ぷららメールサーバーがセキュリティ対策を実施

「ぷらら」からメールサーバーのセキュリティ強化を行う通知が来た。随分と急な話だ。


メールマニュアルのリンク先を確認してみたがどのようなセキュリティ強化策か解らない。
今までと何の変化も無い。


メール送信が出来なくなったら対策を考えれば良いかと放置していたら9月11日から開始と通告が来た。

通告されても、「セキュリティ強化」がどのような対策なのか何も記述されていない。

9月11日からセキュリティ強化を実施しましたと9月14日にメールで通知された。
「CRAM-MD5」を廃止すると記載されている。
最初から「書けよ！」


ホームページにも記載された
9月14日「更新」？
いつ記載されたんだい。8月25日の日時記載があるが25日には、探しても見つからなかった。


９月20日 PR-600MIの交換後、NVR510のsystemログを確認していたら「メール送信エラー」が発生している。
ドアフォンからのメール通知も止まっている。

NVR510のSystem log
2023/09/18 15:45:27: [MAIL] Create Service State(lua, ID: 6)
2023/09/18 15:45:27: [MAIL] [11]Create Task for Waiting Event(lua, ID: 6)
2023/09/18 15:45:27: [MAIL] Create Service State(mail, ID: 41)
2023/09/18 15:45:27: [MAIL] [11]Create task for Service waiting timer(ID: 41, 1 sec)
2023/09/18 15:45:28: [MAIL] [11]Mail Wait Service Is Timeout(mail: 1 sec)
2023/09/18 15:45:28: [MAIL] Create Service State(mail, ID: 42)
2023/09/18 15:45:28: [MAIL] [11]Create Task for Connecting Server(ID: 42)
2023/09/18 15:45:28: [MAIL] [11]Wait Connecting to Server...(0)
2023/09/18 15:45:28: [MAIL] [11]Connected Mail Service Server
2023/09/18 15:45:28: [MAIL] [11]Recv Msg: "220 msc14.plala.or.jp ESMTP server ready Mon, 18 Sep 2023 15:45:29 +0900"
2023/09/18 15:45:28: [MAIL] [11]Send Msg: "EHLO v6mail.plala.or.jp"
2023/09/18 15:45:28: [MAIL] [11]Recv Msg: "250-msc14.plala.or.jp"
2023/09/18 15:45:28: [MAIL] [11]Recv Msg: "250-AUTH=LOGIN PLAIN CRAM-MD5"
2023/09/18 15:45:28: [MAIL] [11]Recv Msg: "250-AUTH LOGIN PLAIN CRAM-MD5"
2023/09/18 15:45:28: [MAIL] [11]Recv Msg: "250-PIPELINING"
2023/09/18 15:45:28: [MAIL] [11]Recv Msg: "250-DSN"
2023/09/18 15:45:28: [MAIL] [11]Recv Msg: "250-8BITMIME"
2023/09/18 15:45:28: [MAIL] [11]Recv Msg: "250-STARTTLS"
2023/09/18 15:45:28: [MAIL] [11]Recv Msg: "250 SIZE 20971520"
2023/09/18 15:45:28: [MAIL] [11]Send Msg: "AUTH cram-md5"
2023/09/18 15:45:28: [MAIL] [11]Recv Msg: "334 PDIwMjMwOTE4MDY0NTI5LlNCRkYxNjI2My5tc2MxNC5wbGFsYS5vci5qcEB2Nm1haWwucGxhbGEub3IuanA+"
2023/09/18 15:45:28: [MAIL] [11]Send Msg: "c29tZW9uZUBzb21ld2hlcmUucGxhbGEub3IuanAgYzExNWExMjMzOWUyNTJmZDBkZDBhYjIzMGJjODAxOTE="
2023/09/18 15:45:28: [MAIL] [11]Recv Msg: "535 CRAM-MD5 not supported for someone@somewhere.plala.or.jp"
2023/09/18 15:45:28: [MAIL] Read Error(535 CRAM-MD5 not supported for someone@somewhere.plala.or.jp)
2023/09/18 15:45:28: [MAIL] [11]Mail SMTP Service Receive Error(28)
2023/09/18 15:45:28: [MAIL] [11]Send Msg: "QUIT"
2023/09/18 15:45:28: [MAIL] [11]Recv Msg: "221 msc14.plala.or.jp ESMTP server closing connection"
2023/09/18 15:45:28: [MAIL] [11]End Mail SMTP Process for Error
2023/09/18 15:45:28: [MAIL] [11]Close TCP(0)
2023/09/18 15:45:28: [MAIL] [11]Remove From Mail Service State List(mail:42)

