RTX-1210でネット回線の選択をしつつVLAN間の通信をしたい

前提・実現したいこと

YAMAHAのRTX-1210でタグベースVLAN環境作っていて以下のように切り分けています。

lan1 ゲスト向け　192.168.11.0/24
lan1/1 社内向け1　192.168.33.0/24
lan1/2 社内向け2　192.168.22.0/24　
lan1/3 社内向け3　192.168.55.0/24

またプロバイダを2回線契約していて以下のように設定しました。

社内向け1,3はプロバイダAをメインで予備がプロバイダB、
社内向け2はプロバイダBをメインで予備がプロバイダA、
ゲスト向けはプロバイダBのみ

具体的には以下のようです。

ip filter 1001 pass-log 192.168.33.0/24 * * * *
ip filter 1002 pass-log 192.168.11.0/24 * * * *
ip filter 1003 pass-log 192.168.55.0/24 * * * *
ip filter 1004 pass-log 192.168.22.0/24 * * * *
ip filter 1011 reject * 192.168.11.0/24
ip filter 1012 reject * 192.168.22.0/24
ip filter 1013 reject * 192.168.33.0/24
ip filter 1015 reject * 192.168.55.0/24
ip filter 1021 reject 192.168.11.0/24 *
ip filter 1022 reject 192.168.22.0/24 *
ip filter 1023 reject 192.168.33.0/24 *
ip filter 1025 reject 192.168.55.0/24 *
ip filter 1031 pass-log * 192.168.11.0/24 * * *
ip filter 1032 pass-log * 192.168.22.0/24 * * *
ip filter 1033 pass-log * 192.168.33.0/24 * * *
ip filter 1035 pass-log * 192.168.55.0/24 * * *
ip filter 1099 pass * *

ip forward filter 100 1 gateway pp 1 filter 1001 keepalive 1
ip forward filter 100 2 gateway pp 1 filter 1003 keepalive 2
ip forward filter 100 3 gateway pp 2 filter 1004 keepalive 3
ip forward filter 100 4 gateway pp 2 filter 1001
ip forward filter 100 5 gateway pp 2 filter 1002
ip forward filter 100 6 gateway pp 2 filter 1003
ip forward filter 100 7 gateway pp 1 filter 1004

ip lan1 forward filter 100
ip lan1/1 forward filter 100
ip lan1/2 forward filter 100
ip lan1/3 forward filter 100

ここまでは自分の思うように動作しております。
セグメントによりプロバイダが分かれ　片方を切断した時にもう片方の回線に切り替わりも確認しました。

しかし上記設定をしたところVLAN間の通信ができなくなってしまいました。

問題点

例えば 192.168.33.2のマシンから192.168.22.2のマシンへのアクセスができなくなってしまいました。
おそらくですがVLAN間の通信をする前に上記設定によりインターネット回線の方に転送されてしまい
結果VLANの別のセグメントへのアクセスができなくなっているように思われます。
試しに以下のように上記の転送を無効にしてみると　違うセグメントへの通信も復活しました。

no ip lan1 forward filter 100
no ip lan1/1 forward filter 100
no ip lan1/2 forward filter 100
no ip lan1/3 forward filter 100

なので何らかの方法で上記のpp1,pp2でプロバイダの選択をする前に違うセグメント宛ての通信の場合はそちらのセグメントへ飛ばす設定が必要なのだと思いますがよくわかりません。
試しに以下のように入れてみましたがダメでした

ip forward filter 100 1 gateway 192.168.11.254 filter 1031
ip forward filter 100 2 gateway 192.168.33.254 filter 1033
ip forward filter 100 3 gateway 192.168.22.254 filter 1032
ip forward filter 100 4 gateway 192.168.55.254 filter 1035
ip forward filter 100 5 gateway pp 1 filter 1001 keepalive 1
ip forward filter 100 6 gateway pp 1 filter 1003 keepalive 2
ip forward filter 100 7 gateway pp 2 filter 1004 keepalive 3
ip forward filter 100 8 gateway pp 2 filter 1001
ip forward filter 100 9 gateway pp 2 filter 1002
ip forward filter 100 10 gateway pp 2 filter 1003
ip forward filter 100 11 gateway pp 1 filter 1004

どのように設定すればいいのか教えて欲しいです。

またできれば特定の方向のみの通信が設定できるとよりうれしいです。
例えば社内向け→ゲスト向けへのアクセスはできるが逆はできないようにできるとベストです。

プログラミングは得意ですが　コマンドベースでネットワークの設定は今回が初なので　基本情報レベルの知識はあっても実務経験があまりありません。

よろしくお願いいたします。

argparse

2020/12/17 17:27

パケット転送フィルタよりもフィルタ型ルーティングでやったほうが楽な気がしなくもないですが…。これ以外の config がどうなっているのかと、 `pass-log` で show log に得られた情報も有ると良いかも知れません。

TakaJapan

2020/12/18 10:02

公式のサンプルに従ってパケット転送フィルタを使っていましたが　フィルタ型ルーティングでもできるんだ、と試してみたところあっさりできてしまいました。ご助言ありがとうございました。具体的な内容は自己解決の方に書きたいと思います。

行動規範の内容に同意します

回答1件

自己解決

ご助言に従ってフィルタ型ルーティングでやり直したところあっさり解決しました。
YAMAHAサポートにも問い合わせてみましたが　パケット転送フィルタを使うとVLAN間の通信できなくなるのは仕様のようで　サポートからもフィルタ型ルーティングを使うよう勧められました。

ip filter 1001 pass-log 192.168.11.0/24 * * * *
ip filter 1002 pass-log 192.168.22.0/24 * * * *
ip filter 1003 pass-log 192.168.33.0/24 * * * *
ip filter 1005 pass-log 192.168.55.0/24 * * * *

ip route default gateway pp 1 hide filter 1003 1005 gateway pp 2 filter 1003 1005 gateway pp 2 hide filter 1002 gateway pp 1 filter 1002 gateway pp 2 filter 1001

投稿2020/12/18 10:05

TakaJapan

総合スコア6