アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール

主な目的 信頼性 可用性の高いネットワークを構築したい スパニングツリーを使わずに Layer2 の冗長をしたい 端末やネットワーク間の通信を制御したい 概要 VCS によるネットワークの冗長とアクセスリスト (ACL) の併用構成です ネットワークを構築する際 セキュリティ面からも通信の制御はかかせません 営業部のネットワークから 開発部のサーバーにはアクセスさせない というような情報漏洩対策の一環としての通信制御を行うことが一般的です 本例では コアスイッチを SBx908 2 台の VCS を構成して冗長性を確保しています さらに ディストリビューションスイッチと VCS グループを接続するリンクはリンクアグリゲーショングループとし 複数の筐体にまたがるリンクアグリゲーショングループ上でアクセスリストによる通信制御を行っています 1

アライドテレシス コアスイッチ AT-x900 シリーズと ディストリビューションスイッチ AT-x600 シリーズで実現する ACLトラフィックコントロール 構築のポイント VLAN10用サーバー VLAN20用サーバー 10.0.0.251/24 10.0.0.252/24 DNS/Webサーバー 10.0.0.253/24 VLAN 30 9924T/4SP 23 24 コアスイッチには拡張性の高い SBx908を2台使用したVCSを採 用 可用性と拡張性を確保しま す SBx908_1 ACLによる通信制御を行います 基本ルールはIP電話間の通信は全 て許可 同一VLAN内のPC端末間 の通信は全て許可 それ以外は全 て破棄 としています ACLの設定内容詳細は次ページの 一覧表と設定サンプルページをご 参照下さい x600-24ts_1 1.1.12 2.1.12 SBx908_2 SBx908-VCS 1.1.1 1.1.3 2.1.1 2.1.3 1.0.1 1.0.2 1.0.1 1.0.2 VLAN 10 VLAN 20 VLAN 10 VLAN 20 クライアントのIPアドレスやデ フォルトゲートウェイはVCSグ ループに設定されているDHCP サーバ機能によって自動的に割 り当てられます x600-24ts_2 2

アクセスリストについて AlliedWare Plus のアクセスリストには幾つかの種類がありますが スイッチを経由するパケットの許可 / 破棄を定める場合は ハードウェアアクセスリスト を使用します このハードウェアアクセスリストには 暗黙の破棄ルール はありませんので 設定されているアクセスリストに該当しないパケットは全て通常通り転送されます そのため 許可したいパケットについて全てアクセスリストを作成し それ以外は全て破棄 という動作にされる場合は許可するパケットについてのルール以外に 全て破棄 というルールを作成する必要があります 設定内容によっては破棄するパケットについてのルールのみを作成することで 設定されている全てのエントリに該当しないパケットは全て許可 という動作をさせることも可能です 設定したい内容を事前に検討し どちらのパターンで設定を行うかを決定して下さい 本例では 全て破棄 というルールを明示する方法を使用し 許可するパケットは以下の表のとおりに設定しています 表 1. アクセスリスト設定内容一覧 ACL IP IP L4 ACL 3699 access-list 3699 deny ip any any VLAN10- VLAN20- UDP 5004 access-list 3001 permit udp 192.168.10.1/32 192.168.20.1/32 eq 5004 3001-3004 access-list 3002 permit udp 192.168.10.1/32 192.168.20.2/32 eq 5004 access-list 3003 permit udp 192.168.10.2/32 192.168.20.1/32 eq 5004 access-list 3004 permit udp 192.168.10.2/32 192.168.20.2/32 eq 5004 VLAN20- VLAN10- UDP 5004 access-list 3005 permit udp 192.168.20.1/32 192.168.10.1/32 eq 5004 3005-3008 access-list 3006 permit udp 192.168.20.1/32 192.168.10.2/32 eq 5004 access-list 3007 permit udp 192.168.20.2/32 192.168.10.1/32 eq 5004 access-list 3008 permit udp 192.168.20.2/32 192.168.10.2/32 eq 5004 VLAN10- VLAN10 Server TCP FTP (20-21) 3021, 3023 access-list 3021 permit tcp 192.168.10.0/24 10.0.0.251/32 range 20 21 access-list 3023 permit tcp 10.0.0.251/32 range 20 21 192.168.10.0/24 VLAN10- VLAN20 Server TCP FTP (20-21) 3022, 3024 access-list 3022 permit tcp 192.168.10.0/24 10.0.0.252/32 range 20 21 access-list 3024 permit tcp 10.0.0.252/32 range 20 21 192.168.10.0/24 3026 VLAN10- VLAN10- access-list 3026 permit ip 192.168.10.0/24 192.168.10.0/24 VLAN20- VLAN20 Server TCP FTP (20-21) 3031, 3033 access-list 3031 permit tcp 192.168.20.0/24 10.0.0.251/32 range 20 21 access-list 3033 permit tcp 10.0.0.251/32 range 20 21 192.168.20.0/24 VLAN20- VLAN10 Server TCP FTP (20-21) 3032, 3034 access-list 3032 permit tcp 192.168.20.0/24 10.0.0.252/32 range 20 21 access-list 3034 permit tcp 10.0.0.252/32 range 20 21 192.168.20.0/24 3036 VLAN20- VLAN20- access-list 3036 permit ip 192.168.20.0/24 192.168.20.0/24 DNS UDP DNS (53) 3042, 3043 access-list 3042 permit udp any 10.0.0.253/32 eq 53 access-list 3043 permit udp 10.0.0.253/32 eq 53 any 3041 UDP DHCP (67-68) access-list 3041 permit udp any range 67 68 any range 67 68 また IP ベースのハードウェアアクセスリストを作成する場合 アクセスリスト番号は [3000-3699] MAC アドレスベースのハードウェアアクセスリストを作成する場合のアクセスリスト番号は [4000-4699] を使用します 注 : これらのアクセスリスト番号は ハードウェアアクセスリスト として使用可能な範囲を表しており 設定可能なエントリ上限値ではありません 3

