• 検索結果がありません。

アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール"

Copied!
12
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 12 ページ )

全文

(1)

信頼性・可用性の高いネットワークを構築したい

信頼性・可用性の高いネットワークを構築したい

スパニングツリーを使わずに

スパニングツリーを使わずに

Layer2

Layer2

の冗長をしたい

の冗長をしたい

端末やネットワーク間の通信を制御したい

端末やネットワーク間の通信を制御したい

概要

概要

VCSによるネットワークの冗

長とアクセスリスト(ACL)の

併用構成です。

ネットワークを構築する際、

セキュリティ面からも通信の

制御はかかせません。営業部

のネットワークから、開発部

のサーバーにはアクセスさせ

ない、というような情報漏洩

対策の一環としての通信制御

を行うことが一般的です。

本例では、コアスイッチを

SBx908 2台のVCSを構成して

冗長性を確保しています。さ

らに、ディストリビューショ

ンスイッチとVCSグループを

接続するリンクはリンクアグ

リゲーショングループとし、

複数の筐体にまたがるリンク

アグリゲーショングループ上

でアクセスリストによる通信

制御を行っています。

(2)

SBx908_1 SBx908_2 x600-24Ts_1 9924T/4S

VLAN 30

P VLAN10用サーバー 10.0.0.251/24 VLAN20用サーバー10.0.0.252/24 x600-24Ts_2 SBx908-VCS

VLAN 10 VLAN 20

VLAN 10 VLAN 20

DNS/Webサーバー 10.0.0.253/24

23

ACLによる通信制御を行います。 基本ルールはIP電話間の通信は全 て許可、同一VLAN内のPC端末間 の通信は全て許可、それ以外は全 て破棄、としています。 ACLの設定内容詳細は次ページの 一覧表と設定サンプルページをご 参照下さい。 コアスイッチには拡張性の高い SBx908を2台使用したVCSを採 用、可用性と拡張性を確保しま す。

1.1.12

1.1.3

1.1.1

2.1.12

2.1.3

2.1.1

24

1.0.2

1.0.1

1.0.1

1.0.2

クライアントのIPアドレスやデ フォルトゲートウェイはVCSグ ループに設定されているDHCP サーバ機能によって自動的に割 り当てられます。

(3)

AlliedWare Plusのアクセスリストには幾つかの種類がありますが、スイッチを経由するパケットの許可/破棄

を定める場合は「ハードウェアアクセスリスト」を使用します。このハードウェアアクセスリストには「暗黙

の破棄ルール」はありませんので、設定されているアクセスリストに該当しないパケットは全て通常通り転送

されます。そのため、許可したいパケットについて全てアクセスリストを作成し、それ以外は全て破棄、とい

う動作にされる場合は許可するパケットについてのルール以外に「全て破棄」というルールを作成する必要が

あります。設定内容によっては破棄するパケットについてのルールのみを作成することで「設定されている全

てのエントリに該当しないパケットは全て許可」という動作をさせることも可能です。設定したい内容を事前

に検討し、どちらのパターンで設定を行うかを決定して下さい。本例では「全て破棄」というルールを明示す

る方法を使用し、許可するパケットは以下の表のとおりに設定しています。

表1. アクセスリスト設定内容一覧

ACL番号 送信元IP 送信先IP プロトコル L4ヘッダポート番号 ACLアクション 全て 全て 全て 全て 破棄 VLAN10-電話 VLAN20-電話 UDP 5004 転送

VLAN20-電話 VLAN10-電話 UDP 5004 転送

VLAN10-端末 VLAN10 Server TCP FTP (20-21) 転送

VLAN10-端末 VLAN20 Server TCP FTP (20-21) 転送

VLAN10-端末 VLAN10-端末 全て 全て 転送

VLAN20-端末 VLAN20 Server TCP FTP (20-21) 転送

VLAN20-端末 VLAN10 Server TCP FTP (20-21) 転送

VLAN20-端末 VLAN20-端末 全て 全て 転送 全て DNS サーバー UDP DNS (53) 転送

全て 全て UDP DHCP (67-68) 転送

3699

access-list 3699 deny ip any any

3001-3004 access-list 3001 permit udp 192.168.10.1/32 192.168.20.1/32 eq 5004access-list 3002 permit udp 192.168.10.1/32 192.168.20.2/32 eq 5004 access-list 3003 permit udp 192.168.10.2/32 192.168.20.1/32 eq 5004 access-list 3004 permit udp 192.168.10.2/32 192.168.20.2/32 eq 5004

