小規模オフィスで高速・柔軟な社内ネットワークを実現する

管理番号:YMHSW-16372

設定概要

小規模オフィスのネットワーク環境を想定した設定例です。

社内ネットワークの高速化のため、コアスイッチに SWX3100 を配置します。
SWX3100 の SFPポート(光ファイバーケーブル)を使用して、社内サーバーを接続します。光ファイバーケーブルは、電磁ノイズを受けないため、高速アクセスが可能になります。
各部門のフロアスイッチとして、SWX2210P を配置します。無線LANアクセスポイントを SWX2210P から給電することで、電源ケーブルが不要となり、配線がすっきりします。

本設定例は、各部門から社内サーバーへのアクセスはできますが、部門同士のアクセスは遮断して、セキュリティーを高めます。

図 小規模オフィスで高速・柔軟な社内ネットワークを実現する

本設定例では、以下の構成で説明します。

  • コアスイッチ
    - ポート1:VLAN #11
         IPアドレス:192.168.101.1
         ネットワークアドレス:192.168.101.0/24
         DHCPプール:192.168.101.2~192.168.101.191
    - ポート2:VLAN #12
         IPアドレス:192.168.102.1
         ネットワークアドレス:192.168.102.0/24
         DHCPプール:192.168.102.2~192.168.102.191
    - ポート8:ルーターと接続
     ※スイッチの一番大きい番号のLANポートを使用
    - ポート9:VLAN #13
         IPアドレス:192.168.103.1
         ネットワークアドレス:192.168.103.0/24

SFP/SFP+ポートを使用する場合、別途、拡張モジュールが必要です。ご利用になるスイッチのインターフェースをご確認の上、環境に合った「SFP/SFP+モジュール」をご用意ください。なお、SFPポートを使用する際、スイッチに特別な設定はありません。

対応機種

10ギガビット/マルチギガビットスイッチ ギガビットスイッチ
L3スイッチ     SWX3100  

技術情報

10ギガビット/マルチギガビットスイッチ ギガビットスイッチ
VLAN     SWX3100  
DHCPサーバー     SWX3100
アクセスリスト     SWX3100
ループ検出     SWX3100  

コアスイッチの設定例

コマンド設定

設定内容

VLANインターフェースの設定
# 注釈1
vlan database
  vlan 11
  vlan 12
  vlan 13
  exit

interface vlan11
  ip address 192.168.101.1/24
  exit
interface vlan12
  ip address 192.168.102.1/24
  exit
interface vlan13
  ip address 192.168.103.1/24
  auto-ip disable
  exit
interface port1.1
  switchport mode access
  switchport access vlan 11
  exit
interface port1.2
  switchport mode access
  switchport access vlan 12
  exit
interface port1.9
  switchport mode access
  switchport access vlan 13
  exit
DHCPサーバーの設定 interface vlan11
  dhcp-server enable
  exit
interface vlan12
  dhcp-server enable
  exit

dhcp pool vlan11
  network 192.168.101.0/24
  range 192.168.101.2 192.168.101.191
  default-router 192.168.101.1
  dns-server 192.168.100.1
  exit
dhcp pool vlan12
  network 192.168.102.0/24
  range 192.168.102.2 192.168.102.191
  default-router 192.168.102.1
  dns-server 192.168.100.1
  exit

dhcp-server enable
ゲートウェイの設定 ip route 0.0.0.0/0 192.168.100.1
ループ検出機能の設定 spanning-tree shutdown
loop-detect enable
アクセスリストの設定 access-list 1 description vlan11
access-list 1 deny any 192.168.101.0/24 192.168.102.0/24
access-list 2 description vlan12
access-list 2 deny any 192.168.102.0/24 192.168.101.0/24
access-list 3 description vlan13
access-list 3 permit any 192.168.103.0/24 192.168.101.0/24
access-list 3 permit any 192.168.103.0/24 192.168.102.0/24
access-list 3 deny any any any

vlan access-map VAM-001
  match access-list 1
  exit
vlan access-map VAM-002
  match access-list 2
  exit
vlan access-map VAM-003
  match access-list 3
  exit

vlan filter VAM-001 11
vlan filter VAM-002 12
vlan filter VAM-003 13

[注釈の説明]

