QA@IT
«回答へ戻る

760
 
 - L2スイッチを使う場合は、IPサブネットは1個にしておき(例えば192.168.1.0/24など)、セグメント分割のみ行ないます。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、uplinkのルータはInternetに出て行くために両方のVLANで共有します。IPサブネットは1個ですから、デフォルトゲートウェイも共通です(例えば192.168.1.1など)。ルータを共有するために、uplinkポートは「社内」と「ゲスト」の両VLANをオーバラップさせる必要がありますので、マルチプルVLANを使用します。この場合、VLANによってすでに「社内」と「ゲスト」は隔離されているので、パケットフィルタリングは不要です。
 
-- L3スイッチを使う場合は、IPサブネットは3個に分けます。逆にいうと、セグメント分割のみでなく、IP層のサブネット分割も行ないたい場合はL3スイッチか、LAN用のルータが必要です。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、IPサブネットもVLAN毎に分けます(例えば「社内」が192.168.2.0/24で「ゲスト」が192.168.3.0/24など)。また外に出ていくためにもう1個「外向けサブネット」(例えば192.168.1.0/24)を持っておき、ルータのLAN側I/Fをアタッチします。「社内」および「ゲスト」からは「外向けサブネット」を経由してInternetに出て行きます。そのためVLAN間ルーティングを行ないます。ところがこれだと「社内」と「ゲスト」間も不必要につながってしまうので、パケットフィルタリングを行なって、通信を遮断します。
+- L3スイッチを使う場合は、IPサブネットは3個に分けます。逆にいうと、セグメント分割のみでなく、IP層のサブネット分割も行ないたい場合はL3スイッチか、LAN用のルータが必要です。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、IPサブネットもVLAN毎に分けます(例えば「社内」が192.168.2.0/24で「ゲスト」が192.168.3.0/24など)。また外に出ていくためにもう1個「外向け」(例えば192.168.1.0/24)を持っておき、ルータのLAN側I/Fをアタッチします。「社内」および「ゲスト」からは「外向け」を経由してInternetに出て行きます。そのためVLAN間ルーティングを行ないます。ところがこれだと「社内」と「ゲスト」間も不必要につながってしまうので、パケットフィルタリングを行なって、通信を遮断します。
 
 - いずれの場合も、uplinkのルータはLAN側I/Fが1個あればよく、VLANを認識させる必要もないので、802.1Qも不要です。これは既存のルータがそのまま使えることを意味します。
 

セグメント分割はL1、L2までの話として、基本的にやりたいことはL1、L2までで出来る前提で考えます。あと僕はBS-GS20Pシリーズの実機を触ったことはないので、Webで情報を仕入れた範囲内で書きます。

IEEE802.1qが対応していない恐れがあるため、VLANで分けるのが難しいのではないかと思っているのですが、(...)

タグVLANはそうですが、ポートVLANでルータポートに複数VLANをオーバラップするように割り当てられないものかという観点で考えると、BS-GS2016PのマルチプルVLANが使えそうですね。第2章 設定事例の「例3:複数のVLANグループから共通のポートにアクセスする(マルチプルVLAN)」を参照。

それとも、ここはL3スイッチの提案をすべきなのでしょうか。

基本的にはL2スイッチでできるものとして、いざという時はBS-GS2016PにはスタティックIPルーティングの機能があるようなので、ルーティング-レイヤ3モードを使って逃げる手もありそうですね。なるべくL2だけにしたほうがシンプルだとは思いますが...

ちなみにACLも使えるようですので、VLAN間をルーティングするならACLを切る形でしょうか。

付記
説明不足だったかもしれないので、ちょっとまとめておきます。まず既存のルータはInternet接続専用の簡易的(?)なものであり、LAN側に複数I/Fを持ってルーティングしたり、LAN側でパケットフィルタリングしたりすることは出来ないことがわかったので、改めてそれを前提にします。その前提のもとで、考えられる解決方法はL2スイッチを使う場合とL3スイッチを使う場合があります。

