QA@IT

無線ネットワーク時に社内用、ゲスト用にセグメントを分ける場合について

9269 PV

初めて投稿させていただきます。

現在、とあるお客様のところで以下の構成でネットワークを構築しようかと考えております。

--------
|インターネット|
--------
    ↓

  ----
  |ルータ|
  ----
    
    ↓

--------
|VLANスイッチ |
--------

    ↓

 -----
 |無線 AP| ※2台 ゲスト用
 -----

 -----
 |無線 AP| ※1台 社内用
 -----

その中で、現在機器の方はこのように選定しようかと考えております。
・BS-GS2016P バッファロー レイヤー2 Giga PoE スマートスイッチ 16ポート 1台
・WHG-NAPG/AL アイ・オー・データ機器 IEEE802.11n/a/b/g対応 SOHO向け無線LANアクセスポイント 機能限定版 3台

今回やりたいのは、セグメントを分けて、ゲスト用から社内には入れないようにしたいこと、そして
どちらもインターネットに抜けられるようにしたいという2点です。

ルータがまた確認が取れていないのですが、おそらくNTTのレンタル品であり、機器的にも古い可能性のあるところから
IEEE802.1qが対応していない恐れがあるため、VLANで分けるのが難しいのではないかと思っているのですが、
他に何かセグメントを分けることができ、かつどちらのセグメントでもインターネットに抜けられる方法はありますでしょうか。

それとも、ここはL3スイッチの提案をすべきなのでしょうか。

ご教授願います。

  • とりあえず、ゲスト用セグメントと社内用セグメントのIPアドレスを書いてください。言い換えると、L2で分けるのかL3で分けるのかをはっきりしてください。 -

回答

セグメント分割はL1、L2までの話として、基本的にやりたいことはL1、L2までで出来る前提で考えます。あと僕はBS-GS20Pシリーズの実機を触ったことはないので、Webで情報を仕入れた範囲内で書きます。

IEEE802.1qが対応していない恐れがあるため、VLANで分けるのが難しいのではないかと思っているのですが、(...)

タグVLANはそうですが、ポートVLANでルータポートに複数VLANをオーバラップするように割り当てられないものかという観点で考えると、BS-GS2016PのマルチプルVLANが使えそうですね。第2章 設定事例の「例3:複数のVLANグループから共通のポートにアクセスする(マルチプルVLAN)」を参照。

それとも、ここはL3スイッチの提案をすべきなのでしょうか。

基本的にはL2スイッチでできるものとして、いざという時はBS-GS2016PにはスタティックIPルーティングの機能があるようなので、ルーティング-レイヤ3モードを使って逃げる手もありそうですね。なるべくL2だけにしたほうがシンプルだとは思いますが...

ちなみにACLも使えるようですので、VLAN間をルーティングするならACLを切る形でしょうか。

付記
説明不足だったかもしれないので、ちょっとまとめておきます。まず既存のルータはInternet接続専用の簡易的(?)なものであり、LAN側に複数I/Fを持ってルーティングしたり、LAN側でパケットフィルタリングしたりすることは出来ないことがわかったので、改めてそれを前提にします。その前提のもとで、考えられる解決方法はL2スイッチを使う場合とL3スイッチを使う場合があります。

  • L2スイッチを使う場合は、IPサブネットは1個にしておき(例えば192.168.1.0/24など)、セグメント分割のみ行ないます。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、uplinkのルータはInternetに出て行くために両方のVLANで共有します。IPサブネットは1個ですから、デフォルトゲートウェイも共通です(例えば192.168.1.1など)。ルータを共有するために、uplinkポートは「社内」と「ゲスト」の両VLANをオーバラップさせる必要がありますので、マルチプルVLANを使用します。この場合、VLANによってすでに「社内」と「ゲスト」は隔離されているので、パケットフィルタリングは不要です。

