管理番号:YMHSW-24275
アクセスリスト(ACL)を利用して、通信制御をする設定例です。
本設定例では、他部門との通信は遮断しますが、音声通信だけは例外として許可します。また、サーバーへのアクセスは、FTP通信に限り許可します。
コアスイッチは、2台のスイッチをスタック接続で冗長化します。
さらに、フロアスイッチとの接続にリンクアグリケーションを併用します。リンクアグリゲーションを利用すると、スイッチ間を接続する複数のポートを束ねて、1つの論理インターフェースとして扱うようになります。もし、束ねたうちの1つのポートで障害が発生し、通信不可になった場合でも、残りのポートで通信を継続できます。
本設定例では、以下の構成で説明します。
※SFP+ポートのポート番号は、機種によって異なります。ご注意ください。
本設定例では、SWX3220-16MTを例に説明します。
※SFP/SFP+ポートを使用する場合、別途、機材の準備が必要です。ご利用になるスイッチのインターフェースをご確認の上、
環境に合った「SFP/SFP+モジュール」および「ダイレクトアタッチケーブル」をご用意ください。
| 10ギガビット/マルチギガビットスイッチ | ギガビットスイッチ | |||
|---|---|---|---|---|
| L3スイッチ | SWX3220 | SWX3200 | SWX3100 | |
| インテリジェントL2スイッチ | SWX2322P | SWX2320 | SWX2310P | SWX2310 |
| 10ギガビット/マルチギガビットスイッチ | ギガビットスイッチ | |||
|---|---|---|---|---|
| スタック機能 | SWX3220 | SWX3200 | ||
| VLAN | SWX3220 | SWX3200 | SWX3100 | |
| SWX2322P | SWX2320 | SWX2310P | SWX2310 | |
| アクセスリスト | SWX3220 | SWX3200 | SWX3100 | |
| SWX2322P | SWX2320 | SWX2310P | SWX2310 | |
| リンクアグリケーション | SWX3220 | SWX3200 | SWX3100 | |
| SWX2322P | SWX2320 | SWX2310P | SWX2310 | |
| DHCPサーバー | SWX3220 | SWX3200 | SWX3100 | |
※コアスイッチとして、SWX3220-16MT を使用することを前提で説明します。
[コンソール]
SWX3220#show environment SWX3220-16MT BootROM Ver.1.00 SWX3220-16MT Rev.4.02.xx (Thu Jul 8 09:05:55 2021) main=SWX3220-16MT ver=00 serial=Z000000001 MAC-Address=ac44.f200.0001 ・・・ |
[コンソール]
SWX3220(config)#stack enable reset configuration and reboot system? (y/n):y |
[コンソール]
SWX3220(config)#stack 1 renumber 2 SWX3220(config)#stack enable reset configuration and reboot system? (y/n):y |
| 接続元のポート | 接続先のポート | 使用する機材 | |
|---|---|---|---|
| 1 | コアスイッチ SWX3220-16MT(1) の ポート15 | コアスイッチ SWX3220-16MT(2) の ポート16 |
ダイレクトアタッチケーブル (*1) または SFP+モジュール (*2)、および 光ファイバーケーブル |
| 2 | コアスイッチ SWX3220-16MT(1) の ポート16 | コアスイッチ SWX3220-16MT(2) の ポート15 | |
| 3 | コアスイッチ SWX3220-16MT(1) の ポート13 | サーバースイッチ SWX2322P-16MT の ポート15 | SFP+モジュール (*2)、および 光ファイバーケーブル |
| 4 | コアスイッチ SWX3220-16MT(2) の ポート13 | サーバースイッチ SWX2322P-16MT の ポート16 |
(*1) ダイレクトアタッチケーブルの詳しい取り付け方法については、取扱説明書をご覧ください。
(*2) SFP+モジュールの詳しい取り付け方法については、取扱説明書(YSFP-G-SXA、YSFP-G-LXA、YSFP-10G-SR、YSFP-10G-LR)をご覧ください。
[コンソール]
SWX3220#show stack Stack: Enable Configured ID : 1 Running ID : 1 Status : Active Subnet on stack port : 192.168.250.0 Virtual MAC-Address : ac44.f200.0001 ID Model Status Role Serial MAC-Address ------------------------------------------------------------------------ 1 SWX3220-16MT Active Main Z000000001 ac44.f200.0001 2 SWX3220-16MT Active Member Z000000002 ac44.f200.0002 Interface Status ------------------------------------------------------------------------ port1.15 up port1.16 up port2.15 up port2.16 up SWX3220# |
| [解説] スタック情報を表示します。 スタック ID:1のSWX3220-16MTがメイン、スタック ID:2 のSWX3220-16MTがメンバーで動作しています。スタック IDは、SWX3220-16MTの前面の「スタック ID表示ランプ」でも確認できます。 コマンドの詳細は、スタック情報の表示をご覧ください。 |
| VLANインターフェースの設定 # 注釈1 |
