検証環境構築(L3スイッチ+ルータ(セキュリティ製品)+VLAN)
はじめに
セキュリティ製品の検証環境構築の簡単なメモ.
L3スイッチ(Cisco) + ルータ(セキュリティ製品を想定)でVLAN環境を作る.
今回はPacket Tracerを用いた.
www.netacad.com
検証環境構築
パターン1
L3スイッチでVLANを分けて, トランクポートで接続するパターン
スイッチ
- Switch>ena
- Switch#conf t
// Create VLAN - Switch(config)#vlan 10
- Switch(config-vlan)#exit
- Switch(config)#vlan 20
- Switch(config-vlan)#exit
// Assign VLAN - Switch(config)#interface range fastEthernet 0/1-10
- Switch(config-if-range)#switchport mode access
- Switch(config-if-range)#switchport access vlan 10
- Switch(config-if-range)#exit
- Switch(config)#interface range fastEthernet 0/11-20
- Switch(config-if-range)#switchport mode access
- Switch(config-if-range)#switchport access vlan 20
- Switch(config-if-range)#exit
// 0/24 → trunk port - Switch(config)#int fastEthernet 0/24
- Switch(config-if)#switchport mode trunk
ルータ
- Router>enable
- Router#conf t
- Router(config)#interface fastEthernet 0/0.1
- Router(config-subif)#encapsulation dot1Q 10
- Router(config-subif)#ip address 192.168.10.1 255.255.255.0
- Router(config)#interface fastEthernet 0/0.2
- Router(config-subif)#encapsulation dot1Q 20
- Router(config-subif)#ip address 192.168.20.1 255.255.255.0
- Router(config-subif)#exit
- Router(config)#interface fastEthernet 0/0
- Router(config-if)#no shutdown
疎通確認
C:\>ipconfig /all
FastEthernet0 Connection:(default port)
Connection-specific DNS Suffix..:
Physical Address................: 00D0.BC33.622B
Link-local IPv6 Address.........: FE80::2D0:BCFF:FE33:622B
IP Address......................: 192.168.10.101
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.10.1
DNS Servers.....................: 0.0.0.0
DHCP Servers....................: 0.0.0.0
DHCPv6 Client DUID..............: 00-01-00-01-ED-E8-A9-A3-00-D0-BC-33-62-2B
Bluetooth Connection:
Connection-specific DNS Suffix..:
Physical Address................: 0010.1163.B814
Link-local IPv6 Address.........: ::
IP Address......................: 0.0.0.0
Subnet Mask.....................: 0.0.0.0
Default Gateway.................: 0.0.0.0
DNS Servers.....................: 0.0.0.0
DHCP Servers....................: 0.0.0.0
DHCPv6 Client DUID..............: 00-01-00-01-ED-E8-A9-A3-00-D0-BC-33-62-2B
C:\>ping 192.168.10.102
Pinging 192.168.10.102 with 32 bytes of data:
Reply from 192.168.10.102: bytes=32 time=1ms TTL=128
Reply from 192.168.10.102: bytes=32 time<1ms TTL=128
Reply from 192.168.10.102: bytes=32 time=11ms TTL=128
Reply from 192.168.10.102: bytes=32 time=3ms TTL=128
Ping statistics for 192.168.10.102:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 11ms, Average = 3ms
パターン2
いろいろあってトランクポートを用いない場合()
スイッチ
- enable
- conf t
// Create VLAN - Switch(config)#vlan 10
- Switch(config-vlan)#exit
- Switch(config)#vlan 20
- Switch(config-vlan)#exit
// Assign VLAN - Switch(config)#interface range fastEthernet 0/1-10
- Switch(config-if-range)#switchport mode access
- Switch(config-if-range)#switchport access vlan 10
- Switch(config-if-range)#exit
- Switch(config)#interface range fastEthernet 0/11-20
- Switch(config-if-range)#switchport mode access
- Switch(config-if-range)#switchport access vlan 20
- Switch(config-if-range)#exit
// 0/23, 0/24 → Access port - Switch(config)#interface fastEthernet 0/23
- Switch(config-if)#switchport mode access
- Switch(config-if)#switchport access vlan 10
- Switch(config-if)#exit
- Switch(config)#interface fastEthernet 0/24
- Switch(config-if)#switchport mode access
- Switch(config-if)#switchport access vlan 20
- Switch(config-if)#exit
ルータ
- Router>ena
- Router#conf t
- Router(config)#interface fastEthernet 0/0
- Router(config-if)#ip address 192.168.10.1 255.255.255.0
- Router(config-if)#no shutdown
- Router(config-if)#exit
- Router(config)#interface fastEthernet 0/1
- Router(config-if)#ip address 192.168.20.1 255.255.255.0
- Router(config-if)#no shutdown
- Router(config-if)#exit
おまけ
VLAN単位でポートミラーリングを行いたい場合.
- Switch>ena
- Switch#conf t
- Switch(config)#monitor session 1 destination interface fastEthernet 0/22
所感
今回はルータ側の処理も記述したが, 本来はセキュリティ製品側で設定する.
限られた資源で環境構築するときに:)
