特定の端末だけサーバーへのアクセスを許可(VLAN / 拡張IPv4アクセスリスト) : コマンド設定

管理番号:YMHSW-4154

本設定例の対応機種は、SWX2310P-28GTSWX2310P-18GSWX2310P-10GSWX2300-24GSWX2300-16GSWX2300-8Gです。

図 特定の端末だけサーバーへのアクセスを許可(VLAN / 拡張IPv4アクセスリスト) : コマンド設定

インテリジェントL2スイッチのVLANに拡張IPv4アクセスリストを適用し、特定の端末だけ、サーバーへのアクセスを許可する設定例です。ルーターで行っていたフィルタリングをスイッチで行うことにより、ルーターの負荷を軽減できます。

インターフェースに対して拡張IPv4アクセスリストを適用すると、許可したIPv4アドレスを送信元IPアドレス、宛先IPアドレスとする、特定のIPプロトコル種別のフレームだけを転送し、その他のフレームをすべて破棄します。特定のフレームだけを転送対象としますので、セキュリティーの向上に役立てることができます。

技術情報:

本設定例では、以下の構成で説明します。

  • ルーター:LAN1にスイッチを接続
    - LAN のネットワークアドレス:192.168.100.0/24
    - VLAN #101のネットワークアドレス:192.168.101.0/24
    - VLAN #102のネットワークアドレス:192.168.102.0/24
  • スイッチ
    - ポート1:ルーターと接続、VLAN #101,#102に設定
    - ポート2:VLAN #101に設定
     VLAN #101では、許可したIPアドレス(192.168.102.192、192.168.101.0/24)間のフレームだけを転送します。
     部門PC1はサーバールームにアクセスできますが、部門PC2はサーバールームにアクセスできません。
     サーバールームへは、HTTPプロトコルのフレームだけを転送します。
    - ポート3:VLAN #102に設定

ルーターの設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(ルーター)を奨励します。

ヤマハルーターの場合
LANインターフェースの設定 ip lan1 address 192.168.100.1/24
VLANの設定 vlan lan1/1 802.1q vid=101 name=VLAN101
ip lan1/1 address 192.168.101.1/24
vlan lan1/2 802.1q vid=102 name=VLAN102
ip lan1/2 address 192.168.102.1/24
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
dhcp scope 101 192.168.101.2-192.168.101.191/24
dhcp scope 102 192.168.102.2-192.168.102.191/24

スイッチの設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(スイッチ)を奨励します。

SWX2310Pの場合

下記の設定(Config)を取り出すことができます。

設定手順

  1. ユーザモードから特権EXECモードに移行します。
    [コンソール]
    SWX2310P>enable
    SWX2310P#
    
  2. グローバルコンフィグレーションモードに移行します。
    [コンソール]
    SWX2310P#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    SWX2310P(config)#
    
  3. VLANを定義します。
    [コンソール]
    SWX2310P(config)#vlan database
    SWX2310P(config-vlan)#vlan 101
    SWX2310P(config-vlan)#vlan 102
    SWX2310P(config-vlan)#exit
    SWX2310P(config)#
    
  4. ポート1をトランクポートに設定し、VLAN #101 に所属させます。
    [コンソール]
    SWX2310P(config)#interface port1.1
    SWX2310P(config-if)#switchport mode trunk
    SWX2310P(config-if)#switchport trunk allowed vlan add 101
    SWX2310P(config-if)#switchport trunk allowed vlan add 102
    SWX2310P(config-if)#exit
    SWX2310P(config)#
    
  5. ポート2をVLAN #101、ポート3をVLAN #102 に所属させます。
    必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを奨励します。
    [コンソール]
    SWX2310P(config)#interface port1.2
    SWX2310P(config-if)#switchport mode access
    SWX2310P(config-if)#switchport access vlan 101
    SWX2310P(config-if)#exit
    SWX2310P(config)#interface port1.3
    SWX2310P(config-if)#switchport mode access
    SWX2310P(config-if)#switchport access vlan 102
    SWX2310P(config-if)#exit
    SWX2310P(config)#
    
  6. 拡張IPv4アクセスリスト(ID:100)を生成します。
    ここでは、部門PC1からサーバールームへ、HTTPプロトコル(ポート番号:80)によるアクセスを許可しています。
    [コンソール]
    SWX2310P(config)#access-list 100 permit tcp host 192.168.102.192 192.168.101.0 0.0.0.255 eq 80
    SWX2310P(config)#access-list 100 permit tcp 192.168.101.0 0.0.0.255 host 192.168.102.192
    SWX2310P(config)#
    
