このページの本文へ

小さな会社の兼任IT担当者、ネットギア「Insight」で社内ネット環境を整える 第12回

有線LANの場合も簡単、「アクセスポート」を設定すれば特定のVLANに接続できる

経理専用PCのネットワークを「NETGEAR Insight」でVLAN隔離する

2021年07月27日 08時00分更新

文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

(※このストーリーはフィクションです。ネットギア以外の実在する人物・組織には一切関係ありません)

経理用のPCやサーバーをネットワーク隔離したい

 ある日、ケンタロウが自席で書類を整理していると、同じフロアにある経理部のカゲヤマがやってきた。カゲヤマはゴチソー弁当の創業時から在籍する、経理と人事をひとりで兼務している大ベテランだ。なにやら経理システムを接続しているネットワークのことで相談があるという。

 「僕の所に、経理業務や銀行振込をするためのデスクトップパソコンと、経理ソフトが入った専用のサーバーがあるんだけど……」と切り出すカゲヤマ。この2台のセキュリティを強化したいのだという。もちろん、それらの端末にログインできるのはカゲヤマと社長だけに制限してあるのだが、2台とも社内ネットワークにはつながっている。これまではあまり気にしていなかったが、来客用のゲストWi-Fiが設置されて、少し心配になってきたのだという。

 たしかに経理や給与、人事といった機密度の高い情報を扱う端末は、ほかのマシンとネットワークを切り離したほうが安心だ。カゲヤマは「僕にはよくわからないけど、別にLANケーブルを引っ張ったりすればいいのかな?」と尋ねるが、もちろんその必要はなく、新たに経理業務専用のVLANを作ってそこに2台の端末だけを接続するようにすれば大丈夫なはずだ。

 すでにケンタロウは、ゲストWi-Fiを設置する際にVLANを新規作成した経験がある。今回もそれと同じだ――と一瞬思ったが、経理業務専用PCやサーバーは有線LAN接続だという。その場合はたしか、スイッチに「アクセスポート」の設定をすれば対応できるはずだ。やってみるしかない。

 カゲヤマに計画を説明したところ、「ありがとう! じゃあ“なる早”でお願いできるかな」と前のめりにOKをもらった。その足で部長に相談し、難なく許諾を得たケンタロウはその日の終業後、早速設定に取りかかった。

有線LANで特定のVLANに接続するための「アクセスポート」

 今回のカゲヤマからのオーダーは、経理業務用のPCやサーバーにほかの社員や来客がネットワークアクセスできないようにしたいというものだ。一般的な企業でも、経理や財務、人事といった部署だけVLANでネットワークを切り分けて(隔離して)、基礎的なセキュリティ対策のひとつとしているケースは多い。ゴチソー弁当でも経理専用VLANを新規作成して、そこに経理PCとサーバーだけを接続できるようにすればよいだろう。

 本連載第9回の記事では、ゲストWi-Fiを設置するためにVLANを新規作成する方法を紹介した。ただし、今回のケースはPCやサーバーを「有線LAN接続」する点が異なる。無線LANの場合は接続先のSSIDとVLANが対応するかたちになっていたが、有線LANの場合は、ケンタロウが思いついたスイッチの「アクセスポート」を利用することになる。

 アクセスポートは、スイッチのポート自身にVLAN IDを設定するもので、そこに接続した端末からのトラフィックにはVLAN IDのタグが付与される。これにより、他のVLANに属する端末からのアクセスをブロックして、ネットワークを隔離することができるわけだ。

 もっとも、物理ポートにVLAN IDを割り当てているだけなので、攻撃者がアクセスポートにPCを接続すればそのVLANに侵入できてしまう。したがって、本格的なセキュリティ対策とするには別途、接続時の端末認証(IEEE 802.1Xなど)を組み合わせることが推奨される。とは言え、VLANやアクセスポートは複雑で高価なシステムを導入する必要がなく、ゴチソー弁当程度の規模の会社であればまずは導入しておいて損はない。

経理専用VLANの作成とアクセスポートの設定

 今回の経理PCとサーバーは、前回記事で導入したInsight対応スマートスイッチ「GS110TPP」に接続することになる。設定手順そのものは、前回とあまり変わらない。

 まずは、経理用PCと経理用サーバーのLANケーブルをそれぞれスイッチに挿す。今回は7番ポートと8番ポートに接続した。

 続いて、この2つのポートをアクセスポートとして設定する。まずはスマートフォンの「NETGEAR Insight」アプリを起動して、設定対象のネットワークロケーション(筆者の場合は「Gochisoo」ネットワーク)を開く。画面下の「ロケーション」タブ、画面中央の「ネットワーク設定」の順にタップすると、現在このネットワークロケーションで設定されているVLANが一覧表示される。