SBx908-VCS 設定サンプルその 1 VCS 設定を行います Ver5.3.3 から VCS グループメンバーが共通で使用するバーチャル MAC アドレスをサポートしました VCS の MAC アドレスが変更されず 周囲の機器が保持する FDB の書き換えが必要ありませんので スムーズな Failover を実現します なお バーチャル MAC アドレス設定は VCS グループの再起動後 有効になります stack virtual-mac stack virtual-chasiss-id 1 stack resiliencylink eth0 stack 1 priority 1 VLAN10 と VLAN20 のクライアントに IP アドレスを割り当てるための DHCP サーバー設定を行います VLAN10 用に dhcp pool1 を作成し 割り当て可能な IP アドレスレンジは 192.168.10.1-10 の 10 IP アドレスとします DNS サーバーはサーバファームにある 10.0.0.253, デフォルトルートは VCS グループ上にある VLAN10 の IP アドレスを指定します また アドレスリース時間は 1 時間に設定しています 同様の内容で VLAN20 用に dhcp pool2 を作成し 最後に DHCP サーバー機能を有効にします ip dhcp pool pool1 network 192.168.10.0 255.255.255.0 range 192.168.10.1 192.168.10.10 dns-server 10.0.0.253 default-router 192.168.10.254 lease 0 1 0 subnet-mask 255.255.255.0 ip dhcp pool pool2 network 192.168.20.0 255.255.255.0 range 192.168.20.1 192.168.20.10 dns-server 10.0.0.253 default-router 192.168.20.254 lease 0 1 0 subnet-mask 255.255.255.0 service dhcp-server 初期値では RSTP が有効です 本構成例では RSTP は使用していませんので 無効化します no spanning-tree rstp enable 注 VCS 構成時は VCS の制御パケットが送信キュー 7 を使うため その他のパケットを送信キュー 7 に割り当てないでください 具体的には mls qos map cos-queue, mls qos map mark-dscp, mls qos map policed-dscp, mls qos queue, set queue の各コマンドで送信キュー 7 を指定しないようにしてください 特に cos-queue マップの初期設定では CoS 値 7 が送信キュー 7 にマップされているので VCS 構成時は送信キュー 7 を使わないよう mls qos map cos-queue コマンドでマッピングを変更してください 4

