小規模ネットワーク構成(社内サーバーに高速アクセス + 障害対策と負荷分散) : SWX3100 コマンド設定

管理番号:YMHSW-16372

本設定例の対応機種は、SWX3100-10Gです。

図 構成図

中小企業のネットワーク環境を想定した設定例です。

コアスイッチ SWX3100(1)は、部門ごとにネットワークを分割し、各ネットワークのDHCPサーバーとして動作します。エッジスイッチ SWX3100(2)は、サーバールーム用のスイッチとして配置しています。

コアスイッチとエッジスイッチの通信には、SFPポート(光ファイバーケーブル)を使用します。電磁ノイズを受けないため、高速アクセスが可能です。また、2つのSFPポートを束ねて、1つの論理インターフェースとしていますので、1つのSFPポートで障害が発生した場合も、残りのポートで通信を継続できます。

各部門からサーバールームへのアクセスはできますが、部門同士のアクセスはできません。

技術情報: VLANDHCPサーバーアクセスリストリンクアグリゲーションループ検出

本設定例では、以下の構成で説明します。

  • コアスイッチ SWX3100(1)
    - ポート1:ルーターと接続
    - ポート2:VLAN #11
         IPアドレス:192.168.101.1
         ネットワークアドレス:192.168.101.0/24
         DHCPプール:192.168.101.2~192.168.101.191
    - ポート3:VLAN #12
         IPアドレス:192.168.102.1
         ネットワークアドレス:192.168.102.0/24
         DHCPプール:192.168.102.2~192.168.102.191
    - ポート9,10:VLAN #20 (論理インターフェース #2)
         IPアドレス:192.168.103.1
         ネットワークアドレス:192.168.103.0/24
  • エッジスイッチ SWX3100(2)
    - ポート9,10:VLAN #20 (論理インターフェース #2)
         IPアドレス:192.168.103.240

コアスイッチ SWX3100(1)の設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(スイッチ)を奨励します。

VLANインターフェースの設定
# 注釈1
vlan database
  vlan 11
  vlan 12
  vlan 20
  exit

interface vlan11
  ip address 192.168.101.1/24
  exit
interface vlan12
  ip address 192.168.102.1/24
  exit
interface vlan20
  ip address 192.168.103.1/24
  auto-ip disable
  exit

interface port1.2
  switchport mode access
  switchport access vlan 11
  exit
interface port1.3
  switchport mode access
  switchport access vlan 12
  exit
interface port1.9
  switchport mode access
  switchport access vlan 20
  exit
interface port1.10
  switchport mode access
  switchport access vlan 20
  exit
リンクアグリゲーションの設定 interface port1.9
  static-channel-group 2
  exit
interface port1.10
  static-channel-group 2
  exit

interface sa2
  no shutdown
  exit
DHCPサーバーの設定 interface vlan11
  dhcp-server enable
  exit
interface vlan12
  dhcp-server enable
  exit

dhcp pool vlan11
  network 192.168.101.0/24
  range 192.168.101.2 192.168.101.191
  default-router 192.168.101.1
  dns-server 192.168.100.1
  exit
dhcp pool vlan12
  network 192.168.102.0/24
  range 192.168.102.2 192.168.102.191
  default-router 192.168.102.1
  dns-server 192.168.100.1
  exit

dhcp-server enable
ゲートウェイの設定 ip route 0.0.0.0/0 192.168.100.1
ループ検出機能の設定 spanning-tree shutdown
loop-detect enable
アクセスリストの設定 access-list 1 deny any 192.168.101.0/24 192.168.102.0/24
access-list 2 deny any 192.168.102.0/24 192.168.101.0/24
access-list 3 permit any 192.168.103.0/24 192.168.101.0/24
access-list 3 permit any 192.168.103.0/24 192.168.102.0/24
access-list 3 deny any any any

vlan access-map VAM-001
  match access-list 1
  exit
vlan access-map VAM-002
  match access-list 2
  exit
vlan access-map VAM-003
  match access-list 3
  exit

vlan filter VAM-001 11
vlan filter VAM-002 12
vlan filter VAM-003 20

エッジスイッチ SWX3100(2)の設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(スイッチ)を奨励します。

