管理番号:YMHSW-16372
(最終更新日: 2023/12/18)
小規模オフィスのネットワーク環境を想定した設定例です。
社内ネットワークの高速化のため、コアスイッチに SWX3100 を配置します。
SWX3100 の SFPポート(光ファイバーケーブル)を使用して、社内サーバーを接続します。光ファイバーケーブルは、電磁ノイズを受けないため、高速アクセスが可能になります。
各部門のフロアスイッチとして、SWX2210P を配置します。無線LANアクセスポイントを SWX2210P から給電することで、電源ケーブルが不要となり、配線がすっきりします。
本設定例は、各部門から社内サーバーへのアクセスはできますが、部門同士のアクセスは遮断して、セキュリティーを高めます。
本設定例では、以下の構成で説明します。
SFP/SFP+ポートを使用する場合、別途、拡張モジュールが必要です。ご利用になるスイッチのインターフェースをご確認の上、環境に合った「SFP/SFP+モジュール」をご用意ください。なお、SFPポートを使用する際、スイッチに特別な設定はありません。
| 10ギガビット/マルチギガビットスイッチ | ギガビットスイッチ | |||
|---|---|---|---|---|
| L3スイッチ | SWX3100 | |||
| VLANインターフェースの設定 # 注釈1 |
vlan database vlan 11 vlan 12 vlan 13 exit interface vlan11 ip address 192.168.101.1/24 exit interface vlan12 ip address 192.168.102.1/24 exit interface vlan13 ip address 192.168.103.1/24 auto-ip disable exit interface port1.1 switchport mode access switchport access vlan 11 exit interface port1.2 switchport mode access switchport access vlan 12 exit interface port1.9 switchport mode access switchport access vlan 13 exit |
|---|---|
| DHCPサーバーの設定 |
interface vlan11 dhcp-server enable exit interface vlan12 dhcp-server enable exit dhcp pool vlan11 network 192.168.101.0/24 range 192.168.101.2 192.168.101.191 default-router 192.168.101.1 dns-server 192.168.100.1 exit dhcp pool vlan12 network 192.168.102.0/24 range 192.168.102.2 192.168.102.191 default-router 192.168.102.1 dns-server 192.168.100.1 exit dhcp-server enable |
| ゲートウェイの設定 | ip route 0.0.0.0/0 192.168.100.1 |
| ループ検出機能の設定 |
spanning-tree shutdown loop-detect enable |
| アクセスリストの設定 |
access-list 1 description vlan11 access-list 1 deny any 192.168.101.0/24 192.168.102.0/24 access-list 2 description vlan12 access-list 2 deny any 192.168.102.0/24 192.168.101.0/24 access-list 3 description vlan13 access-list 3 permit any 192.168.103.0/24 192.168.101.0/24 access-list 3 permit any 192.168.103.0/24 192.168.102.0/24 access-list 3 deny any any any vlan access-map VAM-001 match access-list 1 exit vlan access-map VAM-002 match access-list 2 exit vlan access-map VAM-003 match access-list 3 exit vlan filter VAM-001 11 vlan filter VAM-002 12 vlan filter VAM-003 13 |
注釈1:
必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを推奨します。
・「show vlan brief」コマンドで設定を確認します。
[コンソール]
SWX3100#show vlan brief
(u)-Untagged, (t)-Tagged
VLAN ID Name State Member ports
======= ================================ ======= =======================
1 default ACTIVE port1.3(u) port1.4(u)
port1.5(u) port1.6(u)
port1.7(u) port1.8(u)
port1.10(u)
11 VLAN0011 ACTIVE port1.1(u)
