Stage01のスイッチの基本から、VLAN、ルーティング、セキュリティ、運用と自動化まで、この講座で学んできたすべての知識を1つのネットワークに詰め込むとしたら、あなたはどこから手をつけるでしょうか?
いきなり完成形を目指すのではなく、「土台(VLAN)→通信の確立(ルーティング)→利便性(DHCP)→安全性(SSH・ACL)」という順番で、レイヤーを積み上げるように考えてみてください。これはこの講座全体の学び方そのものでもあります。
この演習でできるようになること
- VLANを2つ設計・作成し、トランクとrouter-on-a-stickでVLAN間ルーティングを構築できる
- DHCPサーバー機能で各VLANに自動でIPアドレスを配布できる
- SSH化・ACLを組み合わせ、部署間の通信を安全に制御できる
使用トポロジ
小規模オフィスを想定し、スイッチ1台(総務部VLAN10・開発部VLAN20が混在)、ルーター1台(router-on-a-stickでVLAN間ルーティング兼DHCPサーバー)、各VLANにPCを1台ずつ、さらに共用サーバー(社内サーバー、VLAN30想定)を1台配置します。
準備
- Router 2911を1台、Switch 2960を1台、PC-PTを2台(総務部PC・開発部PC)、Server-PTを1台(社内サーバー)配置します。
- 総務部PCと開発部PCは、それぞれスイッチの異なるアクセスポート(Fa0/1・Fa0/2)にストレートケーブルで接続します。
- スイッチとルーターは、
GigabitEthernet0/0とGigabitEthernet0/1(サブインターフェース使用)をストレートケーブルで接続します(トランクリンクとして使用)。 - サーバーPCは、ルーターの別インターフェース(
GigabitEthernet0/2)にストレートケーブルで接続し、VLAN30(サーバーセグメント)として扱います。 - 各PCとサーバーのIPアドレス設定は、DHCP設定が終わるまでは空欄のままにしておきます。
手順
ステップ1:VLANの作成とアクセスポートの割り当て
まずスイッチにVLAN10(総務部)とVLAN20(開発部)を作成します。
Switch> enable
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name SOUMU
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name KAIHATSU
Switch(config-vlan)# exit
Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit
Switch(config)# interface FastEthernet0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20
Switch(config-if)# exit
ステップ2:トランクの設定
スイッチとルーターをつなぐポートをトランクにします。
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
Switch(config-if)# exit
ステップ3:router-on-a-stickでVLAN間ルーティング
ルーター側でサブインターフェースを作成し、各VLANのゲートウェイとします。
Router> enable
Router# configure terminal
Router(config)# interface GigabitEthernet0/0
Router(config-if)# no shutdown
Router(config-if)# exit
Router(config)# interface GigabitEthernet0/0.10
Router(config-subif)# encapsulation dot1Q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0
Router(config-subif)# exit
Router(config)# interface GigabitEthernet0/0.20
Router(config-subif)# encapsulation dot1Q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0
Router(config-subif)# exit
物理インターフェース自体はカプセル化の設定を持たないためno shutdownだけを行い、サブインターフェースごとにencapsulation dot1QでVLAN番号を紐づけ、それぞれにゲートウェイアドレスを設定します。サーバー側インターフェースにも通常どおりIPアドレスを設定しておきます。
Router(config)# interface GigabitEthernet0/2
Router(config-if)# ip address 192.168.30.1 255.255.255.0
Router(config-if)# no shutdown
ステップ4:DHCPサーバー機能の設定
ルーターをDHCPサーバーとして動作させ、各VLANのPCに自動でIPアドレスを配布します。
Router(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.10
Router(config)# ip dhcp excluded-address 192.168.20.1 192.168.20.10
Router(config)# ip dhcp pool SOUMU-POOL
Router(dhcp-config)# network 192.168.10.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.10.1
Router(dhcp-config)# dns-server 8.8.8.8
Router(dhcp-config)# exit
Router(config)# ip dhcp pool KAIHATSU-POOL
Router(dhcp-config)# network 192.168.20.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.20.1
Router(dhcp-config)# dns-server 8.8.8.8
Router(dhcp-config)# exit
ip dhcp excluded-address で、ルーターやサーバーなど固定IPを使う機器のアドレス範囲をあらかじめ除外しておくのを忘れないようにします。
ステップ5:ルーターのSSH化
管理アクセスを保護するため、Telnetの代わりにSSHでログインできるようにします。
Router(config)# hostname OFFICE-RT
OFFICE-RT(config)# ip domain-name office.local
OFFICE-RT(config)# username admin secret Office2026!
OFFICE-RT(config)# crypto key generate rsa
OFFICE-RT(config)# line vty 0 4
OFFICE-RT(config-line)# transport input ssh
OFFICE-RT(config-line)# login local
OFFICE-RT(config-line)# exit
OFFICE-RT(config)# enable secret EnableSecret2026!