  • L2スイッチを使う場合は、IPサブネットは1個にしておき(例えば192.168.1.0/24など)、セグメント分割のみ行ないます。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、uplinkのルータはInternetに出て行くために両方のVLANで共有します。IPサブネットは1個ですから、デフォルトゲートウェイも共通です(例えば192.168.1.1など)。ルータを共有するために、uplinkポートは「社内」と「ゲスト」の両VLANをオーバラップさせる必要がありますので、マルチプルVLANを使用します。この場合、VLANによってすでに「社内」と「ゲスト」は隔離されているので、パケットフィルタリングは不要です。

  • L3スイッチを使う場合は、IPサブネットは3個に分けます。逆にいうと、セグメント分割のみでなく、IP層のサブネット分割も行ないたい場合はL3スイッチか、LAN用のルータが必要です。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、IPサブネットもVLAN毎に分けます(例えば「社内」が192.168.2.0/24で「ゲスト」が192.168.3.0/24など)。また外に出ていくためにもう1個「外向け」(例えば192.168.1.0/24)を持っておき、ルータのLAN側I/Fをアタッチします。「社内」および「ゲスト」からは「外向け」を経由してInternetに出て行きます。そのためVLAN間ルーティングを行ないます。ところがこれだと「社内」と「ゲスト」間も不必要につながってしまうので、パケットフィルタリングを行なって、通信を遮断します。

  • いずれの場合も、uplinkのルータはLAN側I/Fが1個あればよく、VLANを認識させる必要もないので、802.1Qも不要です。これは既存のルータがそのまま使えることを意味します。

  • L2スイッチをL3モードで使うのは、いざという時の回避策として考えただけで、一般的利用法ではないので、なるべくやりたくないです。L3の機能が必要だとはじめから明らかであれば、L3スイッチかルータの使用を推奨します。

  • セグメントの意味ですが、私はブロードキャストドメインの意味で使っています。たぶん人によって違う意味になっています。私の用法で意味が通じるといいのですが、わかりにくかったらごめんなさい。

  • 本筋とは関係ありませんが、L3スイッチを使う場合は、ゲストにIPアドレスを払い出すためのDHCPサーバのことも考慮したほうがよいと思います。何というか、ちょっと気になります。L2の場合は、既存のものを流用できるイメージです。

セグメント分割はL1、L2までの話として、基本的にやりたいことはL1、L2までで出来る前提で考えます。あと僕はBS-GS20Pシリーズの実機を触ったことはないので、Webで情報を仕入れた範囲内で書きます。


> IEEE802.1qが対応していない恐れがあるため、VLANで分けるのが難しいのではないかと思っているのですが、(...)

タグVLANはそうですが、ポートVLANでルータポートに複数VLANをオーバラップするように割り当てられないものかという観点で考えると、BS-GS2016PのマルチプルVLANが使えそうですね。[第2章 設定事例](http://buffalo.jp/support_s/guide2/manual/bs-gs/type02/99/ja/pc_index.html?Chapter2#h2anc0)の「例3:複数のVLANグループから共通のポートにアクセスする(マルチプルVLAN)」を参照。


> それとも、ここはL3スイッチの提案をすべきなのでしょうか。

基本的にはL2スイッチでできるものとして、いざという時はBS-GS2016PにはスタティックIPルーティングの機能があるようなので、[ルーティング-レイヤ3モード](http://buffalo.jp/support_s/guide2/manual/bs-gs/type01/99/ja/pc_index.html?Chapter2#h3anc4)を使って逃げる手もありそうですね。なるべくL2だけにしたほうがシンプルだとは思いますが...

ちなみに[ACL](http://buffalo.jp/support_s/guide2/manual/bs-gs/type01/99/ja/pc_index.html?Chapter2#h3anc19)も使えるようですので、VLAN間をルーティングするならACLを切る形でしょうか。

**付記**
説明不足だったかもしれないので、ちょっとまとめておきます。まず既存のルータはInternet接続専用の簡易的(?)なものであり、LAN側に複数I/Fを持ってルーティングしたり、LAN側でパケットフィルタリングしたりすることは出来ないことがわかったので、改めてそれを前提にします。その前提のもとで、考えられる解決方法はL2スイッチを使う場合とL3スイッチを使う場合があります。

