- ベストアンサー
L3スイッチでのVLAN間のACLの構成方法について教えてください。
社内のL3スイッチのACLについて教えてください。 VLAN1からVLAN2にはアクセス可能だけれど、VLAN2からVLAN1へのアクセスは拒否 というような設定も書けるのでしょうか? VLAN1→VLAN2 ○ VLAN2→VLAN1 ○ Ciscoの3560以上を検討しています。 どうぞご教授お願い致します。
- Rinrin-chami
- お礼率85% (350/411)
- ネットワーク
- 回答数1
- ありがとう数4
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
関連するQ&A
- L3スイッチとL2スイッチのVLANについて
以下、L3スイッチとL2スイッチのVLANについてご存知の方、教えてください。 少し長文ですが、困っているのでよろしくお願いします。 質問の部分は☆印のところです。 L3スイッチ(Catalyst3560)にVLANを3つ作成し、各VLAN間通信を許可する。 ・VLAN1:192.168.10.0/24 (1port~8portを使用) ・VLAN2:192.168.20.0/24 (9port~16portを使用) ・VLAN3:192.168.30.0/24 (17port~24portを使用) L2スイッチ(Catalyst2960)にVLANを3つ作成し、各VLANの1ポートは、L3のVLANに接続する。 ・VLAN1:1port~8portを使用 →L3の1ポート目に接続 ・VLAN2:9port~16portを使用 →L3の9ポート目に接続 ・VLAN3:17port~24portを使用 →L3の17ポート目に接続 ネットワークアドレスが異なる各PC群を、L2に接続し、全PC間通信を可能とする。 →最終目標 質問の背景としては、もともとPCをL3に直接接続して、全PC間の通信を行う予定が、 PCが激増し、L2を介して通信することとなりました。 実際、L2スイッチは48ポートです。 L3スイッチに対する、VLANの設定、VLAN間通信の設定はできています。 質問事項 ☆L3スイッチの設定 おそらく、現在のVLANの設定はポートVLANだと思われます。 L2スイッチとVLAN間同士で通信する場合、タグVLANという考え方が必要になるのでしょうか。 この構成におけるL3スイッチに必要な設定を教えてください。 現在行っている設定は、以下のサイトを参考に設定しました。 http://www.infraexpert.com/study/vlan1.1.htm ☆L2スイッチ VLANを作成するにあたって、L3スイッチとVLAN-IDやVLAN-NAMEを合わせる必要があるのでしょうか。 また、L2スイッチにはIPアドレスを1つしか設定できないという認識で、且つL2スイッチにIPアドレスの 設定は不要という認識です。 この構成の場合、特にIPアドレスの設定は必要ないでしょうか。
- ベストアンサー
- ネットワーク
- L3スイッチの各VLANのPCが外部に出れない
小さいオフィスがあり、L2スイッチがあり、 1つのセグメントで運用しています。(VLAN使っているかは定かではありませんが、 ネットワークは、192.168.10.0/24 このネットワークのゲートウェイ(外部に出るルーター)は 192.168.10.254 になっております。 接続図 インターネットから --> 社内出口ルーター192.168.10.254 --> 社内DELL L2スイッチ -> (今回導入予定のL3スイッチ) 一本ケーブルが来ており、これを ノンインテリジェントのS2スイッチを繋ぐと、その配下にあるポートには、 ネットワークの接続が可能となります。 今回は、 cisco WS-C3550-24 スイッチを一台準備し、これを社内LANに接続したいと考えております。 (上位スイッチ、または、出口ルーターについては、設定をいじれません) このスイッチ上に、vlan を3つ作り、 それぞれ、 Vlan11 192.168.1.0 /24 Vlan2 192.168.2.0 / 24 Vlan10 192.168.10.0 /24 以下 show ip route ********************* Gateway of last resort is 192.168.10.254 to network 0.0.0.0 C 192.168.10.0/24 is directly connected, Vlan10 C 192.168.1.0/24 is directly connected, Vlan11 C 192.168.2.0/24 is directly connected, Vlan2 S* 0.0.0.0/0 [1/0] via 192.168.10.254 ***** xxxxx # VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Gi0/1, Gi0/2 2 vlan_2 active Fa0/6, Fa0/7, Fa0/8 3 vlan_3 active Fa0/9, Fa0/10 10 VLAN0010 active Fa0/23, Fa0/24 11 vlan_1 active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5 ***************: *show configration ip routing interface FastEthernet0/1 switchport access vlan 11 switchport mode access ! interface FastEthernet0/2 switchport access vlan 11 switchport mode access ! interface FastEthernet0/3 switchport access vlan 11 switchport