AUTHで「LOGIN」「PLAIN」「CRAM-MD5」で認証しろと応答しているから「CRAM-MD5」で認証しようとすると「CRAM-MD5はサポートしていません」と。
何じゃこりゃ！

ぷららのIPv4メールサーバ、IPv6メールサーバーについてポート465/SSL、サブミッションポート587/startTLSについて確認してみた。

secure.plala.or.jp
$ echo -e "ehlo\nquit" | openssl s_client -4 -connect secure.plala.or.jp:465 -quiet -crlf 2>/dev/null
220 msc13.plala.or.jp ESMTP server ready Wed, 20 Sep 2023 15:14:39 +0900
250-msc13.plala.or.jp
250-AUTH=LOGIN PLAIN CRAM-MD5
250-AUTH LOGIN PLAIN CRAM-MD5
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
221 msc13.plala.or.jp ESMTP server closing connection

$ echo -e "ehlo\nquit" | openssl s_client -6 -connect secure.plala.or.jp:465 -quiet -crlf 2>/dev/null
220 msc13.plala.or.jp ESMTP server ready Wed, 20 Sep 2023 15:14:49 +0900
250-msc13.plala.or.jp
250-AUTH=LOGIN PLAIN CRAM-MD5
250-AUTH LOGIN PLAIN CRAM-MD5
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
221 msc13.plala.or.jp ESMTP server closing connection

$ echo -e "ehlo\nquit" | openssl s_client -4 -connect secure.plala.or.jp:587 -starttls smtp -quiet -crlf 2>/dev/null
250-msc14.plala.or.jp
250-AUTH=LOGIN PLAIN CRAM-MD5
250-AUTH LOGIN PLAIN CRAM-MD5
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
221 msc14.plala.or.jp ESMTP server closing connection

$ echo -e "ehlo\nquit" | openssl s_client -6 -connect secure.plala.or.jp:587 -starttls smtp -quiet -crlf 2>/dev/null
250-msc14.plala.or.jp
250-AUTH=LOGIN PLAIN CRAM-MD5
250-AUTH LOGIN PLAIN CRAM-MD5
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
221 msc14.plala.or.jp ESMTP server closing connection

secureサーバは、DNSにAAAAアドレスが設定されていない。macOSのopensslは、-6指定でも勝手に-4で接続してしまう。Debian10のopensslは、「No address associated with hostname connect:errno=22」となる。「V6mail」サーバーも確認してみた

v6mail.plala.or.jp
$ echo -e "ehlo\nquit" | openssl s_client -4 -connect v6mail.plala.or.jp:465 -quiet -crlf 2>/dev/null
220 msc14.plala.or.jp ESMTP server ready Wed, 20 Sep 2023 14:48:13 +0900
250-msc14.plala.or.jp
250-AUTH=LOGIN PLAIN CRAM-MD5
250-AUTH LOGIN PLAIN CRAM-MD5
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
221 msc14.plala.or.jp ESMTP server closing connection

$ echo -e "ehlo\nquit" | openssl s_client -6 -connect v6mail.plala.or.jp:465 -quiet -crlf 2>/dev/null
220 msc14.plala.or.jp ESMTP server ready Wed, 20 Sep 2023 14:48:25 +0900
250-msc14.plala.or.jp
250-AUTH=LOGIN PLAIN CRAM-MD5
250-AUTH LOGIN PLAIN CRAM-MD5
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
221 msc14.plala.or.jp ESMTP server closing connection

