レイヤ 2 ブリッジ モードでの VLAN 統合

VLAN は、SonicWall セキュリティ装置でサポートされています。VLAN タグを持ったパケットが物理インターフェースに到着すると、VLAN ID が評価され、それがサポートされているかどうかが判断されます。VLAN タグが除去され、その後は、他のトラフィックと同じようにパケット処理が続行されます。受信および送信パケット パスの単純化された表示には、繰り返しが起こり得る次の手順が含まれます。

• IP 検証と再組み立て
• カプセル化解除 (802.1q、PPP)
• 復号化
• 接続キャッシュの調査と管理
• ルート ポリシー調査
• NAT ポリシー調査
• アクセス ルール (ポリシー) 調査
• 帯域幅管理
• NAT 変換
• 高度なパケット処理 (該当する場合)
  • TCP 検証
  • 管理トラフィック処理
  • コンテンツ フィルタ
  • 変換とフロー分析 (SonicWall セキュリティ装置の場合): H.323、SIP、RTSP、ILS/LDAP、FTP、Oracle、NetBIOS、Real Audio、TFTP
  • IPSおよびＧＡＶ

送信時には、ルート ポリシーの調査によってゲートウェイ インターフェースが VLAN サブインターフェースであると判断された場合、パケットが適切な VLAN ID ヘッダーでタグ付け (カプセル化) されます。ファイアウォールのルーティング ポリシー テーブルは、VLAN サブインターフェースを作成すると自動的に更新されます。

VLAN サブインターフェースに関連した NAT ポリシーおよびアクセス ルールの自動作成は、物理インターフェースの場合とまったく同じように行われます。VLAN 間のトラフィックを制御するルールおよびポリシーは、SonicOS の使いやすく効率的なインターフェースを使ってカスタマイズできます。

一般的な管理の過程で、またはサブインターフェースの作成手順でゾーンを作成する際、ゾーンの作成ページに、そのゾーンに対する GroupVPN の自動作成を制御するチェックボックスが表示されます。既定では、新たに作成された無線タイプのゾーンについてのみ、「GroupVPN を生成する」が有効になっています。なお、このオプションは、他のゾーン タイプでもゾーンの作成時にチェックボックスをオンにすることで有効化できます。

VLAN サブインターフェース間のセキュリティ サービスの管理は、ゾーン レベルで行われます。すべてのセキュリティ サービスは、物理インターフェース、VLAN サブインターフェース、またはその両者の組み合わせから成るゾーンに対して設定および適用できます。

異なるワークグループ間の ゲートウェイ アンチウイルス および 侵入防御 は、保護セグメントごとに専用の物理インターフェースを用意しなくても、VLAN のセグメント化によって容易に達成できます。

VLAN サポートにより、組織は、ファイアウォール上で専用の物理インターフェースを使用することなく、各種ワークグループ間やワークグループとサーバ ファーム間に (単純なパケット フィルタと比べて) より効果的な内部セキュリティを導入できます。

本書では、VLAN サブインターフェースを WAN ゾーンに割り当てて、WAN クライアント モードを使用する機能 (WAN ゾーンに割り当てられた VLAN サブインターフェースでは、静的アドレッシングのみサポートされます) のほか、WAN 負荷分散およびフェイルオーバーをサポートする機能を紹介しています。また、SonicPoint をワークグループ スイッチ上のアクセス モードの VLAN ポートに接続することによって、ネットワーク全体に SonicPoint を分散させる方法についても紹介しています。これらのスイッチは、コア スイッチにバックホールされ、その後、すべての VLAN がトランク リンクを介して装置に接続されます。