- L2スイッチを使う場合は、IPサブネットは1個にしておき(例えば192.168.1.0/24など)、セグメント分割のみ行ないます。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、uplinkのルータはInternetに出て行くために両方のVLANで共有します。IPサブネットは1個ですから、デフォルトゲートウェイも共通です(例えば192.168.1.1など)。ルータを共有するために、uplinkポートは「社内」と「ゲスト」の両VLANをオーバラップさせる必要がありますので、マルチプルVLANを使用します。この場合、VLANによってすでに「社内」と「ゲスト」は隔離されているので、パケットフィルタリングは不要です。

- L3スイッチを使う場合は、IPサブネットは3個に分けます。逆にいうと、セグメント分割のみでなく、IP層のサブネット分割も行ないたい場合はL3スイッチか、LAN用のルータが必要です。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、IPサブネットもVLAN毎に分けます(例えば「社内」が192.168.2.0/24で「ゲスト」が192.168.3.0/24など)。また外に出ていくためにもう1個「外向け」(例えば192.168.1.0/24)を持っておき、ルータのLAN側I/Fをアタッチします。「社内」および「ゲスト」からは「外向け」を経由してInternetに出て行きます。そのためVLAN間ルーティングを行ないます。ところがこれだと「社内」と「ゲスト」間も不必要につながってしまうので、パケットフィルタリングを行なって、通信を遮断します。

- いずれの場合も、uplinkのルータはLAN側I/Fが1個あればよく、VLANを認識させる必要もないので、802.1Qも不要です。これは既存のルータがそのまま使えることを意味します。

- L2スイッチをL3モードで使うのは、いざという時の回避策として考えただけで、一般的利用法ではないので、なるべくやりたくないです。L3の機能が必要だとはじめから明らかであれば、L3スイッチかルータの使用を推奨します。

- セグメントの意味ですが、私はブロードキャストドメインの意味で使っています。たぶん人によって違う意味になっています。私の用法で意味が通じるといいのですが、わかりにくかったらごめんなさい。

- 本筋とは関係ありませんが、L3スイッチを使う場合は、ゲストにIPアドレスを払い出すためのDHCPサーバのことも考慮したほうがよいと思います。何というか、ちょっと気になります。L2の場合は、既存のものを流用できるイメージです。

760
 基本的にはL2スイッチでできるものとして、いざという時はBS-GS2016PにはスタティックIPルーティングの機能があるようなので、[ルーティング-レイヤ3モード](http://buffalo.jp/support_s/guide2/manual/bs-gs/type01/99/ja/pc_index.html?Chapter2#h3anc4)を使って逃げる手もありそうですね。なるべくL2だけにしたほうがシンプルだとは思いますが...
 