vlan database vlan 110 name VLAN0110 vlan 120 name VLAN0120 vlan 130 name VLAN0130 exit interface vlan110 ip address 192.168.110.254/24 exit interface vlan120 ip address 192.168.120.254/24 exit interface vlan130 ip address 192.168.130.254/24 exit interface port1.1 switchport mode trunk switchport trunk allowed vlan add 110,120 exit interface port2.1 switchport switchport mode trunk switchport trunk allowed vlan add 110,120 exit interface port1.3 switchport switchport mode trunk switchport trunk allowed vlan add 110,120 exit interface port2.3 switchport switchport mode trunk switchport trunk allowed vlan add 110,120 exit interface port1.13 switchport switchport mode access switchport access vlan 130 exit interface port2.13 switchport switchport mode access switchport access vlan 130 exit |
|---|---|
| アクセスリスト(ACL)の設定 # 注釈2 |
access-list 1 10 permit udp host 192.168.110.101 host 192.168.120.101 eq 5004 access-list 1 11 permit udp host 192.168.110.101 host 192.168.120.102 eq 5004 access-list 1 12 permit udp host 192.168.110.102 host 192.168.120.101 eq 5004 access-list 1 13 permit udp host 192.168.110.102 host 192.168.120.102 eq 5004 access-list 1 20 permit udp host 192.168.120.101 host 192.168.110.101 eq 5004 access-list 1 21 permit udp host 192.168.120.101 host 192.168.110.102 eq 5004 access-list 1 22 permit udp host 192.168.120.102 host 192.168.110.101 eq 5004 access-list 1 23 permit udp host 192.168.120.102 host 192.168.110.102 eq 5004 access-list 1 30 permit tcp 192.168.110.0 0.0.0.255 host 192.168.130.251 eq 20 access-list 1 31 permit tcp 192.168.110.0 0.0.0.255 host 192.168.130.251 eq 21 access-list 1 32 permit tcp 192.168.110.0 0.0.0.255 host 192.168.130.252 eq 20 access-list 1 33 permit tcp 192.168.110.0 0.0.0.255 host 192.168.130.252 eq 21 access-list 1 34 permit any 192.168.110.0 0.0.0.255 192.168.110.0 0.0.0.255 access-list 1 40 permit tcp 192.168.120.0 0.0.0.255 host 192.168.130.252 eq 20 access-list 1 41 permit tcp 192.168.120.0 0.0.0.255 host 192.168.130.252 eq 21 access-list 1 42 permit tcp 192.168.120.0 0.0.0.255 host 192.168.130.251 eq 20 access-list 1 43 permit tcp 192.168.120.0 0.0.0.255 host 192.168.130.251 eq 21 access-list 1 44 permit any 192.168.120.0 0.0.0.255 192.168.120.0 0.0.0.255 access-list 1 50 permit udp any eq 67 any eq 67 access-list 1 51 permit udp any eq 67 any eq 68 access-list 1 52 permit udp any eq 68 any eq 67 access-list 1 53 permit udp any eq 68 any eq 68 access-list 1 99 deny any any any access-list 2 10 permit tcp host 192.168.130.251 eq 20 192.168.110.0 0.0.0.255 access-list 2 11 permit tcp host 192.168.130.251 eq 21 192.168.110.0 0.0.0.255 access-list 2 12 permit tcp host 192.168.130.252 eq 20 192.168.110.0 0.0.0.255 access-list 2 13 permit tcp host 192.168.130.252 eq 21 192.168.110.0 0.0.0.255 access-list 2 20 permit tcp host 192.168.130.251 eq 20 192.168.120.0 0.0.0.255 access-list 2 21 permit tcp host 192.168.130.251 eq 21 192.168.120.0 0.0.0.255 access-list 2 22 permit tcp host 192.168.130.252 eq 20 192.168.120.0 0.0.0.255 access-list 2 23 permit tcp host 192.168.130.252 eq 21 192.168.120.0 0.0.0.255 access-list 2 99 deny any any any vlan access-map VAM-001 match access-list 1 exit vlan access-map VAM-002 match access-list 2 exit vlan filter VAM-001 110 in vlan filter VAM-001 120 in vlan filter VAM-002 130 in |
