インターネットカフェ構成(スタックでのポート増設 + カメラ給電 + 通信帯域制限) : SWX2310P コマンド設定

本設定例の対応機種は、SWX2310P-28GTです。

図 構成図

インターネットカフェのネットワーク構成を想定した設定例です。

SWX2310P-28GTのスタック機能を利用して、2台のスイッチを仮想的な1台のスイッチとして動作させています。SWX2310P-28G(1)で、すべてのポートに対しての設定/設定の確認を行います。
PoE給電をしているネットワークカメラの映像は、管理室のPCで確認できます。個人ブースからの通信は、インターネットへのアクセスだけに制限して、ユーザーのプライバシーを守ります。また、個人ブースごとに利用可能な通信帯域の上限を設けて、公平なサービスを提供します。
MACアドレスによるアクセスリストを設定して、接続可能な端末を制限しています。不正な端末は接続できません。

技術情報: スタック機能    VLAN    ACL    QoS    PoE制御

本設定例では、以下の構成で説明します。

  • ポート1.1:ルーターと接続
  • ポート1.3(VLAN#20):ネットワークカメラを接続(PoE給電)
  • ポート1.4(VLAN#20):フロントPCを接続
  • ポート1.5(VLAN#20):1F管理室PCを接続
  • ポート1.9(VLAN#21):個人ブース1のPCを接続
  • ポート1.10(VLAN#21):個人ブース2のPCを接続
  • ポート2.1(VLAN#20):ネットワークカメラを接続(PoE給電)
  • ポート2.3(VLAN#20):2F管理室PCを接続
  • ポート2.5(VLAN#21):個人ブース3のPCを接続

事前準備

スタックの初期設定

  1. マスタースイッチ SWX2310P(1) と スレーブスイッチ SWX2310P(2)のファームウェアバージョンが等しいことを確認します。
    [コンソール]
    SWX2310P#show environment
    SWX2310P-28GT BootROM Ver.1.01
    SWX2310P-28GT Rev.2.02.xx (Wed 6 6 08:41:39 2018)
    main=SWX2310P-28GT ver=00 serial=S00000000 MAC-Address=00a0.de00.0000
    ・・・
    
  2. マスタースイッチ SWX2310P(1) のスタック機能を有効にします。
    [コンソール]
    SWX2310P(config)#stack enable
    reset configuration and reboot system? (y/n): y
    SWX2310P(config)#
    
  3. スレーブスイッチ SWX2310P(2) のスタックIDを変更し、スタック機能を有効にします。
    [コンソール]
    SWX2310P(config)#stack 1 renumber 2
    SWX2310P(config)#stack enable
    reset configuration and reboot system? (y/n): y
    
  4. マスタースイッチ SWX2310P(1) と スレーブスイッチ SWX2310P(2)を接続します。「show stack」でスタック情報を確認できます。
    [コンソール]
    SWX2310P#show stack
    Stack: Enable
    
    Configured ID: 1
    Running ID   : 1
    Status       : Active
    
    ID  Model          Status      Role
    -------------------------------------
    1   SWX2310P-28GT  Active      Master
    2   SWX2310P-28GT  Active      Slave
    
    SWX2310P#
    
    [解説]
    スタック情報を表示します。
    スタック ID:1のSWX2310Pがマスター、スタック ID:2 のSWX2310Pがスレーブで動作しています。スタック IDは、SWX2310P-28Gの前面の「スタック ID表示ランプ」でも確認できます。
    コマンドの詳細は、スタック情報の表示をご覧ください。

SWX2310P-28GT(1)の設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(スイッチ)を奨励します。

VLANインターフェースの設定
# 注釈1
vlan database
  vlan 10
  vlan 20
  vlan 21
  private-vlan 10 primary
  private-vlan 20 community
  private-vlan 21 isolated
  private-vlan 10 association add 20
  private-vlan 10 association add 21
  exit

interface port1.1
  switchport mode access
  switchport access vlan 10
  switchport mode private-vlan promiscuous
  switchport private-vlan mapping 10 add 20
  switchport private-vlan mapping 10 add 21
  exit
interface port1.3
  switchport mode access
  switchport access vlan 20
  switchport mode private-vlan host
  switchport private-vlan host-association 10 add 20
  exit
interface port1.4
  switchport mode access
  switchport access vlan 20
  switchport mode private-vlan host
  switchport private-vlan host-association 10 add 20
  exit
interface port1.5
  switchport mode access
  switchport access vlan 20
  switchport mode private-vlan host
  switchport private-vlan host-association 10 add 20
  exit
interface port1.9
  switchport mode access
  switchport access vlan 21
  switchport mode private-vlan host
  switchport private-vlan host-association 10 add 21
  exit
interface port1.10
  switchport mode access
  switchport access vlan 21
  switchport mode private-vlan host
  switchport private-vlan host-association 10 add 21
  exit
interface port2.1
  switchport mode access
  switchport access vlan 20
  switchport mode private-vlan host
  switchport private-vlan host-association 10 add 20
  exit
interface port2.3
  switchport mode access
  switchport access vlan 20
  switchport mode private-vlan host
  switchport private-vlan host-association 10 add 20
  exit
interface port2.5
  switchport mode access
  switchport access vlan 21
  switchport mode private-vlan host
  switchport private-vlan host-association 10 add 21
  exit
アクセスリストの設定 access-list 2001 permit host (フロントPCのMACアドレス) any
access-list 2001 permit host (1F管理室PCのMACアドレス) any
access-list 2001 permit host (2F管理室PCのMACアドレス) any
access-list 2001 permit host (個人ブース1 PCのMACアドレス) any
access-list 2001 permit host (個人ブース2 PCのMACアドレス) any
access-list 2001 permit host (個人ブース3 PCのMACアドレス) any
access-list 2001 deny any any

