2006年05月19日

L3 Switch の設定に悩む

そろそろ色々なものが整い始めてきたので心臓部、というより中枢神経の付け根である L3 Switch をやっつけてしまおうと、夕方から手を出してみました。

(長くなったので、続きは「追記」に書きます)今までネットワークのトポロジも正確に分かっていない、論理構成もハッキリしない、それぞれの機器の設定やどこに何があるのか、みんなどのように使っているのか、などなどが全く分からず(それでも校内のネットワークの配線図や一部のIPアドレス一覧、ユーザ名とパスワードの一部などが渡されただけでもラッキーでした)、どこから手を付けていいか分かりませんでした。

この一年間ひたすら調べてきたというのが実情です。

前任者に聞くと、この3月まで使っていた旧学籍システムの一部として業者に設定してもらっていたので触ったことがないそうです。

今現在動いているネットワークの中心部である L3 Switch が、万が一設定をおかしくしてしまいきちんと使えなくなってしまったらということもあり、躊躇していました。

しかし、そんなことも言っていられないので、今日気合いを入れてがっぷり四つに取り組んでみました。

今まで色々調べてきて
分かったこと。

ネットワークは大きく3つに分かれている。

1.旧学籍システムと共用で使っていたネットワーク(教員系)
2.インターネットのネットワーク(インターネットとはブロードバンドルータ越しで繋がっている)(インターネット系)
3.PC室内のネットワーク(生徒系)


このPC室のネットワークは別回線でインターネットに接続しており、2とは全く繋がっていない。また新しい学籍システムはまったく別(これを含めるともう一つネットワークがあることになる)。


そこへ新たに、

4.LL教室のネットワーク


を自前で設定しました。


やりたいこと。

1.PC室とLL教室を繋ぎたい。(独自性を保ちながら一つの生徒系としてまとめる)
2.PC室のサーバとLL教室にこれから設置するサーバを情報科準備室から遠隔管理したい。
3.L3 Switch 自体を遠隔管理したい(後で書きます)
4.やがて校内の各教室にLAN配線が来たときにPC室やLL教室と同様の生徒系LANとしてまとめたい。
5.教員系から生徒系のサーバに置いた公開ファイル(Webページなど)が閲覧できるようにしたい。



3月末の工事で5FのPC室から L3 Switch までの配線と、1FLL教室から L3 Switch までの配線はしてもらいました。そこで L3 Switch の設定さえできれば、上記のことのが基本的にできるようになるはずです。

さて、L3 Switch ですが、最初はマニュアルさえありませんでした。そこで型番を調べ製造会社のHPからpdfのマニュアルをダウンロードしてすべて印刷しました。4MBを越え、140ページありました。コマンドリファレンスは別でHTML形式になっていて400ファイルぐらいありました。

以前に書いたとおり、なぜかtelnetはできず、RS-232C ケーブルで直結する以外に接続する方法はありません。それを含めて今回探ってみました。

まず、ルーティングがどのようにされているのか調べました。

SHOW IP ROUTE

というコマンドで表示されるのですが、よく解りません。一応前任校でルータを複数台組み合わせたネットワークを組んできましたので、簡単なスタティックルーティングは分かるつもりです。しかし、マニュアルをよくよく読んでみて分かりました。ルーティングは何も設定しなくてもできるのです!

 あるVLAN として複数のポートを(ここで言うポートは、TCP/IP でのポート番号ではなく、L3 Swith の物理的な差し込み口のことです)を設定し代表的な IPアドレスを指定します。するとその IPアドレスが VLAN での Gateway となり、複数の VLAN 同士は勝手にルーティングされるのでした。いちいち「ええっと、宛先はどこだからここから入ったらこちらへ行くようにして」などと設定する必要はないのでした。

そんな簡単なことだったのか! と驚いてしまいました。

そして実際の制御は、IP filter として設定するのでした。

後は、暗号のようなフィルタの解読です。例えば教員系のLANの設定はこうなっていました。

add ip filter=10 so=10.0.0.0 sm=255.255.255.0 des=10.0.1.100 dm=255.255.255.255 ac=include
add ip filter=10 so=10.0.0.0 sm=255.255.255.0 ac=exclude
(※IPアドレスは実際のものではありません)