| リンクアグリゲーションの設定 |
interface port1.1 static-channel-group 1 exit interface port2.1 static-channel-group 1 exit interface port1.3 static-channel-group 2 exit interface port2.3 static-channel-group 2 exit interface port1.12 static-channel-group 3 exit interface port2.12 static-channel-group 3 exit interface sa1 no shutdown exit interface sa2 no shutdown exit interface sa3 no shutdown exit |
| DHCPサーバーの設定 |
dhcp pool vlan110 network 192.168.110.0/24 range 192.168.110.1 192.168.110.100 default-router 192.168.110.254 exit dhcp pool vlan120 network 192.168.120.0/24 range 192.168.120.1 192.168.120.100 default-router 192.168.120.254 exit interface vlan110 dhcp-server enable exit interface vlan120 dhcp-server enable exit dhcp-server enable |
| スパニングツリーの設定 | spanning-tree shutdown |
注釈1:
必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを推奨します。
注釈2:
アクセスリストを使用して、以下の通信を制御します。
・音声 (ポート番号:5004)
・FTP (ポート番号:20, 21)
・DHCP (ポート番号:67, 68)
・「show vlan brief」コマンド
[コンソール]
SWX3220#show vlan brief
(u)-Untagged, (t)-Tagged
VLAN ID Name State Member ports
======= ================================ ======= =======================
1 default ACTIVE port1.1(u) port1.2(u)
port1.3(u) port1.4(u)
port1.5(u) port1.6(u)
port1.7(u) port1.8(u)
port1.9(u) port1.10(u)
port1.11(u) port1.12(u)
port1.14(u) port2.1(u)
port2.2(u) port2.3(u)
port2.4(u) port2.5(u)
port2.6(u) port2.7(u)
port2.8(u) port2.9(u)
port2.10(u) port2.11(u)
port2.12(u) port2.14(u)
sa1(u) sa2(u)
110 VLAN0110 ACTIVE port1.1(t) port1.3(t)
port2.1(t) port2.3(t)
sa1(t) sa2(t)
120 VLAN0120 ACTIVE port1.1(t) port1.3(t)
port2.1(t) port2.3(t)
sa1(t) sa2(t)
130 VLAN0130 ACTIVE port1.13(u) port2.13(u)
sa3(u)
SWX3220#
|
| [解説] すべてのVLAN情報を表示します。 VLAN ID#110と VLAN ID#120に、スタック ID:1のポート1, 3、スタック ID:2のポート1, 3、論理インターフェース#1, 2 が所属しています。 VLAN ID#130 に、スタック ID:1のポート13、 スタック ID:2のポート13、論理インターフェース#3 が所属しています。 それ以外のポートは、VLAN ID#1(デフォルトVLAN)に所属しています。 コマンドの詳細は、VLAN情報の表示をご覧ください。 |
・「show dhcp binding」コマンド
[コンソール]
SWX3220#show dhcp binding Pool vlan110 Network 192.168.110.0/24 DHCP Client Entries IP Address MacAddr Type Expiry HostName -------------------------------------------------------------------------------- 192.168.110.1 (MACアドレス1) Dynamic 2022/04/15 15:12:42 XXX Pool vlan120 Network 192.168.120.0/24 DHCP Client Entries IP Address MacAddr Type Expiry HostName -------------------------------------------------------------------------------- 192.168.120.1 (MACアドレス2) Dynamic 2022/04/15 15:51:53 XXX SWX3220# |
| [解説] DHCPクライアントへのIPアドレス割り当て情報を表示します。 192.168.110.0/24のネットワークにおいて、(MACアドレス1)のクライアントには、192.168.110.1 が割り当てられています。 192.168.120.0/24のネットワークにおいて、(MACアドレス2)のクライアントには、192.168.120.1 が割り当てられています。 コマンドの詳細は、DHCPクライアントへのIPアドレス割り当て情報の表示をご覧ください。 |
・「show static-channel-group」コマンド
[コンソール]
SWX3220#show static-channel-group % Static Aggregator: sa1 % Load balancing: src-dst-mac % Member: port1.1 port2.1 % Static Aggregator: sa2 % Load balancing: src-dst-mac % Member: port1.3 port2.3 % Static Aggregator: sa3 % Load balancing: src-dst-mac % Member: port1.13 port2.13 SWX3220# |
