docs: AP選定要件と候補機器を追加、VLAN tagged SSID 設計を更新

- docs/増備計画.md: AP選定要件表と候補4機種（GL-MT6000推奨）を追加、WRC-BE36QSをVLAN非対応と明記 - feature/network/ip-map.md: SSID/VLAN対応表に更新、tagged/非tagged両構成の注記を追加 - feature/logic/logic-map.md: VLAN tagged SSIDのトランク構成とFWルール表に更新 - feature/phys/phys-map.md: AP接続をトランクポート表記に更新 Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-04-18 14:20:26 +09:00
parent de7624f71c
commit 33c0459e0e
4 changed files with 61 additions and 17 deletions
--- a/docs/増備計画.md
+++ b/docs/増備計画.md
@@ -10,7 +10,7 @@
 | `x86-01-pve` | GEM 10 | SRV SERVER |
 | `n1-pro-pve` | n1-pro | SRV SERVER |
 | `sw-srv-01` | AT-x510-28GTX | SRV スイッチ |
-| `ap-prv-01` | WRC-BE36QS | PRV 無線 AP |
+| `ap-prv-01` | WRC-BE36QS | PRV 無線 AP（VLAN 非対応・要更新） |
 ---
@@ -27,6 +27,32 @@
 | 中 | `sw-flex` | USW Flex | PRV スイッチ | ¥17,090 | Ubiquiti 直販（税込） |
 | 低 | `modem-lte-01` | 富士ソフト +F FS050W | WAN2 収容（LTE/5G） | ¥33,000～ | 本体 ¥27,000～ + クレードル ¥6,500（有線LAN用、技適取得済み） |
 ### AP 選定（ap-prv-01 更新候補）
 現行の WRC-BE36QS は VLAN tagged SSID 非対応のため、下記候補への入れ替えを検討。
 **選定要件:**
 | # | 要件 | 優先度 |
 |---|---|---|
 | 1 | 箱型（壁掛け・天井設置不要） | 低（妥協可） |
 | 2 | WiFi 7 または WiFi 6E（6 GHz 帯対応） | 必須 |
 | 3 | VLAN タグ対応 | 必須 |
 | 4 | 複数 SSID（VLAN tagged） | 必須 |
 | 5 | 2.5G 以上の LAN ポート | 低（妥協可） |
 | — | OpenWrt 対応（代替手段として許容） | — |
 **候補機器:**
 | 機種 | WiFi | LAN | 箱型 | VLAN tagged SSID | OpenWrt | 参考価格 | 備考 |
 |---|---|---|---|---|---|---|---|
 | **GL.iNet GL-MT6000 (Flint 2)** | 6E (6GHz) | 2.5G×1 + 1G×4 | ✅ | ✅ (ネイティブ) | ✅ ベース | ¥15,000～18,000 | **推奨**。OpenWrt ベースで全要件を最安値で満たす |
 | TP-Link Archer BE550 | 7 (6GHz) | 2.5G×1 + 1G×4 | ✅ | ✅ (純正 FW) | △ 非公式 | ¥15,000～20,000 | WiFi 7 対応。純正 FW で VLAN tagged SSID 設定可 |
 | ASUS RT-BE58U | 7 (6GHz) | 2.5G×1 + 1G×4 | ✅ | ✅ (純正 FW) | △ 非公式 | ¥20,000～25,000 | ASUS AiMesh 対応。将来の拡張性あり |
 | Banana Pi BPI-R4 | 7 (6GHz) | 10G SFP+×2 + 2.5G×4 | △ ボード型 | ✅ (OpenWrt) | ✅ ネイティブ | ¥20,000～25,000 + ケース | 玄人向け。LAN 性能は最高だがセットアップコスト高 |
 > **⚠️ 技適について**: 海外調達品は技適取得済みモデルを確認すること（GL.iNetは日本正規品あり）。
 ### サーバ機器
 | 優先度 | ホスト名 | 機器 | 用途 | 参考価格 | 備考 |
--- a/feature/logic/logic-map.md
+++ b/feature/logic/logic-map.md
@@ -39,14 +39,28 @@
 ### PRV セグメント（OPNsense 管理）
-| 送信元 | 宛先 | 許可 | 備考 |
+#### SSID → VLAN 対応（VLAN tagged SSID 対応 AP 使用時）
 ```
 ap-prv-01
  ├─ SSID: Main  → VLAN 100 タグ付き → sw-flex → opnsense-01 (vlan100 インターフェース)
  ├─ SSID: IoT   → VLAN 101 タグ付き → sw-flex → opnsense-01 (vlan101 インターフェース)
  └─ SSID: Guest → VLAN 102 タグ付き → sw-flex → opnsense-01 (vlan102 インターフェース)
 ```
 > AP→sw-flex 間はトランクポート（VLAN 100/101/102 タグ許可）。OPNsense 側で各 VLAN に DHCP スコープと FW ルールを設定。
 #### ファイアウォールルール
 | 送信元 VLAN | 宛先 | 許可 | 備考 |
 |---|---|---|---|
-| Main SSID (100.0/24) | WAN | ✅ | 通常利用 |
+| VLAN 100 Main | WAN | ✅ | 通常利用 |