$ echo -e "ehlo\nquit" | openssl s_client -4 -connect v6mail.plala.or.jp:587 -starttls smtp -quiet -crlf 2>/dev/null
250-msc14.plala.or.jp
250-AUTH=LOGIN PLAIN CRAM-MD5
250-AUTH LOGIN PLAIN CRAM-MD5
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
221 msc14.plala.or.jp ESMTP server closing connection

$ echo -e "ehlo\nquit" | openssl s_client -6 -connect v6mail.plala.or.jp:587 -starttls smtp -quiet -crlf 2>/dev/null
250-msc13.plala.or.jp
250-AUTH=LOGIN PLAIN CRAM-MD5
250-AUTH LOGIN PLAIN CRAM-MD5
250-PIPELINING
250-DSN
250-8BITMIME
250 SIZE 20971520
221 msc13.plala.or.jp ESMTP server closing connection

「secure」サーバーも「v6mail」サーバーも実態は同じようだ。

DNS
$ host v6mail.plala.or.jp
v6mail.plala.or.jp has address 60.36.166.240
v6mail.plala.or.jp has IPv6 address 2400:7800:0:502f::240

$ host secure.plala.or.jp
secure.plala.or.jp has address 60.36.166.237

secureサーバーもIPv6対応していますとアナウンスされているがDNSのAAAAにIPv6アドレスを設定していない。誰が使えるの！

サブミッションポート587に「startTLS」なしで接続（telnet接続）してみた

一応「LOGIN」とか「PLAIN」で接続出来そう。やってみた

auth login


auth plain


「セキュリティ強化」ならこれも廃止したら？と言いたいところだ。

（2023年9月26日 追記）
セキュリティ対策されたSMTP-AUTH CRAM-MD5の振舞

someone@somewhere.plala.or.jp（存在しないユーザーID）
WAYWAYWAY（適当なパスワード）
で応答すると当然Authentificationされない。

auth cram-md5
334 PDIwMjMwOTI1MjM1NzUzLkdNS1Q2NzczLm1zYzEyLnBsYWxhLm9yLmpwQG9wZW5zc2wuY2xpZW50Lm5ldD4=
c29tZW9uZUBzb21ld2hlcmUucGxhbGEub3IuanAgYzVmYTY3MzkwYWQ4MTlmYjhmZTg1YTQwODlmMWM1YTc=
535 Authentication failed
------------------------------------------
realuser@realserver.plala.or.jp（存在するユーザーID）
WAYWAYWAY（適当なパスワード）
で応答するとパスワードが適当でも認証された時と同じ応答が返される。

auth cram-md5
334 PDIwMjMwOTI1MjM1OTMxLlNKTFkxNjI2My5tc2MxNC5wbGFsYS5vci5qcEBvcGVuc3NsLmNsaWVudC5uZXQ+
cmVhbHVzZXJAcmVhbHNlcnZlci5wbGFsYS5vci5qcCAwNWY3YTUyYmZkZDk0MDkwM2Q3NTZhNjE5MWYzM2YxYg==
535 CRAM-MD5 not supported for realuser@realserver.plala.or.jp

「 ぷららメールサーバーがセキュリティ対策を実施」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果」
「Panasonic ドアフォン VL-SWH705KLのメール通知が停止した-調査結果#2」
「ぷららメールサーバーのセキュリティ対策とPanasonicドアフォンメール通知」

フレッツ光NGNのIPv6（IPoE）インターネット接続業者（VNE）とIPv6 Prefix #3

気が付いたら2023年3月22日にIPv6(IPoE)インターネット接続業者（VNE）がまた一つ追加されていた
前回が2020年9月17日の更新だったので約2年6ヶ月ぶり