SBx908_VCS 設定サンプルその 2 アクセスリストの設定です 各アクセスリスト定義の詳細は 3 ページを参照して下さい 本例では各アクセスリストに該当しないパケットは 全て破棄 というルールを作成しています そのため VLAN10/20 のクライアントが使用している DHCP を許可するためのルールを access-list 3041 で定義していることに注目して下さい access-list 3001 permit udp 192.168.10.1/32 192.168.20.1/32 eq 5004 access-list 3002 permit udp 192.168.10.1/32 192.168.20.2/32 eq 5004 access-list 3003 permit udp 192.168.10.2/32 192.168.20.1/32 eq 5004 access-list 3004 permit udp 192.168.10.2/32 192.168.20.2/32 eq 5004 access-list 3005 permit udp 192.168.20.1/32 192.168.10.1/32 eq 5004 access-list 3006 permit udp 192.168.20.1/32 192.168.10.2/32 eq 5004 access-list 3007 permit udp 192.168.20.2/32 192.168.10.1/32 eq 5004 access-list 3008 permit udp 192.168.20.2/32 192.168.10.2/32 eq 5004 access-list 3021 permit tcp 192.168.10.0/24 10.0.0.251/32 range 20 21 access-list 3022 permit tcp 192.168.10.0/24 10.0.0.252/32 range 20 21 access-list 3023 permit tcp 10.0.0.251/32 range 20 21 192.168.10.0/24 access-list 3024 permit tcp 10.0.0.252/32 range 20 21 192.168.10.0/24 access-list 3026 permit ip 192.168.10.0/24 192.168.10.0/24 access-list 3031 permit tcp 192.168.20.0/24 10.0.0.251/32 range 20 21 access-list 3032 permit tcp 192.168.20.0/24 10.0.0.252/32 range 20 21 access-list 3033 permit tcp 10.0.0.251/32 range 20 21 192.168.20.0/24 access-list 3034 permit tcp 10.0.0.252/32 range 20 21 192.168.20.0/24 access-list 3036 permit ip 192.168.20.0/24 192.168.20.0/24 access-list 3041 permit udp any range 67 68 any range 67 68 access-list 3042 permit udp any 10.0.0.253/32 eq 53 access-list 3043 permit udp 10.0.0.253/32 eq 53 any access-list 3699 deny ip any any 必要な VLAN を作成します vlan database vlan 10,20,30 state enable x600-24ts_1 との間の接続リンクとなるリンクアグリゲーショングループを設定します 2 つのポートをタグポートとして VLAN10/20 にアサインし あわせて LACP を使用したリンクアグリゲーショングループとするため channel-group 1 を作成します また 各 VLAN 間の通信制御を行うため 定義済みのアクセスリストをこれらのポートにアサインします < 次ページへつづく > interface port1.1.1 mode trunk trunk allowed vlan add 10,20 channel-group 1 mode active ip access-group 3001 ip access-group 3002 ip access-group 3003 ip access-group 3004 ip access-group 3005 ip access-group 3006 ip access-group 3007 ip access-group 3008 ip access-group 3021 ip access-group 3022 5

SBx908_VCS 設定サンプルその 3 < 次ページ続き > x600-24ts_1 との間の接続リンクとなるリンクアグリゲーショングループを設定します 2 つのポートをタグポートとして VLAN10/20 にアサインし あわせて LACP を使用したリンクアグリゲーショングループとするため channel-group 1 を作成します また 各 VLAN 間の通信制御を行うため 定義済みのアクセスリストをこれらのポートにアサインします ip access-group 3026 ip access-group 3031 ip access-group 3032 ip access-group 3036 ip access-group 3041 ip access-group 3042 ip access-group 3699 lacp timeout long interface port2.1.1 mode trunk trunk allowed vlan add 10,20 channel-group 1 mode active ip access-group 3001 ip access-group 3002 ip access-group 3003 ip access-group 3004 ip access-group 3005 ip access-group 3006 ip access-group 3007 ip access-group 3008 ip access-group 3021 ip access-group 3022 ip access-group 3026 ip access-group 3031 ip access-group 3032 ip access-group 3036 ip access-group 3041 ip access-group 3042 ip access-group 3699 lacp timeout long 6