 ちなみに[ACL](http://buffalo.jp/support_s/guide2/manual/bs-gs/type01/99/ja/pc_index.html?Chapter2#h3anc19)も使えるようですので、VLAN間をルーティングするならACLを切る形でしょうか。
+
+**付記**
+説明不足だったかもしれないので、ちょっとまとめておきます。まず既存のルータはInternet接続専用の簡易的(?)なものであり、LAN側に複数I/Fを持ってルーティングしたり、LAN側でパケットフィルタリングしたりすることは出来ないことがわかったので、改めてそれを前提にします。その前提のもとで、考えられる解決方法はL2スイッチを使う場合とL3スイッチを使う場合があります。
+
+- L2スイッチを使う場合は、IPサブネットは1個にしておき(例えば192.168.1.0/24など)、セグメント分割のみ行ないます。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、uplinkのルータはInternetに出て行くために両方のVLANで共有します。IPサブネットは1個ですから、デフォルトゲートウェイも共通です(例えば192.168.1.1など)。ルータを共有するために、uplinkポートは「社内」と「ゲスト」の両VLANをオーバラップさせる必要がありますので、マルチプルVLANを使用します。この場合、VLANによってすでに「社内」と「ゲスト」は隔離されているので、パケットフィルタリングは不要です。
+
+- L3スイッチを使う場合は、IPサブネットは3個に分けます。逆にいうと、セグメント分割のみでなく、IP層のサブネット分割も行ないたい場合はL3スイッチか、LAN用のルータが必要です。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、IPサブネットもVLAN毎に分けます(例えば「社内」が192.168.2.0/24で「ゲスト」が192.168.3.0/24など)。また外に出ていくためにもう1個「外向けサブネット」(例えば192.168.1.0/24)を持っておき、ルータのLAN側I/Fをアタッチします。「社内」および「ゲスト」からは「外向けサブネット」を経由してInternetに出て行きます。そのためVLAN間ルーティングを行ないます。ところがこれだと「社内」と「ゲスト」間も不必要につながってしまうので、パケットフィルタリングを行なって、通信を遮断します。
+
+- いずれの場合も、uplinkのルータはLAN側I/Fが1個あればよく、VLANを認識させる必要もないので、802.1Qも不要です。これは既存のルータがそのまま使えることを意味します。
+
+- L2スイッチをL3モードで使うのは、いざという時の回避策として考えただけで、一般的利用法ではないので、なるべくやりたくないです。L3の機能が必要だとはじめから明らかであれば、L3スイッチかルータの使用を推奨します。
+
+- セグメントの意味ですが、私はブロードキャストドメインの意味で使っています。たぶん人によって違う意味になっています。私の用法で意味が通じるといいのですが、わかりにくかったらごめんなさい。
+
+- 本筋とは関係ありませんが、L3スイッチを使う場合は、ゲストにIPアドレスを払い出すためのDHCPサーバのことも考慮したほうがよいと思います。何というか、ちょっと気になります。L2の場合は、既存のものを流用できるイメージです。

セグメント分割はL1、L2までの話として、基本的にやりたいことはL1、L2までで出来る前提で考えます。あと僕はBS-GS20Pシリーズの実機を触ったことはないので、Webで情報を仕入れた範囲内で書きます。

IEEE802.1qが対応していない恐れがあるため、VLANで分けるのが難しいのではないかと思っているのですが、(...)

タグVLANはそうですが、ポートVLANでルータポートに複数VLANをオーバラップするように割り当てられないものかという観点で考えると、BS-GS2016PのマルチプルVLANが使えそうですね。第2章 設定事例の「例3:複数のVLANグループから共通のポートにアクセスする(マルチプルVLAN)」を参照。

それとも、ここはL3スイッチの提案をすべきなのでしょうか。

基本的にはL2スイッチでできるものとして、いざという時はBS-GS2016PにはスタティックIPルーティングの機能があるようなので、ルーティング-レイヤ3モードを使って逃げる手もありそうですね。なるべくL2だけにしたほうがシンプルだとは思いますが...

ちなみにACLも使えるようですので、VLAN間をルーティングするならACLを切る形でしょうか。

付記
説明不足だったかもしれないので、ちょっとまとめておきます。まず既存のルータはInternet接続専用の簡易的(?)なものであり、LAN側に複数I/Fを持ってルーティングしたり、LAN側でパケットフィルタリングしたりすることは出来ないことがわかったので、改めてそれを前提にします。その前提のもとで、考えられる解決方法はL2スイッチを使う場合とL3スイッチを使う場合があります。

  • L2スイッチを使う場合は、IPサブネットは1個にしておき(例えば192.168.1.0/24など)、セグメント分割のみ行ないます。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、uplinkのルータはInternetに出て行くために両方のVLANで共有します。IPサブネットは1個ですから、デフォルトゲートウェイも共通です(例えば192.168.1.1など)。ルータを共有するために、uplinkポートは「社内」と「ゲスト」の両VLANをオーバラップさせる必要がありますので、マルチプルVLANを使用します。この場合、VLANによってすでに「社内」と「ゲスト」は隔離されているので、パケットフィルタリングは不要です。

  • L3スイッチを使う場合は、IPサブネットは3個に分けます。逆にいうと、セグメント分割のみでなく、IP層のサブネット分割も行ないたい場合はL3スイッチか、LAN用のルータが必要です。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、IPサブネットもVLAN毎に分けます(例えば「社内」が192.168.2.0/24で「ゲスト」が192.168.3.0/24など)。また外に出ていくためにもう1個「外向けサブネット」(例えば192.168.1.0/24)を持っておき、ルータのLAN側I/Fをアタッチします。「社内」および「ゲスト」からは「外向けサブネット」を経由してInternetに出て行きます。そのためVLAN間ルーティングを行ないます。ところがこれだと「社内」と「ゲスト」間も不必要につながってしまうので、パケットフィルタリングを行なって、通信を遮断します。