3005-3008

access-list 3005 permit udp 192.168.20.1/32 192.168.10.1/32 eq 5004 access-list 3006 permit udp 192.168.20.1/32 192.168.10.2/32 eq 5004 access-list 3007 permit udp 192.168.20.2/32 192.168.10.1/32 eq 5004 access-list 3008 permit udp 192.168.20.2/32 192.168.10.2/32 eq 5004

3021, 3023 access-list 3021 permit tcp 192.168.10.0/24 10.0.0.251/32 range 20 21 access-list 3023 permit tcp 10.0.0.251/32 range 20 21 192.168.10.0/24

3022, 3024 access-list 3022 permit tcp 192.168.10.0/24 10.0.0.252/32 range 20 21 access-list 3024 permit tcp 10.0.0.252/32 range 20 21 192.168.10.0/24

3026

access-list 3026 permit ip 192.168.10.0/24 192.168.10.0/24

3031, 3033 access-list 3031 permit tcp 192.168.20.0/24 10.0.0.251/32 range 20 21 access-list 3033 permit tcp 10.0.0.251/32 range 20 21 192.168.20.0/24

3032, 3034 access-list 3032 permit tcp 192.168.20.0/24 10.0.0.252/32 range 20 21 access-list 3034 permit tcp 10.0.0.252/32 range 20 21 192.168.20.0/24

3036

access-list 3036 permit ip 192.168.20.0/24 192.168.20.0/24

3041 access-list 3041 permit udp any range 67 68 any range 67 68 3042, 3043 access-list 3042 permit udp any 10.0.0.253/32 eq 53

access-list 3043 permit udp 10.0.0.253/32 eq 53 any

また、IPベースのハードウェアアクセスリストを作成する場合、アクセスリスト番号は[3000-3699]、MACアド

レスベースのハードウェアアクセスリストを作成する場合のアクセスリスト番号は[4000-4699]を使用します。

注 : これらのアクセスリスト番号は「ハードウェアアクセスリスト」として使用可能な範囲を表しており、設定可能なエントリ上限値では ありません

(4)

!

stack virtual-mac stack virtual-chasiss-id 1 stack resiliencylink eth0 stack 1 priority 1 ! ip dhcp pool pool1 network 192.168.10.0 255.255.255.0 range 192.168.10.1 192.168.10.10 dns-server 10.0.0.253 default-router 192.168.10.254 lease 0 1 0 subnet-mask 255.255.255.0 ! ip dhcp pool pool2 network 192.168.20.0 255.255.255.0 range 192.168.20.1 192.168.20.10 dns-server 10.0.0.253 default-router 192.168.20.254 lease 0 1 0 subnet-mask 255.255.255.0 ! service dhcp-server ! no spanning-tree rstp enable ! VCS設定を行います。Ver5.3.3から VCSグループメンバーが共通で使用す るバーチャルMACアドレスをサポート しました。VCSのMACアドレスが変更 されず、周囲の機器が保持するFDBの 書き換えが必要ありませんので、ス ムーズなFailoverを実現します。 なお、バーチャルMACアドレス設定は VCSグループの再起動後、有効になり ます。 初期値ではRSTPが有効です。本構成 例ではRSTPは使用していませんので、 無効化します。 VLAN10とVLAN20のクライアントに IPアドレスを割り当てるためのDHCP サーバー設定を行います。VLAN10用 に dhcp pool1を作成し、割り当て可能 な IPアドレスレンジは192.168.10.1-10の 10 IPアドレスとします。DNS サーバーはサーバファームにある 10.0.0.253 , デフォルトルートはVCS グループ上にあるVLAN10のIPアドレ スを指定します。また、アドレスリー ス時間は1時間に設定しています。 同様の内容でVLAN20用にdhcp pool2 を作成し、最後にDHCPサーバー機能 を有効にします。