interface port1.4
  access-group 2001 in
  exit
interface port1.5
  access-group 2001 in
  exit
interface port1.9
  access-group 2001 in
  exit
interface port1.10
  access-group 2001 in
  exit
interface port2.3
  access-group 2001 in
  exit
interface port2.5
  access-group 2001 in
  exit
QoSの設定 qos enable
access-list 1 permit any 192.168.100.0/24 any

class-map cmap1
  match access-list 1
  exit

policy-map pmap1
  class cmap1
    police single-rate 10000 62 11 yellow-action drop red-action drop
    exit
  exit

interface port1.9
  service-policy input pmap1
  exit
interface port1.10
  service-policy input pmap1
  exit
interface port2.5
  service-policy input pmap1
  exit
PoEの設定 power-inline enable

interface port1.3
  power-inline priority high
  power-inline enable
  exit
interface port2.1
  power-inline priority high
  power-inline enable
  exit

[注釈の説明]

注釈1:
必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを奨励します。

ルーターの設定例

ヤマハルーターを利用してインターネットに接続する場合は、以下の設定例をご利用ください。

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(ルーター)を奨励します。

LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.100.1/24
WANインターフェースの設定
(LAN2ポートを使用)
ip route default gateway pp 1
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
ip pp nat descriptor 1
pp enable 1
フィルターの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.100.0/24 *
ip filter 1030 pass * 192.168.100.0/24 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * submission
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
NATの設定 nat descriptor type 1 masquerade
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
DNSの設定 dns server (ISPより指定されたDNSサーバーのIPアドレス)
dns private address spoof on

設定の確認

・「show vlan private-vlan」コマンドで設定を確認します。

[コンソール]
SWX2310P#show vlan private-vlan
 PRIMARY        SECONDARY          TYPE          INTERFACES
 -------        ---------       ----------      ----------
      10              20         community       port1.3 port1.4
                                                 port1.5 port2.1
                                                 port2.3
      10              21          isolated       port1.9 port1.10
                                                 port2.5
SWX2310P#
[解説]
プライベートVLANの情報を表示します。
VLAN#20は、コミュニティVLANで、スタック ID:1のポート3,4,5、スタック ID:2のポート1,3 がホストポートとして所属しています。
VLAN#21は、アイソレートVLANで、スタック ID:1のポート9,10、スタック ID:2 のポート5 がホストポートとして所属しています。
コマンドの詳細は、プライベートVLAN情報の表示をご覧ください。

・「show access-list」コマンドで設定を確認します。

[コンソール]
SWX2310P#show access-list
IPv4 access list 1
    10 permit any 192.168.100.0 0.0.0.255 any [match= 9]
MAC access list 2001
    10 permit host (フロントPCのMACアドレス) any [match=18]
    20 permit host (1F管理室PCのMACアドレス) any [match=27]
    30 permit host (2F管理室PCのMACアドレス) any [match=10]
    40 permit host (個人ブース1 PCのMACアドレス) any [match=20]
    50 permit host (個人ブース2 PCのMACアドレス) any [match=12]
    60 permit host (個人ブース3 PCのMACアドレス) any [match=10]

SWX2310P#
[解説]
生成したアクセスリストの一覧を表示します。
アクセスリスト ID:1 は、LANからすべてのIPv4パケットを許可しています(個人ブースからの通信帯域を制限するために使用します)。
アクセスリスト ID:2001 は、登録したMACアドレスからのアクセスを許可しています(それ以外は拒否します)。
コマンドの詳細は、生成したアクセスリストの表示をご覧ください。

・「show access-group」コマンドで設定を確認します。

[コンソール]
SWX2310P#show access-group
Interface port1.4 : MAC access group 2001 in
Interface port1.5 : MAC access group 2001 in
Interface port1.9 : MAC access group 2001 in
Interface port1.10 : MAC access group 2001 in
Interface port2.3 : MAC access group 2001 in
Interface port2.5 : MAC access group 2001 in

SWX2310P#
[解説]
インターフェースに適用したアクセスリストのID一覧を表示します。
スタック ID:1のポート3,4,9,10、スタック ID:2のポート3,5 はアクセスリスト ID:2001 がIN 方向に適用されています。
コマンドの詳細は、インターフェースに適用したアクセスリストの表示をご覧ください。

・「show policy-map」コマンドで設定を確認します。

[コンソール]
SWX2310P#show policy-map

  Policy-Map Name: pmap1
    State: attached

    Class-Map Name: cmap1
      Match Access-List: 1
      Police: Mode: SrTCM
              average rate (10000 Kbits/sec)
              burst size (11 KBytes)
              excess burst size (11 KBytes)
              yellow-action (Drop)
              red-action (Drop)

SWX2310P#
[解説]
ポリシーマップの情報を表示します。
生成したポリシーマップの適用と、設定したクラスマップの情報が表示されます。コマンドの詳細は、以下をご覧ください。
ポリシーマップ情報の表示 クラスマップ情報の表示

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。