VLANインターフェースの設定
# 注釈1
vlan database
  vlan 20
  exit

interface vlan20
  ip address 192.168.103.240/24
  exit

interface port1.1
  switchport mode access
  switchport access vlan 20
  exit
interface port1.2
  switchport mode access
  switchport access vlan 20
  exit
interface port1.9
  switchport mode access
  switchport access vlan 20
  exit
interface port1.10
  switchport mode access
  switchport access vlan 20
  exit
リンクアグリゲーションの設定 interface port1.9
  static-channel-group 2
  exit
interface port1.10
  static-channel-group 2
  exit
interface sa2
  no shutdown
  exit
ゲートウェイの設定 ip route 0.0.0.0/0 192.168.103.1

[注釈の説明]

注釈1:
必要に応じて、他のポートも設定してください。使用しないポートは、シャットダウンして、使用禁止にすることを奨励します。

ルーターの設定例

ヤマハルーターを利用してインターネットに接続する場合は、以下の設定例をご利用ください。
※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(ルーター)を奨励します。

ゲートウェイの設定 ip route default gateway pp 1
ip route 192.168.0.0/16 gateway 192.168.100.240
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.100.1/24
WANインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
ip pp nat descriptor 1
pp enable 1
フィルターの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/16 *
ip filter 1030 pass * 192.168.0.0/16 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * submission
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
NATの設定 nat descriptor type 1 masquerade
DNSの設定 dns host any
dns server (ISPから指定されたDNSサーバーのIPアドレス)
dns private address spoof on

設定の確認

・「show vlan brief」コマンドで設定を確認します。

[コンソール]
SWX3100(1)#show vlan brief
(u)-Untagged, (t)-Tagged

VLAN ID  Name                            State   Member ports
======= ================================ ======= =======================
1       default                          ACTIVE  port1.1(u) port1.4(u)
                                                 port1.5(u) port1.6(u)
                                                 port1.7(u) port1.8(u)
11      VLAN0011                         ACTIVE  port1.2(u)
12      VLAN0012                         ACTIVE  port1.3(u)
20      VLAN0020                         ACTIVE  port1.9(u) port1.10(u)
                                                 sa2(u)

SWX3100(1)#
[解説]
すべてのVLAN情報を表示します。
VLAN ID#11に ポート2、VLAN ID#12 に ポート3、VLAN ID#20 にポート9,10 と 論理インターフェース#2 が所属しています。それ以外のポートは、VLAN ID#1(デフォルトVLAN)に所属しています。
コマンドの詳細は、VLAN情報の表示をご覧ください。

・「show access-list」コマンドで設定を確認します。

[コンソール]
SWX3100(1)#show access-list
IPv4 access list 1
    10 deny any 192.168.101.0 0.0.0.255 192.168.102.0 0.0.0.255
IPv4 access list 2
    10 deny any 192.168.102.0 0.0.0.255 192.168.101.0 0.0.0.255
IPv4 access list 3
    10 permit any 192.168.103.0 0.0.0.255 192.168.101.0 0.0.0.255
    20 permit any 192.168.103.0 0.0.0.255 192.168.102.0 0.0.0.255
    30 deny any any any [match= 52]

SWX3100(1)#
[解説]
生成したアクセスリストの一覧を表示します。
アクセスリスト ID:1とID:2 は、異なる部門間において、すべてのIPv4パケットを拒否しています。
アクセスリスト ID:3 は、社内サーバーからLAN内に対して、すべてのIPv4パケットを許可しています(それ以外は拒否します)。
コマンドの詳細は、生成したアクセスリストの表示をご覧ください。

・「show vlan access-map」コマンドで設定を確認します。

[コンソール]
SWX3100(1)#show vlan access-map
Vlan access-map VAM-001
    match ipv4 access-list 1
Vlan access-map VAM-002
    match ipv4 access-list 2
Vlan access-map VAM-003
    match ipv4 access-list 3
SWX3100(1)#
[解説]
VLANアクセスマップの情報を表示します。
VLANアクセスマップ「VAM-001」には、アクセスリスト ID:1 が適用されています。同様に「VAM-002」には、アクセスリスト ID:2、「VAM-003」には、アクセスリスト ID:3 が適用されています。
コマンドの詳細は、VLANアクセスマップの表示をご覧ください。

・「show vlan filter」コマンドで設定を確認します。

[コンソール]
SWX3100(1)#show vlan filter
Vlan filter VAM-001 is applied to vlan 11
Vlan filter VAM-002 is applied to vlan 12
Vlan filter VAM-003 is applied to vlan 20
SWX3100(1)#
[解説]
VLANアクセスマップフィルターの情報を表示します。
VLANアクセスマップ「VAM-001」は VLAN#11 に適用されています。同様に「VAM-002」は VLAN#12 に、「VAM-003」は VLAN#20 に適用されています。
コマンドの詳細は、VLANアクセスマップフィルターの表示をご覧ください。