12 VLAN0012 ACTIVE port1.2(u)
13 VLAN0013 ACTIVE port1.9(u)
SWX3100#
|
| [解説] すべてのVLAN情報を表示します。 VLAN ID#11に ポート1、VLAN ID#12 に ポート2、VLAN ID#13 にポート9 が所属しています。それ以外のポートは、VLAN ID#1(デフォルトVLAN)に所属しています。 コマンドの詳細は、VLAN情報の表示をご覧ください。 |
・「show access-list」コマンドで設定を確認します。
[コンソール]
SWX3100#show access-list
IPv4 access list 1
10 deny any 192.168.101.0 0.0.0.255 192.168.102.0 0.0.0.255
IPv4 access list 2
10 deny any 192.168.102.0 0.0.0.255 192.168.101.0 0.0.0.255
IPv4 access list 3
10 permit any 192.168.103.0 0.0.0.255 192.168.101.0 0.0.0.255
20 permit any 192.168.103.0 0.0.0.255 192.168.102.0 0.0.0.255
30 deny any any any
SWX3100#
|
| [解説] 生成したアクセスリストの一覧を表示します。 アクセスリスト ID:1とID:2 は、異なる部門間において、すべてのIPv4パケットを拒否しています。 アクセスリスト ID:3 は、社内サーバーからLAN内に対して、すべてのIPv4パケットを許可しています(それ以外は拒否します)。 コマンドの詳細は、生成したアクセスリストの表示をご覧ください。 |
・「show vlan access-map」コマンドで設定を確認します。
[コンソール]
SWX3100#show vlan access-map
Vlan access-map VAM-001
match ipv4 access-list 1
Vlan access-map VAM-002
match ipv4 access-list 2
Vlan access-map VAM-003
match ipv4 access-list 3
SWX3100#
|
| [解説] VLANアクセスマップの情報を表示します。 VLANアクセスマップ「VAM-001」には、アクセスリスト ID:1 が適用されています。同様に「VAM-002」には、アクセスリスト ID:2、「VAM-003」には、アクセスリスト ID:3 が適用されています。 コマンドの詳細は、VLANアクセスマップの表示をご覧ください。 |
・「show vlan filter」コマンドで設定を確認します。
[コンソール]
SWX3100#show vlan filter Vlan filter VAM-001 is applied to vlan 11 Vlan filter VAM-002 is applied to vlan 12 Vlan filter VAM-003 is applied to vlan 13 SWX3100# |
| [解説] VLANアクセスマップフィルターの情報を表示します。 VLANアクセスマップ「VAM-001」は VLAN#11 に適用されています。同様に「VAM-002」は VLAN#12 に、「VAM-003」は VLAN#13 に適用されています。 コマンドの詳細は、VLANアクセスマップフィルターの表示をご覧ください。 |
・「show dhcp binding」コマンドで設定を確認します。
[コンソール]
SWX3100#show dhcp binding Pool vlan11 Network 192.168.101.0/24 DHCP Client Entries IP Address MacAddr Type Expiry ------------------------------------------------------------------ 192.168.101.2 (MACアドレス1) Dynamic 2018/05/15 04:02:10 Pool vlan12 Network 192.168.102.0/24 DHCP Client Entries IP Address MacAddr Type Expiry ------------------------------------------------------------------ 192.168.102.2 (MACアドレス2) Dynamic 2018/05/15 04:02:13 SWX3100# |
| [解説] DHCPクライアントへのIPアドレス割り当て情報を表示します。 192.168.101.0/24のネットワークにおいて、(MACアドレス1)のクライアントには、192.168.101.2 が割り当てられています。192.168.102.0/24のネットワークにおいて、(MACアドレス2)のクライアントには、192.168.102.2 が割り当てられています。 コマンドの詳細は、DHCPクライアントへのIPアドレス割り当て情報の表示をご覧ください。 |
・「show ip route」コマンドで設定を確認します。
[コンソール]
SWX3100#show ip route
Codes: C - connected, S - static
* - candidate default
Gateway of last resort is 192.168.100.1 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 192.168.100.1, vlan1