mode access ! interface FastEthernet0/4 switchport access vlan 11 switchport mode access ! interface FastEthernet0/5 switchport access vlan 11 switchport mode access interface FastEthernet0/6 switchport access vlan 2 switchport mode access ! interface FastEthernet0/7 switchport access vlan 2 switchport mode access ! interface FastEthernet0/8 switchport access vlan 2 switchport mode access interface FastEthernet0/24 switchport access vlan 10 switchport mode access interface Vlan10 ip address 192.168.10.195 255.255.255.0 interface Vlan11 ip address 192.168.1.254 255.255.255.0 interface Vlan2 ip address 192.168.2.254 255.255.255.0 ip route 0.0.0.0 0.0.0.0 192.168.10.254 ●やりたい事 社内のケーブルをこのスイッチ ポート24に指します。 vlan 2 の下にFa0/6, Fa0/7, Fa0/8ポートから、3台のPCを接続しています。 これらのPCのゲートウェイは、192.168.2.254 としています。 vlan 3 の下にはFa0/9, Fa0/10 ポートを経由してPCを接続しています これらのPC のゲートウェイは、192.168.3.254 としています。 これらのPCが新たに、設置されたこのL3スイッチのVLANから、外部の インターネットに接続できるようにすることです。 L3スイッチは、そのポート24を経由して、外部に接続できるのではないか と考えています。 ********************* ●困っている事 vlan 2 または、vlan 3 配下のPCから、それぞれのpc に対してping は可能である vlan 2 または、vlan 3 配下のPCから、外部へのインターネット接続が不可である。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ シスコスイッチに、telnet で入り、そこからは、192.168.10.254 等、192.168.10.0/24 のネットワークに疎通可能である。 また、外部へのping も可能である。 ルーティングテーブルを見ると、192.168.10.0のネットワークは、接続されている と定義されていますが、 C 192.168.10.0/24 is directly connected, Vlan10 これではだめなのでしょうか? 192.168.10.254 の行き方は、cisco WS-C3550-24が 知っていると思うのですが。。。 なぜ、vlan2 または、vlan 1 配下のPCから192.168.10.254 にping が飛ばないのでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- L3スイッチでVLAN間のフィルタをかける
アライドテレシスのL3スイッチを使用し、以下3つのVLANを使用します。 VLAN 10 192.168.10.0/24 VLAN 20 192.168.20.0/24 VLAN 30 192.168.30.0/24 とりあえず3つに分ける事は出来たのですが、ここに以下のフィルタをかけたいと思っています。 VLAN 10 と VLAN 20 は相互アクセス不可 VLAN 10 と VLAN 30 は相互アクセス可 VLAN 20 と VLAN 30 は相互アクセス可 このスイッチの下には同社 L2 スイッチがあり、本機とはタグVLANで接続しています。 ですからフィルタはポート単位では無く、VLAN単位でかける物と思うのですが、具体的にはどのようなコマンドを使用すれば良いでしょうか。 access-list を作成して、各VLANに適用するのだと思いますが、どうもうまくいきませんでした。 使用するコマンドや、考え方をご教授いただければと思います。 よろしくお願いします。
- ベストアンサー
- VPN
- L3スイッチとL2スイッチを使ったタグVLANについて
L3スイッチとL2スイッチを使ったタグVLANについて教えてください。 例) L3スイッチの1番ポートをトランクに設定 L2スイッチ1番ポート->トランク 2番ポート->VLAN 1 3番ポート->VLAN 2 4番ポート->VLAN 3 同様のL2スイッチが3台 各L2スイッチの1番ポートをハブ経由でL3スイッチの1番ポートに接続 L3スイッチの2番ポートをルータに接続 ルータからWANの出入りが可能 というネットワーク構成にしたときにしかるべきスイッチの設定が出来たとして 1.各L2スイッチに接続したPCから他のL2スイッチの同じVLANのPCと通信できるか 2.各L2スイッチに接続したPCからインターネットに出ていけるか 3.異なるVLANのPCに通信できない設定がうまくいくか が知りたいです。 趣旨としてはL3スイッチのトランクのポートが1つで複数のL2スイッチをつなげてVLANがうまくいくかということです。 よろしくお願いします。
- 締切済み
- ネットワーク
- L2スイッチの管理VLANについて
L3スイッチで、異なるVLAN同士でIPルーティングさせる時は、SVIを設定すると思うのですが、L2スイッチの管理VLANにIPアドレスを当てる時もこれは「SVI」ということになるのでしょうか?