・「show dhcp binding」コマンドで設定を確認します。

[コンソール]
SWX3100(1)#show dhcp binding
Pool vlan11 Network 192.168.101.0/24
DHCP Client Entries
IP Address       MacAddr            Type     Expiry
------------------------------------------------------------------
192.168.101.2    (MACアドレス1)     Dynamic  2018/05/15 04:02:10

Pool vlan12 Network 192.168.102.0/24
DHCP Client Entries
IP Address       MacAddr            Type     Expiry
------------------------------------------------------------------
192.168.102.2    (MACアドレス2)     Dynamic  2018/05/15 04:02:13


SWX3100(1)#
[解説]
DHCPクライアントへのIPアドレス割り当て情報を表示します。
192.168.101.0/24のネットワークにおいて、(MACアドレス1)のクライアントには、192.168.101.2 が割り当てられています。192.168.102.0/24のネットワークにおいて、(MACアドレス2)のクライアントには、192.168.102.2 が割り当てられています。 コマンドの詳細は、DHCPクライアントへのIPアドレス割り当て情報の表示をご覧ください。

・「show ip route」コマンドで設定を確認します。

[コンソール]
SWX3100(1)#show ip route
Codes: C - connected, S - static
       * - candidate default

Gateway of last resort is 192.168.100.1 to network 0.0.0.0

S*      0.0.0.0/0 [1/0] via 192.168.100.1, vlan1
C       192.168.100.0/24 is directly connected, vlan1
C       192.168.101.0/24 is directly connected, vlan11
C       192.168.102.0/24 is directly connected, vlan12
C       192.168.103.0/24 is directly connected, vlan20
SWX3100(1)#
[解説]
経路の情報を表示します。
静的経路で設定したデフォルトゲートウェイは、192.168.100.1 です。また、各VLANに機器が接続されていることを示しています。
コマンドの詳細は、IPv4転送表の表示をご覧ください。

・「show static-channel-group」コマンドで設定を確認します。

[コンソール]
SWX3100(1)#show static-channel-group
% Static Aggregator: sa2
% Load balancing: src-dst-mac
% Member:
   port1.9
   port1.10
[解説]
スタティック論理インターフェースの状態を表示します。
論理インターフェース #2には、メンバーとして、ポート9,10が所属しています。
コマンドの詳細は、スタティック論理インターフェースの状態表示をご覧ください。

・「show interface」コマンドで設定を確認します。

[コンソール]
SWX3100(1)#show interface sa2
Interface sa2
  Link is UP ★
  Hardware is AGGREGATE ★
  ifIndex 4502, MRU 1522
  Vlan info :
    Switchport mode        : access
    Ingress filter         : enable
    Acceptable frame types : all
    Default Vlan           :   20
    Configured Vlans       :   20
  Interface counter:
    input  packets          : 246073
           bytes            : 26958843
           multicast packets: 169479
    output packets          : 76592
           bytes            : 6112762
           multicast packets: 0
           broadcast packets: 1
           drop packets     : 0
SWX3100(1)#
[解説]
論理インターフェース #2の状態を表示します。
論理インターフェース #2は、リンクアップしています。
コマンドの詳細は、インターフェースの状態表示をご覧ください。

・「show loop-detect」コマンドで設定を確認します。

[コンソール]
SWX3100(1)#show  loop-detect
loop-detect: Enable

port      loop-detect    port-blocking           status
-------------------------------------------------------
port1.1        enable(*)        enable           Normal
port1.2        enable(*)        enable         Shutdown
port1.3        enable(*)        enable           Normal
port1.4        enable(*)        enable           Normal
port1.5        enable(*)        enable           Normal
port1.6        enable(*)        enable           Normal
port1.7        enable(*)        enable           Normal
port1.8        enable(*)        enable           Normal
port1.9        enable           enable           Normal
port1.10       enable           enable           Normal
-------------------------------------------------------
(*): Indicates that the feature is enabled.
SWX3100(1)#
[解説]
ループ検出状態を表示します。
ポート2でループが検出されたため、ポートをシャットダウンしています。
コマンドの詳細は、ループ検出機能の状態表示をご覧ください。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