C 192.168.100.0/24 is directly connected, vlan1
C 192.168.101.0/24 is directly connected, vlan11
C 192.168.102.0/24 is directly connected, vlan12
C 192.168.103.0/24 is directly connected, vlan13
SWX3100#
|
| [解説] 経路の情報を表示します。 静的経路で設定したデフォルトゲートウェイは、192.168.100.1 です。また、各VLANに機器が接続されていることを示しています。 コマンドの詳細は、IPv4転送表の表示をご覧ください。 |
・「show loop-detect」コマンドで設定を確認します。
[コンソール]
SWX3100#show loop-detect loop-detect: Enable port loop-detect port-blocking status ------------------------------------------------------- port1.1 enable(*) enable Normal port1.2 enable(*) enable Normal port1.3 enable(*) enable Shutdown port1.4 enable(*) enable Normal port1.5 enable(*) enable Normal port1.6 enable(*) enable Normal port1.7 enable(*) enable Normal port1.8 enable(*) enable Normal port1.9 enable(*) enable Normal port1.10 enable(*) enable Normal ------------------------------------------------------- (*): Indicates that the feature is enabled. SWX3100# |
| [解説] ループ検出状態を表示します。 ポート3でループが検出されたため、ポートをシャットダウンしています。 コマンドの詳細は、ループ検出機能の状態表示をご覧ください。 |
1. スイッチのWeb GUIを開きます。
2.「詳細設定」をクリックします。
3.「VLAN」をクリックします。
4.「VLANの作成」をクリックします。
5. VLAN #11を作成します。「新規」をクリックします。
6.「VLANの設定」の設定をして、「確認」をクリックします。
| VLAN ID | 11 |
|---|---|
| 名前 | VLAN0011 |
| フレーム転送 | フレーム転送を有効にする |
| IPv4アドレス | 固定のIPアドレスを設定する 192.168.101.1/24 |
7. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
8. VLAN #12を作成します。「新規」をクリックします。
9.「VLANの設定」の設定をして、「確認」をクリックします。
| VLAN ID | 12 |
|---|---|
| 名前 | VLAN0012 |
| フレーム転送 | フレーム転送を有効にする |
| IPv4アドレス | 固定のIPアドレスを設定する 192.168.102.1/24 |
10. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
11. VLAN #13を作成します。「新規」をクリックします。
12.「VLANの設定」の設定をして、「確認」をクリックします。
| VLAN ID | 13 |
|---|---|
| 名前 | VLAN0013 |
| フレーム転送 | フレーム転送を有効にする |
| IPv4アドレス | 固定のIPアドレスを設定する 192.168.103.1/24 |
13. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
14. VLANの作成が完了しました。
1.「タグVLAN」をクリックします。
2.「port1.1」の「設定」をクリックします。
3.「タグVLANの設定」の設定をして、「確認」をクリックします。
| アクセスVLAN | 11 (VLAN0011) |
|---|
4. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
5.「port1.2」の「設定」をクリックします。
6.「タグVLANの設定」の設定をして、「確認」をクリックします。
| アクセスVLAN | 12 (VLAN0012) |
|---|
7. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
8.「port1.9」の「設定」をクリックします。
9.「タグVLANの設定」の設定をして、「確認」をクリックします。
| アクセスVLAN | 13 (VLAN0013) |
|---|
10. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
11. タグVLANの設定が完了しました。
1.「アプリケーション層機能」をクリックします。
2.「DHCPサーバー」をクリックします。
3.「DHCPサーバーの動作」の「設定」をクリックします。
4.「DHCPサーバーの動作設定」の設定をして、「選択」をクリックします。
| DHCPサーバー機能 | 有効にする |
|---|
5. DHCPサーバーを有効にするインターフェースにチェックを入れて、「確定」をクリックします。