※注

※注 VCS 構成時は、VCS の制御パケットが送信キュー7 を使うため、その他のパケットを送信キュー7 に割り当てないでください。 具体的には、mls qos map cos-queue, mls qos map mark-dscp, mls qos map policed-dscp, mls qos queue, set queue の各コマンド で送信キュー7を指定しないようにしてください。

特に、cos-queue マップの初期設定では、CoS 値「7」が送信キュー「7」にマップされているので、VCS 構成時は送信キュー 「7」を使わないよう、mls qos map cos-queue コマンドでマッピングを変更してください。

(5)

!

access-list 3001 permit udp 192.168.10.1/32 192.168.20.1/32 eq 5004 access-list 3002 permit udp 192.168.10.1/32 192.168.20.2/32 eq 5004 access-list 3003 permit udp 192.168.10.2/32 192.168.20.1/32 eq 5004 access-list 3004 permit udp 192.168.10.2/32 192.168.20.2/32 eq 5004 access-list 3005 permit udp 192.168.20.1/32 192.168.10.1/32 eq 5004 access-list 3006 permit udp 192.168.20.1/32 192.168.10.2/32 eq 5004 access-list 3007 permit udp 192.168.20.2/32 192.168.10.1/32 eq 5004 access-list 3008 permit udp 192.168.20.2/32 192.168.10.2/32 eq 5004 access-list 3021 permit tcp 192.168.10.0/24 10.0.0.251/32 range 20 21 access-list 3022 permit tcp 192.168.10.0/24 10.0.0.252/32 range 20 21 access-list 3023 permit tcp 10.0.0.251/32 range 20 21 192.168.10.0/24 access-list 3024 permit tcp 10.0.0.252/32 range 20 21 192.168.10.0/24 access-list 3026 permit ip 192.168.10.0/24 192.168.10.0/24

access-list 3031 permit tcp 192.168.20.0/24 10.0.0.251/32 range 20 21 access-list 3032 permit tcp 192.168.20.0/24 10.0.0.252/32 range 20 21 access-list 3033 permit tcp 10.0.0.251/32 range 20 21 192.168.20.0/24 access-list 3034 permit tcp 10.0.0.252/32 range 20 21 192.168.20.0/24 access-list 3036 permit ip 192.168.20.0/24 192.168.20.0/24

access-list 3041 permit udp any range 67 68 any range 67 68 access-list 3042 permit udp any 10.0.0.253/32 eq 53 access-list 3043 permit udp 10.0.0.253/32 eq 53 any access-list 3699 deny ip any any

!

vlan database

vlan 10,20,30 state enable !

interface port1.1.1 switchport

switchport mode trunk

switchport trunk allowed vlan add 10,20 channel-group 1 mode active

ip access-group 3001 ip access-group 3002 ip access-group 3003 ip access-group 3004 ip access-group 3005 ip access-group 3006 ip access-group 3007 ip access-group 3008 ip access-group 3021 ip access-group 3022 アクセスリストの設定です。 各アクセ スリスト定義の詳細は3ページを参照 して下さい。 本例では各アクセスリストに該当しな いパケットは「全て破棄」というルー ルを作成しています。そのため、 VLAN10/20のクライアントが使用して いるDHCPを許可するためのルールを access-list 3041で定義していることに 注目して下さい。 必要なVLANを作成します。 x600-24Ts_1との間の接続リンクとな るリンクアグリゲーショングループを 設定します。2つのポートをタグポー トとしてVLAN10/20にアサインし、あ わせてLACPを使用したリンクアグリ ゲーショングループとするため、 channel-group 1を作成します。 また、 各VLAN間の通信制御を行うた め、定義済みのアクセスリストをこれ らのポートにアサインします。 <次ページへつづく>