  7. 引き続き、拡張IPv4アクセスリスト(ID:100)を生成します。
    ここでは、部門PC1からサーバールームへ、HTTPプロトコル以外によるアクセスを拒否しています。
    [コンソール]
    SWX2310P(config)#access-list 100 deny any any any
    SWX2310P(config)#
    
  8. VLANアクセスマップ(VAM-001)を生成し、拡張IPv4アクセスリスト(ID:100)を設定します。
    [コンソール]
    SWX2310P(config)#vlan access-map VAM-001
    SWX2310P(config-vlan-access-map)#match access-list 100
    SWX2310P(config-vlan-access-map)#exit
    SWX2310P(config)#
    
  9. VLAN #101 にVLANアクセスマップ(VAM-001)を適用します。
    [コンソール]
    SWX2310P(config)#vlan filter VAM-001 101
    SWX2310P(config)#
    

設定内容

VLANの設定 vlan database
  vlan 101
  vlan 102
  exit
interface port1.1
  switchport mode trunk
  switchport trunk allowed vlan add 101
  switchport trunk allowed vlan add 102
  exit
interface port1.2
  switchport mode access
  switchport access vlan 101
  exit
interface port1.3
  switchport mode access
  switchport access vlan 102
  exit
拡張IPv4アクセスリストの設定 access-list 100 permit tcp host 192.168.102.192 192.168.101.0 0.0.0.255 eq 80
access-list 100 permit tcp 192.168.101.0 0.0.0.255 host 192.168.102.192
access-list 100 deny any any any
vlan access-map VAM-001
  match access-list 100
  exit
vlan filter VAM-001 101

設定の確認

・「show access-list」コマンドで生成したアクセスリストを確認します。

[コンソール]
SWX2310P#show access-list
IPv4 access list 100
    10 permit tcp host 192.168.102.192 192.168.101.0 0.0.0.255 eq 80
    20 permit tcp 192.168.101.0 0.0.0.255 host 192.168.102.192
    30 deny any any any
SWX2310P#
[解説]
拡張IPv4アクセスリスト(ID:100)には、設定手順6,7で設定した内容が反映されます。 コマンドの詳細は、生成したアクセスリストの表示をご覧ください。

・「show vlan access-map」コマンドで生成したVLANアクセスマップを確認します。

[コンソール]
SWX2310P#show vlan access-map
Vlan access-map VAM-001
    match ipv4 access-list 100
SWX2310P#
[解説]
VLANアクセスマップ(VAM-001)には、設定手順8で設定した内容が反映されます。 コマンドの詳細は、VLANアクセスマップの表示をご覧ください。

・「show vlan filter」コマンドでVLANアクセスマップの適用状況を確認します。

[コンソール]
SWX2310P#show vlan filter
Vlan Filter VAM-001 is applied to vlan 101
SWX2310P#
[解説]
設定手順9で設定した内容が反映されます。コマンドの詳細は、VLANアクセスマップフィルターの表示をご覧ください。
SWX2300の場合

下記の設定(Config)を取り出すことができます。

設定手順

  1. ユーザモードから特権EXECモードに移行します。
    [コンソール]
    SWX2300>enable
    SWX2300#
    
  2. グローバルコンフィグレーションモードに移行します。
    [コンソール]
    SWX2300#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    SWX2300(config)#
    
  3. VLANを定義します。
    [コンソール]
    SWX2300(config)#vlan database
    SWX2300(config-vlan)#vlan 101
    SWX2300(config-vlan)#vlan 102
    SWX2300(config-vlan)#exit
    SWX2300(config)#
    
  4. ポート1をトランクポートに設定し、VLAN #101 に所属させます。
    [コンソール]
    SWX2300(config)#interface ge1
    SWX2300(config-if)#switchport mode trunk
    SWX2300(config-if)#switchport trunk allowed vlan add 101
    SWX2300(config-if)#switchport trunk allowed vlan add 102
    SWX2300(config-if)#exit
    SWX2300(config)#
    