| VLANインターフェース | vlan11にチェック vlan12にチェック |
|---|
6. VLANインターフェースが選択されていることを確認して、「確認」をクリックします。
7. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
8. DHCPサーバーが有効になりました。
9. VLAN #11のDHCPの設定をします。「DHCPによるアドレス割り当ての一覧」の「新規」をクリックします。
10.「アドレス割り当ての設定」の設定をして、「確認」をクリックします。
| プール名 | vlan11 |
|---|---|
| ネットワークアドレス | 192.168.101.0/24 |
| IPアドレスの範囲1 | 192.168.101.2 - 192.168.101.191 |
| ゲートウェイ1 | 192.168.101.1 |
| DNSサーバー1 | 192.168.100.1 |
11. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
12. VLAN #12のDHCPの設定をします。「DHCPによるアドレス割り当ての一覧」の「新規」をクリックします。
13.「アドレス割り当ての設定」の設定をして、「確認」をクリックします。
| プール名 | vlan12 |
|---|---|
| ネットワークアドレス | 192.168.102.0/24 |
| IPアドレスの範囲1 | 192.168.102.2 - 192.168.102.191 |
| ゲートウェイ1 | 192.168.102.1 |
| DNSサーバー1 | 192.168.100.1 |
14. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
15. DHCPサーバーの設定が完了しました。
1.「Layer 3 機能」をクリックします。
2.「ルーティング」をクリックします。
3.「ルーティングテーブル」の「新規」をクリックします。
4.「スタティックルート情報の設定」の設定をして、「確認」をクリックします。
| 宛先ネットワーク | デフォルトゲートウェイ |
|---|---|
| ゲートウェイ | IPアドレスを指定 192.168.100.1 |
5. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
6. 経路の設定が完了しました。
1.「Layer 2 機能」をクリックします。
2.「ループ検出」をクリックします。
3.「システムの設定」の「設定」をクリックします。
4.「システムの設定」の設定をして、「確認」をクリックします。
| システム全体のループ検出 | 有効にする |
|---|
5. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
6. ループ検出の設定が完了しました。
1.「スパニングツリー」をクリックします。
2.「システムの設定」の「設定」をクリックします。
3.「システムの設定」の設定をして、「確認」をクリックします。
| スパニングツリー機能 | 使用しない |
|---|
4. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
5. スパニングツリーの設定が完了しました。
1.「トラフィック制御」をクリックします。
2.「アクセスリスト」をクリックします。
3.「アクセスリストの作成」をクリックします。
4. VLAN #11に適用するアクセスリストを作成します。「新規」をクリックします。
5.「アクセスリストの設定」の設定をして、「追加」をクリックします。
| アクセスリスト | IPv4アクセスリスト |
|---|---|
| アクセスリストID | 1 |
| コメント | 任意の文字列(省略可能) |
6.「制御条件の設定」の設定をして、「確定」をクリックします。
| 動作 | 拒否する |
|---|---|
| 送信元アドレス | ネットワークアドレスを指定する 192.168.101.0/24 |
| 宛先アドレス | ネットワークアドレスを指定する 192.168.102.0/24 |
| プロトコル | すべてのプロトコル |
7.「確認」をクリックします。
8. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
9. VLAN #12に適用するアクセスリストを作成します。「新規」をクリックします。
10.「アクセスリストの設定」の設定をして、「追加」をクリックします。
| アクセスリスト | IPv4アクセスリスト |
|---|---|
| アクセスリストID | 2 |
| コメント | 任意の文字列(省略可能) |
11.「制御条件の設定」の設定をして、「確定」をクリックします。
| 動作 | 拒否する |
|---|---|
| 送信元アドレス | ネットワークアドレスを指定する 192.168.102.0/24 |
| 宛先アドレス | ネットワークアドレスを指定する 192.168.101.0/24 |
| プロトコル | すべてのプロトコル |
12.「確認」をクリックします。
13. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
14. VLAN #13に適用するアクセスリストを作成します。「新規」をクリックします。
15.「アクセスリストの設定」の設定をして、「追加」をクリックします。
| アクセスリスト | IPv4アクセスリスト |
|---|---|
| アクセスリストID | 3 |
| コメント | 任意の文字列(省略可能) |