(6)

ip access-group 3026 ip access-group 3031 ip access-group 3032 ip access-group 3036 ip access-group 3041 ip access-group 3042 ip access-group 3699 lacp timeout long !

interface port2.1.1 switchport

switchport mode trunk

switchport trunk allowed vlan add 10,20 channel-group 1 mode active

ip access-group 3001 ip access-group 3002 ip access-group 3003 ip access-group 3004 ip access-group 3005 ip access-group 3006 ip access-group 3007 ip access-group 3008 ip access-group 3021 ip access-group 3022 ip access-group 3026 ip access-group 3031 ip access-group 3032 ip access-group 3036 ip access-group 3041 ip access-group 3042 ip access-group 3699 lacp timeout long ! <次ページ続き> x600-24Ts_1との間の接続リンクとな るリンクアグリゲーショングループを 設定します。2つのポートをタグポー トとしてVLAN10/20にアサインし、あ わせてLACPを使用したリンクアグリ ゲーショングループとするため、 channel-group 1を作成します。 また、 各VLAN間の通信制御を行うた め、定義済みのアクセスリストをこれ らのポートにアサインします。

(7)

!

interface port1.1.3 switchport

switchport mode trunk

switchport trunk allowed vlan add 10,20 channel-group 2 mode active

ip access-group 3001 ip access-group 3002 ip access-group 3003 ip access-group 3004 ip access-group 3005 ip access-group 3006 ip access-group 3007 ip access-group 3008 ip access-group 3021 ip access-group 3022 ip access-group 3026 ip access-group 3031 ip access-group 3032 ip access-group 3036 ip access-group 3041 ip access-group 3042 ip access-group 3699 lacp timeout long !

interface port2.1.3 switchport

switchport mode trunk

switchport trunk allowed vlan add 10,20 channel-group 2 mode active

ip access-group 3001 ip access-group 3002 ip access-group 3003 ip access-group 3004 ip access-group 3005 ip access-group 3006 ip access-group 3007 ip access-group 3008 x600-24Ts_2との間の接続リンクとな るリンクアグリゲーショングループを 設定します。2つのポートをタグポー トとしてVLAN10/20にアサインし、あ わせてLACPを使用したリンクアグリ ゲーショングループとするため、 channel-group 2を作成します。 また、 各VLAN間の通信制御を行うた め、定義済みのアクセスリストをこれ らのポートにアサインします。 <次ページへつづく>

(8)

ip access-group 3021 ip access-group 3022 ip access-group 3026 ip access-group 3031 ip access-group 3032 ip access-group 3036 ip access-group 3041 ip access-group 3042 ip access-group 3699 lacp timeout long !

interface port1.1.12 switchport

switchport mode access switchport access vlan 30 channel-group 3 mode active ip access-group 3023 ip access-group 3024 ip access-group 3034 ip access-group 3033 ip access-group 3043 ip access-group 3699 lacp timeout long !

interface port2.1.12 switchport

switchport mode access switchport access vlan 30 channel-group 3 mode active ip access-group 3023 ip access-group 3024 ip access-group 3034 ip access-group 3033 ip access-group 3043 ip access-group 3699 lacp timeout long ! サーバファーム側の9924T/4SPとの接 続リンクとなるリンクアグリゲーショ ングループを設定します。2つのポー トをVLAN30にアサインします。あわ せてLACPを使用したリンクアグリ ゲーショングループとするため、 channel-group 3を作成します。 また、 各VLAN間の通信制御を行うた め、定義済みのアクセスリストをこれ らのポートにアサインします。 <次ページ続き> x600-24Ts_2との間の接続リンクとな るリンクアグリゲーショングループを 設定します。2つのポートをタグポー トとしてVLAN10/20にアサインし、あ わせてLACPを使用したリンクアグリ ゲーショングループとするため、 channel-group 2を作成します。 また、 各VLAN間の通信制御を行うた め、定義済みのアクセスリストをこれ らのポートにアサインします。

(9)

!

interface po1-2 switchport

switchport mode trunk

switchport trunk allowed vlan add 10,20 !