  • いずれの場合も、uplinkのルータはLAN側I/Fが1個あればよく、VLANを認識させる必要もないので、802.1Qも不要です。これは既存のルータがそのまま使えることを意味します。

  • L2スイッチをL3モードで使うのは、いざという時の回避策として考えただけで、一般的利用法ではないので、なるべくやりたくないです。L3の機能が必要だとはじめから明らかであれば、L3スイッチかルータの使用を推奨します。

  • セグメントの意味ですが、私はブロードキャストドメインの意味で使っています。たぶん人によって違う意味になっています。私の用法で意味が通じるといいのですが、わかりにくかったらごめんなさい。

  • 本筋とは関係ありませんが、L3スイッチを使う場合は、ゲストにIPアドレスを払い出すためのDHCPサーバのことも考慮したほうがよいと思います。何というか、ちょっと気になります。L2の場合は、既存のものを流用できるイメージです。

セグメント分割はL1、L2までの話として、基本的にやりたいことはL1、L2までで出来る前提で考えます。あと僕はBS-GS20Pシリーズの実機を触ったことはないので、Webで情報を仕入れた範囲内で書きます。


> IEEE802.1qが対応していない恐れがあるため、VLANで分けるのが難しいのではないかと思っているのですが、(...)

タグVLANはそうですが、ポートVLANでルータポートに複数VLANをオーバラップするように割り当てられないものかという観点で考えると、BS-GS2016PのマルチプルVLANが使えそうですね。[第2章 設定事例](http://buffalo.jp/support_s/guide2/manual/bs-gs/type02/99/ja/pc_index.html?Chapter2#h2anc0)の「例3:複数のVLANグループから共通のポートにアクセスする(マルチプルVLAN)」を参照。


> それとも、ここはL3スイッチの提案をすべきなのでしょうか。

基本的にはL2スイッチでできるものとして、いざという時はBS-GS2016PにはスタティックIPルーティングの機能があるようなので、[ルーティング-レイヤ3モード](http://buffalo.jp/support_s/guide2/manual/bs-gs/type01/99/ja/pc_index.html?Chapter2#h3anc4)を使って逃げる手もありそうですね。なるべくL2だけにしたほうがシンプルだとは思いますが...

ちなみに[ACL](http://buffalo.jp/support_s/guide2/manual/bs-gs/type01/99/ja/pc_index.html?Chapter2#h3anc19)も使えるようですので、VLAN間をルーティングするならACLを切る形でしょうか。

**付記**
説明不足だったかもしれないので、ちょっとまとめておきます。まず既存のルータはInternet接続専用の簡易的(?)なものであり、LAN側に複数I/Fを持ってルーティングしたり、LAN側でパケットフィルタリングしたりすることは出来ないことがわかったので、改めてそれを前提にします。その前提のもとで、考えられる解決方法はL2スイッチを使う場合とL3スイッチを使う場合があります。

- L2スイッチを使う場合は、IPサブネットは1個にしておき(例えば192.168.1.0/24など)、セグメント分割のみ行ないます。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、uplinkのルータはInternetに出て行くために両方のVLANで共有します。IPサブネットは1個ですから、デフォルトゲートウェイも共通です(例えば192.168.1.1など)。ルータを共有するために、uplinkポートは「社内」と「ゲスト」の両VLANをオーバラップさせる必要がありますので、マルチプルVLANを使用します。この場合、VLANによってすでに「社内」と「ゲスト」は隔離されているので、パケットフィルタリングは不要です。