16.「制御条件の設定」の設定をして、「確定」をクリックします。 本手順では、VLAN #11と通信を許可するための設定をします。
| 動作 | 許可する |
|---|---|
| 送信元アドレス | ネットワークアドレスを指定する 192.168.103.0/24 |
| 宛先アドレス | ネットワークアドレスを指定する 192.168.101.0/24 |
| プロトコル | すべてのプロトコル |
17.「追加」をクリックします。
18.「制御条件の設定」の設定をして、「確定」をクリックします。 本手順では、VLAN #12と通信を許可するための設定をします。
| 動作 | 許可する |
|---|---|
| 送信元アドレス | ネットワークアドレスを指定する 192.168.103.0/24 |
| 宛先アドレス | ネットワークアドレスを指定する 192.168.102.0/24 |
| プロトコル | すべてのプロトコル |
19.「追加」をクリックします。
20.「制御条件の設定」の設定をして、「確定」をクリックします。 本手順では、VLAN #11、VLAN #12以外と通信を拒否するための設定をします。
| 動作 | 拒否する |
|---|---|
| 送信元アドレス | すべてのアドレス |
| 宛先アドレス | すべてのアドレス |
| プロトコル | すべてのプロトコル |
21.「確認」をクリックします。
22. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
23. アクセスリストの作成が完了しました。
1.「アクセスリストの適用」をクリックします。
2.「vlan11」の「設定」をクリックします。
3.「適用するアクセスリスト (IN)」の「選択」をクリックします。
4.「アクセスリストの選択」の設定をして、「確定」をクリックします。
| ID:1 | チェックを入れる |
|---|
5. 適用したいアクセスリストが選択されていることを確認して、「確定」をクリックします。
6. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
7.「vlan12」の「設定」をクリックします。
8.「適用するアクセスリスト (IN)」の「選択」をクリックします。
9.「アクセスリストの選択」の設定をして、「確定」をクリックします。
| ID:2 | チェックを入れる |
|---|
10. 適用したいアクセスリストが選択されていることを確認して、「確定」をクリックします。
11. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
12.「vlan13」の「設定」をクリックします。
13.「適用するアクセスリスト (IN)」の「選択」をクリックします。
14.「アクセスリストの選択」の設定をして、「確定」をクリックします。
| ID:3 | チェックを入れる |
|---|
15. 適用したいアクセスリストが選択されていることを確認して、「確定」をクリックします。
16. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。
17. アクセスリストが適用されました。以上で、設定は完了です。
※上記操作による設定(Config)を取り出すことができます。
※管理パスワードの変更方法は、管理パスワードの変更(スイッチ)をご覧ください。
ヤマハルーターを利用してインターネットに接続する場合は、以下の設定例をご利用ください。
| ゲートウェイの設定 |
ip route default gateway pp 1 ip route 192.168.0.0/16 gateway 192.168.100.240 |
|---|---|
| LANインターフェースの設定 (LAN1ポートを使用) |
ip lan1 address 192.168.100.1/24 |
| WANインターフェースの設定 (LAN2ポートを使用) |
pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (ISPに接続するID) (ISPに接続するパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 1020 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 ip pp nat descriptor 1 pp enable 1 |
| フィルターの設定 |
ip filter source-route on ip filter directed-broadcast on ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/16 * ip filter 1030 pass * 192.168.0.0/16 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * submission ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp |
| NATの設定 | nat descriptor type 1 masquerade |
| DNSの設定 |
dns host any dns server (ISPから指定されたDNSサーバーのIPアドレス) dns private address spoof on |
※上記操作による設定(Config)を取り出すことができます。
※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(ルーター)を推奨します。
ご相談・お問い合わせ