社内ネットワークに直接影響を与える事ができない、隔離されたゲスト専用VLANを構築してみます。
設定概要
大まかな設定内容は下記の通りです。
- ゲスト用VLAN追加
- ゲスト用VLANを追加します。
- DHCP設定
- ゲスト用VLANから、既存の社内ネットワーク上のDHCPサーバへの通信はさせない為、ゲスト用VLANに対するDHCP設定をスイッチ側に追加します。
- DNSも社内ネットワーク上のものではなく、インターネット上のものを参照させます。
- ACL(アクセスリスト)設定
- 既存の社内ネットワークへの通信はさせず、インターネット通信のみが可能になるようなアクセスリストを作成し、ゲスト用VLANへ適用します。
設定例(CISCOの場合)
設定はL3スイッチで行います。
今回の設定に必要な部分のみを抜粋しています。
他社製のスイッチでも、記述や用語は異なりますが同様の設定は可能です。
CiscoIOS
!-------------------------------------------------
!- DHCP設定
!-------------------------------------------------
ip dhcp excluded-address 172.16.99.1 172.16.99.99
ip dhcp excluded-address 172.16.99.200 172.16.99.255
!
ip dhcp pool GUEST
network 172.16.99.0 255.255.255.0
default-router 172.16.99.254
dns-server 8.8.8.8 8.8.4.4
lease 0 4
!-------------------------------------------------
!- Interface設定
!- Trunc接続(タグVLAN)、ACL適用
!-------------------------------------------------
interface GigabitEthernet1/0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1-254
switchport mode trunk
ip access-group acl_GUEST in
:
:
!-------------------------------------------------
!- VLAN設定
!- Vlan10は一般用(DHCPリレー)
!- Vlan99はGUEST用
!-------------------------------------------------
interface Vlan10
ip address 172.16.10.254 255.255.255.0
ip helper-address 172.16.XXX.XXX
!
interface Vlan99
ip address 172.16.99.254 255.255.255.0
!
ip default-gateway 172.16.254.1
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.254.1
!-------------------------------------------------
!- ACL設定
!- デフォルトゲートウェイへの通信のみPermit
!- その他通信は全てDeny
!-------------------------------------------------
ip access-list extended acl_GUEST
permit ip 172.16.99.0 0.0.0.255 host 172.16.99.254
deny ip 172.16.99.0 0.0.0.255 172.16.0.0 0.0.255.255
permit ip any any
!
以上です。
ゲストのPCを一時的にネットワークへ参加させる場合や、会議室等にゲスト用無線LANアクセスポイントを提供する場合に、このようなVLANを適用すれば社内ネットワークを守ることができます。