  • L3スイッチを使う場合は、IPサブネットは3個に分けます。逆にいうと、セグメント分割のみでなく、IP層のサブネット分割も行ないたい場合はL3スイッチか、LAN用のルータが必要です。「VLAN=仮想セグメント」であり、「社内」と「ゲスト」でVLANを分けますが、IPサブネットもVLAN毎に分けます(例えば「社内」が192.168.2.0/24で「ゲスト」が192.168.3.0/24など)。また外に出ていくためにもう1個「外向け」(例えば192.168.1.0/24)を持っておき、ルータのLAN側I/Fをアタッチします。「社内」および「ゲスト」からは「外向け」を経由してInternetに出て行きます。そのためVLAN間ルーティングを行ないます。ところがこれだと「社内」と「ゲスト」間も不必要につながってしまうので、パケットフィルタリングを行なって、通信を遮断します。

  • いずれの場合も、uplinkのルータはLAN側I/Fが1個あればよく、VLANを認識させる必要もないので、802.1Qも不要です。これは既存のルータがそのまま使えることを意味します。

  • L2スイッチをL3モードで使うのは、いざという時の回避策として考えただけで、一般的利用法ではないので、なるべくやりたくないです。L3の機能が必要だとはじめから明らかであれば、L3スイッチかルータの使用を推奨します。

  • セグメントの意味ですが、私はブロードキャストドメインの意味で使っています。たぶん人によって違う意味になっています。私の用法で意味が通じるといいのですが、わかりにくかったらごめんなさい。

  • 本筋とは関係ありませんが、L3スイッチを使う場合は、ゲストにIPアドレスを払い出すためのDHCPサーバのことも考慮したほうがよいと思います。何というか、ちょっと気になります。L2の場合は、既存のものを流用できるイメージです。

編集 履歴 (2)
  • ご回答ありがとうございます。マルチプルVLANが使えそうとのことですが、この設定事例見る限り、今回サーバなどで共有化することはないので、複数セグメントをポートにあてるというのはなさそうですが、これならどちらからでも抜けられるし、互いに別VLANにアクセスすることもないですよね? -
  • はい。IPサブネットは分けずに192.168.1.0/24などにしておきます。ルータのLAN側I/Fは例えば192.168.1.1だとします。VLAN1(社内)、VLAN2(ゲスト)があるとすると、ルータはVLAN1とVLAN2で共有させます。デフォルトゲートウェイは192.168.1.1だけで済みます。VLAN1、VLAN2間の疎通は、明示的にルーティングしないかぎりは、ありません。 -
  • デフォルトゲートウェイはルータLANインターフェースのところは了解しました。ちなみに社内とゲストにわける場合、このような感じに設定、ネットワークを分ける形になるでしょうか。

    社内:192.168.1.X/24
    ゲスト:172.16.Y.Y/24
    -
  • 社内とゲストでIPサブネットを分けるのは全然問題ないのですが、デフォルトゲートウェイが192.168.1.1で、VLAN間は疎通無しという前提のもと、これだと社内からはInternetに出られて、ゲストはInternetに出られないので、ゲスト側は何らかの対処が必要ですね。その辺はルータ次第ですし、ルータがだめなら最悪はBS-GS2016Pでルーティングではないかと。
    -
  • あとBS-GS2016Pでルーティングする場合、ゲストが社内を通ってInternetに出て行くのは不可だと思いますので、たぶん3分割になるような気がします。
    外向け: 192.168.1.X/24
    ゲスト: 172.16.Y.Y/24
    社内: 10.Z.Z.Z/24
    -
  • 度々のご回答ありがとうございます。なるほど、3分割ですか・・・。ちなみに本日お客様のところにいったところWeb Caster V110を使用しており、IEEE802.1Qが対応していませんでした。 -
  • それなら、ルータは使えないので、サブネット分割する場合は、L3スイッチ(BS-G3024MR)にしたほうがいいですね。セグメント分割のみなら(1個のサブネットなら)、L2スイッチ(BS-GS2016P)のままで、マルチプルVLANを使えばよいでしょうね。
    -

@stripeさんの仰る通りで、パケットフィルタで互いのセグメント間のパケットを破棄すれば、@kimurockさんのご質問は達成できるかと。
また「セグメントを分ける」という点も、@kimurockさんの思案されているように192.168.XXX.XXX/24、172.16.YYY.YYY/24とネットワークを分割すれば達成されているのでは?と思います。