-| Main SSID (100.0/24) | SRV (10.0.0.0/16) | ✅ (限定) | 公開サービスのみ |
+| VLAN 100 Main | SRV (10.0.0.0/16) | ✅ (限定) | nexus 公開サービスのみ |
-| IoT SSID (101.0/24) | WAN | ✅ | IoT クラウド通信 |
+| VLAN 100 Main | VLAN 101/102 | ❌ | SSID 間通信遮断 |
-| IoT SSID (101.0/24) | 内部 | ❌ | 完全遮断 |
+| VLAN 101 IoT | WAN | ✅ | IoT クラウド通信 |
-| Guest SSID (102.0/24) | WAN | ✅ | — |
+| VLAN 101 IoT | 内部全体 | ❌ | 完全遮断 |
-| Guest SSID (102.0/24) | 内部 | ❌ | 完全遮断 |
+| VLAN 102 Guest | WAN | ✅ | — |
 | VLAN 102 Guest | 内部全体 | ❌ | 完全遮断 |
 ---
--- a/feature/network/ip-map.md
+++ b/feature/network/ip-map.md
@@ -96,7 +96,8 @@
 ## PRV ネットワーク（192.168.100.0/22）
-> AP は VLAN 非対応のため VLAN 100 単一で運用。IoT・Guest の分離は SSID 別の DHCP スコープ＋OPNsense ファイアウォールルールのみで対応。
+> AP を VLAN tagged SSID 対応機に更新することで、SSID ごとに VLAN タグを付与して OPNsense へトランク転送する構成に移行可能。
 > 現行 WRC-BE36QS は VLAN 非対応のため、移行前は DHCP スコープ＋ファイアウォールルールのみで論理分離。
 ### VLAN 100 — PRV（`192.168.100.0/22`）
@@ -109,13 +110,16 @@
 | `sw-flex` | USW Flex | `192.168.100.11` |
 | `ap-prv-01` | AP（sc-flex 配下） | `192.168.100.21` |
-#### DHCP スコープ（SSID 別 / 論理分離）
+#### SSID / VLAN 対応表
-| SSID 用途 | 便宜上のCIDR | DHCP レンジ | OPNsense ルール |
+| SSID | VLAN タグ | サブネット | DHCP レンジ | OPNsense ルール |
-|---|---|---|---|
+|---|---|---|---|---|
-| Main（一般端末） | `192.168.100.0/24` | `192.168.100.100` – `.200` | 内部アクセス許可 |
+| Main（一般端末） | VLAN 100 | `192.168.100.0/24` | `192.168.100.100` – `.200` | 内部アクセス許可 |
-| IoT | `192.168.101.0/24` | `192.168.101.100` – `.200` | 内部アクセス遮断、WAN のみ |
+| IoT | VLAN 101 | `192.168.101.0/24` | `192.168.101.100` – `.200` | 内部アクセス遮断、WAN のみ |
-| Guest | `192.168.102.0/24` | `192.168.102.100` – `.200` | 内部アクセス遮断、WAN のみ |
+| Guest | VLAN 102 | `192.168.102.0/24` | `192.168.102.100` – `.200` | 内部アクセス遮断、WAN のみ |
 > VLAN tagged SSID 対応 AP では AP→sw-flex 間をトランクリンクとし、各 SSID のフレームに VLAN タグを付けて OPNsense で終端する。
 > 非対応 AP の場合は SSID 単一（VLAN 100）で運用し、OPNsense 側の DHCP スコープ＋FW ルールのみで分離。
 - **インフラ静的**: `192.168.100.1` – `.30`
 - **予備/将来用**: `192.168.103.0/24`
--- a/feature/phys/phys-map.md
+++ b/feature/phys/phys-map.md
@@ -68,7 +68,7 @@ rt-edge-01 (RTX 1300)
 rt-edge-01 (RTX 1300)
  └─ [1G] opnsense-01 (Topton N100, SFP+ 2ポート + 2.5G 4ポート)
        └─ [2.5G] sw-flex (USW Flex)
-              ├─ [2.5G] ap-prv-01 (WRC-BE36QS)  ← SSID: Main / IoT / Guest
+              ├─ [2.5G] ap-prv-01 (WiFi 7/6E 対応機)  ← SSID: Main (VLAN100) / IoT (VLAN101) / Guest (VLAN102)
              └─ [1G/2.5G] クライアント端末（有線）
 ```
@@ -77,7 +77,7 @@ rt-edge-01 (RTX 1300)
 | opnsense-01 | SFP+ ポート 0 | WAN 接続（RTX 1300 LAN 側） |
 | opnsense-01 | 2.5G ポート 0 | LAN / VLAN 100 (PRV) |
 | sw-flex | ポート 1 | Uplink to opnsense-01 |
-| sw-flex | ポート 2 | ap-prv-01 |
+| sw-flex | ポート 2 | ap-prv-01（トランク: VLAN 100/101/102） |
 | sw-flex | ポート 3〜5 | クライアント有線接続（予備） |
 ---