| [解説] スタティック論理インターフェースの状態を表示します。 論理インターフェース#1 には、メンバーとして、スタック ID:1のポート1、スタック ID:2のポート1 が所属しています。 論理インターフェース#2 には、メンバーとして、スタック ID:1のポート3、スタック ID:2のポート3 が所属しています。 論理インターフェース#3 には、メンバーとして、スタック ID:1のポート13、スタック ID:2のポート13 が所属しています。 コマンドの詳細は、スタティック論理インターフェースの状態表示をご覧ください。 |
・「show access-list」コマンド
[コンソール]
SWX3220#show access-list
IPv4 access list 1
10 permit udp host 192.168.110.101 host 192.168.120.101 eq 5004
11 permit udp host 192.168.110.101 host 192.168.120.102 eq 5004
12 permit udp host 192.168.110.102 host 192.168.120.101 eq 5004
13 permit udp host 192.168.110.102 host 192.168.120.102 eq 5004
20 permit udp host 192.168.120.101 host 192.168.110.101 eq 5004
21 permit udp host 192.168.120.101 host 192.168.110.102 eq 5004
22 permit udp host 192.168.120.102 host 192.168.110.101 eq 5004
23 permit udp host 192.168.120.102 host 192.168.110.102 eq 5004
30 permit tcp 192.168.110.0 0.0.0.255 host 192.168.130.251 eq 20
31 permit tcp 192.168.110.0 0.0.0.255 host 192.168.130.251 eq 21
32 permit tcp 192.168.110.0 0.0.0.255 host 192.168.130.252 eq 20
33 permit tcp 192.168.110.0 0.0.0.255 host 192.168.130.252 eq 21
34 permit any 192.168.110.0 0.0.0.255 192.168.110.0 0.0.0.255
40 permit tcp 192.168.120.0 0.0.0.255 host 192.168.130.252 eq 20
41 permit tcp 192.168.120.0 0.0.0.255 host 192.168.130.252 eq 21
42 permit tcp 192.168.120.0 0.0.0.255 host 192.168.130.251 eq 20
43 permit tcp 192.168.120.0 0.0.0.255 host 192.168.130.251 eq 21
44 permit any 192.168.120.0 0.0.0.255 192.168.120.0 0.0.0.255
50 permit udp any eq 67 any eq 67
51 permit udp any eq 67 any eq 68
52 permit udp any eq 68 any eq 67
53 permit udp any eq 68 any eq 68
99 deny any any any
IPv4 access list 2
10 permit tcp host 192.168.130.251 eq 20 192.168.110.0 0.0.0.255
11 permit tcp host 192.168.130.251 eq 21 192.168.110.0 0.0.0.255
12 permit tcp host 192.168.130.252 eq 20 192.168.110.0 0.0.0.255
13 permit tcp host 192.168.130.252 eq 21 192.168.110.0 0.0.0.255
20 permit tcp host 192.168.130.251 eq 20 192.168.120.0 0.0.0.255
21 permit tcp host 192.168.130.251 eq 21 192.168.120.0 0.0.0.255
22 permit tcp host 192.168.130.252 eq 20 192.168.120.0 0.0.0.255
23 permit tcp host 192.168.130.252 eq 21 192.168.120.0 0.0.0.255
99 deny any any any
SWX3220#
|
| [解説] 生成したアクセスリストを表示します。 コマンドの詳細は、生成したアクセスリストの表示をご覧ください。 |
・「show vlan access-map」コマンド
[コンソール]
SWX3220#show vlan access-map
Vlan access-map VAM-001
match ipv4 access-list 1
Vlan access-map VAM-002
match ipv4 access-list 2
SWX3220#
|
| [解説] VLANアクセスマップを表示します。 コマンドの詳細は、VLANアクセスマップの表示をご覧ください。 |
・「show vlan filter」コマンド
[コンソール]
SWX3220#show vlan filter Vlan filter VAM-001 is applied to vlan 110,120 in Vlan filter VAM-002 is applied to vlan 130 in SWX3220# |
| [解説] VLANアクセスマップフィルターを表示します。 コマンドの詳細は、VLANアクセスマップフィルターの表示をご覧ください。 |
※フロアスイッチの設定は共通です。
| VLANインターフェースの設定 # 注釈1 |
vlan database vlan 110 name VLAN0110 vlan 120 name VLAN0120 exit interface port1.1 switchport mode trunk switchport trunk allowed vlan add 110,120 exit interface port1.2 switchport mode trunk switchport trunk allowed vlan add 110,120 exit interface port1.3 switchport mode access switchport access vlan 110 exit interface port1.4 switchport mode access switchport access vlan 110 exit interface port1.5 switchport mode access switchport access vlan 120 exit interface port1.6 switchport mode access switchport access vlan 120 exit |
