STAGE 06 / 総仕上げ

PT演習 6-3:卒業制作、小規模オフィスネットワークをゼロから構築する

考えてみよう

Stage01のスイッチの基本から、VLAN、ルーティング、セキュリティ、運用と自動化まで、この講座で学んできたすべての知識を1つのネットワークに詰め込むとしたら、あなたはどこから手をつけるでしょうか?

いきなり完成形を目指すのではなく、「土台(VLAN)→通信の確立(ルーティング)→利便性(DHCP)→安全性(SSH・ACL)」という順番で、レイヤーを積み上げるように考えてみてください。これはこの講座全体の学び方そのものでもあります。

この演習でできるようになること

使用トポロジ

小規模オフィスを想定し、スイッチ1台(総務部VLAN10・開発部VLAN20が混在)、ルーター1台(router-on-a-stickでVLAN間ルーティング兼DHCPサーバー)、各VLANにPCを1台ずつ、さらに共用サーバー(社内サーバー、VLAN30想定)を1台配置します。

完成したオフィスネットワークで、VLAN10のPCとVLAN20のPCがそれぞれDHCPでIPを取得し、サーバーへのpingが通っている状態。show vlan brief、show ip route、show ip dhcp bindingの実行結果もあわせて掲載
完成したオフィスネットワークで、VLAN10のPCとVLAN20のPCがそれぞれDHCPでIPを取得し、サーバーへのpingが通っている状態。show vlan brief、show ip route、show ip dhcp bindingの実行結果もあわせて掲載

準備

  1. Router 2911を1台、Switch 2960を1台、PC-PTを2台(総務部PC・開発部PC)、Server-PTを1台(社内サーバー)配置します。
  2. 総務部PCと開発部PCは、それぞれスイッチの異なるアクセスポート(Fa0/1・Fa0/2)にストレートケーブルで接続します。
  3. スイッチとルーターは、GigabitEthernet0/0GigabitEthernet0/1(サブインターフェース使用)をストレートケーブルで接続します(トランクリンクとして使用)。
  4. サーバーPCは、ルーターの別インターフェース(GigabitEthernet0/2)にストレートケーブルで接続し、VLAN30(サーバーセグメント)として扱います。
  5. 各PCとサーバーのIPアドレス設定は、DHCP設定が終わるまでは空欄のままにしておきます。

手順

ステップ1:VLANの作成とアクセスポートの割り当て

まずスイッチにVLAN10(総務部)とVLAN20(開発部)を作成します。

Switch> enable
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name SOUMU
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name KAIHATSU
Switch(config-vlan)# exit
Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit
Switch(config)# interface FastEthernet0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20
Switch(config-if)# exit

ステップ2:トランクの設定

スイッチとルーターをつなぐポートをトランクにします。

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
Switch(config-if)# exit

ステップ3:router-on-a-stickでVLAN間ルーティング

ルーター側でサブインターフェースを作成し、各VLANのゲートウェイとします。

Router> enable
Router# configure terminal
Router(config)# interface GigabitEthernet0/0
Router(config-if)# no shutdown
Router(config-if)# exit
Router(config)# interface GigabitEthernet0/0.10
Router(config-subif)# encapsulation dot1Q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0
Router(config-subif)# exit
Router(config)# interface GigabitEthernet0/0.20
Router(config-subif)# encapsulation dot1Q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0
Router(config-subif)# exit

物理インターフェース自体はカプセル化の設定を持たないためno shutdownだけを行い、サブインターフェースごとにencapsulation dot1QでVLAN番号を紐づけ、それぞれにゲートウェイアドレスを設定します。サーバー側インターフェースにも通常どおりIPアドレスを設定しておきます。

Router(config)# interface GigabitEthernet0/2
Router(config-if)# ip address 192.168.30.1 255.255.255.0
Router(config-if)# no shutdown

ステップ4:DHCPサーバー機能の設定

ルーターをDHCPサーバーとして動作させ、各VLANのPCに自動でIPアドレスを配布します。

Router(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.10
Router(config)# ip dhcp excluded-address 192.168.20.1 192.168.20.10
Router(config)# ip dhcp pool SOUMU-POOL
Router(dhcp-config)# network 192.168.10.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.10.1
Router(dhcp-config)# dns-server 8.8.8.8
Router(dhcp-config)# exit
Router(config)# ip dhcp pool KAIHATSU-POOL
Router(dhcp-config)# network 192.168.20.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.20.1
Router(dhcp-config)# dns-server 8.8.8.8
Router(dhcp-config)# exit

ip dhcp excluded-address で、ルーターやサーバーなど固定IPを使う機器のアドレス範囲をあらかじめ除外しておくのを忘れないようにします。

ステップ5:ルーターのSSH化

管理アクセスを保護するため、Telnetの代わりにSSHでログインできるようにします。

Router(config)# hostname OFFICE-RT
OFFICE-RT(config)# ip domain-name office.local
OFFICE-RT(config)# username admin secret Office2026!
OFFICE-RT(config)# crypto key generate rsa
OFFICE-RT(config)# line vty 0 4
OFFICE-RT(config-line)# transport input ssh
OFFICE-RT(config-line)# login local
OFFICE-RT(config-line)# exit
OFFICE-RT(config)# enable secret EnableSecret2026!

