ける)
Yamaha RTX ルータのNAT設定例 ネットワークチェンジニアとして
- LAN2にプロバイダから割り振られたグローバルIPアドレスが割り振られる。
- LAN1に接続されたデバイスからインターネットに到達したい。
- LAN1.1は172.16.10.1/24を利用する
- LAN1.2 ~ LAN1.8 は172.16.20.1/24を利用する
インターネット側
ip lan2 address dhcp
ip lan2 nat descriptor 200
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
内側
lan type lan1 port-based-option=divide-network
vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan2
vlan port mapping lan1.3 vlan2
vlan port mapping lan1.4 vlan2
vlan port mapping lan1.5 vlan2
vlan port mapping lan1.6 vlan2
vlan port mapping lan1.7 vlan2
vlan port mapping lan1.8 vlan2
ip vlan1 address 172.16.10.1/24
ip vlan2 address 172.16.20.1/24
DHCP
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 172.16.10.2-172.16.10.191/24 gateway 172.16.10.1
dhcp scope 2 172.16.20.2-172.16.20.191/24 gateway 172.16.20.1
互いのネットワークにアクセスできないようにする
ip filter 1021 reject 172.16.1.0/24 *
ip filter 1022 reject 172.16.2.0/24 *
ip filter 1041 reject * 172.16.1.0/24
ip filter 1042 reject * 172.16.2.0/24
ip filter 3000 pass * *
ip vlan1 secure filter in 1042 3000
ip vlan1 secure filter out 1022 3000
ip vlan2 secure filter in 1041 3000
ip vlan2 secure filter out 1021 3000