interface po3 switchport

switchport mode access switchport access vlan 30 ! interface vlan10 ip address 192.168.10.254/24 ! interface vlan20 ip address 192.168.20.254/24 ! interface vlan30 ip address 10.0.0.254/24 ! end po1-3 はchannel-groupを設定すると自 動的に作成される 論理ポートを表しま す。 各インターフェースにIPアドレスを設 定します。

(10)

!

no spanning-tree rstp enable !

vlan database

vlan 10,20 state enable !

interface port1.0.1-1.0.2 switchport

switchport mode trunk

switchport trunk allowed vlan add 10,20 channel-group 1 mode active

!

interface port1.0.3-13 switchport

switchport mode access switchport access vlan 10 !

interface port 1.0.14-1.0.24 switchport

switchport mode access switchport access vlan 20 ! end 初期値ではRSTPが有効です。本構成 例ではRSTPは使用していませんので、 無効化します。 必要なVLANを作成します。 SBx908-VCSとの間の接続リンクとな るリンクアグリゲーショングループを 設定します。2つのポートをタグポー トとしてVLAN10/20にアサインし、あ わせてLACPを使用したリンクアグリ ゲーショングループとするため、 channel-group 1を作成します。 VLAN10/20に必要数のポートをアサイ ンします。これらのポートはクライア ントが接続されるポートとなるため、 タグなしポートとします。

(11)

create vlan=vlan30 vid=30 add vlan=vlan30 port=all

enable lacp delete lacp port=all add lacp port=23-24

VLAN30を作成します。本例では、 9924T/4SPはVLAN30だけ使用します ので、すべてのポートをタグなしポー トとして追加します。 SBx908-VCSとの接続リンクとなるリ ンクアグリゲーショングループを作成 します。LACPを有効化した後、すべ てのポートでLACPを無効化し、必要 なポートのみ改めてLACPを有効化し ます。

(12)

www.allied-telesis.co.jp

ご使用の際は製品に添付されたマニュアル

安 全 の た め に

をお読みになり正しくご使用ください。 製品のくわしい情報は特徴、仕様、構成図、マニュアル等 http://www.allied-telesis.co.jp/

アライドテレシス株式会社

本資料に関するご質問やご相談は

0120-860442

(月∼金/9:00∼17:30) support@allied-telesis.co.jp 購入前の製品に関するお問合せ 製品購入後のお問合せ info@allied-telesis.co.jp

参照

今ダウンロードする ( PDF - 12 ページ - 2.13 MB )

関連したドキュメント

Single-Machine Group Scheduling

Wu, “A generalisation model of learning and deteriorating effects on a single-machine scheduling with past-sequence-dependent setup times,” International Journal of Computer

It is well known thatif Qisoneof thelinesof the3-net, then, and anbedened naturallyin suh a waythat adistinguished element of Q (say 1) beomes the unitofQ

as every loop is equivalent to its left (or right) inverse modulo the variety of

3. Interpretation of the first homology group of a category

This work is devoted to an interpretation and computation of the first homology groups of the small category given by a rewriting system.. It is shown that the elements of the

OF THE GROUP

Answering a question of de la Harpe and Bridson in the Kourovka Notebook, we build the explicit embeddings of the additive group of rational numbers Q in a finitely generated group

Group cohomology and the singularities of the Selberg zeta function associated to a Kleinian group

The goal of the present paper is a description of the singularities of the Selberg zeta function in terms of the group cohomology of Γ with coefficients in certain infinite

GROUP CONNECTED

In [4] Clark and Schneider studied the meet in the lattice of group topologies and developed a convenient method for finding a basis of open sets for the meet of a countable

GLYPHOSATE GROUP 9 HERBICIDE S-METOLACHLOR GROUP 15 HERBICIDE Sequence® Herbicide

• For preplant application, to the extent possible, do not move treated soil out of the row or move untreated soil to the surface during planting, or weed control will be

GROUP 4 HERBICIDE

Apply up to 1-1/4 pints of LATIGO® per acre as a broadcast or spot treatment to annual broadleaf weeds when wheat is in the hard dough stage and the green color is gone from the