【ネットワーク】L2スイッチとルータを使用したL3スイッチの実現

こんにちは、雑味です。

私は普段業務系システムの開発に従事していますが、たまにネットワーク案件も回ってきます。

正直ネットワークはあまり得意ではないのですが、以前L2スイッチとルータの機能を使用してL3スイッチと同等のネットワークを構築したときの作業は私的にベストバウトだったので備忘録的に記録することにします。

前提

使用中のL3スイッチが不具合を起こしネットワーク障害が発生。急遽交換する必要があったが取引先内で即時に稟議が降りなかったため、Baffalo製のL2スイッチ(BS-GS20シリーズ)のL3モードとYAHAMAのルーターを組み合わせL3スイッチと同等のネットワークを構築することにした。
BaffaloではL3スイッチは販売していない。（2020年5月現在）
→「レイヤー３ Giga対応　インテリジェントスイッチBS-G3024MR」は販売終了済み。

使用機材

スイッチ：Baffalo BS-GS2024

ルータ：YAMAHA RTX830

ネットワーク構成

その他条件

・A課⇔情シス、情シス⇔OPEN LAN、A課⇔OPEN LANの相互通信は不可

・A課／情シス／OPENLAN ⇔ ポート23・24の相互通信は可能

・A課と情シスは固定IPアドレス。OPEN LANのみDHCPにてIPアドレスを自動取得する。

設定手順

VLANの作成～通信確認

ルータの設定

①LANの設定

ルータのプライマリアドレスを「192.168.2.2」に設定する。
また、セカンダリアドレスも必要であれば設定する。

スイッチの設定

①VLAN設定

スイッチ内にA課(以下VLAN1)、情シス(以下VLAN2)、OPEN LAN(以下VLAN3)、インターネット用(以下VLAN4)の４つのVLANを構築する。

VLANを作成したら、VLANポート(PVID)の振り分けを行う。PVIDを設定しないとVLANは機能しないので、必ず設定する。

②デフォルトゲートウェイの設定

ルーティングのレイヤー設定で「レイヤー３」のモードを選択しておく。レイヤー３モードにすると静的ルーティング設定が行えるようになるので、デフォルトゲートウェイにルータのIPアドレス(192.168.2.2)を設定し、ルータへのルートを作成する。

ここまでの設定で、VLAN1～3 ⇒ VLAN4 ⇒ ルータへの通信が可能となる。

ただしpingで通信確認をすると、VLAN4 ⇒ ルータは通信確認が取れるがVLAN1～3の通信はできていないことが分かる。これはルータからの戻り先が不明の状態のため。
VLAN1～3からも通信できるようにするため、ルータ側でスイッチへのルートを作成する。
なお、VLAN4とルータのIPアドレスのネットワークは同じなので通信可能。

ルータの設定

①ルーティングの設定

ルータからVLAN1～VLAN3への戻りルートを設定する。設定内容は以下の通り。

ルータからVLAN4を経由してVLAN1～VLAN3に戻るという意味になる。
各VLANのネットワークに戻るので、IPアドレスの第4オクテッドは0、サブネットマスクは24。

上記の設定を行い再度pingを打つとVLAN1～VLAN3からもルータへの通信が確認できる。

ここまでの設定で各VLANからルータへの通信が可能となったが、VLAN1、VLAN2、VLAN3間の相互通信が可能な状態なので、次の手順で相互通信を不可にする。

ACL設定によるVLAN間の通信制御

レイヤー２モードではVLAN間の相互通信はデフォルトで通信不可だが、レイヤー３モードではVLAN間の相互通信はデフォルトで通信が可能である。(これは一般的なL2、L3の仕様と同様）

今回は、ACLを設定することによりVLAN間の通信を不可にする。

スイッチの設定

①ACLの設定

Baffalo BS-GS2024では、ACLグループを作成しその中に複数のルールを設定することができるのでまずはVLAN1用のACLグループ、VLAN2用のACLグループ、VLAN3用のACLグループをそれぞれ作成する。
この時ACLグループ名およびグループ番号は任意。

②VLAN1用のACL設定

以下の優先度順になるようにACLルールを作成する。

１．送信先がルータのIPアドレスを「許可」
２．送信元がルータのIPアドレスを「許可」
３．送信先がVLAN2のIPアドレスを「拒否」
４．送信先がVLAN3のIPアドレスを「拒否」
５．送信先、送信元ともにすべてのIPアドレスを「許可」
※５を入れないと自分自身のIPアドレスを拒否してしまうので必ず入れる。