SBx908_VCS 設定サンプルその 4 x600-24ts_2 との間の接続リンクとなるリンクアグリゲーショングループを設定します 2 つのポートをタグポートとして VLAN10/20 にアサインし あわせて LACP を使用したリンクアグリゲーショングループとするため channel-group 2 を作成します また 各 VLAN 間の通信制御を行うため 定義済みのアクセスリストをこれらのポートにアサインします < 次ページへつづく > interface port1.1.3 mode trunk trunk allowed vlan add 10,20 channel-group 2 mode active ip access-group 3001 ip access-group 3002 ip access-group 3003 ip access-group 3004 ip access-group 3005 ip access-group 3006 ip access-group 3007 ip access-group 3008 ip access-group 3021 ip access-group 3022 ip access-group 3026 ip access-group 3031 ip access-group 3032 ip access-group 3036 ip access-group 3041 ip access-group 3042 ip access-group 3699 lacp timeout long interface port2.1.3 mode trunk trunk allowed vlan add 10,20 channel-group 2 mode active ip access-group 3001 ip access-group 3002 ip access-group 3003 ip access-group 3004 ip access-group 3005 ip access-group 3006 ip access-group 3007 ip access-group 3008 7

SBx908_VCS 設定サンプルその 5 < 次ページ続き > x600-24ts_2 との間の接続リンクとなるリンクアグリゲーショングループを設定します 2 つのポートをタグポートとして VLAN10/20 にアサインし あわせて LACP を使用したリンクアグリゲーショングループとするため channel-group 2 を作成します また 各 VLAN 間の通信制御を行うため 定義済みのアクセスリストをこれらのポートにアサインします ip access-group 3021 ip access-group 3022 ip access-group 3026 ip access-group 3031 ip access-group 3032 ip access-group 3036 ip access-group 3041 ip access-group 3042 ip access-group 3699 lacp timeout long サーバファーム側の 9924T/4SP との接続リンクとなるリンクアグリゲーショングループを設定します 2 つのポートを VLAN30 にアサインします あわせて LACP を使用したリンクアグリゲーショングループとするため channel-group 3 を作成します また 各 VLAN 間の通信制御を行うため 定義済みのアクセスリストをこれらのポートにアサインします interface port1.1.12 mode access access vlan 30 channel-group 3 mode active ip access-group 3023 ip access-group 3024 ip access-group 3034 ip access-group 3033 ip access-group 3043 ip access-group 3699 lacp timeout long interface port2.1.12 mode access access vlan 30 channel-group 3 mode active ip access-group 3023 ip access-group 3024 ip access-group 3034 ip access-group 3033 ip access-group 3043 ip access-group 3699 lacp timeout long 8

SBx908_VCS 設定サンプルその 6 po1-3 は channel-group を設定すると自動的に作成される論理ポートを表します 各インターフェースに IP アドレスを設定します interface po1-2 mode trunk trunk allowed vlan add 10,20 interface po3 mode access access vlan 30 interface vlan10 ip address 192.168.10.254/24 interface vlan20 ip address 192.168.20.254/24 interface vlan30 ip address 10.0.0.254/24 end 9

x600-24ts_1/_2 設定サンプルその 1 初期値では RSTP が有効です 本構成例では RSTP は使用していませんので 無効化します no spanning-tree rstp enable 必要な VLAN を作成します vlan database vlan 10,20 state enable SBx908-VCS との間の接続リンクとなるリンクアグリゲーショングループを設定します 2 つのポートをタグポートとして VLAN10/20 にアサインし あわせて LACP を使用したリンクアグリゲーショングループとするため channel-group 1 を作成します interface port1.0.1-1.0.2 mode trunk trunk allowed vlan add 10,20 channel-group 1 mode active VLAN10/20 に必要数のポートをアサインします これらのポートはクライアントが接続されるポートとなるため タグなしポートとします interface port1.0.3-13 mode access access vlan 10 interface port 1.0.14-1.0.24 mode access access vlan 20 end 10

9924T/4SP 設定サンプル VLAN30 を作成します 本例では 9924T/4SP は VLAN30 だけ使用しますので すべてのポートをタグなしポートとして追加します create vlan=vlan30 vid=30 add vlan=vlan30 port=all SBx908-VCS との接続リンクとなるリンクアグリゲーショングループを作成します LACP を有効化した後 すべてのポートで LACP を無効化し 必要なポートのみ改めて LACP を有効化します enable lacp delete lacp port=all add lacp port=23-24 11

0120-860442 http://www.allied-telesis.co.jp/ info@allied-telesis.co.jp support@allied-telesis.co.jp www.allied-telesis.co.jp