- ベストアンサー
- その他(インターネット接続・通信)
- 大量L2スイッチにVLAN追加した際の確認方法
L2スイッチが何十台もあるネットワークにVLANを追加する ことになりました。 設定変更は遠隔で出来るのですが、追加したVLANが正しく 機能するかの確認(立証)って皆さんどうしてますか? スイッチ間は全て1Qトランク接続、 新VLANのアクセスポートを用意しないスイッチも あります。
- ベストアンサー
- ネットワーク
- 下記のようにL2スイッチとL3スイッチを接続して、例えば、VLAN1,
下記のようにL2スイッチとL3スイッチを接続して、例えば、VLAN1,2,3を作ってそれぞれルーティング可能にするとします。 L2スイッチ -- L3スイッチ -- L2スイッチ その場合、IPアドレスをあてるインタフェースとしては、通常、 ・L2スイッチの管理用IPアドレス ・L3スイッチの管理用IPアドレス ・VLAN1,2,3それぞれのインタフェース用のIPアドレス の6つになるのでしょうか?
- ベストアンサー
- その他([技術者向] コンピューター)
- L3スイッチ1台でVLAN構築
L3スイッチ1台で3つの異なるネットワークを相互間通信できるようにしたいと考えています。 イメージとしては VLAN(1) ⇔ VLAN(2) OK VLAN(2) ⇔ VLAN(3) OK VLAN(1) ⇔ VLAN(3) NG というようにできればと考えています。 そもそもL3スイッチ1台で実現できるのかもわかっていません。 ほぼネットワークに携わったことが無いので教えていただけると非常に助かります。
- 締切済み
- ネットワーク
- Allied TelesisのスイッチとVLAN
Allied Telesisのスイッチについて質問です。 先日、SH510-28GTXという機種を購入して使用しているのですが、このスイッチはL3SWなのでしょうか? L3SWだと思って購入したのですが、L2+など呼ばれているような掲示板を見かけたりしてどれが正しいのかわからない状況です。 このSWを用いて、BBルータとL3SWを接続し、VLAN10(192.168.10.0/24)とVLAN20(192.168.20.0/24)の二つのVLANに接続される機器を「ホスト→L3SW→BBルータ」の順でインターネットアクセスさせたいと考えています。L3SWにVLANの設定をいれただけでは上手く行きませんでした。BBルータにもなにか設定しないといけないのでしょうか。
- ベストアンサー
- ルーター・ネットワーク機器
- vLANの設定について
L2スイッチでタグVLANを作成する場合、 VLAM10 VLAN20は別セグメントという扱いになると思いますが VLAN10→VLAN20へ通信する場合、上位スイッチを経由するかと思いますが 上位機器(L3スイッチやルーターなど)で、特別設定をしなくても、問題なく通信できるのでしょうか。 CISCO製品のタグVLAN等で行う場合、上位機器でポートとタグVLANの紐付け設定が必要かと思いますが、上位機器で設定不要な方法もあるという話を聞きました。 いまいちイメージがつかないのですが、もし知っている方いらっしゃいましたら どのような経路で通信が解決されるか教えてもらえると助かります。
- 締切済み
- ネットワーク
お礼
参考になりました。 ありがとうございました!