家庭内のネットワークにおいて、仕事用PCとプライベートPCが相互に影響しないよう分離させたい

お世話になります。
現在、テレワーク等により仕事のPCとプライベートの個人PC、家族共有のPCを同じ無線LANルーター(onu一体型)に接続させています。
個人・家族のPCがウイルス感染し、ネットワークを介して仕事用PC等へ波及してしまうのではないかと不安を感じていることから質問させていただきます。
この状況で、それぞれのPCを独立させて、相互に影響を与えないようなネットワークを構築することは可能でしょうか。

それぞれのPCでウイルス対策ソフトを使用し、危険なサイトを閲覧しないように心がければ十分かもしれませんが、仕事で扱う内容がセンシティブな情報もあり、家族のPCの利用を制御することもできませんので、私の心の安寧のためにも何か対策をしたいと思っております。
しかし、ネットで検索しても、サブネットマスクやルーティング、SSIDなど、馴染みのない単語ばかりで中々理解ができません。
VLAN機能を持ったL2スイッチを用いれば、ネットワークを分離できるらしいと見かけたのですが、L2スイッチで相互に通信ができないようにしても、ルーターの同じLANポートに接続していると、結局ルーターを通して相互に通信ができてしまうのではないかと感じているのですが、杞憂でしょうか。

現在考えている構築は以下の通りですが、私の求めている事柄への対策として成立しておりますでしょうか。
また、他に良い対策などありますでしょうか。
(テレワークでは映像通信を行うことがあり、私自身、趣味でネット通信のゲームを行うことから、二重ルーターのように通信速度が低下する対策は取れません)
(説明書を読む限り、現在使用している無線LANルーターにはネットワークの分離機能がないようです)
【対策案】
①無線LANルーター(onu一体型)
↓LANポート1に接続
②ポートVLAN機能を持ったL2スイッチ(NETGEARのGS105E等)
↓各ポートを分離。相互に通信させないよう設定。
③各PCを各ポートに接続
　スマートフォン等のWi-Fi接続のため、無線アクセスポイントも接続

＊全く無知な人間の感想として、L2スイッチの機能として②内で他のPCに接続することはできないものの、①にまで遡れば他のPCに接続できる(ウイルス感染の危険がある)ように感じています。
　②を挟むことで①まで遡ると他のPCのIPアドレス(？)が辿れなくなり分離されるなどあるのでしょうか。


大変な長文となって恐縮ですが、ズブの素人にも理解できそうな形でご教示いただけると幸いです。
よろしくお願いいたします。

質問者からの補足コメント

• お答えありがとうございます。
  素人には難しそうですね。
  お手数をおかけし恐縮ですが、私の挙げた対策案について、宜しければお教え下さい。
  
  ・ルーターで①VLAN-A、BごとのIPアドレスの振り分けや②ACL設定により有効
  ・上記①が出来なかった場合
  　→どのような問題が生じるのでしょうか。
  　　VLAN-A、Bは分離され、相互に一切の通信ができない(外部機器の共有等もしない)状態で問題ないのですが、IPアドレスの振り分けは必須でしょうか。
  ・上記②が出来なかった場合
  　→家庭内のネットワーク(≒ブロードキャストドメインと理解しております)の分離はL2スイッチで実現しているとのことですが、それでは対策としては無意味なのでしょうか。
  　　それとも、無意味ではないが、悪意あるプログラムへの対策としては不十分(もしくは無意味)ということでしょうか。
  
  よろしくお願いいたします。

  No.2の回答に寄せられた補足コメントです。 補足日時：2021/02/20 18:57

No.3 回答者： wellow 回答日時： 2021/02/20 20:28

＞素人には難しそうですね。

質問内容からして、ド素人とは思っていません。ロジックが分かればできてしまう人だと推定しています。

＞・ルーターで①VLAN-A、BごとのIPアドレスの振り分け
＞・上記①が出来なかった場合
＞　→どのような問題が生じるのでしょうか。
＞　　VLAN-A、Bは分離され、相互に一切の通信ができない(外部機器の共有等もしない)状態で問題ないのですが、IPアドレスの振り分けは必須でしょうか。

はい、分割されたVLAN間は通信できません。通信させるためにはそのVLAN（Sunet）間を繋ぐルータが必要です。この場合ですと基本的には3ポート持ったルータが要ります。

--------------------VLAN-A
|
R--ONU--Internet
|
--------------------VLAN-B

ルータのLANポートにVLAN-A用のルータのIPアドレス、同じLANポートにVLAN-B用のルータのIPアドレスを設定｛すれば｜できれば｝（マルチIP）、ポートを節約できます。
なお、スイッチがL3SWであればルータ機能を内蔵しているので、VLAN-A、VLAN-BのルータIPアドレスも設定できますし、その間のルーティングもできます。インタネット側は回線利用者の認証（CHAP）とかL2TP用のヘッダ操作（PPPoEとか）があるので、元からあるルータにお願いする方が楽です。

＞・上記②が出来なかった場合
＞　→家庭内のネットワーク(≒ブロードキャストドメインと理解しております)の分離はL2スイッチで実現しているとのことですが、それでは対策としては無意味なのでしょうか。

多分L3SWはお持ちではないと思うので、VLAN分割ができても、「各VLAN毎のインタネットに抜けるためのルータが無い」ことになります。もちろん、BB回線を2回線契約してVLAN-A用とVLAN-B用に用意しても良いのですが、やはりコストがかかりますよね。

となるとお手持ちのBBルータがマルチIPできるかどうかが鍵になります。型番をお聞きできれば調べは付くとは思いますが。

No.2 回答者： wellow 回答日時： 2021/02/20 13:03

＞②ポートVLAN機能を持ったL2スイッチ(NETGEARのGS105E等)

＞↓各ポートを分離。相互に通信させないよう設定。

２つのVLANを作るので、各VLANにインタネット接続のためのゲートウェイが必要になります。無線LANルータのポート１に対して２つの設定ができないとなりません（マルチIPと呼ばれるものです）。
DHCPも各VLAN毎にサービスしないとなりません。もしくはDHCPリレーするか。

＞①にまで遡れば他のPCに接続できる(ウイルス感染の危険がある)ように感じています。

無線LANルータにACLを適用して、VLAN間通信を規制することが必要ですね。そうなるとDHCPリレーもどうなのよ、ってことにはなるので、各VLAN毎にDHCPサービスを提供するか、いっそのこと止めてしまうかといった判断になろうかと思います。

＞②を挟むことで①まで遡ると他のPCのIPアドレス(？)が辿れなくなり分離されるなどあるのでしょうか。

同一ルータに接続された別サブネットですから、その時点でブロードキャストドメインとしては分離されています。ACLで互いにアクセスできないようにすれば（deny any-protocol any-souuce any-destinationのような）、マルチキャストもユニキャストも通りません。このルータを介した通信はできなくなります。

が、どこかインタネット上のサーバを介したやりとりはできます。VLAN-AのPCとVLAN-BのPCが同じgmailアカウントでgmailのIMAPサーバをアクセスすれば、送ったメールや受信したメールを見ることができるのです。

No.1 回答者： yokoyoko2020 回答日時： 2021/02/15 00:30

理論上はできそうですね。

あとは、②の設定ができるかだと思いますよ。

この回答へのお礼

ありがとうございます。
②の設定は問題なくできそうです。

お礼日時：2021/02/20 18:13