もちろん、VLANで区切るのも管理の上では有効な手立てです。またSWにてVLANを行うことで、ブロードキャストドメインを分割したり、セグメント増にも柔軟に対応できますし。ご質問の通り、ルータが対応していないとだめですが・・・

もしルータのLANポートに余りがあるのなら、そこにゲスト用APを繋ぎ、物理的に分けてからルータで@stripeさんのご回答のようにパケットフィルタを書いてみてはどうでしょうか。
そうすれば物理的な事故(L2SWのメンテ中に間違えてLANを抜くとか)も防げますし、お金もあまりかかりません。ゲスト用のNWを拡張する要件があれば、そちらにL2SWを追加してもいいですし。

L3SWについては、買って頂けるなら今後を見据えて導入して頂くのもアリだと思います。
しかし、質問に記載されているように3APしか存在しない構成であれば、オーバーな気がします。

---編集追記---
コメントにも記載していますが、別のネットワーク(192.168.XXX.XXX/24、172.16.YYY.YYY/24とか)同士であればお互いのネットワークに到達できるようにルーティングされない限り、互いに通信ができないので、@kimurockさんの懸念点である「無線を接続しても社内に入る恐れ」は払拭されると思います。

そして編集前の書き方が非常に悪く、混乱させてしまって申し訳なかったのですが、「ARPスプーフィング」などの話はまったくの余談で、ご質問の内容以外に、そういったセキュリティについても注意してもらえたらなという意図でした。
(文脈がひどかったですね。すみません)

編集 履歴 (1)
  • ご回答ありがとうございます。セグメントを分けるというのは、パケットフィルタでできるものなのでしょうか・・・?それとも別の手法でということでしょうか?ARPスプーフィングのところで、ルータが異なるネットワーク同士をルーティングしない限りとありますが、これはどういうことでしょうか?質問ばかりで申し訳ないです。 -
  • @kimurockさんの仰る「セグメントを分ける」というのは、どういうことを指すのでしょう?私は192.168.XXX.XXX/24、172.16.YYY.YYY/24とネットワークを分けることを指しており、これで「セグメントを分ける」とやらは解決していると思っています。これだけでゲストと社内はルーティングされない限り通信はとれませんよね? -
  • 混乱させてしまうような回答を書いてしまいましたが、私の意図としては、前述の対応で「セグメント分け」を終えて、さらにVLANっぽくするために「パケットフィルタ」を書いて、互いのネットワーク間でARPやらの通信も止めてしまおうという回答でした。 -
  • 「パケットフィルタ」で互いの通信を制限、止めることはわかりました。「セグメントを分ける」の意味は、提示いただいた内容であっています。ただ、「分ける」手法が今、悩んでいる状態なのです・・・。 -
  • 「悩み」については何とも言えませんが、192.168.XXX.XXX/24、172.16.YYY.YYY/24と別ネットワークにしてしまうのに問題があるのであれば、手っ取り早く想定されているようにVLANができる環境にしてしまってもよいと思いますよ。 -
  • ごめんなさい、もしかしたら伝え方が間違っていますでしょうか・・・。手っ取り早くとおっしゃってますが、そこまで大きく変えたいというお客様でもないのです。ただ、同一ネットワークでAP構築して、外部からあっさり社内情報を盗聴されるのも良くないという話になり、分離したほうがいいという話になったのです。 -
  • かといって、新たに光回線を引き込むというところまでではなく、今現状のところで使いたいというお考えなのですが、そのところでIEEE802.1Qを使わない状態でわける方法が見当たらなくて、ここに書かせていただいています。 -
  • いろいろ情報不足、知識不足なところがあり、申し訳ございません。宜しくお願いします。 -
  • ですので私はルータ側に空のLANが2つあったらゲスト用の口、社内用の口とネットワークを物理的に切ることができたらいいなと回答させて頂きました。それが難しいようであれば想定されている通りに「BS-GS2016P」を導入してしまった方が後々のことを考えてもいいかもしれません、と別回しています。 -
  • 私の回答は「物理的に切り分け」るもので、無理そうだったら@blunder3さんのご回答のようにVLAN側で対応する私には思いつきませんでした(過去に似たような環境を構築していましたが、大体VLANか物理的に分けてましたので)。 -
  • 度々のご回答ありがとうございます。
    ちなみに本日うかがってみたところ、ルータはWeb Caster V110 でLANポートは4/4使用されている状態です。となると、やはり冒頭の方で構成中のL2SWを入れたほうが無難でしょうか?

