この記事の目的は、Cisco Business 機器で VLAN を設定する際のベストプラクティスとセキュリティのヒントを実行するための概念と手順を説明することです。
ビジネスネットワークの安全性を維持しながら、ネットワークの効率性を向上させたいとお考えですか。これを行う方法の1つは、仮想ローカルエリアネットワーク(VLAN)を正しく設定することです。
VLANは、地理的な分散にもかかわらず、同じローカルエリアネットワーク(LAN)上にあるように見えるワークステーション、サーバ、およびネットワークデバイスの論理グループです。つまり、同じVLAN上のハードウェアを使用することで、機器間のトラフィックを分離し、セキュリティを強化できます。
たとえば、エンジニアリング、マーケティング、およびアカウンティング部門があるとします。各部門の従業員は建物の異なるフロアに配置されていますが、各部門内の情報にアクセスして通信する必要があります。ドキュメントやWebサービスの共有には不可欠です。
ネットワークの安全性を維持するには、ベストプラクティスに従ってVLANを設定する必要があります。VLANを設定する際は、次の選択肢から適切なものを選択してください。後悔はさせないよ。
アクセスポート:アクセスポートは1つのVLANのトラフィックのみを伝送します。アクセスポートは、タグなしポートと呼ばれることがよくあります。これは、そのポートには1つのVLANしかなく、トラフィックはタグなしで通過できるためです。
トランクポート:複数のVLANのトラフィックを伝送するスイッチ上のポート。トランクポートはタグ付きポートと呼ばれることがよくあります。これは、そのポートには複数のVLANが存在し、1つのVLAN以外のすべてのトラフィックにタグを付ける必要があるためです。
ネイティブVLAN:トランクポート内でタグを受信しない1つのVLAN。タグのないトラフィックはすべてネイティブVLANに送信されます。そのため、トランクの両側で、ネイティブVLANが同じであるか、またはトラフィックが正しい場所に送信されないかを確認する必要があります。
これらを正しく設定するには、LAN > VLAN Settingsの順に選択します。VLAN IDを選択し、editアイコンをクリックします。リストされているVLANのLANインターフェイスのドロップダウンメニューを選択して、VLANタギングを編集します。[APPLY] をクリックします。
独自のLANポートを割り当てた各VLANの例を次に示します。
次に、すべてのVLANがトランクポート上にある例を示します。これらを正しく設定するには、編集する必要があるVLAN IDを選択します。editアイコンをクリックします。上記の推奨事項に従って、必要に応じてこれらを変更します。ところで、VLAN 1がすべてのLANポートから除外されていることに気付きましたか。これについては、「デフォルトVLAN 1のベストプラクティス」の項で説明します。
そのポート上の唯一のVLANであるVLANがタグなしのままになっているのはなぜですか。
アクセスポートにはVLANが1つだけ割り当てられるため、ポートからの発信トラフィックはフレーム上のVLANタグなしで送信されます。フレームがスイッチポート(着信トラフィック)に到達すると、スイッチはVLANタグを追加します。
VLANがトランクの一部である場合にVLANにタグが付くのはなぜですか。
これは、通過するトラフィックがそのポート上の誤ったVLANに送信されないようにするためです。VLANはそのポートを共有しています。住所に追加された部屋番号と同様に、メールがその共有建物内の正しいアパートに送信されることを確認します。
トラフィックがネイティブVLANの一部であるにもかかわらず、タグなしのままになっているのはなぜですか。
ネイティブVLANは、タグ付けされていないトラフィックを1つ以上のスイッチ間で伝送する方法です。スイッチは、タグ付きポートに着信するタグなしフレームをネイティブVLANに割り当てます。ネイティブVLAN上のフレームがトランク(タグ付き)ポートを離れると、スイッチはVLANタグを除去します。
VLANがそのポートにないときに、VLANが除外されるのはなぜですか。
これにより、ユーザが特に必要とするVLANに対してのみ、そのトランク上のトラフィックが保持されます。これはベストプラクティスと考えられています。
すべてのポートは、ネイティブVLANを含め、1つ以上のVLANに割り当てる必要があります。Cisco Businessルータには、デフォルトですべてのポートにVLAN 1が割り当てられています。
