これは機械翻訳されたテキストであり、誤りを含む可能性があります!
学校のネットワークを考えてみましょう。生徒、教師、管理部門、IoTデバイス(プリンター、スマートスクリーン、カメラ)がすべて同じネットワークを共有しているとします。理論的には、すべてが互いに見える状態です。それは安全でも効率的でもありません。解決策は*セグメンテーション*です。
セグメンテーションの理由
セグメンテーションとは、ネットワークを複数の小さな部分に分割することです。各部分は他の部分から隔離されており、トラフィックがそれらの間で自由に流れません。
| 利点 | 説明 |
|---|---|
| セキュリティ | 侵害されたIoTカメラがサーバーに到達できない |
| パフォーマンス | セグメントごとのブロードキャストトラフィックの減少 |
| 制御 | 異なるユーザーグループに対して異なるルールを適用 |
| トラブルシューティング | 問題を特定のセグメントに隔離しやすくなる |
Et praktisk eksempel
学校のネットワークの例は次のようになります。
- VLAN 10: 管理 - 給与、人事、経営。厳格にアクセスが制限されています。
- VLAN 20: 従業員 - 教師およびその他の職員。共有フォルダーとプリンターへのアクセス。
- VLAN 30: 学生 - インターネットアクセスと学習プラットフォームのみ。
- VLAN 40: IoT - プリンター、スマートスクリーン、カメラ。インターネットアクセスなし(または非常に制限されています)。
- VLAN 50: サーバー - 内部サーバー。他のVLANから直接アクセスできません。
VLANとは?
VLANは、**Virtual Local Area Network**の略です。これは、同じ物理的なスイッチ上に複数の論理ネットワークを作成する方法です。各ネットワークのために個別のスイッチを購入する代わりに、スイッチを設定して、異なるポート(またはトラフィック)を別々のネットワークとして扱います。
各VLANは、独自のアドレス範囲(サブネット)を持ちます:
| VLAN | 名前 | サブネット | ゲートウェイ |
|---|---|---|---|
| 10 | 管理 | 10.0.10.0/24 | 10.0.10.1 |
| 20 | 従業員 | 10.0.20.0/24 | 10.0.20.1 |
| 30 | 学生 | 10.0.30.0/24 | 10.0.30.1 |
| 40 | IoT | 10.0.40.0/24 | 10.0.40.1 |
| 50 | サーバー | 10.0.50.0/24 | 10.0.50.1 |
Subnetting kort forklart
/24 は、アドレスの最初の24ビットがネットワーク部分であることを意味します。 実質的には、各VLANで254個の利用可能なアドレス(.1から.254まで)があることを意味します。
10.0.10.0/24は、10.0.10.1から10.0.10.254までのアドレスを提供します。- ゲートウェイは通常、最初のアドレス(
.1)です。
タグ付き vs. タグなしトラフィック
VLANを複数のスイッチ(またはスイッチとルーターの間)で機能させるには、*タグ付け*が使用されます:
| タイプ | 説明 | 使用 |
|---|---|---|
| タグなし (access) | ポートは1つのVLANに属します。デバイスはVLANを認識しません。 | PC、プリンター、電話 |
| タグ付き (trunk) | ポートは複数のVLANからのトラフィックを伝送し、VLAN IDでマークされます。 | スイッチ間、ルーターへ |
PCやプリンターなどのデバイスは、VLAN上に存在することを認識する必要はありません。それらは、適切なVLANに割り当てられた「access」ポートに接続されます。2つのスイッチ間、またはスイッチとルーター間の接続は、すべてのVLANを伝送する「trunk」ポートを使用します。
課題 1 - VLAN を実際に確認する
もし学校で Unifi または別のネットワーク管理プラットフォームにアクセスできる場合:
- どのような VLAN が設定されているか確認してください。
- どのポートがアクセスポート、そしてどのポートがトランクポートとして設定されていますか?
- あなたの PC がどの VLAN に接続されているか調べてみてください (ヒント: あなたの IP アドレスを確認し、サブネットテーブルと比較してください)
VLAN間のファイアウォールルール
VLANを作成するだけでは仕事の半分です。ファイアウォールルールがないと、トラフィックはルーター/ゲートウェイを介してそれらの間を流れ続ける可能性があります。許可されているものを明示的に決定する必要があります。
| 発信 (ソース) | 宛先 (ターゲット) | 許可? | 理由 |
|---|---|---|---|
| 生徒 | インターネット | ✅ はい | 教育に必要 |
| 生徒 | サーバー | ❌ いいえ | 生徒はサーバーへのアクセスを必要としません |
| 従業員 | サーバー | ✅ はい | ファイルストレージと内部システム |
| IoT | インターネット | ❌ いいえ (または制限付き) | IoTデバイスはインターネットをほとんど必要としません |
| IoT | 生徒/従業員 | ❌ いいえ | IoTは隔離されるべきです |
| サーバー | 全て | ✅ はい (送信) | サーバーはリクエストに応答できます |
Standard: blokker alt, tillat det du trenger
優れたファイアウォールポリシーは、VLAN間のすべてのトラフィックをブロックすることから始まり、必要なものだけを開くことです。すべてを開いた状態で、不要なものをブロックしようとするよりもはるかに安全です。
サブネット
各VLANはそれぞれ固有の*サブネット*を必要とします。 サブネットは、ネットワークのアドレス範囲を定義します。
| サブネット | ネットワークマスク | アドレス数 | 一般的な用途 |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | ほとんどのVLAN |
/25 | 255.255.255.128 | 126 | 小規模セグメント |
/16 | 255.255.0.0 | 65 534 | 大規模ネットワーク |
課題 2 - サブネットを計算する
オンラインのサブネット計算機を使用してください。例:subnet-calculator.com:
192.168.1.0をマスク/24で入力します。何個のアドレスが得られますか?/25に変更するとどうなりますか?または/23は?- 30人の生徒がいる教室には、どれを選ぶでしょうか?
VLAN ごとの DHCP
各 VLAN は、デバイスがそれぞれのセグメントで正しい IP アドレスを取得できるように、独自の DHCP 構成を必要とします。これはルーターまたは専用の DHCP サーバーで構成できます。
生徒 VLAN の例:
| 設定 | 値 |
|---|---|
| サブネット | 10.0.30.0/24 |
| ゲートウェイ | 10.0.30.1 |
| DHCP 範囲 | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
要約
- セグメンテーション は、セキュリティと制御のためにネットワークを隔離された部分に分割します。
- VLAN は、同じ物理スイッチ上の仮想ネットワークです。
- アクセスポート はデバイスを1つのVLANに接続し、トランクポート は複数のVLANを伝送します。
- ファイアウォールルール は、VLAN間の許可されるものを決定します。
- 各VLANには、独自の サブネット と DHCP 設定が必要です。
- 始め方:すべてをブロックし、必要なものだけを許可します。