本設定例の対応機種は、SWX2310P-28GT、SWX2310P-18G、SWX2310P-10G、SWX2300-24G、SWX2300-16G、SWX2300-8Gです。
インテリジェントL2スイッチのVLANに拡張IPv4アクセスリストを適用し、特定の端末だけ、サーバーへのアクセスを許可する設定例です。ルーターで行っていたフィルタリングをスイッチで行うことにより、ルーターの負荷を軽減できます。
インターフェースに対して拡張IPv4アクセスリストを適用すると、許可したIPv4アドレスを送信元IPアドレス、宛先IPアドレスとする、特定のIPプロトコル種別のフレームだけを転送し、その他のフレームをすべて破棄します。これにより、特定のフレームだけを転送対象とすることができるため、セキュリティーの向上に役立てることができます。
技術情報:
本設定例では、以下の構成で説明します。
- ポート2:VLAN #101に設定
VLAN #101では、許可したIPアドレス(192.168.102.192、192.168.101.0/24)間のフレームだけを転送します。
部門PC1はサーバールームにアクセスできますが、部門PC2はサーバールームにアクセスできません。
サーバールームへは、HTTPプロトコルのフレームだけを転送します。
- ポート3:VLAN #102に設定
※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(ルーター)を奨励します。
| LANインターフェースの設定 | ip lan1 address 192.168.100.1/24 |
|---|---|
| VLANの設定 |
vlan lan1/1 802.1q vid=101 name=VLAN101 ip lan1/1 address 192.168.101.1/24 vlan lan1/2 802.1q vid=102 name=VLAN102 ip lan1/2 address 192.168.102.1/24 |
| DHCPの設定 |
dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.2-192.168.100.191/24 dhcp scope 101 192.168.101.2-192.168.101.191/24 dhcp scope 102 192.168.102.2-192.168.102.191/24 |
※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(スイッチ)を奨励します。
下記の設定(Config)を取り出すことができます。
[コンソール]
SWX2310P>enable SWX2310P# |
[コンソール]
SWX2310P#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SWX2310P(config)# |
[コンソール]
SWX2310P(config)#vlan database SWX2310P(config-vlan)#vlan 101 SWX2310P(config-vlan)#vlan 102 SWX2310P(config-vlan)#exit SWX2310P(config)# |
[コンソール]
SWX2310P(config)#interface port1.1 SWX2310P(config-if)#switchport mode trunk SWX2310P(config-if)#switchport trunk allowed vlan add 101 SWX2310P(config-if)#switchport trunk allowed vlan add 102 SWX2310P(config-if)#exit SWX2310P(config)# |
[コンソール]
SWX2310P(config)#interface port1.2 SWX2310P(config-if)#switchport mode access SWX2310P(config-if)#switchport access vlan 101 SWX2310P(config-if)#exit SWX2310P(config)#interface port1.3 SWX2310P(config-if)#switchport mode access SWX2310P(config-if)#switchport access vlan 102 SWX2310P(config-if)#exit SWX2310P(config)# |
[コンソール]
SWX2310P(config)#access-list 100 permit tcp host 192.168.102.192 192.168.101.0 0.0.0.255 eq 80 SWX2310P(config)#access-list 100 permit tcp 192.168.101.0 0.0.0.255 host 192.168.102.192 SWX2310P(config)# |
[コンソール]
SWX2310P(config)#access-list 100 deny any any any SWX2310P(config)# |
[コンソール]
SWX2310P(config)#vlan access-map VAM-001 SWX2310P(config-vlan-access-map)#match access-list 100 SWX2310P(config-vlan-access-map)#exit SWX2310P(config)# |
[コンソール]
SWX2310P(config)#vlan filter VAM-001 101 SWX2310P(config)# |
| VLANの設定 |
vlan database vlan 101 vlan 102 exit interface port1.1 switchport mode trunk switchport trunk allowed vlan add 101 switchport trunk allowed vlan add 102 exit interface port1.2 switchport mode access switchport access vlan 101 exit interface port1.3 switchport mode access switchport access vlan 102 exit |
|---|---|
| 拡張IPv4アクセスリストの設定 |
access-list 100 permit tcp host 192.168.102.192 192.168.101.0 0.0.0.255 eq 80 access-list 100 permit tcp 192.168.101.0 0.0.0.255 host 192.168.102.192 access-list 100 deny any any any vlan access-map VAM-001 match access-list 100 exit vlan filter VAM-001 101 |
・「show access-list」コマンドで生成したアクセスリストを確認します。
[コンソール]
SWX2310P#show access-list
IPv4 access list 100
10 permit tcp host 192.168.102.192 192.168.101.0 0.0.0.255 eq 80
20 permit tcp 192.168.101.0 0.0.0.255 host 192.168.102.192
30 deny any any any
SWX2310P#
|
| [解説] 拡張IPv4アクセスリスト(ID:100)には、設定手順6,7で設定した内容が反映されます。 コマンドの詳細は、生成したアクセスリストの表示をご覧ください。 |