管理VLANは、Telnet、SSH、SNMP、syslog、またはシスコのFindITを使用して、ネットワーク内のデバイスをリモートで管理、制御、および監視するために使用されるVLANです。デフォルトでは、これもVLAN 1です。セキュリティ上の優れた方法は、管理データトラフィックとユーザデータトラフィックを分離することです。したがって、VLANを設定する際には、管理目的のみにVLAN 1を使用することを推奨します。
管理目的でシスコスイッチとリモートで通信するには、スイッチの管理VLANにIPアドレスが設定されている必要があります。他のVLANのユーザは、管理VLANにルーティングされない限り、スイッチへのリモートアクセスセッションを確立できず、セキュリティの層が追加されます。また、リモート管理用に暗号化されたSSHセッションだけを受け入れるようにスイッチを設定する必要があります。このトピックに関するディスカッションを読むには、シスココミュニティのWebサイトにある次のリンクをクリックしてください。
ネットワークを仮想的にセグメント化するのにデフォルトのVLAN 1が推奨されないのはなぜですか。
主な理由は、悪意のある攻撃者がVLAN 1がデフォルトであり、頻繁に使用されることを知っているためです。「VLANホッピング」を介して他のVLANにアクセスするために使用できます。その名前が示すように、悪意のある攻撃者はVLAN 1を装ったスプーフィングされたトラフィックを送信し、トランクポートやそれによって他のVLANへのアクセスを可能にします。
未使用のポートをデフォルトのVLAN 1に割り当てておくことはできますか。
ネットワークを安全に保つには、そうするべきではありません。これらのポートはすべて、デフォルトのVLAN 1以外のVLANに関連付けるように設定することをお勧めします。
使用していないポートに実稼働VLANを割り当てたくありません。どうしたらよいですか。
この記事の次のセクションの手順に従って、「デッドエンド」VLANを作成することをお勧めします。
ステップ 1:LAN > VLAN Settingsの順に移動します。
VLANの任意の乱数を選択します。このVLANで、DHCP、VLAN間ルーティング、またはデバイス管理が有効になっていないことを確認してください。これにより、他のVLANのセキュリティが強化されます。未使用のLANポートをこのVLANに配置します。次の例では、VLAN 777が作成され、LAN5に割り当てられています。これは、すべての未使用LANポートで実行する必要があります。
ステップ 2:Applyボタンをクリックして、行った設定の変更を保存します。
音声トラフィックには、厳格なQuality of Service(QoS)要件があります。会社のコンピュータとIP電話が同じVLAN上に存在する場合、それぞれが他のデバイスを考慮せずに使用可能な帯域幅を使用しようとします。この競合を回避するには、IPテレフォニー音声トラフィックとデータトラフィックに別々のVLANを使用することを推奨します。この設定の詳細については、次の記事とビデオをご覧ください。
トラフィックを分離できるようにVLANが設定されていますが、VLANを相互にルーティングできるようにする必要がある場合があります。これはVLAN間ルーティングであり、通常は推奨されません。これが会社にとって必要な場合は、できるだけ安全に設定してください。VLAN間ルーティングを使用するときは、アクセスコントロールリスト(ACL)を使用して、機密情報が含まれるサーバへのトラフィックを制限してください。
ACLは、ネットワークを通過するパケットの移動を制御するために、パケットフィルタリングを実行します。パケットフィルタリングは、ネットワークへのトラフィックのアクセスを制限し、ネットワークへのユーザおよびデバイスのアクセスを制限し、トラフィックがネットワークから出ないようにすることで、セキュリティを提供します。IPアクセスリストは、スプーフィングとサービス拒否攻撃の可能性を低減し、ファイアウォールを介した動的で一時的なユーザアクセスを可能にします。
ここまでは、安全なVLANを設定するためのベストプラクティスについて説明しました。ネットワークのVLANを設定する際には、次のヒントに留意してください。次に、手順を追った説明を含む記事をいくつか示します。これにより、お客様のビジネスに最適な、生産性と効率性に優れたネットワークへと移行を続けることができます。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
27-Jan-2020
|
初版 |