 今回はここに経理用VLANを追加するので、画面右上の「+」をタップしよう。

まずは「NETGEAR Insight」アプリを起動してネットワークロケーションを選択し、設定されているVLAN一覧画面で「+」をタップする

 「ネットワークの設定」という画面が表示されるので、新規追加する経理用VLANの設定を行う。「ネットワーク名」と「VLAN名」「VLAN ID」を設定したら「次へ」をタップする。ネットワーク名やVLAN名は管理用の名前なのでわかりやすいものを付け、VLAN IDは既存のVLANと重複しない番号にする。今回はネットワーク名を「Keiri」、VLAN名は「Keiri VLAN」、VLAN IDは「200」に設定した。

経理用VLANのネットワーク名やVLAN名、VLAN IDを設定

 次の「有線設定」画面が、今回の重要なポイントであるアクセスポートの設定画面だ。先ほどPCとサーバーを接続したGS110TPPスイッチの7番、8番ポートをアクセスポートとして、新規作成したKeiri VLANを割り当てる設定を行う。

 画面にはネットワーク内の機器のポートが一覧表示されているので、GS110TPPスイッチを探す。前回記事の設定で、アクセスポイントと接続している1番/2番ポート、およびルーターと接続している10番ポートはトランクポートに設定済みだ。

 ここで7番ポートと8番ポートのアイコンをタップし、それらが選択された状態で、下に表示されている「アクセスポート」をタップする。これで新たに7番/8番ポートが、Keiri VLAN(VLAN ID:200)のアクセスポートに設定される。設定が終わったら「次へ」をタップする。

「有線設定」の画面。スイッチの7番、8番ポートをタップして「アクセスポート」に設定

 次の画面は「Wi-Fi設定」だが、今回のKeiri VLANは無線LANからのアクセスを許可しないので、SSIDは追加しない。何もせずに「次へ」をタップして画面を進める。

 続いて、Keiri VLANに対するIPアドレス割り当ての設定だ。DHCPサーバーを使うかどうか、利用するIPアドレスという2つの画面で設定を行う。Keiri VLANに割り当てるネットワークアドレスは、既存のVLAN(業務用VLAN、ゲストWi-Fi用VLAN)と異なるものを使う必要がある。とは言え、あまり難しく考えることはなく、「ゲートウェイアドレス」を他のVLANと重複しないサブネットに属するものに設定するだけだ(今回は「192.168.3.1」とした)。さらに「DHCPサーバー」を有効にすると、DHCPで端末に割り当てるアドレスの範囲(開始IP、終了IP)が自動設定される。

Keiri VLANではDHCPでIPアドレスを割り当てることにする。ゲートウェイアドレスは、他のVLANと重複しないように設定すること

 次の「ネットワーク間共有」画面は、Keiri VLANと相互に通信できるVLANを指定する画面だ。今回はほかのVLANと通信させないので、無効の状態のまま次に進む。

 以上で設定は完了だ。最後に今回の設定情報が反映されるネットワーク機器の一覧が表示されるので、「確認」をタップして設定変更処理を行う。

 設定の反映が始まり、問題なければ「成功しました」と書かれた画面が表示される。念のため、ネットワーク設定でKeiri VLANが追加されていることを確認しよう。

最後に設定変更が反映されるネットワーク機器の一覧が表示される。「確認」をタップすると設定変更処理が行われる。「成功しました」の表示後、念のため「Keiri」ネットワークが追加されていることを確認しよう

 念には念を入れて、あともう一押しだ。社員用VLANやゲストWi-FiのVLANからKeiri VLAN内の端末(サーバーなど)にアクセスできないこと、Keiri VLAN内では互いにアクセスできること、Keiri VLANからインターネットにはアクセスできることを確認しておこう。ここまでできたら、完璧だ。

設定が完了したら、きちんとVLAN間が隔離されている(互いに通信できない)ことを確認しよう

 「えーっと、僕のPCからは経理用サーバーにはアクセスできない……OK。カゲヤマさんのPCからは経理用サーバーには……アクセスできる。で、カゲヤマさんのPCからインターネットにもアクセス……できる。うん、これでOKだ」

 一とおりアクセスを確認して問題ないことがわかり、ケンタロウはほっと胸をなで下ろす。

 ケンタロウが作業するようすを隣で見ていたカゲヤマは、「すごいね!」としきりに感心していた。ゴチソー弁当の歴代IT兼務者で、ここまでテキパキと作業できた人はいなかったそうだ。「いやー、僕がすごいんじゃなくて製品が良く出来ているだけですよ」と謙遜しつつも、ちょっと嬉しいケンタロウだった。

(提供:ネットギア)

カテゴリートップへ

この連載の記事