  5. ポート2をVLAN #101、ポート3をVLAN #102 に所属させます。
    必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを奨励します。
    [コンソール]
    SWX2300(config)#interface ge2
    SWX2300(config-if)#switchport mode access
    SWX2300(config-if)#switchport access vlan 101
    SWX2300(config-if)#exit
    SWX2300(config)#interface ge3
    SWX2300(config-if)#switchport mode access
    SWX2300(config-if)#switchport access vlan 102
    SWX2300(config-if)#exit
    SWX2300(config)#
    
  6. 拡張IPv4アクセスリスト(ID:100)を生成します。
    ここでは、部門PC1からサーバールームへ、HTTPプロトコル(ポート番号:80)によるアクセスを許可しています。
    [コンソール]
    SWX2300(config)#access-list 100 permit tcp host 192.168.102.192 192.168.101.0 0.0.0.255 eq 80
    SWX2300(config)#access-list 100 permit tcp 192.168.101.0 0.0.0.255 host 192.168.102.192
    SWX2300(config)#
    
  7. 引き続き、拡張IPv4アクセスリスト(ID:100)を生成します。
    ここでは、部門PC1からサーバールームへ、HTTPプロトコル以外によるアクセスを拒否しています。
    [コンソール]
    SWX2300(config)#access-list 100 deny any host 192.168.102.192 192.168.101.0 0.0.0.255
    SWX2300(config)#access-list 100 deny any 192.168.101.0 0.0.0.255 host 192.168.102.192
    SWX2300(config)#
    
  8. VLANアクセスマップ(VAM-001)を生成し、拡張IPv4アクセスリスト(ID:100)を設定します。
    [コンソール]
    SWX2300(config)#vlan access-map VAM-001
    SWX2300(config-vlan-access-map)#match ip access-list 100
    SWX2300(config-vlan-access-map)#exit
    SWX2300(config)#
    
  9. VLAN #101 にVLANアクセスマップ(VAM-001)を適用します。
    [コンソール]
    SWX2300(config)#vlan filter VAM-001 101
    SWX2300(config)#
    

設定内容

VLANの設定 vlan database
  vlan 101
  vlan 102
  exit
interface ge1
  switchport mode trunk
  switchport trunk allowed vlan add 101
  switchport trunk allowed vlan add 102
  exit
interface ge2
  switchport mode access
  switchport access vlan 101
  exit
interface ge3
  switchport mode access
  switchport access vlan 102
  exit
拡張IPv4アクセスリストの設定 access-list 100 permit tcp host 192.168.102.192 192.168.101.0 0.0.0.255 eq 80
access-list 100 permit tcp 192.168.101.0 0.0.0.255 host 192.168.102.192
access-list 100 deny any host 192.168.102.192 192.168.101.0 0.0.0.255
access-list 100 deny any 192.168.101.0 0.0.0.255 host 192.168.102.192
vlan access-map VAM-001
  match ip access-list 100
  exit
vlan filter VAM-001 101

設定の確認

・「show access-list」コマンドで生成したアクセスリストを確認します。

[コンソール]
SWX2300#show access-list
Extended IP access list 100
    permit tcp host 192.168.102.192 192.168.101.0 0.0.0.255 eq 80
    permit tcp 192.168.101.0 0.0.0.255 host 192.168.102.192
    deny   any host 192.168.102.192 192.168.101.0 0.0.0.255
    deny   any 192.168.101.0 0.0.0.255 host 192.168.102.192

SWX2300#
[解説]
拡張IPv4アクセスリスト(ID:100)には、設定手順6,7で設定した内容が反映されます。コマンドの詳細は、生成した全アクセスリストの表示をご覧ください。

・「show vlan access-map」コマンドで生成したVLANアクセスマップを確認します。

[コンソール]
SWX2300#show vlan access-map
 VLAN-ACCESS-MAP: VAM-001
 match ip access-list 100
SWX2300#
[解説]
VLANアクセスマップ(VAM-001)には、設定手順8で設定した内容が反映されます。コマンドの詳細は、VLANアクセスマップの表示をご覧ください。

・「show vlan filter」コマンドでVLANアクセスマップの適用状況を確認します。

[コンソール]
SWX2300#show vlan filter
Vlan Filter VAM-001 is applied to vlan 101
SWX2300#
[解説]
設定手順9で設定した内容が反映されます。コマンドの詳細は、VLANアクセスマップフィルターの表示をご覧ください。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