    -
  • ルータはもうポートが埋まっていて、IEEE802.1Qも対応していないとなると、私の回答は無視して頂いて、@blunder3さんや@stripeさんの回答を参照して頂いた方がよいかと思います。私は思案されているl2SWをしたことがないため、これ以上は何とも… -
  • また、これはまったくの余談にはなるのですが、コメント中でも述べましたが、過去に似たような環境を構築する際に、同社製品の「BS-G3024MR」を導入してもらって、さっくりと終わらせてしまいました。 -
  • 了解しました。ちょっとそちらのスイッチを使って検討してみたいと思います。ありがとうございます。 -
  • あ、ごめんなさい。よくよくみたら「BS-G3024MR」ってレイヤー3スイッチですよね?これは、今回提案している機器では、レイヤー3モードにすればうまくいきそうな認識で大丈夫でしょうか。 -
  • ちょっと製品ぺージを見てみましたが、L2SWのレイヤー3モードというのが何なのかいまいち分からないです…でも、VLANでゲストと社内を分けて、互いは通信をとれないけれどインターネットは行ける、というのはできそうな気はします。(触ったことがないので、製品ページの感想として) -
  • まったく関係がないのですが、今ルータのポートが全て埋まっているのに、SWを追加するポートはあるんですか? -

VLANは今回あまり関係ありません。(使いたければ使っても問題ありませんが。)
問題はルーターの方です。
ルーターで、ゲスト用に192.168.1.0/24、社内用に172.16.1.0/24のようにセグメントを分けて、ゲスト用のセグメントと社内セグメント間でパケットが疎通しないように、パケットフィルターを設定すればいいと思います。
ルーターにパケットフィルター機能があるかどうか確認してください。

編集 履歴 (0)
  • stripe様
    ご回答ありがとうございます。

    パケットフィルター機能を確認してくださいとのことですが、こちらはセグメントを分けた上でゲスト用が社内用にアクセスしないというのは有効だとは思うのですが、パケットフィルタだけでは難しいのではないかと考えているのですが、いかがでしょうか?
    パケットフィルタ以外で、確認事項もしくは代替の手法があればご教授願います。
    -
  • なぜ、パケットフィルタだけでは難しいと思うのですか? -
  • パケットフィルタは、基本的にアクセス制御のみであって、セグメントを分ける機能はないとおもったのですが・・・。 -
  • ゲスト用のLANポートに対して、パケットフィルタで「dstアドレス=172.16.1.0/24のパケットを破棄する」というルール設定すれば、目的を達成できるのでは? -
  • あ、いや・・・、うーんと、説明のしかたが悪かったかもしれませんが、現在1つのセグメントで利用している状態で、このまま無線を接続しても社内に入る恐れがあるため、セグメントをわけたいということなのです・・・。上にある図は、あくまで提案しようと思っている構成図です。 -
  • つまり、同じアドレス帯のまま、分けるっていう意味? -
  • ちょっと混乱しているんですが、パケットフィルタってアクセスできるパケットを限定したりする機能ということですよね?それだけで、できるのかというところが正直未だに疑問なのです。また、同じアドレス帯というのも自分のなかでうまく飲み込めてないのですが、現状使っている社内回線で
    192.168.X.X/24のアドレスとはまた別のセグメントをIEEE802.1Qが対応していない場合でも作れないかと悩んでいる
    -
  • のですが、これはパケットフィルタでできることなのでしょうか。ただ、もしかしたらルータがまだわからないのでIEEE802.1Qに全く対応していないわけではないですが・・・。 -
  • 192.168.x.x/24のアドレスとは別のセグメントを作るのはルータの機能です。VLAN(IEEE802.1Q)は関係ありません。いま問題としているのは、レイヤー2ではなくてレイヤー3なのでは? -
  • もしかして、セグメント=VLANとか思っているんですか? -
ウォッチ

この質問への回答やコメントをメールでお知らせします。