Cisco Business Router に関する VLAN のベストプラクティスとセキュリティのヒント

ダウンロード オプション

  • PDF     (1.0 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2020 年 1 月 27 日
Document ID:1580148576950702

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

目的

この記事の目的は、Cisco Business 機器で VLAN を設定する際のベストプラクティスとセキュリティのヒントを実行するための概念と手順を説明することです。

目次

はじめに

ビジネスネットワークの安全性を維持しながら、ネットワークの効率性を向上させたいとお考えですか。これを行う方法の1つは、仮想ローカルエリアネットワーク(VLAN)を正しく設定することです。

VLANは、地理的な分散にもかかわらず、同じローカルエリアネットワーク(LAN)上にあるように見えるワークステーション、サーバ、およびネットワークデバイスの論理グループです。つまり、同じVLAN上のハードウェアを使用することで、機器間のトラフィックを分離し、セキュリティを強化できます。

たとえば、エンジニアリング、マーケティング、およびアカウンティング部門があるとします。各部門の従業員は建物の異なるフロアに配置されていますが、各部門内の情報にアクセスして通信する必要があります。ドキュメントやWebサービスの共有には不可欠です。

ネットワークの安全性を維持するには、ベストプラクティスに従ってVLANを設定する必要があります。VLANを設定する際は、次の選択肢から適切なものを選択してください。後悔はさせないよ。

適用可能なデバイス

  • RV042
  • RV110W
  • RV130
  • RV132
  • RV134W
  • RV160W
  • RV215W
  • RV260
  • RV260P
  • RV260W
  • RV320
  • RV325
  • RV340
  • RV340W
  • RV345
  • RV345P

RV160またはRV260シリーズのルータでは最大16のVLANを伝送でき、RV34xシリーズのルータでは最大32のVLANを伝送できることを知りたいかもしれません。RV320は最大7つのVLANをサポートします。ルータで転送可能なVLANの数を確認するには、シスコのWebサイトで該当するモデルのデータシートを確認してください。Supportを選択してモデル番号を入力するか、データシートとモデル番号を検索します。

初心者のための短い語彙

アクセスポート:アクセスポートは1つのVLANのトラフィックのみを伝送します。アクセスポートは、タグなしポートと呼ばれることがよくあります。これは、そのポートには1つのVLANしかなく、トラフィックはタグなしで通過できるためです。

トランクポート:複数のVLANのトラフィックを伝送するスイッチ上のポート。トランクポートはタグ付きポートと呼ばれることがよくあります。これは、そのポートには複数のVLANが存在し、1つのVLAN以外のすべてのトラフィックにタグを付ける必要があるためです。

ネイティブVLAN:トランクポート内でタグを受信しない1つのVLAN。タグのないトラフィックはすべてネイティブVLANに送信されます。そのため、トランクの両側で、ネイティブVLANが同じであるか、またはトラフィックが正しい場所に送信されないかを確認する必要があります。

ベストプラクティス#1 - VLANポートの割り当て

ポート割り当ての基本

  • 各LANポートは、アクセスポートまたはトランクポートとして設定できます。
  • トランク上で不要なVLANは除外する必要があります。
  • VLANは複数のポートに配置できます。

アクセスポートの設定

  • LANポートに割り当てられた1つのVLAN
  • このポートに割り当てられるVLANには、Untaggedというラベルを付ける必要があります。
  • その他すべてのVLANには、そのポートについて「Excluded」というラベルを付けます

これらを正しく設定するには、LAN > VLAN Settingsの順に選択します。VLAN IDを選択し、editアイコンをクリックします。リストされているVLANのLANインターフェイスのドロップダウンメニューを選択して、VLANタギングを編集します。[APPLY] をクリックします。

独自のLANポートを割り当てた各VLANの例を次に示します。

このグラフィカルユーザインターフェイス(GUI)イメージは、RV260Wルータから取得したものです。オプションが若干異なる場合があります。たとえば、RV34xシリーズでは、UntaggedExcluded、およびTaggedの各ラベルは最初の文字に短縮されています。プロセスは同じです。

トランクポートの設定

  • 2つ以上のVLANが1つのLANポートを共有
  • VLANの1つに、Untaggedというラベルを付けることができます。
  • トランクポートの一部である残りのVLANには、Taggedというラベルを付ける必要があります。
  • トランクポートの一部ではないVLANには、そのポートに対してExcludedというラベルを付ける必要があります。

次に、すべてのVLANがトランクポート上にある例を示します。これらを正しく設定するには、編集する必要があるVLAN IDを選択します。editアイコンをクリックします。上記の推奨事項に従って、必要に応じてこれらを変更します。ところで、VLAN 1がすべてのLANポートから除外されていることに気付きましたか。これについては、「デフォルトVLAN 1のベストプラクティス」の項で説明します。

よく寄せられる質問(FAQ)

そのポート上の唯一のVLANであるVLANがタグなしのままになっているのはなぜですか。

アクセスポートにはVLANが1つだけ割り当てられるため、ポートからの発信トラフィックはフレーム上のVLANタグなしで送信されます。フレームがスイッチポート(着信トラフィック)に到達すると、スイッチはVLANタグを追加します。 

VLANがトランクの一部である場合にVLANにタグが付くのはなぜですか。

これは、通過するトラフィックがそのポート上の誤ったVLANに送信されないようにするためです。VLANはそのポートを共有しています。住所に追加された部屋番号と同様に、メールがその共有建物内の正しいアパートに送信されることを確認します。

