コンフィグレーションガイド Vol.2

[目次][索引][前へ][次へ]


12.2.3 冗長構成

VRRPと認証VLANを使用した冗長構成での本装置の設定を説明します。

本装置2台でVRRP冗長構成とし,本装置1と本装置2で認証VLANを動作させる場合の構成図を次の図に示します。

図12-7 認証VLAN冗長構成

[図データ]

認証用VLANと認証済みVLANを,冗長化させる複数台の本装置にそれぞれ設定したあと,VRRPを設定します。fense vaa-nameコマンドによるVLANaccessAgentの名称を設定する際は,装置ごとに別の名前を割り当ててください。さらに,各VLAN間のフィルタ設定と,認証用VLANおよび認証済みVLANからサーバ用VLANへDHCPリレーを設定します。

<この項の構成>
(1) 装置1の設定
(2) 装置2の設定

(1) 装置1の設定

(a) DHCPリレーの設定

[設定のポイント]
認証用VLANおよび認証済みVLANからサーバ用VLANへのDHCPリレーを設定します。

[コマンドによる設定]
  1. (config)# interface vlan 2
    (config-if)# ip address 192.168.2.250 255.255.255.0
    (config-if)# ip helper-address 192.168.64.1
    VLAN2にDHCPリレーを設定します。
     
  2. (config)# interface vlan 3
    (config-if)# ip address 192.168.3.250 255.255.255.0
    (config-if)# ip helper-address 192.168.64.1
    VLAN3にDHCPリレーを設定します。
     

(b) 認証ポートの設定

[設定のポイント]
装置4が接続されているポート1/0/1に,認証用VLANと認証済みVLANを設定します。

[コマンドによる設定]
  1. (config)# interface gigabitethernet 1/0/1
    (config-if)# switchport mode mac-vlan
    (config-if)# switchport mac vlan 3
    (config-if)# switchport mac native vlan 2
    ポート1/0/1にMAC VLAN(VLAN 3)とnative vlan(VLAN 2)を設定します。
     

(c) フィルタの設定

[設定のポイント]
認証用VLANからは認証サーバ用VLANに対してHTTP,DHCP,ICMPの通信だけ中継を許可するよう,フィルタ(アクセスリスト)を設定します。また,DHCPの動的IPアドレスを取得要求のパケットを中継許可するよう,フィルタ(アクセスリスト)を設定します。

[コマンドによる設定]
  1. (config)# ip access-list extended 100
    (config-ext-nacl)# permit tcp 192.168.2.0 0.0.0.255 host 192.168.64.1 eq http
    (config-ext-nacl)# permit udp 192.168.2.0 0.0.0.255 host 255.255.255.255 eq bootps
    (config-ext-nacl)# permit udp 192.168.2.0 0.0.0.255 host 192.168.64.1 eq bootps
    (config-ext-nacl)# permit icmp 192.168.2.0 0.0.0.255 host 192.168.64.1
    (config-ext-nacl)# permit vrrp 192.168.2.0 0.0.0.255 host 192.168.64.1
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.64.1
    (config-ext-nacl)# deny ip any any
    アクセスリストを設定します。
     
  2. (config)# interface vlan 2
    (config-if)# ip access-group 100 in
    VLAN2にアクセスグループ100を設定します。
     

(d) 認証VLANの設定

[設定のポイント]
認証VLANのコンフィグレーションコマンドを設定して認証VLANを有効にします。

[コマンドによる設定]
  1. (config)# fense vaa-name switch01
    本装置1のVLANaccessAgentの名称を設定します。
     
  2. (config)# fense 1 vlan 3 192.168.3.0 255.255.255.0
    認証済みVLANのサブネットを設定します。
     
  3. (config)# fense 1 server 192.168.64.1
    VLANaccessControllerのIPアドレスを設定します。
     

(2) 装置2の設定

(a) DHCPの設定

[設定のポイント]
認証前VLANおよび,認証済みVLANからサーバ用VLANへのDHCPリレーを設定します。

[コマンドによる設定]
  1. (config)# interface vlan 2
    (config-if)# ip address 192.168.2.251 255.255.255.0
    (config-if)# ip helper-address 192.168.64.1
    (config-if)# exit
    VLAN 2にDHCPリレーを設定します。
     
  2. (config)# interface vlan 3
    (config-if)# ip address 192.168.3.251 255.255.255.0
    (config-if)# ip helper-address 192.168.64.1
    VLAN 3にDHCPリレーの設定をします。
     

(b) 認証ポートの設定

[設定のポイント]
装置4が接続されているポート1/0/1に,認証用VLANと認証済みVLANを設定します。

[コマンドによる設定]
  1. (config)# interface gigabitethernet 1/0/1
    (config-if)# switchport mode mac-vlan
    (config-if)# switchport mac vlan 3
    (config-if)# switchport mac native vlan 2
    ポート1/0/1にMAC VLAN(VLAN 3)とnative vlan(VLAN 2)を設定します。
     

(c) フィルタの設定

[設定のポイント]
認証用VLANからはサーバ用VLANに対してHTTP,DHCP,ICMPの通信だけ中継を許可するよう,フィルタ(アクセスリスト)を設定します。また,DHCPの動的IPアドレスを取得要求のパケットを中継許可するよう,フィルタ(アクセスリスト)を設定します。

[コマンドによる設定]
  1. (config)# ip access-list extended 100
    (config-ext-nacl)# permit tcp 192.168.2.0 0.0.0.255 host 192.168.64.1 eq http
    (config-ext-nacl)# permit udp 192.168.2.0 0.0.0.255 host 255.255.255.255 eq bootps
    (config-ext-nacl)# permit udp 192.168.2.0 0.0.0.255 host 192.168.64.1 eq bootps
    (config-ext-nacl)# permit icmp 192.168.2.0 0.0.0.255 host 192.168.64.1
    (config-ext-nacl)# permit vrrp 192.168.2.0 0.0.0.255 host 192.168.64.1
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.64.1
    (config-ext-nacl)# deny ip any any
    アクセスリストを設定します。
     
  2. (config)# interface vlan 2
    (config-if)# ip access-group 100 in
    VLAN 2にアクセスグループ100を設定します。
     

(d) 認証VLANの設定

[設定のポイント]
認証VLANのコンフィグレーションコマンドを設定して認証VLANを有効にします。

[コマンドによる設定]
  1. (config)# fense vaa-name switch02
    本装置2のVLANaccessAgentの名称を設定します。
     
  2. (config)# fense 1 vlan 3 192.168.3.0 255.255.255.0
    認証済みVLANのサブネットを設定します。
     
  3. (config)# fense 1 server 192.168.64.1
    VLANaccessControllerのIPアドレスを設定します。
     

[目次][前へ][次へ]


[商品名称に関する表示]

All Rights Reserved, Copyright(C), 2011, 2020, ALAXALA Networks, Corp.