Help us understand the problem. What is going on with this article?

ゲスト用VLANを構築してみる

More than 5 years have passed since last update.

社内ネットワークに直接影響を与える事ができない、隔離されたゲスト専用VLANを構築してみます。

設定概要

大まかな設定内容は下記の通りです。

  • ゲスト用VLAN追加
    • ゲスト用VLANを追加します。
  • DHCP設定
    • ゲスト用VLANから、既存の社内ネットワーク上のDHCPサーバへの通信はさせない為、ゲスト用VLANに対するDHCP設定をスイッチ側に追加します。
    • DNSも社内ネットワーク上のものではなく、インターネット上のものを参照させます。
  • ACL(アクセスリスト)設定
    • 既存の社内ネットワークへの通信はさせず、インターネット通信のみが可能になるようなアクセスリストを作成し、ゲスト用VLANへ適用します。

設定例(CISCOの場合)

設定はL3スイッチで行います。
今回の設定に必要な部分のみを抜粋しています。
他社製のスイッチでも、記述や用語は異なりますが同様の設定は可能です。

CiscoIOS
!-------------------------------------------------
!- DHCP設定 
!-------------------------------------------------
ip dhcp excluded-address 172.16.99.1 172.16.99.99
ip dhcp excluded-address 172.16.99.200 172.16.99.255
!
ip dhcp pool GUEST
   network 172.16.99.0 255.255.255.0
   default-router 172.16.99.254 
   dns-server 8.8.8.8 8.8.4.4 
   lease 0 4
!-------------------------------------------------
!- Interface設定
!- Trunc接続(タグVLAN)、ACL適用
!-------------------------------------------------
interface GigabitEthernet1/0/1
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 1-254
 switchport mode trunk
 ip access-group acl_GUEST in
    :
    :
!-------------------------------------------------
!- VLAN設定
!- Vlan10は一般用(DHCPリレー)
!- Vlan99はGUEST用
!-------------------------------------------------
interface Vlan10
 ip address 172.16.10.254 255.255.255.0
 ip helper-address 172.16.XXX.XXX
!
interface Vlan99
 ip address 172.16.99.254 255.255.255.0
!
ip default-gateway 172.16.254.1
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.254.1
!-------------------------------------------------
!- ACL設定
!- デフォルトゲートウェイへの通信のみPermit
!- その他通信は全てDeny
!-------------------------------------------------
ip access-list extended acl_GUEST
 permit ip 172.16.99.0 0.0.0.255 host 172.16.99.254
 deny   ip 172.16.99.0 0.0.0.255 172.16.0.0 0.0.255.255
 permit ip any any
!

以上です。

ゲストのPCを一時的にネットワークへ参加させる場合や、会議室等にゲスト用無線LANアクセスポイントを提供する場合に、このようなVLANを適用すれば社内ネットワークを守ることができます。

Why do not you register as a user and use Qiita more conveniently?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away