はじめに
最近の流行病で弊社もリモートワークを導入
ただ、急ぎのこともあって、社内のとあるセグメントと同一だった。
色々あって、ここと同じは嫌だよねえということで変更を実施することに。
また、NW機器はほぼ触ったことないので、暖かく見守って頂ければと。
ざっくり流れはこんな感じです。
- 構成
- L3
- ルータ
- 接続確認
- 最後に
構成
セレスでリモートワークをする際の、
ネットワークの構成はざっくり下記になりますので、それぞれに変更点を加えていきます。
端末 ⇄ (インターネット) ⇄ ルータ ⇄ L3 ⇄ 社内リソースへ
L3
L3はVLANを利用しているので、その設定をします。
VLANはポートとタグがあるけど、ポートVLANです。
telnetでログインしたら下記コマンドで編集モードに入ります。
system-view
VLANの設定を実施します。
既にあるVLANの値と被らないように値を決めてください。
vlan <設定したいVLANの値を入力>
description # VPNSeg-Vlan #
quit
上記で作成したVLANの値とポートを紐づけます。
このポートはVLANいくつ。的なやつです。
今回は複数ポートでリンクアグリゲーションをする...等の設定は入れておりません。
必要であれば、その設定を入れてください。
interface gigabitethernet <設定したいポートナンバー>
port access vlan <登録したVLANの値>
quit
ポートには1つのVLANの値しか設定出来ませんので、
既に登録がある場合は、下記コマンドで削除をしてから、上記コマンドを実施してください。
interface gigabitethernet <設定したいポートナンバー>
undo port access vlan <消したいVLANの値>
quit
L3でルーティングを実施する必要があるため、VLANインターフェースの設定をします。
機器によっては、SVI。
割り当てたいセグメントの書式は、IPアドレス サブネットマスク(192.168.0.0 255.255.255.0のような)です。
ルーティングのルールに関しては、既にルールを作成しているので、それも割り当てます。
interface Vlan-interface<登録したVLANの値>
description ## VPN-Seg ##
ip address <割り当てたいセグメントを記載>
ip policy-based-route <ルーティング先のルールを記載>
quit
最後に保存します。
save
上記をすることにより、
端末のゲートウェイにL3のIPを設定すれば、ルーティング可能となります。
設定に関しては、下記のようになっており、
system-viewで編集者モードに入り、下記コマンドでそれぞれのポートやVLANインターフェースに対して設定を行うイメージです。
(終わったらquitで抜ける)
- interface gigabitethernet
- interface Vlan-interface
全体的な設定をするのであれば、system-view後に設定する。のような感じです。
ルータ
ルータに関しては、画像入れると環境を記載してしまうことになるので、ざっくりと。。。
ウィザードを利用して、VPNの設定(IPの割当はL3のVLanインターフェースで設定した範囲)を行い、ゲートウェイをL3のIPに設定しました。
接続確認
問題なければVPN接続実施後、社内のサーバやファイルサーバ等のリソースにアクセスすることが可能になります。
アクセス出来ない。ということがあれば、ルータでポートを閉じてたりしているので、確認しましょう。
最後に
L3の設定をしているときに、接続確認を行うため端末とL3を繋げてpingで確認していたのですが、
どんだけL3に設定しても、繋がらない事象が発生しました。
結論、WindowsのFWのルールでICMP返さない設定になってました。
みんな検証する時はWindowsのFWはオフ。もしくはICMPは許可にしような!