Nedia What's up!

ネディアのエンジニアによるIT技術やサービスの紹介・検証などをお届け!

YAMAHAルータの実機・検証 第4回 部署毎に社内ネットワークを分離


第4回は部署毎に社内ネットワークを分離(VLAN)する設定を行います。

企業でパソコンを使っていないところは少ないと思います。人数の多い企業になるとパソコンの台数も多くなり管理するのがとても大変です。

今回は部署ごとにネットワークを分けることでパソコンの管理を簡単にする設定を行います。

今回もYAMAHA RTX1200を使用します。
このルータはLAN1のポート毎に個別のIPアドレス帯を割り当てることができます。
この機能を使って部署毎にIPアドレス帯を割り当てることでパソコンの管理を簡単にします。

まずはIPアドレスを個別に割り当てます。そのあと各部署間の通信にフィルタリング設定を行います。
フィルタリング設定することで各部署の機密データを他部署に流出することを防ぎます。
まずはネットワークの構成からです。

ネットワーク構成

今回検証するネットワーク構成になります。

filter-network-3

まずはじめに各部署に個別のネットワーク帯を割り当てます。

役員 192.168.0.0/24
営業部 192.168.10.0/24
総務部 192.168.20.0/24

今回はLAN1のポート1~3までを使用します。

ルータの設定内容

 ■ルータ設定内容

■設定後の検証で各部署に設置されているパソコンのアクセス権が確認できました。

  送信先
パソコンA
192.168.0.0/24
パソコンB
192.168.10.0/24
パソコンC
192.168.20.0/24
インターネット
送信元 パソコンA
192.168.0.0/24
パソコンB
192.168.10.0/24
パソコンC
192.168.20.0/24

 ※パソコンへのアクセス確認方法として
・Pingでの通信確認
・共有フォルダへのアクセス確認
を行いました。

フィルタリング設定を行っていないので各部署間のパソコンはアクセスが可能です。

部署間の通信遮断

次に各部署間にフィルタリング設定を行い部署間の通信を遮断します。
部署によっては機密データがあり、他部署にデータの閲覧・編集などされたくない場合があります。部署間の通信を遮断しセキュリティを高くしたい時の設定になります。
検証1は多くの企業で採用されるネットワーク構成になります。

検証1) 役員からは各部署にアクセスすることができ、営業部と総務部間および営業部と総務部からは役員へのアクセスを遮断

■ルータ追加設定

結果は

  送信先

パソコンA
192.168.0.0/24

パソコンB
192.168.10.0/24
パソコンC
192.168.20.0/24
インターネット
送信元 パソコンA
192.168.0.0/24
パソコンB
192.168.10.0/24
× ×
パソコンC
192.168.20.0/24
× ×

 役員は全てのパソコンとインターネットにアクセスできます。営業部パソコンBと総務部パソコンCはお互いアクセスを遮断されなお、役員パソコンAに対してアクセスができません。

各部署のデータを守ろう

企業によっては各部署間のデータを機密とし各部署でしか取扱いができるようにするため場合があります。そうした場合、部署間の通信を遮断することで各部署間のデータ流出などを防ぐことができます。

■ルータ追加設定

■設定追加後の結果は

  送信先
パソコンA
192.168.0.0/24
パソコンB
192.168.10.0/24
パソコンC
192.168.20.0/24
インターネット
送信元 パソコンA
192.168.0.0/24
× ×
パソコンB
192.168.10.0/24
× ×
パソコンC
192.168.20.0/24
× ×

各IPアドレス帯にフィルタリング設定することで通信を遮断しパソコンA、B、Cは所属している各部署の通信およびインターネットのアクセスしかできなくなります。

このように利用する環境にあわせてネットワークの構成を変更し高いセキュリティのネットワークをつくることができます。

いままで紹介した設定はRTX1200でできるほんの一部の機能です。
インタネット回線の二重化、自社サーバの公開、通信のトラフィックの制御などその他にも便利な機能がたくさんあります。
機会があれば実際に活用できる方法や検証などの結果を紹介していきたいと思います。