イノベーション エンジニアブログ


株式会社イノベーションのエンジニアたちの技術系ブログです。ITトレンド・List Finderの開発をベースに、業務外での技術研究などもブログとして発信していってます!


このエントリーをはてなブックマークに追加

お客様用インターネットの設定をした時のメモ

AMIです
先日、会社にお客様用Wi-Fiが利用できるように設定をしました。
弊社のネットワーク魔術師であるKTN先生※を講師に
小柳津くんと一緒に、ネットワークの基礎から教えていただいたので、その時のことを忘れないようにメモします。
※KTN先生の前回の記事:http://tech.innovation.co.jp/2017/04/13/Suffer-Fortigate-V-L-A-N.html

■現状を知る

まずは現在使われている機器の紹介

・UTM :FortiGate80C
 社内のLANをWANに繋いでくれるやつ

・L2スイッチ
 OSI参照モデルの、Layer2の原理を使って情報を振り分ける機器
 LANケーブルを刺す穴を増やしてくれたりする

・アクセスポイント :ゼブラ AP7522
 無線でインターネットに繋げられるようにWi-Fiを飛ばしてくれるやつ

3つの機器を使った構成図はこんな感じです

1.png

■構成を考えてみる

現状の図を見ていただくと分かるように、
現在はアクセスポイントから社内用のネット1つだけが接続できる状態ですが、
新たにゲスト用のWi-Fiに繋げられるように考えてみます。

2.png

通常、一つのLANケーブル接続口から通信できるネットワーク(社内用・お客様用等)は1つです。
アクセスポイントから2つのインターネット通信を実現しようとした場合、
アクセスポイントとL2スイッチをつなぐLANケーブルを一つ増やさなければいけません!

そんな時に、トランクという技術があります。
トランクとは、一つのLANポートで複数のインターネット通信を扱うことができるようになる技術です。
LANケーブルは通常と変わらず、LANケーブルを挟む2つの機器が、トランクに対応している必要があります。

現在使っているL2スイッチがトランク対応しておらず、ピンチ!だったのですが、そこで
トランクに対応しているスイッチ(Cisco Catalyst 2960L-24PS-LL)を購入いたしました。
KTN先生記事参照:http://tech.innovation.co.jp/2017/04/13/Suffer-Fortigate-V-L-A-N.html

それを踏まえた上で、以下のように設定しようと思います。

3.png

■設定してみる

まずはL2スイッチの設定をします。
L2と、PCをLANで接続します。

アクセスポイントとつなぐ1〜6番ポートと、UTMとつなぐ24番ポートをTRUNKの設定にします。

4.png

L2スイッチ内に、VLANの設定を行います。
VLANとは、複数のポートを同じネットワークで使う際にグルーピングするために使うタグのようなものです。
社内用と、お客様用のネットワーク2つ分のVLANを作成します。

5.png

VLAN100を社内用、VLAN200をお客様用ネットワークとして使うこととします。


次にUTMの設定を行います。
FortiGate80Cは、ブラウザ上で設定を行うことができます。
各ポートの設定をみてみると

5.png

1〜6まであるLANポートが、internal設定(どこに繋いでも一緒)設定になっていることがわかりました。
そこで、internalの中にVLAN100、VLAN200をそれぞれ作成し、社内用・お客様用の2つの通信を受け取れる設定にしようとしました。

6.png

ですが、internal内にVLAN100を設定しようとすると、internalとVLAN100でローカルアドレスが被ってしまい設定することができず、
internalからIPアドレスの設定を外し、VLAN100に既存のローカルIPアドレスを振るともともと使用していた通信(各デスクに繋いでいる有線のLANケーブルなど)を
一度停止しなければならないという問題にぶつかりました。
このままでは、お客様用のWi-Fiは繋がっても、社内の人が通信できなくなってしまいます!

7.png

そこで使ったのが、「ネイティブVLAN設定」というものです。
ネイティブVLANの設定を行うと、通信にVLANのタグを付けずに通信を行うようになります。
L2の24番ポートのネイティブVLANをVLAN100にすると、以下のようになります。

8.png

L2はVLAN100がnativeVLANなのでVLANのタグをとってUTMに通信を送り、
UTMは、VLANタグがついていない通信が来るので、internalで受け取ることができるようになります!
その後、SSID名やパスワードを設定し、無事にゲストWi-Fiを作ることができました!

■終わりに

日常の業務ではなかなかできない経験ができ、とても楽しかったです。
ネットワークを作ったときが、ちょうど最近オープンした弊社のサテライトオフィスである
SalesTechLab(https://prtimes.jp/main/html/rd/p/000000037.000014573.html)の
使用前のUTMやアクセスポイントがあったことで試しにやってみて、PC同士を繋いで・・・
という練習をすることができたのもタイムリーでラッキーでした!
KTN先生ありがとうございました!

おわり