ステップ6:拡張ACLで部署間通信を制御する

開発部(VLAN20)から総務部(VLAN10)への通信は許可しつつ、開発部からサーバーへのTelnetだけを禁止する、という業務要件を想定して拡張ACLを設定します。

OFFICE-RT(config)# access-list 110 deny tcp 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 eq 23
OFFICE-RT(config)# access-list 110 permit ip any any
OFFICE-RT(config)# interface GigabitEthernet0/2
OFFICE-RT(config-if)# ip access-group 110 out

確認

各PCをDHCPでIPアドレスを取得する設定にし、実際に取得できているか確認します。

C:\> ipconfig

IP Address......................: 192.168.10.11
Subnet Mask......................: 255.255.255.0
Default Gateway..................: 192.168.10.1

ルーター側でDHCPの割り当て状況、ルーティングテーブル、VLANの状態を確認します。

OFFICE-RT# show ip dhcp binding
IP address       Client-ID/Hardware address    Lease expiration    Type
192.168.10.11     0100.5079.6001.aa             --                  Automatic
192.168.20.11     0100.5079.6002.bb             --                  Automatic

OFFICE-RT# show ip route
     192.168.10.0/24 is directly connected, GigabitEthernet0/0.10
     192.168.20.0/24 is directly connected, GigabitEthernet0/0.20
     192.168.30.0/24 is directly connected, GigabitEthernet0/2

Switch# show vlan brief
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
10   SOUMU                            active    Fa0/1
20   KAIHATSU                         active    Fa0/2

最後に、部署間通信とACLの動作、SSHでの管理アクセスをまとめて確認します。

C:\> ping 192.168.30.10

Reply from 192.168.30.10: bytes=32 time=2ms TTL=254

C:\> telnet 192.168.30.10

Trying 192.168.30.10 ...
% Connection timed out; remote host not responding

PC> ssh -l admin 192.168.10.1
Password:

OFFICE-RT#

開発部からサーバーへのpingは通り、Telnetだけが拒否され、SSHでの管理アクセスが正常に機能していれば、この総合演習は成功です。

合格チェックリスト

つまずきポイント

確認問題

router-on-a-stickの構成で、VLAN10・VLAN20どちらのPCからも通信ができませんでした。サブインターフェースの設定自体に誤りが見当たらない場合、次に確認すべき箇所はどこでしょうか?

答えを見る

物理インターフェース(親インターフェース)がno shutdownされているかを確認します。サブインターフェースはカプセル化とIPアドレスを個別に持ちますが、土台となる物理インターフェース自体がシャットダウンされたままでは、どのVLANの通信も一切通りません。

確認問題

この演習でDHCPプールを設定する前に、ip dhcp excluded-addressでゲートウェイアドレスを除外しておく必要があるのはなぜでしょうか?

答えを見る

除外設定をしておかないと、ルーターのゲートウェイアドレス(各VLANの.1)がDHCPによって他のクライアント端末にも配布されてしまい、IPアドレスの重複が発生するおそれがあるためです。固定IPで使う予定のアドレス(ゲートウェイやサーバーなど)は、DHCPプールの対象範囲からあらかじめ除外しておく必要があります。

講座全体を振り返って

Stage01でスイッチのMACアドレス学習を学んだときは、まだ「1台のスイッチと2台のPC」というシンプルな世界でした。そこから、IPアドレスとサブネッティング、VLANとトランク、STPとEtherChannel、ルーティングとOSPF、そしてこのStage05・06のセキュリティと運用・自動化まで、1つずつ積み上げてきた知識が、この卒業制作では全部つながっています。VLANの設計思想(Stage03)、ルーティングの考え方(Stage04)、SSHとACLによる保護(Stage05)——どれか1つが欠けても、この小規模オフィスネットワークは完成しませんでした。ここまで学んできたことは、決して個別バラバラの知識ではなく、実務でそのまま組み合わせて使える1つの実力になっています。

ゆみちゃん
ゆみ

ここまで本当にお疲れさま。そして、卒業おめでとう! VLAN、トランク、router-on-a-stick、DHCP、SSH、ACL——講座で学んだ要素を全部組み合わせて、1つのオフィスネットワークを自分の手で完成させられたね。最初はenableとconfigure terminalの違いすら手探りだったはずなのに、今ではここまで組み立てられるようになった。実際に手を動かすと、教科書だけで読んでいたときとは全然違う実感があったでしょう? この講座で得た知識と、その"手を動かした記憶"を持って、自信を持ってCCNA試験に、そしてこれからのネットワークエンジニア人生に挑んでいってね。応援してます!