- L3スイッチを使う場合は、IPサブネットは3個に分けます。逆にいうと、セグメント分割のみでなく、IP層のサブネット分割も行ないたい場合はL3スイッチか、LAN用のルータが必要です。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、IPサブネットもVLAN毎に分けます(例えば「社内」が192.168.2.0/24で「ゲスト」が192.168.3.0/24など)。また外に出ていくためにもう1個「外向けサブネット」(例えば192.168.1.0/24)を持っておき、ルータのLAN側I/Fをアタッチします。「社内」および「ゲスト」からは「外向けサブネット」を経由してInternetに出て行きます。そのためVLAN間ルーティングを行ないます。ところがこれだと「社内」と「ゲスト」間も不必要につながってしまうので、パケットフィルタリングを行なって、通信を遮断します。

- いずれの場合も、uplinkのルータはLAN側I/Fが1個あればよく、VLANを認識させる必要もないので、802.1Qも不要です。これは既存のルータがそのまま使えることを意味します。

- L2スイッチをL3モードで使うのは、いざという時の回避策として考えただけで、一般的利用法ではないので、なるべくやりたくないです。L3の機能が必要だとはじめから明らかであれば、L3スイッチかルータの使用を推奨します。

- セグメントの意味ですが、私はブロードキャストドメインの意味で使っています。たぶん人によって違う意味になっています。私の用法で意味が通じるといいのですが、わかりにくかったらごめんなさい。

- 本筋とは関係ありませんが、L3スイッチを使う場合は、ゲストにIPアドレスを払い出すためのDHCPサーバのことも考慮したほうがよいと思います。何というか、ちょっと気になります。L2の場合は、既存のものを流用できるイメージです。

回答を投稿

セグメント分割はL1、L2までの話として、基本的にやりたいことはL1、L2までで出来る前提で考えます。あと僕はBS-GS20Pシリーズの実機を触ったことはないので、Webで情報を仕入れた範囲内で書きます。

IEEE802.1qが対応していない恐れがあるため、VLANで分けるのが難しいのではないかと思っているのですが、(...)

タグVLANはそうですが、ポートVLANでルータポートに複数VLANをオーバラップするように割り当てられないものかという観点で考えると、BS-GS2016PのマルチプルVLANが使えそうですね。第2章 設定事例の「例3:複数のVLANグループから共通のポートにアクセスする(マルチプルVLAN)」を参照。

それとも、ここはL3スイッチの提案をすべきなのでしょうか。

基本的にはL2スイッチでできるものとして、いざという時はBS-GS2016PにはスタティックIPルーティングの機能があるようなので、ルーティング-レイヤ3モードを使って逃げる手もありそうですね。なるべくL2だけにしたほうがシンプルだとは思いますが...

ちなみにACLも使えるようですので、VLAN間をルーティングするならACLを切る形でしょうか。

セグメント分割はL1、L2までの話として、基本的にやりたいことはL1、L2までで出来る前提で考えます。あと僕はBS-GS20Pシリーズの実機を触ったことはないので、Webで情報を仕入れた範囲内で書きます。


> IEEE802.1qが対応していない恐れがあるため、VLANで分けるのが難しいのではないかと思っているのですが、(...)

タグVLANはそうですが、ポートVLANでルータポートに複数VLANをオーバラップするように割り当てられないものかという観点で考えると、BS-GS2016PのマルチプルVLANが使えそうですね。[第2章 設定事例](http://buffalo.jp/support_s/guide2/manual/bs-gs/type02/99/ja/pc_index.html?Chapter2#h2anc0)の「例3:複数のVLANグループから共通のポートにアクセスする(マルチプルVLAN)」を参照。


> それとも、ここはL3スイッチの提案をすべきなのでしょうか。

基本的にはL2スイッチでできるものとして、いざという時はBS-GS2016PにはスタティックIPルーティングの機能があるようなので、[ルーティング-レイヤ3モード](http://buffalo.jp/support_s/guide2/manual/bs-gs/type01/99/ja/pc_index.html?Chapter2#h3anc4)を使って逃げる手もありそうですね。なるべくL2だけにしたほうがシンプルだとは思いますが...

ちなみに[ACL](http://buffalo.jp/support_s/guide2/manual/bs-gs/type01/99/ja/pc_index.html?Chapter2#h3anc19)も使えるようですので、VLAN間をルーティングするならACLを切る形でしょうか。