2011/01/14 12:59:13 3社VNEでPrefix/23
2013/02/04 12:14:50 3社VNEでPrefix/30に変更
2018/02/02 11:27:52 4社追加され7社VNE体制
2018/08/31 10:03:19 1社追加され8社VNE体制
2020/09/17 09:23:31 1社追加され9社VNE体制
2023/03/22 10:27:31 1社追加され10社VNE体制

=== NgnRouteInfo ===
0000,2023/03/22 10:27:31--
1111,2404:01a8:7e00:0000:0000:0000:0000:0000/40--東日本電信電話（NTT-EAST）（JPNIC）
1211,2404:01a8:0000:0000:0000:0000:0000:0000/32--東日本電信電話（NTT-EAST）（JPNIC）
1212,2001:0c90:0000:0000:0000:0000:0000:0000/33--東日本電信電話（NTT-EAST）（JPNIC）
1311,2408:0210:0000:0000:0000:0000:0000:0000/30--東日本電信電話（NTT-EAST）（JPNIC）
1411,2400:2410:0000:0000:0000:0000:0000:0000/30--BBIX-IPv6 ソフトバンク（APNIC）
1412,2409:0010:0000:0000:0000:0000:0000:0000/30--MF-Transix-E-1 インターネット・マルチフィード（JPNIC）
1413,240b:0010:0000:0000:0000:0000:0000:0000/30--日本ネットワークイネーヴラ（JPNIC）
1414,2404:7a80:0000:0000:0000:0000:0000:0000/30--ビッグローブ（APNIC）
1415,2405:6580:0000:0000:0000:0000:0000:0000/30--朝日ネット（JPNIC）
1416,2400:4050:0000:0000:0000:0000:0000:0000/30--NTTコミュニケーションズ（OCN）（JPNIC）
1417,2401:4d40:0000:0000:0000:0000:0000:0000/30--フリービット（JPNIC）
1418,2001:0f70:0000:0000:0000:0000:0000:0000/30--アルテリア・ネットワーク（JPNIC）
1419,240b:c0c4:0000:0000:0000:0000:0000:0000/30--RAKUTEN Mobile  Network, Inc（APNIC）
1421,2406:ab48:0000:0000:0000:0000:0000:0000/30--デジタル庁（JPNIC）

prefixを調べてみると「デジタル庁」。何をするのか？全国自治体向けにフレッツのprefixを配布するのか？
2023/6/14 追記：マイナ保険証読取端末用かも知れない（「マイナ保険証の資格確認はNTTの光回線」）。

「1420」が飛ばされているけどまだ追加される「VNE」があるのか？

Netgear JGS524E GS116E GS308EのミラーポートとタグVLAN パケットのキャプチャ

「Dynabook SS RX2/T7H (Win7)上のWiresharkでVLAN tag capture設定」でVLAN tagフィールドをキャプチャ出来るようになった。「Netgear JGS524E GS116E GS308EのVLANネットワークとBuffalo L2SWトラブル」でVLANパケットをキャプチャするときのミラーポート設定によってVLAN tagフィールドがキャプチャ出来なかったので調べてみた。
Port20（VLAN#03/PVID#03/UNTAG）は、ひかり電話 HGW PR-600MIのLAN（#4）が接続されている。Port10は、デフォルトVLAN（VLAN#01/PVID#01/UNTAG）とVLAN#02〜#08（VLAN#02-#08/TAG）が設定され、VLAN非対応のBuffalo LSW3-GT-5EPを中継しVLAN対応のGS308Eと接続されている。Port1（VLAN#100/PVID#100/UNTAG）は、Wiresharkが接続されているミラー専用ポート。ミラー元パケットだけ反映される。


（１）ミラーポートのリンク速度
ミラーポートのリンク速度が10Mbps/100Mbpsに設定されるとミラー元ポートのリンク速度も同じになる。

「Dynabook SS RX2とイーサ・スイッチのミラーポート」

（２）VLANメンバーシップとPVID
ミラーされるパケットは、VLANメンバーシップ処理後（ポート出力）とPVID処理前（ポート入力）のパケットとなる。

Port20（VLAN#03/PVID#03/UNTAG）のミラーパケットにVLAN tagが含まれない。VLAN#03からUNTAGメンバーシップで出力される。
Wiresharkのcapture filterで「VLAN 3」を指定するとキャプチャされない。