トラフィックがネイティブVLANの一部であるにもかかわらず、タグなしのままになっているのはなぜですか。 

ネイティブVLANは、タグ付けされていないトラフィックを1つ以上のスイッチ間で伝送する方法です。スイッチは、タグ付きポートに着信するタグなしフレームをネイティブVLANに割り当てます。ネイティブVLAN上のフレームがトランク(タグ付き)ポートを離れると、スイッチはVLANタグを除去します。

VLANがそのポートにないときに、VLANが除外されるのはなぜですか。

これにより、ユーザが特に必要とするVLANに対してのみ、そのトランク上のトラフィックが保持されます。これはベストプラクティスと考えられています。

ベストプラクティス#2:デフォルトのVLAN 1と未使用ポート

すべてのポートは、ネイティブVLANを含め、1つ以上のVLANに割り当てる必要があります。Cisco Businessルータには、デフォルトですべてのポートにVLAN 1が割り当てられています。

管理VLANは、Telnet、SSH、SNMP、syslog、またはシスコのFindITを使用して、ネットワーク内のデバイスをリモートで管理、制御、および監視するために使用されるVLANです。デフォルトでは、これもVLAN 1です。セキュリティ上の優れた方法は、管理データトラフィックとユーザデータトラフィックを分離することです。したがって、VLANを設定する際には、管理目的のみにVLAN 1を使用することを推奨します。

管理目的でシスコスイッチとリモートで通信するには、スイッチの管理VLANにIPアドレスが設定されている必要があります。他のVLANのユーザは、管理VLANにルーティングされない限り、スイッチへのリモートアクセスセッションを確立できず、セキュリティの層が追加されます。また、リモート管理用に暗号化されたSSHセッションだけを受け入れるようにスイッチを設定する必要があります。このトピックに関するディスカッションを読むには、シスココミュニティのWebサイトにある次のリンクをクリックしてください。

よく寄せられる質問(FAQ)

ネットワークを仮想的にセグメント化するのにデフォルトのVLAN 1が推奨されないのはなぜですか。

主な理由は、悪意のある攻撃者がVLAN 1がデフォルトであり、頻繁に使用されることを知っているためです。「VLANホッピング」を介して他のVLANにアクセスするために使用できます。その名前が示すように、悪意のある攻撃者はVLAN 1を装ったスプーフィングされたトラフィックを送信し、トランクポートやそれによって他のVLANへのアクセスを可能にします。

未使用のポートをデフォルトのVLAN 1に割り当てておくことはできますか。

ネットワークを安全に保つには、そうするべきではありません。これらのポートはすべて、デフォルトのVLAN 1以外のVLANに関連付けるように設定することをお勧めします。

使用していないポートに実稼働VLANを割り当てたくありません。どうしたらよいですか。

この記事の次のセクションの手順に従って、「デッドエンド」VLANを作成することをお勧めします。

ベストプラクティス#3:未使用ポート用の「デッドエンド」VLANの作成

ステップ 1:LAN > VLAN Settingsの順に移動します。

VLANの任意の乱数を選択します。このVLANで、DHCP、VLAN間ルーティング、またはデバイス管理が有効になっていないことを確認してください。これにより、他のVLANのセキュリティが強化されます。未使用のLANポートをこのVLANに配置します。次の例では、VLAN 777が作成され、LAN5に割り当てられています。これは、すべての未使用LANポートで実行する必要があります。

他のVLANがこのLANポートから除外されていることに注意してください。

ステップ 2:Applyボタンをクリックして、行った設定の変更を保存します。

ベストプラクティス#4 - VLAN上のIP電話

音声トラフィックには、厳格なQuality of Service(QoS)要件があります。会社のコンピュータとIP電話が同じVLAN上に存在する場合、それぞれが他のデバイスを考慮せずに使用可能な帯域幅を使用しようとします。この競合を回避するには、IPテレフォニー音声トラフィックとデータトラフィックに別々のVLANを使用することを推奨します。この設定の詳細については、次の記事とビデオをご覧ください。

ベストプラクティス#5:VLAN間ルーティング

トラフィックを分離できるようにVLANが設定されていますが、VLANを相互にルーティングできるようにする必要がある場合があります。これはVLAN間ルーティングであり、通常は推奨されません。これが会社にとって必要な場合は、できるだけ安全に設定してください。VLAN間ルーティングを使用するときは、アクセスコントロールリスト(ACL)を使用して、機密情報が含まれるサーバへのトラフィックを制限してください。

ACLは、ネットワークを通過するパケットの移動を制御するために、パケットフィルタリングを実行します。パケットフィルタリングは、ネットワークへのトラフィックのアクセスを制限し、ネットワークへのユーザおよびデバイスのアクセスを制限し、トラフィックがネットワークから出ないようにすることで、セキュリティを提供します。IPアクセスリストは、スプーフィングとサービス拒否攻撃の可能性を低減し、ファイアウォールを介した動的で一時的なユーザアクセスを可能にします。

結論

ここまでは、安全なVLANを設定するためのベストプラクティスについて説明しました。ネットワークのVLANを設定する際には、次のヒントに留意してください。次に、手順を追った説明を含む記事をいくつか示します。これにより、お客様のビジネスに最適な、生産性と効率性に優れたネットワークへと移行を続けることができます。

更新履歴

改定 発行日 コメント
1.0
27-Jan-2020
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