【図解】VLAN間ルーティングを禁止する設計, 設定 〜ACL,SVI,VRFでの制御の構成例〜

L2 スイッチにはルーティング機能が無いため、VLAN 間ルーティングは単体では不可であり、ルータを経由することで可能となります。(ルータ・オン・ア・スティック)

一方、L3 スイッチでは SVI (VLAN インタフェース)に IPアドレスを付与した時点で、デフォルトで VLAN 間ルーティングが可能な状態となる実装が多いです。それを止めたい場合にはそれなりの設計、設定が必要です。

VLAN 間ルーティングをさせない方法はいくつかあります。

各 VLAN インタフェースに ACL を設定する

これは一番オーソドックスなやり方です。各 VLAN の SVI (VLAN インタフェース)の in 方向に、各 VLAN への IP通信を禁止する ACL (アクセスリスト) を設定するのです。

図にある通り、クライアントへの戻りの通信については outbound 方向なので inbound 方向の ACL は適用されません。

逆に、何者かがクライアントへ行きの通信を送って来た場合、ACL には掛からず受信してしまいますが、今度は戻りの通信が inbound 方向に引っ掛かりますので、TCP の 3way handshake は成功せず、TCP コネクションは確立できません。UDP についても、受信はしてしまいますが、もし DNS のような返信を伴うプロトコルだったとしても返信パケットは ACL で止められます。

この ACL を、よりシンプルにするには、IP 設計にも関わります。

例えばクライアントのセグメント (/24) を 10.1.0.0/16 内のレンジから選定するようにしておけば、ACL が以下のようにシンプルになります。中には例外的に通信させたいものがあるかもしれませんが、そういうときは deny の前に個別の permit ルールを書けばよいのです。

特定 VLAN のみを保護する

『全 VLAN インタフェースに ACL を設定するのは面倒くさいよ!』という方は、もし特定の VLAN だけ孤立させたいなら、その特定 VLAN の in と out 両方に ACL を欠けるのも良いでしょう。

ただ、もしその L3 スイッチに FW が直結しているなら、L3 スイッチには敢えて VLAN インタフェースを作らず (つまり L3 スイッチの該当 VLAN に IP を付与せず)、その VLAN のクライアントのデフォルトゲートウェイを FW にしてしまう、というのも有効な手です。

FW では明示した通信以外は暗黙の拒否で通信断されるので、設定ミスが少ないです。

VRF で保護する

VLAN をグルーピングして、グループ単位でアクセス制御したい、という場合は VRF によるネットワークの分割が有効かもしれません。この構成は、アウトオブバンド管理ネットワークの構成にも効果的です。

アウトオブバンド管理ネットワークについてはこちらを参照下さい。

【図解】セキュアな管理ネットワーク構成〜アウトオブバンド(oob)管理の薦め, マルチホームの注意点〜
【図解】セキュアな管理ネットワーク構成〜アウトオブバンド(oob)管理の薦め, マルチホームの注意点〜
管理ネットワークの種類 管理ネットワークとは一般に、主に 等の管理者のみが必...

シェアする

  • このエントリーをはてなブックマークに追加

フォローする