意味がさっぱり分かりません。省略形で書かれているのです。またマニュアルを丹念に調べました。まず、「add ip filter=10」ですが、これはフィルタリング番号10にフィルタ規則を追加するぞ、と言う命令です。

so=10.0.0.0 sm=255.255.255.0
送信元のネットワークアドレスが10.0.0.0、送信元サブネットマスク255.255.255.0

des=10.0.1.100 dm=255.255.255.255
送信先のIPアドレスが10.0.1.100のみ、

ac=include
以上の条件が成り立った場合通過。

2行目は、

so=10.0.0.0 sm=255.255.255.0
上記と同じ。

ac=exclude
以上の条件が成り立った場合破棄。

これらの条件がフィルタ番号10番に設定されます。これが例えば vlan15(ネットワークアドレス 10.0.0.0 )に設定されていたとすると、

「vlan15 からのパケットは、10.0.1.100 宛のみ通過し、それ以外のパケットはすべて破棄する」

という意味になります。実際のものとは異なりますが、ここで、

network=10.0.0.0 mask=255.255.255.0
は「教員系」LANのこと。

network=10.0.1.0 mask=255.255.255.0
は「インターネット系」LANのことを示します。

つまり教員系LANからインターネット系に置かれたPC(アドレス10.0.1.100)宛のみ通過し、それ以外は教員系から外に出さない、と言うことを示しています。ここで 10.0.1.100 とは何かというとウィルスバスターのサーバです。教員系に置かれたPCと言えど、ウィルスバスターのパターンファイルを更新しなければなりません。そこでウィルスバスターのサーバ宛のみ通過させ、それ以外は通過できないようになっているわけです。フィルタのエントリは順番に適用され、マッチしたらそこで終わる(その後の条件は見ることがない)要になっています。

そこでようやく telnet ができないわけが分かりました。ここでの vlan15 としての、L3 Switch の IPアドレスは、10.0.0.254 と設定され、教員系LAN の Gateway に指定されているので、教員系LAN に置かれたPCは、10.0.1.100 宛のパケットはフィルタ番号10番により、ウィルスバスターのサーバにちゃんと届きます。

しかし、L3 Switch の IPアドレスである 10.0.0.254 宛に ping を送ろうが、telnet をしようが、ウィルスバスター宛ではないパケットは2番目の条件によりすべて破棄されてしまうのです。

そこで、次のように設定を変えました。

add ip filter=10 so=10.0.0.0 sm=255.255.255.0 des=10.0.1.100 dm=255.255.255.255 ac=include
add ip filter=10 so=10.0.0.0 sm=255.255.255.0 des=10.0.0.0 dm=255.255.255.0 ac=include
add ip filter=10 so=10.0.0.0 sm=255.255.255.0 ac=exclude

1番目の条件により、ウィルスバスターのサーバ宛はそこにいきます。
2番目の条件により、自分のネットワーク宛は返します。
3番目の条件により、以上の当てはまらなかったパケットはすべて破棄します。

これにより、10.0.0.254宛のパケットは破棄されずに届くようになります。そのようにしてみると、ちゃんと ping も返ってくるし、telnet もできるようになりました。

これを応用して、

送信元=教員系 送信先=PC教室 ……通す
送信元=PC教室 ……破棄

送信元=教員系 送信先=LL教室 ……通す
送信元=LL教室 ……破棄

送信元=PC教室 送信先=LL教室のサーバ ……通す
送信元=PC教室 ……破棄

送信元=LL教室 送信先=PC教室のサーバ ……通す
送信元=LL教室 ……破棄

といったフィルタを設定しました。これにより、

教員系LAN から、PC教室やLL教室へのパケットは通過。
PC教室とLL教室のPCは、互いに相手のサーバだけは通過。
それ以外はすべて破棄。

というフィルタが設定されました。ping レベルではうまくいったようです。

この辺で20時を回ったので今日の作業は終わりにしました。明日それぞれの部屋の PC から相手のサーバへ ping が通ったら成功です。明日が楽しみです。
posted by n_shimizu at 01:21| Comment(2) | TrackBack(0) | 校内ネットワーク
この記事へのコメント
私も今、L3の設定を勉強したいと思っています。こ
の記事プリントアウトさせていただきました。
じっくり読んでみます。
詳細な記述、ありがとうございます。
Posted by 田中 洋 at 2006年05月19日 16:14
実は今日試してみるとまだうまくいっていません。L3 Switch に telnet ではいったシェル上で、各部屋のサーバ宛に ping を打つとそれぞれ返ってくるので、できたできたと喜んでいたのですが、どうもルーティングはされていません。というよりフィルタで落とされているようです。もう一度設定をよく見直してみたいと思います。
Posted by n_shimizu at 2006年05月19日 19:16
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/697584
※言及リンクのないトラックバックは受信されません。

この記事へのトラックバック