・「show vlan access-map」コマンドで生成したVLANアクセスマップを確認します。
[コンソール]
SWX2310P#show vlan access-map
Vlan access-map VAM-001
match ipv4 access-list 100
SWX2310P#
|
| [解説] VLANアクセスマップ(VAM-001)には、設定手順8で設定した内容が反映されます。 コマンドの詳細は、VLANアクセスマップの表示をご覧ください。 |
・「show vlan filter」コマンドでVLANアクセスマップの適用状況を確認します。
[コンソール]
SWX2310P#show vlan filter Vlan Filter VAM-001 is applied to vlan 101 SWX2310P# |
| [解説] 設定手順9で設定した内容が反映されます。コマンドの詳細は、VLANアクセスマップフィルターの表示をご覧ください。 |
下記の設定(Config)を取り出すことができます。
[コンソール]
SWX2300>enable SWX2300# |
[コンソール]
SWX2300#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SWX2300(config)# |
[コンソール]
SWX2300(config)#vlan database SWX2300(config-vlan)#vlan 101 SWX2300(config-vlan)#vlan 102 SWX2300(config-vlan)#exit SWX2300(config)# |
[コンソール]
SWX2300(config)#interface ge1 SWX2300(config-if)#switchport mode trunk SWX2300(config-if)#switchport trunk allowed vlan add 101 SWX2300(config-if)#switchport trunk allowed vlan add 102 SWX2300(config-if)#exit SWX2300(config)# |
[コンソール]
SWX2300(config)#interface ge2 SWX2300(config-if)#switchport mode access SWX2300(config-if)#switchport access vlan 101 SWX2300(config-if)#exit SWX2300(config)#interface ge3 SWX2300(config-if)#switchport mode access SWX2300(config-if)#switchport access vlan 102 SWX2300(config-if)#exit SWX2300(config)# |
[コンソール]
SWX2300(config)#access-list 100 permit tcp host 192.168.102.192 192.168.101.0 0.0.0.255 eq 80 SWX2300(config)#access-list 100 permit tcp 192.168.101.0 0.0.0.255 host 192.168.102.192 SWX2300(config)# |
[コンソール]
SWX2300(config)#access-list 100 deny any host 192.168.102.192 192.168.101.0 0.0.0.255 SWX2300(config)#access-list 100 deny any 192.168.101.0 0.0.0.255 host 192.168.102.192 SWX2300(config)# |
[コンソール]
SWX2300(config)#vlan access-map VAM-001 SWX2300(config-vlan-access-map)#match ip access-list 100 SWX2300(config-vlan-access-map)#exit SWX2300(config)# |
[コンソール]
SWX2300(config)#vlan filter VAM-001 101 SWX2300(config)# |
| VLANの設定 |
vlan database vlan 101 vlan 102 exit interface ge1 switchport mode trunk switchport trunk allowed vlan add 101 switchport trunk allowed vlan add 102 exit interface ge2 switchport mode access switchport access vlan 101 exit interface ge3 switchport mode access switchport access vlan 102 exit |
|---|---|
| 拡張IPv4アクセスリストの設定 |
access-list 100 permit tcp host 192.168.102.192 192.168.101.0 0.0.0.255 eq 80 access-list 100 permit tcp 192.168.101.0 0.0.0.255 host 192.168.102.192 access-list 100 deny any host 192.168.102.192 192.168.101.0 0.0.0.255 access-list 100 deny any 192.168.101.0 0.0.0.255 host 192.168.102.192 vlan access-map VAM-001 match ip access-list 100 exit vlan filter VAM-001 101 |
・「show access-list」コマンドで生成したアクセスリストを確認します。
[コンソール]
SWX2300#show access-list
Extended IP access list 100
permit tcp host 192.168.102.192 192.168.101.0 0.0.0.255 eq 80
permit tcp 192.168.101.0 0.0.0.255 host 192.168.102.192
deny any host 192.168.102.192 192.168.101.0 0.0.0.255
deny any 192.168.101.0 0.0.0.255 host 192.168.102.192
SWX2300#
|
| [解説] 拡張IPv4アクセスリスト(ID:100)には、設定手順6,7で設定した内容が反映されます。コマンドの詳細は、生成した全アクセスリストの表示をご覧ください。 |
・「show vlan access-map」コマンドで生成したVLANアクセスマップを確認します。
[コンソール]
SWX2300#show vlan access-map VLAN-ACCESS-MAP: VAM-001 match ip access-list 100 SWX2300# |
| [解説] VLANアクセスマップ(VAM-001)には、設定手順8で設定した内容が反映されます。コマンドの詳細は、VLANアクセスマップの表示をご覧ください。 |
・「show vlan filter」コマンドでVLANアクセスマップの適用状況を確認します。
[コンソール]
SWX2300#show vlan filter Vlan Filter VAM-001 is applied to vlan 101 SWX2300# |
| [解説] 設定手順9で設定した内容が反映されます。コマンドの詳細は、VLANアクセスマップフィルターの表示をご覧ください。 |