|---|---|
| リンクアグリゲーションの設定 |
interface port1.1 static-channel-group 1 exit interface port1.2 static-channel-group 1 exit interface sa1 no shutdown exit |
| スパニングツリーの設定 | spanning-tree shutdown |
注釈1:
必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを推奨します。
・「show vlan brief」コマンドで設定を確認します。
[コンソール]
SWX2320#show vlan brief
(u)-Untagged, (t)-Tagged
VLAN ID Name State Member ports
======= ================================ ======= =======================
1 default ACTIVE port1.1(u) port1.2(u)
port1.7(u) port1.8(u)
port1.9(u) port1.10(u)
port1.11(u) port1.12(u)
port1.13(u) port1.14(u)
port1.15(u) port1.16(u)
sa1(u)
110 VLAN0110 ACTIVE port1.1(t) port1.2(t)
port1.3(u) port1.4(u)
sa1(t)
120 VLAN0120 ACTIVE port1.1(t) port1.2(t)
port1.5(u) port1.6(u)
sa1(t)
SWX2320#
|
| [解説] すべてのVLAN情報を表示します。 VLAN ID#110に、ポート1, 2, 3, 4、論理インターフェース#1 が所属しています。 VLAN ID#120に、ポート1, 2, 5, 6、論理インターフェース#1 が所属しています。 それ以外のポートは、VLAN ID#1(デフォルトVLAN)に所属しています。 コマンドの詳細は、VLAN情報の表示をご覧ください。 |
・「show static-channel-group」コマンドで設定を確認します。
[コンソール]
SWX2320#show static-channel-group % Static Aggregator: sa1 % Load balancing: src-dst-mac % Member: port1.1 port1.2 SWX2320# |
| [解説] スタティック論理インターフェースの状態を表示します。 論理インターフェース#1 には、メンバーとして、ポート1, 2 が所属しています。 コマンドの詳細は、スタティック論理インターフェースの状態表示をご覧ください。 |
| VLANインターフェースの設定 # 注釈1 |
vlan database vlan 130 name VLAN0130 exit interface port1.1 switchport mode access switchport access vlan 130 exit interface port1.2 switchport mode access switchport access vlan 130 exit interface port1.15 switchport mode access switchport access vlan 130 exit interface port1.16 switchport mode access switchport access vlan 130 exit |
|---|---|
| リンクアグリゲーションの設定 |
interface port1.15 static-channel-group 1 exit interface port1.16 static-channel-group 1 exit interface sa1 no shutdown exit |
注釈1:
必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを推奨します。
・「show vlan brief」コマンドで設定を確認します。
[コンソール]
SWX2320#show vlan brief
(u)-Untagged, (t)-Tagged
VLAN ID Name State Member ports
======= ================================ ======= =======================
1 default ACTIVE port1.3(u) port1.4(u)
port1.5(u) port1.6(u)
port1.7(u) port1.8(u)
port1.9(u) port1.10(u)
port1.11(u) port1.12(u)
port1.13(u) port1.14(u)
130 VLAN0130 ACTIVE port1.1(u) port1.2(u)
port1.15(u) port1.16(u)
sa1(u)
SWX2320#
|
| [解説] すべてのVLAN情報を表示します。 VLAN ID#130に、ポート1, 2, 13, 14、論理インターフェース#1 が所属しています。 それ以外のポートは、VLAN ID#1(デフォルトVLAN)に所属しています。 コマンドの詳細は、VLAN情報の表示をご覧ください。 |
・「show static-channel-group」コマンドで設定を確認します。
[コンソール]
SWX2320#show static-channel-group % Static Aggregator: sa1 % Load balancing: src-dst-mac % Member: port1.1 port1.2 SWX2320# |
| [解説] スタティック論理インターフェースの状態を表示します。 論理インターフェース#1 には、メンバーとして、ポート1, 2 が所属しています。 コマンドの詳細は、スタティック論理インターフェースの状態表示をご覧ください。 |
※上記操作による設定(Config)を取り出すことができます。
※管理パスワードの変更方法は、管理パスワードの変更(スイッチ)をご覧ください。
ご相談・お問い合わせ