Port10のミラーパケットは、VLAN#03からTAGメンバーシップで出力されるので「VLAN ID=03」のVLAN tagが含まれる。
Wiresharkのcapture filterで「VLAN 3」を指定すると「VLAN ID=03」のVLAN tagを持つパケットだけがキャプチャされる。

Port10のミラーパケットは、VLAN#07からもTAGメンバーシップで出力されるので「VLAN ID=07」のVLAN tagが含まれる。
Wiresharkのcapture filterで「VLAN 3 OR VLAN 7」と指定すると「VLAN ID=03」のVLAN tagを持つパケットだけがキャプチャされる。
「Vlan capture setup - Capture filters」
「capture filter with multiple vlans」
「Man page of PCAP-FILTER」

VLAN#03とVLAN#07のDHCPパケットをキャプチャするには、
Wiresharkのcapture filterで「port 67 or port 68」または「portrange 67-68」でDHCPパケットだけをキャプチャする
ポート指定するとVLANフィールドの先にポート番号があるのでVLANフィールド無しのパケットが対象となる
「vlan and portrange 67-78」としてVLANフィールドを持つポート番号67-68のパケットを指定する
（ポート指定しなければ、VLAN指定は不要。また、VLANフィールドより前にあるether host指定ではVLAN指定不要）
display filterで「vlan.id == 3 OR vlan.id == 7」

Netgear JGS524E GS116E GS308EのVLANネットワークとBuffalo L2SWトラブル

「Netgear JGS524E GS116E GS308E GBT スイッチでVLAN」ネットワークを構成している。ひかり電話HGWのIPv4 DHCPサーバーにブリッジ経由のVLAN間接続した時に発生したトラブルを分析してみた。
ひかり電話 HGW PR-600MIのLAN(＃4)は、JGS524Eのポート#20（VLAN#03/PVID#03/UNTAG）に接続。このVLAN#03には、NVR510のWAN、NVR500のWAN、OpenWrtのWAN、Debian10のenp3s0（それぞれPVID#03/UNTAG）が接続され、ポート#10（VLAN#01/PVID#01/UNTAG, VLAN#02-08/TAG）からBuffaloのL2SW(LSW3-GT-5EP)を介してGS308Eのポート#08に接続（トランク接続）されている。GS308Eのポート#08（VLAN#01/PVID#01/UNTAG, VLAN#02-08/TAG）のVLAN#03は、ポート#04(VLAN#03/PVID#03/UNTAG)でVAIO Pro13のDebian10端末に接続されている。Debian10端末は、DHCPクライアント機能でPR-600MIのDHCPサーバーからIPv4アドレスを得る事が出来る。

Debian10サーバーのブリッジポートbr1（enp6s0, enp7s0）経由で接続する設定を加えたところDHCP接続が出来なくなった。

（１）ブリッジポートbr1経由のDHCP接続設定
GS308Eのポート#07（VLAN#07/PVID#07/UNTAG）にVAIO Pro13を接続
GS308Eのポート#08からJGS524Eのポート#10 にトランク接続（途中にLSW3-GT-5EP）
JGS524Eのポート#07（VLAN#07/PVID#07/UNTAG）でDebian10のenp7s0に接続
JGS524Eのポート#05（VLAN#03/PVID#03/UNTAG）でDebian10のenp6s0に接続
JGS524Eのポート#20（VALN#03/PVID#03/UNTAG）でPR-600MIのLAN(#4)に接続（DHCPサーバー）

