m4rshal
e87bdee9ce
- 全ファイルの ap-prv-01 → ap-01 に統一 - docs/増備計画.md: AP 用途を「SRV/PRV 兼用」に更新 - feature/phys/phys-map.md: トランク VLAN を 50/60/100 に修正、現行構成の AP 名を統一 Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
4.7 KiB
4.7 KiB
論理構成マップ(増備後)
増備計画 Phase 1〜3 完了後の VLAN・ルーティング・ファイアウォール設計。
1. VLAN 定義
| VLAN ID | 名称 | サブネット | GW | 用途 |
|---|---|---|---|---|
| 10 | MGMT | 10.0.10.0/24 |
10.0.10.1 |
ネットワーク機器管理 |
| 20 | SERVER | 10.0.20.0/22 |
10.0.20.1 |
物理ホスト + VM |
| 30 | STORAGE | 10.0.30.0/24 |
10.0.30.1 |
NAS ストレージ |
| 40 | CLIENT | 10.0.40.0/24 |
10.0.40.1 |
有線クライアント端末 |
| 50 | GUEST | 10.0.50.0/24 |
10.0.50.1 |
ゲスト端末(WAN のみ) |
| 60 | IoT | 10.0.60.0/24 |
10.0.60.1 |
IoT デバイス(WAN のみ) |
| 100 | PRV | 192.168.100.0/22 |
192.168.100.1 |
家庭内端末 (OPNsense 管理) |
VLAN 10〜60 は RTX 1300 で L3 ルーティング。VLAN 100 は OPNsense が GW。 VLAN 50/60 は無線(ap-01)と有線(sw-srv 系)の両方から収容し、RTX 1300 で一元管理。
2. ルーティング設計
SRV セグメント(RTX 1300 管理)
| 送信元 VLAN | 宛先 VLAN | 許可 | 備考 |
|---|---|---|---|
| MGMT (10) | SERVER (20) | ✅ | 管理アクセス |
| MGMT (10) | STORAGE (30) | ✅ | NAS 管理 |
| MGMT (10) | WAN | ✅ | ファームウェア更新等 |
| SERVER (20) | STORAGE (30) | ✅ | VM → NAS 通信 |
| SERVER (20) | MGMT (10) | ❌ | 管理網への侵入防止 |
| SERVER (20) | WAN | ✅ | インターネット接続 |
| CLIENT (40) | SERVER (20) | ✅ (限定) | 公開サービスのみ(nexus 経由) |
| CLIENT (40) | STORAGE (30) | ❌ | ストレージ直接接続禁止 |
| GUEST (50) | 全内部 | ❌ | WAN のみ |
| IoT (60) | 全内部 | ❌ | WAN のみ |
AP(SRV / PRV 兼用)と SSID → VLAN 対応
ap-01 (UX-7) は SRV・PRV 両セグメントをまたいで運用。uplink は sw-flex へトランク接続。
ap-01 (UX-7)
├─ SSID: Main → VLAN 100 → sw-flex → opnsense-01 → PRV (192.168.100.x)
├─ SSID: IoT → VLAN 60 → sw-flex → opnsense-01 → RTX 1300 → SRV IoT (10.0.60.x)
└─ SSID: Guest → VLAN 50 → sw-flex → opnsense-01 → RTX 1300 → SRV Guest (10.0.50.x)
AP→sw-flex 間はトランクポート(VLAN 50/60/100 タグ許可)。 OPNsense が全 VLAN を終端し、VLAN 50/60 は上流の RTX 1300 へルーティング。
PRV セグメント(OPNsense 管理)
ファイアウォールルール
| 送信元 VLAN | 宛先 | 許可 | 備考 |
|---|---|---|---|
| VLAN 100 Main | WAN | ✅ | 通常利用 |
| VLAN 100 Main | SRV (10.0.0.0/16) | ✅ (限定) | nexus 公開サービスのみ |
| VLAN 100 Main | VLAN 50/60 | ❌ | 無線 SSID 間通信遮断 |
| VLAN 60 IoT | WAN | ✅ | IoT クラウド通信(RTX 1300 経由) |
| VLAN 60 IoT | 内部全体 | ❌ | 完全遮断 |
| VLAN 50 Guest | WAN | ✅ | (RTX 1300 経由) |
| VLAN 50 Guest | 内部全体 | ❌ | 完全遮断 |
3. サービス依存関係
インターネット
└─ WAN1 (Flets 10G) / WAN2 (LTE failover)
└─ rt-edge-01 (RTX 1300)
├─ Port Forward: :80/:443 → nexus (192.168.0.20 → 10.0.21.x)
├─ Port Forward: :44965 → crafty :25565
└─ VLAN ルーティング (10/20/30/40/50/60)
nexus (Caddy リバースプロキシ)
├─ → Gitea (docker-app-1 :4000)
├─ → Immich (docker-app-1 :2283)
├─ → Nextcloud (docker-app-1 :11080)
├─ → Grafana (docker-app-1 :3000)
├─ → Portainer (docker-app-1 :9000)
└─ → Homepage (docker-app-1 :5000)
docker-db-1 (192.168.2.50 → 10.0.21.x)
├─ MySQL/MariaDB :3306
├─ PostgreSQL :5432
├─ InfluxDB :8086
├─ Prometheus :9090
└─ Redis :6379
zabbix-1 (192.168.2.10 → 10.0.21.x)
└─ Zabbix Agent 監視対象:
n1-pro-pve / x86-01-pve / sc-rpi4-01
docker-db-1 / docker-app-1 / crafty / fr24-feed
4. DNS 設計
| ゾーン | サーバ | IP | 用途 |
|---|---|---|---|
| SRV 公開サービス | svc-dns | 192.168.0.53 → 10.0.21.x |
内部サービス名前解決 |
| PRV プライベート | priv-dns | 192.168.10.53 → 10.0.21.x |
PRV 端末向け DNS |
- svc-dns / priv-dns はともに LXC コンテナ(Proxmox 管理)
- 上位 DNS: ISP / Public DNS へフォワード
5. NTP
| サーバ | IP | 用途 |
|---|---|---|
| NTP (LXC 110) | 192.168.0.10 → 10.0.21.x |
全ホスト時刻同期源 |
備考
- VLAN 間通信は RTX 1300 のルーティングテーブルと ACL で制御
- PRV セグメントは OPNsense が DHCP / FW / NAT をすべて担当
- 将来 OPNsense HA 構成時は CARP VIP
192.168.100.1+ pfsync で冗長化