情シス運用記、第2回です。
今回は、前回の記事で紹介したケースの構築編となります。
まずはケース内容のおさらいです。
前回のおさらい
========ケース(1) 事務所開設に伴うネットワーク設計========
経緯
設立したばかりのA社は、テナントビルの1フロアを借り、事務所を開設することになった。
A社より以下の条件を盛り込み、かつ、将来の事業展開を考慮したネットワーク設計を行いたいと弊社に相談があった。
要件
- 社用PCは10台、有線LANのみを利用する。
- PCには自動でIPアドレスが割り当てられるよう設定する。
- セキュリティの観点から、社用PC以外は利用させない。
- 事業拡大時は、PC増台や社内システムが導入ができる。
次に、上記の要件を満たすための仕組み・設定を解説します。
技術的に必要な仕組み・設定
・NAPT・・・多対一のNAT(ネットワークアドレス変換)のことです。
複数のクライアントが、同時にインターネットする場合に適しています。
また、インターネットからクライアントPCへのアクセスを制限することができるため
セキュリティが向上します。
>要件①、④満たします。今回はルータに設定します。
・DHCP・・・複数のクライアントに対し、動的にIPアドレス等を割り当てる仕組みです。
IPアドレス設定の手間や、設定ミスがなくなります。
>要件②満たします。今回はルータにDHCPサーバ用設定、L3スイッチにクライアント側設定をします。
・ポートセキュリティ
・・・あらかじめ接続するクライアントのMACアドレスを登録しておくことで
不正なクライアントPCを利用させないようにできる設定です。
>要件③を満たします。今回はL3スイッチに設定します。
最後に、ルータ・L3スイッチの設定例をご紹介します。
ネットワーク図(例)
設定例
●ルータ(Cisco)
※ここではプール名として「POOL」、プールアドレスとして「150.1.1.1」を設定しています。
※WAN側のIPアドレスとして「100.1.1.1」を設定しています。
#NAPTの設定
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
!
interface serial 1/0
ip address 100.1.1.1 255.255.255.252
ip nat outside
!
ip nat pool POOL 150.1.1.1 150.1.1.1 netmask 255.255.255.0
ip nat inside source list 1 pool POOL overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
#DHCPサーバの設定
!
ip dhcp pool DHCP
ip dhcp excluded-address 192.168.1.1 192.168.1.2
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
!
●L3スイッチ(Cisco)
#DHCPとポートセキュリティの設定
!
interface FastEthernet0/2
ip helper-address 192.168.1.1
switchport port-security
switchport port-security maximum 10
switchport port-security mac-address AAAA.AAAA.AAAA
switchport port-security mac-address BBBB.BBBB.BBBB
--省略--
switchport port-security mac-address ZZZZ.ZZZZ.ZZZZ
!
--省略--
interface FastEthernet0/11
ip helper-address 192.168.1.1
switchport port-security
switchport port-security maximum 10
switchport port-security mac-address AAAA.AAAA.AAAA
switchport port-security mac-address BBBB.BBBB.BBBB
--省略--
switchport port-security mac-address ZZZZ.ZZZZ.ZZZZ
!
情シス運用記(1) の設計編の記事はこちら。
他の情シス運用記の記事はこちら。