ステップ6:拡張ACLで部署間通信を制御する
開発部(VLAN20)から総務部(VLAN10)への通信は許可しつつ、開発部からサーバーへのTelnetだけを禁止する、という業務要件を想定して拡張ACLを設定します。
OFFICE-RT(config)# access-list 110 deny tcp 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 eq 23
OFFICE-RT(config)# access-list 110 permit ip any any
OFFICE-RT(config)# interface GigabitEthernet0/2
OFFICE-RT(config-if)# ip access-group 110 out
確認
各PCをDHCPでIPアドレスを取得する設定にし、実際に取得できているか確認します。
C:\> ipconfig
IP Address......................: 192.168.10.11
Subnet Mask......................: 255.255.255.0
Default Gateway..................: 192.168.10.1
ルーター側でDHCPの割り当て状況、ルーティングテーブル、VLANの状態を確認します。
OFFICE-RT# show ip dhcp binding
IP address Client-ID/Hardware address Lease expiration Type
192.168.10.11 0100.5079.6001.aa -- Automatic
192.168.20.11 0100.5079.6002.bb -- Automatic
OFFICE-RT# show ip route
192.168.10.0/24 is directly connected, GigabitEthernet0/0.10
192.168.20.0/24 is directly connected, GigabitEthernet0/0.20
192.168.30.0/24 is directly connected, GigabitEthernet0/2
Switch# show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
10 SOUMU active Fa0/1
20 KAIHATSU active Fa0/2
最後に、部署間通信とACLの動作、SSHでの管理アクセスをまとめて確認します。
C:\> ping 192.168.30.10
Reply from 192.168.30.10: bytes=32 time=2ms TTL=254
C:\> telnet 192.168.30.10
Trying 192.168.30.10 ...
% Connection timed out; remote host not responding
PC> ssh -l admin 192.168.10.1
Password:
OFFICE-RT#
開発部からサーバーへのpingは通り、Telnetだけが拒否され、SSHでの管理アクセスが正常に機能していれば、この総合演習は成功です。
合格チェックリスト
- VLAN10(総務部)とVLAN20(開発部)が作成され、正しいアクセスポートに割り当てられている
- スイッチ-ルーター間がトランクとして機能し、
switchport trunk allowed vlanが正しく設定されている - router-on-a-stickにより、サブインターフェース経由でVLAN間ルーティングが機能している
- 各VLANのPCがDHCPで正しいIPアドレス・ゲートウェイを自動取得できる
- ルーターがSSHでログインでき、
enable secretで特権モードが保護されている - 開発部からサーバーへのTelnetのみが拒否され、pingなど他の通信は許可される
show vlan brief・show ip route・show ip dhcp bindingのいずれでも設定内容が正しく確認できる
つまずきポイント
- 物理インターフェースの
no shutdown忘れ:サブインターフェースだけ設定して満足し、親となる物理インターフェース(GigabitEthernet0/0)のno shutdownを忘れると、どのVLANも一切通信できません。まず物理ポートを上げてから、サブインターフェースの設定に進みましょう。 - DHCP除外アドレスの設定漏れ:
ip dhcp excluded-addressを忘れると、ルーター自身のゲートウェイアドレス(.1)がDHCPで別の端末に配布されてしまい、IPアドレスの重複が起こることがあります。プール作成の前に必ず除外設定を済ませておきましょう。 - トランクの許可VLAN設定漏れ:
switchport trunk allowed vlan 10,20を書き忘れる、あるいは片方のVLAN番号を書き忘れると、そのVLANだけ通信できないという分かりにくい障害になります。トランクリンクを設定したら、必ず許可VLANの一覧を確認しましょう。 - ACLの適用インターフェース・方向の取り違え:この演習ではサーバー側インターフェースの
out方向に適用しています。反対側や逆方向に設定すると意図した制御にならないため、トポロジ図で通信の向きを確認しながら設定してください。
router-on-a-stickの構成で、VLAN10・VLAN20どちらのPCからも通信ができませんでした。サブインターフェースの設定自体に誤りが見当たらない場合、次に確認すべき箇所はどこでしょうか?
答えを見る
物理インターフェース(親インターフェース)がno shutdownされているかを確認します。サブインターフェースはカプセル化とIPアドレスを個別に持ちますが、土台となる物理インターフェース自体がシャットダウンされたままでは、どのVLANの通信も一切通りません。
この演習でDHCPプールを設定する前に、ip dhcp excluded-addressでゲートウェイアドレスを除外しておく必要があるのはなぜでしょうか?
答えを見る
除外設定をしておかないと、ルーターのゲートウェイアドレス(各VLANの.1)がDHCPによって他のクライアント端末にも配布されてしまい、IPアドレスの重複が発生するおそれがあるためです。固定IPで使う予定のアドレス(ゲートウェイやサーバーなど)は、DHCPプールの対象範囲からあらかじめ除外しておく必要があります。
講座全体を振り返って
Stage01でスイッチのMACアドレス学習を学んだときは、まだ「1台のスイッチと2台のPC」というシンプルな世界でした。そこから、IPアドレスとサブネッティング、VLANとトランク、STPとEtherChannel、ルーティングとOSPF、そしてこのStage05・06のセキュリティと運用・自動化まで、1つずつ積み上げてきた知識が、この卒業制作では全部つながっています。VLANの設計思想(Stage03)、ルーティングの考え方(Stage04)、SSHとACLによる保護(Stage05)——どれか1つが欠けても、この小規模オフィスネットワークは完成しませんでした。ここまで学んできたことは、決して個別バラバラの知識ではなく、実務でそのまま組み合わせて使える1つの実力になっています。
ここまで本当にお疲れさま。そして、卒業おめでとう! VLAN、トランク、router-on-a-stick、DHCP、SSH、ACL——講座で学んだ要素を全部組み合わせて、1つのオフィスネットワークを自分の手で完成させられたね。最初はenableとconfigure terminalの違いすら手探りだったはずなのに、今ではここまで組み立てられるようになった。実際に手を動かすと、教科書だけで読んでいたときとは全然違う実感があったでしょう? この講座で得た知識と、その"手を動かした記憶"を持って、自信を持ってCCNA試験に、そしてこれからのネットワークエンジニア人生に挑んでいってね。応援してます!