VAIO Pro13のDHCPクライアントでIPv4アドレスが取得できなくなった

（２）トラブル確認
・JGW524Eのポート#10でVLAN#03/TAGをoffするとトラブル解消
・Buffalo LSW3-GT-5EPを外し、直接ケーブルで接続するとトラブル解消
・Buffalo LSW3-GT-5EPをLSW4-GT-5EPLに変更してもトラブル
・Buffalo LSW3-GT-5EPを外し、JGS524Eのポート#13,15（VLAN#01-08/PVID#01/TAG）とLAG接続されたGS116Eのポート#14（VLAN#01/PVID#01/UNTAG, VLAN#02-08/TAG）とGS308Eポート#08と接続するとトラブル解消

・JGS524Eのポート#10でパケットキャプチャするとDHCP request（VLAN#03,07）ブロードキャストを確認（トラブルの有無に無関係）
・JGS524Eのポート#10でパケットキャプチャするとDHCP ack（VLAN#07）ユニキャストを確認（トラブルの有無に無関係）

・GS308Eのポート#08でパケットキャプチャするとDHCP request（VLAN#03,07）ブロードキャストを確認（トラブル時）
・GS308Eのポート#08でパケットキャプチャするとDHCP ack（VLAN#07）ユニキャストを確認出来ない（トラブル時）

Buffalo LSW3-GT-5EPがDHCP ack（VLAN#07）ユニキャストを転送しない

（３）トラブル原因を分析
Buffalo LSW3-GT-5EPは、VLAN未対応機種である。VLAN tagの有無に関わらずホスト間の通信を転送してくれる。
GS308Eポート#08とLSW3-GT-5EPポート#05、ポート#01とJGS524Eポート#10が接続されているので、LSW3-GT-5EPのポート#01,05間で転送される。
GS308Eのポート#07に接続されたVAIO-PCからVLAN#07でDHCP request（ブロードキャスト）が送信される
(MAC TABLE) PORT#07 VLAN#07 SOURCE:VAIO-PC DEST:BroadCast

LSW3-GT-5EPのポート#05で受けたパケットを全ポートにブロードキャストする
(MAC TABLE) PORT#05 SOURCE:VAIO-PC DEST:BroadCast

JGS524Eポート#10で受けたVLAN#07のブロードキャストパケットは、ブリッジポートbr1でVLAN#03にブロードキャストされる
JGS524Eポート#20のPR-600MIは、DHCP Requestに応答し、VAIO-PCに向けポート#05（VLAN#03）へユニキャスト応答する
JGS524Eポート#05は、ブリッジポートbr1でVAIO-PCに向け、ポート#07（VLAN#07）へユニキャスト応答する
JGS524Eポート#10は、VAIO-PCからVLAN#03へのブロードキャストとVAIO-PC宛のVLAN#07ユニキャストを転送する

LSW3-GT-5EPのポート#01で受けた
VAIO-PCからのVLAN#03へのブロードキャストを転送する（全ポートに）
(MAC TABLE) PORT#01 SOURCE:VAIO-PC DEST:BroadCast

VAIO-PC宛のVLAN#07ユニキャストパケットをMAC TABLEに従い転送する
先に受けたVLAN#03宛のブロードキャストでMAC TABLEが書き替えられているのでポート#05のGS308Eでなく、ポート#01のJGS524Eへ戻されてしまう。ループはしていない。Buffaloの最新機種は「ループ検出」を装備しているが、検出されないと思われる。

GS116EなどのVLAN対応機種であれば、MAC TABLEでVLAN ID識別がされるので、ポート#14からGS308Eのポート#08へ転送される
(MAC TABLE) PORT#14 VLAN#07 SOURCE:VAIO-PC DEST:BroadCast
(MAC TABLE) PORT#15,16LAG VLAN#03 SOURCE:VAIO-PC DEST:BroadCast

（４）対策
VLAN構成のネットワークでは、出来る限りVLAN対応のL2スイッチを利用するのが良い。
トラブル時は、VLAN非対応機を外して状況を確認する。

Netgear JGS524E GS116E GS308E GBT スイッチでVLAN

「Netgear GS116E GBTスイッチが寿命を迎えた」でJGS524EとGS308Eを導入した。「Netgear GS116E ライフタイム保証」でGS116Eが再び蘇った。3台のL2スイッチでホームネットワークをVLANで構成してみた。


