• ベストアンサー

インターネット接続を共有しつつL2スイッチでLANを分割したい

先日勤務先で人員の移動があり、別拠点にいた部署と同じフロアで仕事をすることになりました。 移動してきた部署で使用している機器はこちらと似たような構成のため、 こちらのLANにぶら下がってもらう形で使用してもらうことになりました。 現状のネットワーク機器の構成は以下のようになっており、 うちの部署は末端のL2スイッチ(子L2スイッチ)の片方から20~30台ほどの端末とファイルサーバ用途のNASが接続されています。 (インターネット)--[ルータ(Cisco2801)]--[親L2スイッチ(Catalyst2960)]--[子L2スイッチ(Catalyst2960)×2]--[端末×20~30+1] 移動してきた部署はもう片方の子L2スイッチに接続してもらっているのですが、 異なる部署間のファイルが見えてしまうのはまずいとのことで、 LANを部署単位に分割して相互にアクセス不可とするよう要求されています。 具体的には以下のような条件を求められています。 ・LANを部署ごとに分割し、相互にアクセスさせないようにしたい。 ・インターネットへはどちらの部署からもアクセスできるようにしたい。 ・ルータは設定変更不可(別会社が管理とのこと)。 ・LANのネットワークセグメントは192.168.1.0/24のみ。 最初は各部署の端末が接続されている子L2スイッチのポートにそれぞれ別のVLANを設定し、 ルータ-親L2スイッチ間をトランク接続すれば良いかと思っていたのですが、 ルータの設定変更ができない(する権限がない)とのことで、 そのような設定が出来そうもなく、どうしたものかと困り果てています。 どうにかしてL2スイッチの設定変更のみで上記の要件を満たせる方法は無いでしょうか?ご教示くだされば幸いです。 どうかよろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • 774danger
  • ベストアンサー率53% (1010/1877)
回答No.1

ルータの設定をいじらずに今の機器で実現するのは無理でしょう 親L2スイッチを、 http://www.allied-telesis.co.jp/solution/vlan/kousei.html のようなマルチプルVLANを切れるスイッチに換えるしかないと思います これで、子L2スイッチ同士を通信させずに両方とも192.168.1.0/24のままCisco2801と通信させることは可能になります もしCisco2801の設定が変えられても192.168.1.0/24のまま実現するのは無理ですし (VLAN サブIFを192.168.1.0/25と192.168.1.128/25に分けて双方にアクセスリストで制限をかけるとかしないと無理です)

BT_ESCM
質問者

お礼

確かにこのマルチプルVLANを利用すればこちらの要件は完璧に満たせそうですね。 親L2スイッチをこの製品に置き換えることも検討してみたいと思います。 アドバイスありがとうございました。

その他の回答 (3)

  • celtis
  • ベストアンサー率70% (2332/3291)
回答No.4

ルータの設定が変更できないのなら、親L2スイッチとルータの間に自前のルータを入れるしか無さそうですね。新設のネットワーク機器を入れる手間(管理者の許可や予算や今後の管理)を考えたら、ルータの設定変更を認めてもらえるような気がしますが。

BT_ESCM
質問者

お礼

こちらでルータの設定変更ができるように交渉する余地はないかと上司に相談してみましたが、 責任分界点の話を持ち出されたので、恐らく管理権限をもらうのは無理だと思われます。 (権限変更がこちらでできるようになれば楽だったのですが…) ネットワーク構成の変更は必須のようなので、ルータを間に挟むか 親L2スイッチをマルチプルVLAN対応機器に入れ替えることを検討したいと思います。 アドバイスありがとうございました。

  • 774danger
  • ベストアンサー率53% (1010/1877)
回答No.3

いくらL2スイッチで802.1x認証を行ったところで、 ・認証後の接続先VLANが一緒だったら部署ごとの分割が不可(相互アクセス可になります) ・接続先VLANを分けてしまったら192.168.1.0/24のみのNW構成が取れない上にルータの設定変更が必要 になりますね MACアドレスで静的マッピングするにしても、属するVLANを分けないと相互接続できてしまうので結局上と同じことになります

BT_ESCM
質問者

お礼

機能についての補足ありがとうございます。 これらの機能は本来別の用途で使うものなのですね。勉強になりました。 残念ながら今回の問題の解決策にはならなさそうですが、後学のためにしっかり理解しておきたいと思います。

回答No.2

データリンク層でのセキュリティ対策と言ったら、「ポートセキュリティ」とか「IEEE802.1x」といった所でしょうか? 「MACアドレスとポートセキュリティ」 http://itpro.nikkeibp.co.jp/article/COLUMN/20060410/234909/?ST=start&P=3 「IEEE802.1X認証の基本設定」 http://www.ccstudy.org/study/switching/8021x/8021x.html

参考URL:
http://fenics.fujitsu.com/products/cisco_sh/cat2960/?from=menuItem
BT_ESCM
質問者

お礼

L2スイッチといえば、VLANでネットワークを分けられるぐらいの 認識しか無かったのですが、色々なセキュリティ対策があるのですね。 これを機にもう少しL2スイッチの機能について勉強してみたいと思います。 ありがとうございました。