注釈1:
必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを推奨します。

設定の確認

・「show vlan brief」コマンドで設定を確認します。

[コンソール]
SWX3100#show vlan brief
(u)-Untagged, (t)-Tagged

VLAN ID  Name                            State   Member ports
======= ================================ ======= =======================
1       default                          ACTIVE  port1.3(u) port1.4(u)
                                                 port1.5(u) port1.6(u)
                                                 port1.7(u) port1.8(u)
                                                 port1.10(u)
11      VLAN0011                         ACTIVE  port1.1(u)
12      VLAN0012                         ACTIVE  port1.2(u)
13      VLAN0013                         ACTIVE  port1.9(u)

SWX3100#
[解説]
すべてのVLAN情報を表示します。
VLAN ID#11に ポート1、VLAN ID#12 に ポート2、VLAN ID#13 にポート9 が所属しています。それ以外のポートは、VLAN ID#1(デフォルトVLAN)に所属しています。
コマンドの詳細は、VLAN情報の表示をご覧ください。

・「show access-list」コマンドで設定を確認します。

[コンソール]
SWX3100#show access-list
IPv4 access list 1
    10 deny any 192.168.101.0 0.0.0.255 192.168.102.0 0.0.0.255
IPv4 access list 2
    10 deny any 192.168.102.0 0.0.0.255 192.168.101.0 0.0.0.255
IPv4 access list 3
    10 permit any 192.168.103.0 0.0.0.255 192.168.101.0 0.0.0.255
    20 permit any 192.168.103.0 0.0.0.255 192.168.102.0 0.0.0.255
    30 deny any any any

SWX3100#
[解説]
生成したアクセスリストの一覧を表示します。
アクセスリスト ID:1とID:2 は、異なる部門間において、すべてのIPv4パケットを拒否しています。
アクセスリスト ID:3 は、社内サーバーからLAN内に対して、すべてのIPv4パケットを許可しています(それ以外は拒否します)。
コマンドの詳細は、生成したアクセスリストの表示をご覧ください。

・「show vlan access-map」コマンドで設定を確認します。

[コンソール]
SWX3100#show vlan access-map
Vlan access-map VAM-001
    match ipv4 access-list 1
Vlan access-map VAM-002
    match ipv4 access-list 2
Vlan access-map VAM-003
    match ipv4 access-list 3
SWX3100#
[解説]
VLANアクセスマップの情報を表示します。
VLANアクセスマップ「VAM-001」には、アクセスリスト ID:1 が適用されています。同様に「VAM-002」には、アクセスリスト ID:2、「VAM-003」には、アクセスリスト ID:3 が適用されています。
コマンドの詳細は、VLANアクセスマップの表示をご覧ください。

・「show vlan filter」コマンドで設定を確認します。

[コンソール]
SWX3100#show vlan filter
Vlan filter VAM-001 is applied to vlan 11
Vlan filter VAM-002 is applied to vlan 12
Vlan filter VAM-003 is applied to vlan 13
SWX3100#
[解説]
VLANアクセスマップフィルターの情報を表示します。
VLANアクセスマップ「VAM-001」は VLAN#11 に適用されています。同様に「VAM-002」は VLAN#12 に、「VAM-003」は VLAN#13 に適用されています。
コマンドの詳細は、VLANアクセスマップフィルターの表示をご覧ください。

・「show dhcp binding」コマンドで設定を確認します。

[コンソール]
SWX3100#show dhcp binding
Pool vlan11 Network 192.168.101.0/24
DHCP Client Entries
IP Address       MacAddr            Type     Expiry
------------------------------------------------------------------
192.168.101.2    (MACアドレス1)     Dynamic  2018/05/15 04:02:10

Pool vlan12 Network 192.168.102.0/24
DHCP Client Entries
IP Address       MacAddr            Type     Expiry
------------------------------------------------------------------
192.168.102.2    (MACアドレス2)     Dynamic  2018/05/15 04:02:13