JGS524Eを中核に「ひかり電話ホームゲートウェイPR-600MI」と「NTT-East NGN GW」間に「Debian10 Bridge Gateway」をVLAN設定で接続・分離可能な構成とする（「ひかり電話HGW PR-S300SEのIPv6スループットを確認する」「ひかり電話 HGW PR-600MIのセキュリティログからポートスキャンログを排除する」「ひかり電話 HGW PR-600MIのIPv6スループットを確認する」）。PR-600MIの配下にYamaha NVR510ルータを接続し、配線済み4居室へホームネットワークを構成する。各居室では、5ポートのL2スイッチ（LSW3-GT-5EP）などで接続。他の居室、モバイル機器、IoT（電話機、インターホーン、車充電器監視）は、WiFi接続。


PR-600MI（UNI/WAN/LAN）の3ポート、NVR510（WAN/LAN）2ポート、Debian10（enp3s0/enp6s0/enp7s0/enp1s0f0/enp1s0f1）5 ポート、NVR500（WAN/LAN）2ポート、OpenWrt(WZR-HP-G300NH WAN/LAN）2ポート、Synology NAS DS-216J（LAN）1ポート、TimeCapsule（ブリッジモード WAN）1ポート、室内５居室への接続5ポート、Mirror専用1ポートでJGS524Eの22ポートを使う。JGS524EとGS116Eは、LAG(Link Aggregation Group)設定が利用できるので、最大1Gbps帯域2Gbpsで結合し、VLANを拡張した。現在は、GS116Eに100MbpsのSilex USB Device Serverを一つ接続している。
2F東居室では、5ポートL2スイッチにTVとTVレコーダが接続されている。このスイッチを中継してGS308EへVLAN接続する（VLAN01をUntagとしVLAN02から08までTag付で接続。VLAN01は、Native VLAN）。他の居室へもVLAN設定でGS308Eの移動やGS105Eなどの増設でVLAN接続が利用できる。

各スイッチの設計は、下記の通り

GS308Eのポート4は、192.168.1.0/24(2409:10:XXXX:YY00::/60)のネットワークでPR-600MIのDHCPでIPが配布される。ポート5は、192.168.5.0/24(2409:10:XXXX:YY40::/60)のネットワークでNVR500のDHCPでIPが配布され、NAPTで192.168.1.0/24のネットワークに接続される。ポート6は、192.168.12.0/24(2409:10:XXXX:YY20::/60)のネットワークでOpenWrtのDHCPでIPが配布される。
macOSは、Tagged VLANを仮装インターフェースとして設定できるので、接続ポートをTrunk Portとし、「システム環境」「ネットワーク」で選択する方法も可能
（Windows10でもTagged VLAN毎にインターフェースを設定可能）。

Debian10 Bridge Gatewayは、JGS524Eのポート24をVLAN08(PVID=08)からVLAN02(PVID=02)へ変更すると切り離される。

ネットワーク構成上の問題点
PR-600MIのDHCPv6-Prefix Delegation Serverは、ルータ毎にPrefixを指定出来ない。Delegationは、未使用のPrefixを要求の順番に割り当てる。一度割り当てられたPrefixもreleaseすると未使用状態となり他のクライアントに早いもの順で割り当てられる。DHCPのIP割当と異なる。
上位DHCPv6サーバーからReconfigureが指示されると、Prefix割当が対応順位で異なったPrefixに変更されてしまい、IPv6通信ができなくなる（IPv4 over IPv6なのでIPv4も通信できなくなる）。
同様に、停電復帰時に「シャットダウン」が行われるとルータ機器の起動順位でPrefixが変化（「APC SMT500J にSynology DS216J (USB)とDebian10(Serial)から同時接続」）してしまう。

今後の予定
・DHCPv6-PDの問題解決
・NVR500/510, OpenWrt, Debian10などのインターフェースでTagged VLANを扱う
・IPv4/IPv6 Tagged VLANのRouting