概要

前回はVLAN間ルーティングとインターネットへの接続の設定をした。 keroqueue.hatenablog.com

今回は無線APの追加と、ACLの設定をする。

• 概要
• モチベーション
• やったこと
  • 無線AP導入
    • L3SW トランクポート設定
    • AP 初期設定
    • AP 追加設定
    • AP 設定バックアップ
  • L3スイッチ ACL設定
• 所感と雑記

モチベーション

以下のようなネットワークを構築する。

やったこと

無線AP導入

無線AP導入のために、L3スイッチのと無線AP本体の設定をする。

L3SW トランクポート設定

ネットワーク図の通り無線APは2つのVLANを扱うので、L3スイッチ側でトランクポートの設定をする。

(config-if)# switchport mode trunk
(config-if)# switchport trunk encapsulation dot1q
(config-if)# switchport trunk native vlan <Home vlan-id>
(config-if)# switchport trunk allowed vlan <Home vlan-id>,<Guest vlan-id>

AP 初期設定

設定を行うPC側にFindITというユーティリティを入れておくと、最初の接続が楽。 www.cisco.com

cisco/ ciscoでログイン。

初期設定ウィザードに従って設定を行う。

基本的な設定。

ワイヤレス設定。2.4GHz, 5.0GHz共に設定する。

VLAN IDはHomeのものに合わせる。

ゲストネットワークを使用すると、接続時に認証画面に飛ばせるらしいが、今回は使用しない。

設定の確認。

AP 追加設定

[システム設定] - [管理]からホスト名を設定。

[システム設定] - [LAN]からVLANの設定を行う。ここがハマりポイントだった。Homeと同じVLAN IDを設定。

[ワイヤレス] - [ネットワーク]からゲストネットワークを追加。VLAN IDはL3SW側と合わせる。

AP 設定バックアップ

[管理] - [コンフィギュレーションファイル]からconfigのバックアップを行う。

L3スイッチ ACL設定

SSH接続のACL。HomeとLab以外からのアクセスを遮断する。

(config)# access-list 1 permit <Home Network Address> 0.0.0.255
(config)# access-list 1 permit <Lab Network Address> 0.0.0.255
(config)# line vty 0 4
(config-line)# ip access-group 1 in

HomeのACL。Guestへののアクセスを遮断する。

(config)# access-list 11 deny <Guest Network Address> 0.0.0.255
(config)# access-list 11 permit any
(config)# interface vlan 10
(config-if)# ip access-group 11 out

LabのACL。Guestへののアクセスを遮断する。

(config)# access-list 31 deny <Guest Network Address> 0.0.0.255
(config)# access-list 31 permit any
(config)# interface vlan 30
(config-if)# ip access-group 31 out

GuesのACL。HomeとLabへののアクセスを遮断する。

(config)# access-list 51 deny <Home Network Address> 0.0.0.255
(config)# access-list 51 deny <Lab Network Address> 0.0.0.255
(config)# access-list 31 permit any
(config)# interface vlan 50
(config-if)# ip access-group 51 out

所感と雑記

年末年始に構築まで終わらせていたのに、例のごとく更新が遅くなってしまった。
これでネットワークの構築は終わり。気が向いたらロギングとかやるかもしれない。