SWX3100#
[解説]
DHCPクライアントへのIPアドレス割り当て情報を表示します。
192.168.101.0/24のネットワークにおいて、(MACアドレス1)のクライアントには、192.168.101.2 が割り当てられています。192.168.102.0/24のネットワークにおいて、(MACアドレス2)のクライアントには、192.168.102.2 が割り当てられています。 コマンドの詳細は、DHCPクライアントへのIPアドレス割り当て情報の表示をご覧ください。

・「show ip route」コマンドで設定を確認します。

[コンソール]
SWX3100#show ip route
Codes: C - connected, S - static
       * - candidate default

Gateway of last resort is 192.168.100.1 to network 0.0.0.0

S*      0.0.0.0/0 [1/0] via 192.168.100.1, vlan1
C       192.168.100.0/24 is directly connected, vlan1
C       192.168.101.0/24 is directly connected, vlan11
C       192.168.102.0/24 is directly connected, vlan12
C       192.168.103.0/24 is directly connected, vlan13
SWX3100#
[解説]
経路の情報を表示します。
静的経路で設定したデフォルトゲートウェイは、192.168.100.1 です。また、各VLANに機器が接続されていることを示しています。
コマンドの詳細は、IPv4転送表の表示をご覧ください。

・「show loop-detect」コマンドで設定を確認します。

[コンソール]
SWX3100#show loop-detect
loop-detect: Enable

port      loop-detect    port-blocking           status
-------------------------------------------------------
port1.1        enable(*)        enable           Normal
port1.2        enable(*)        enable           Normal
port1.3        enable(*)        enable         Shutdown
port1.4        enable(*)        enable           Normal
port1.5        enable(*)        enable           Normal
port1.6        enable(*)        enable           Normal
port1.7        enable(*)        enable           Normal
port1.8        enable(*)        enable           Normal
port1.9        enable(*)        enable           Normal
port1.10       enable(*)        enable           Normal
-------------------------------------------------------
(*): Indicates that the feature is enabled.
SWX3100#
[解説]
ループ検出状態を表示します。
ポート3でループが検出されたため、ポートをシャットダウンしています。
コマンドの詳細は、ループ検出機能の状態表示をご覧ください。
Web GUI設定

設定の概要

VLANの設定

VLANの作成

1. スイッチのWeb GUIを開きます。

図 説明画像

2.「詳細設定」をクリックします。

図 説明画像

3.「VLAN」をクリックします。

図 説明画像

4.「VLANの作成」をクリックします。

図 説明画像

5. VLAN #11を作成します。「新規」をクリックします。

図 説明画像

6.「VLANの設定」の設定をして、「確認」をクリックします。

VLAN ID 11
名前 VLAN0011
フレーム転送 フレーム転送を有効にする
IPv4アドレス 固定のIPアドレスを設定する
192.168.101.1/24
図 説明画像

7. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

8. VLAN #12を作成します。「新規」をクリックします。

図 説明画像

9.「VLANの設定」の設定をして、「確認」をクリックします。

VLAN ID 12
名前 VLAN0012
フレーム転送 フレーム転送を有効にする
IPv4アドレス 固定のIPアドレスを設定する
192.168.102.1/24
図 説明画像

10. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

11. VLAN #13を作成します。「新規」をクリックします。

図 説明画像

12.「VLANの設定」の設定をして、「確認」をクリックします。

VLAN ID 13
名前 VLAN0013
フレーム転送 フレーム転送を有効にする
IPv4アドレス 固定のIPアドレスを設定する
192.168.103.1/24
図 説明画像

13. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

14. VLANの作成が完了しました。

図 説明画像

タグVLANの作成

1.「タグVLAN」をクリックします。

図 説明画像

2.「port1.1」の「設定」をクリックします。

図 説明画像

3.「タグVLANの設定」の設定をして、「確認」をクリックします。

アクセスVLAN 11 (VLAN0011)
図 説明画像

4. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

5.「port1.2」の「設定」をクリックします。

図 説明画像

6.「タグVLANの設定」の設定をして、「確認」をクリックします。

アクセスVLAN 12 (VLAN0012)
図 説明画像

7. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

8.「port1.9」の「設定」をクリックします。

図 説明画像

9.「タグVLANの設定」の設定をして、「確認」をクリックします。

アクセスVLAN 13 (VLAN0013)
図 説明画像

10. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

11. タグVLANの設定が完了しました。

図 説明画像

DHCPサーバーの設定

1.「DHCPサーバー」をクリックします。

図 説明画像

2.「DHCPサーバーの動作」の「設定」をクリックします。

図 説明画像

3.「DHCPサーバーの動作設定」の設定をして、「選択」をクリックします。

DHCPサーバー機能 有効にする
図 説明画像

4. DHCPサーバーを有効にするインターフェースにチェックを入れて、「確定」をクリックします。

VLANインターフェース vlan11にチェック
vlan12にチェック
図 説明画像

5. VLANインターフェースが選択されていることを確認して、「確認」をクリックします。

図 説明画像

6. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

7. DHCPサーバーが有効になりました。

図 説明画像

8. VLAN #11のDHCPの設定をします。「DHCPによるアドレス割り当ての一覧」の「新規」をクリックします。

図 説明画像

9.「アドレス割り当ての設定」の設定をして、「確認」をクリックします。

プール名 vlan11
ネットワークアドレス 192.168.101.0/24
IPアドレスの範囲1 192.168.101.2 - 192.168.101.191
ゲートウェイ1 192.168.101.1
DNSサーバー1 192.168.100.1
図 説明画像

10. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

11. VLAN #12のDHCPの設定をします。「DHCPによるアドレス割り当ての一覧」の「新規」をクリックします。

図 説明画像

12.「アドレス割り当ての設定」の設定をして、「確認」をクリックします。

プール名 vlan12
ネットワークアドレス 192.168.102.0/24
IPアドレスの範囲1 192.168.102.2 - 192.168.102.191
ゲートウェイ1 192.168.102.1
DNSサーバー1 192.168.100.1
図 説明画像

13. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

14. DHCPサーバーの設定が完了しました。

図 説明画像

経路の設定

1.「ルーティング」をクリックします。

図 説明画像

2.「ルーティングテーブル」の「新規」をクリックします。

図 説明画像

3.「スタティックルート情報の設定」の設定をして、「確認」をクリックします。

宛先ネットワーク デフォルトゲートウェイ
ゲートウェイ IPアドレスを指定
192.168.100.1
図 説明画像

4. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

5. 経路の設定が完了しました。

図 説明画像

ループ検出の設定

1.「Layer 2 機能」をクリックします。

図 説明画像

2.「ループ検出」をクリックします。

図 説明画像

3.「システムの設定」の「設定」をクリックします。

図 説明画像

4.「システムの設定」の設定をして、「確認」をクリックします。

システム全体のループ検出 有効にする
図 説明画像

5. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

6. ループ検出の設定が完了しました。

図 説明画像

スパニングツリーの設定

1.「スパニングツリー」をクリックします。

図 説明画像

2.「システムの設定」の「設定」をクリックします。

図 説明画像

3.「システムの設定」の設定をして、「確認」をクリックします。

スパニングツリー機能 使用しない
図 説明画像

4. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

5. スパニングツリーの設定が完了しました。

図 説明画像

アクセスリストの設定

アクセスリストの作成

1.「アクセスリスト」をクリックします。

図 説明画像

2.「アクセスリストの作成」をクリックします。

図 説明画像

3. VLAN #11に適用するアクセスリストを作成します。「新規」をクリックします。

図 説明画像

4.「アクセスリストの設定」の設定をして、「追加」をクリックします。

アクセスリスト IPv4アクセスリスト
アクセスリストID 1
コメント 任意の文字列(省略可能)
図 説明画像

5.「制御条件の設定」の設定をして、「確定」をクリックします。

動作 拒否する
送信元アドレス ネットワークアドレスを指定する
192.168.101.0/24
宛先アドレス ネットワークアドレスを指定する
192.168.102.0/24
プロトコル すべてのプロトコル
図 説明画像

6.「確認」をクリックします。

図 説明画像

7. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

8. VLAN #12に適用するアクセスリストを作成します。「新規」をクリックします。

図 説明画像

9.「アクセスリストの設定」の設定をして、「追加」をクリックします。

アクセスリスト IPv4アクセスリスト
アクセスリストID 2
コメント 任意の文字列(省略可能)
図 説明画像

10.「制御条件の設定」の設定をして、「確定」をクリックします。

動作 拒否する
送信元アドレス ネットワークアドレスを指定する
192.168.102.0/24
宛先アドレス ネットワークアドレスを指定する
192.168.101.0/24
プロトコル すべてのプロトコル
図 説明画像

11.「確認」をクリックします。

図 説明画像

12. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

13. VLAN #13に適用するアクセスリストを作成します。「新規」をクリックします。

図 説明画像

14.「アクセスリストの設定」の設定をして、「追加」をクリックします。

アクセスリスト IPv4アクセスリスト
アクセスリストID 3
コメント 任意の文字列(省略可能)
図 説明画像

15.「制御条件の設定」の設定をして、「確定」をクリックします。 本手順では、VLAN #11と通信を許可するための設定をします。

動作 許可する
送信元アドレス ネットワークアドレスを指定する
192.168.103.0/24
宛先アドレス ネットワークアドレスを指定する
192.168.101.0/24
プロトコル すべてのプロトコル
図 説明画像

16.「追加」をクリックします。

図 説明画像

17.「制御条件の設定」の設定をして、「確定」をクリックします。 本手順では、VLAN #12と通信を許可するための設定をします。

動作 許可する
送信元アドレス ネットワークアドレスを指定する
192.168.103.0/24
宛先アドレス ネットワークアドレスを指定する
192.168.102.0/24
プロトコル すべてのプロトコル
図 説明画像

18.「追加」をクリックします。

図 説明画像

19.「制御条件の設定」の設定をして、「確定」をクリックします。 本手順では、VLAN #11、VLAN #12以外と通信を拒否するための設定をします。

動作 拒否する
送信元アドレス すべてのアドレス
宛先アドレス すべてのアドレス
プロトコル すべてのプロトコル
図 説明画像

20.「確認」をクリックします。

図 説明画像

21. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

22. アクセスリストの作成が完了しました。

図 説明画像

アクセスリストの適用

1.「アクセスリストの適用」をクリックします。

図 説明画像

2.「vlan11」の「設定」をクリックします。

図 説明画像

3.「適用するアクセスリスト (IN)」の「選択」をクリックします。

図 説明画像

4.「アクセスリストの選択」の設定をして、「確定」をクリックします。

ID:1 チェックを入れる
図 説明画像

5. 適用したいアクセスリストが選択されていることを確認して、「確定」をクリックします。

図 説明画像

6. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

7.「vlan12」の「設定」をクリックします。

図 説明画像

8.「適用するアクセスリスト (IN)」の「選択」をクリックします。

図 説明画像

9.「アクセスリストの選択」の設定をして、「確定」をクリックします。

ID:2 チェックを入れる
図 説明画像

10. 適用したいアクセスリストが選択されていることを確認して、「確定」をクリックします。

図 説明画像

11. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

12.「vlan13」の「設定」をクリックします。

図 説明画像

13.「適用するアクセスリスト (IN)」の「選択」をクリックします。

図 説明画像

14.「アクセスリストの選択」の設定をして、「確定」をクリックします。

ID:3 チェックを入れる
図 説明画像

15. 適用したいアクセスリストが選択されていることを確認して、「確定」をクリックします。

図 説明画像

16. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

17. アクセスリストが適用されました。以上で、設定は完了です。

図 説明画像

※上記操作による設定(Config)を取り出すことができます。

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(スイッチ)を推奨します。

ルーターの設定例

コマンド設定

ヤマハルーターを利用してインターネットに接続する場合は、以下の設定例をご利用ください。

ゲートウェイの設定 ip route default gateway pp 1
ip route 192.168.0.0/16 gateway 192.168.100.240
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.100.1/24
WANインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
ip pp nat descriptor 1
pp enable 1
フィルターの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/16 *
ip filter 1030 pass * 192.168.0.0/16 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * submission
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
NATの設定 nat descriptor type 1 masquerade
DNSの設定 dns host any
dns server (ISPから指定されたDNSサーバーのIPアドレス)
dns private address spoof on

※上記操作による設定(Config)を取り出すことができます。

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(ルーター)を推奨します。


【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