オフィス ネットワークの設計 (大規模)

従業員数が400人程度、端末の台数が1,000台程度(2~3台/1人)を想定した
大規模なネットワークをヤマハネットワーク機器で構成した場合の例を以下に示します。

office large Scale Image 01 office large Scale Image 02
お客様の想定利用環境 ネットワークに対するお客様の要件 ネットワーク構成と設計のポイント ネットワーク機器のコンフィグ 関連情報

お客様の想定利用環境

  1. オフィスは複数建屋(A/B棟) 各棟は1F~4Fで、社員は400名程度(各フロア50名程度)
  2. 社員1人あたりの所有端末数は、2~3台(有線端末、無線端末)程度
  3. オフィスには社員用フロアの他にサーバールーム、各フロアごとに会議室を2部屋完備
    • 部署A用のサーバーが5台、部署B用のサーバーが5台、部署C用のサーバーが5台、部署共通用のサーバーが5台で、合計20台をサーバールームで一括管理
    • 社員が共通で使用する複合機は各フロアに3台で合計24台

ネットワークに対するお客様の要件

  1. 安定した無線LAN環境のもとで、ストレスなく業務を遂行したい
  2. 単一障害点(SPOF)を除去して安定したネットワーク環境を構築したい
  3. 不正な端末のネットワークへの侵入を防止したい
  4. LANに接続するユーザー、デバイスを認証したい
  5. 業務に支障がでないように、ゲスト用ネットワークと分離したい
  6. 不要な時間帯に無線LANアクセスポイントを停止することで電力消費を削減したい
  7. ネットワーク管理者の保守・運用業務を軽減したい

ネットワーク構成と設計のポイント

ネットワーク構成図 (全体)

network-office-large-scale-01

ネットワーク構成図 (オフィスA棟 1F)

network-office-large-scale-02

ネットワーク構成図 (オフィスA棟 2F~4F共通)

network-office-large-scale-03

ネットワーク構成図 (オフィスB棟 1F)

network-office-large-scale-04

ネットワーク構成図 (オフィスB棟 2F~4F共通)

network-office-large-scale-05

ネットワーク機器一覧

レイヤー
種類
機種
台数
機能
コア コアスイッチ GbESWX3220-30TCs
2
 冗長化電源とホットスワップによる高い耐障害性
スタックによる冗長化/ LAGによる経路の冗長化
OSPFによるダイナミックルーティング
VLAN間ルーティング / PBR / ACL / QoS / DNSリレー
MAC認証を使用したデバイス認証
RADIUSサーバー
サーバースイッチと各棟のディストリビューションスイッチの収容
ディストリビューション ディストリビューションスイッチ GbESWX3220-30TCs
4
 冗長化電源とホットスワップによる高い耐障害性
スタックによる冗長化/ LAGによる経路の冗長化
OSPFによるダイナミックルーティング
VLAN間ルーティング / PBR / ACL / QoS
DHCPサーバー / DNSリレー
LANマップによるLANの見える化
IEEE 802.1X認証、MAC認証を使用したユーザー/デバイス認証
各棟のフロアスイッチの収容
フロアスイッチ GbESWX2320-16MT
6
 LAGによる経路の冗長化
VLANによるセグメント分割
DHCPスヌーピング
IEEE 802.1X認証、MAC認証を使用したユーザー/デバイス認証
各フロアのアクセススイッチの収容
アクセス サーバースイッチ GbESWX2320-30MC
2
 LAGによる経路の冗長化
VLANによるセグメント分割
DHCPスヌーピング
部署A/B/C用/部署共通用サーバーの収容
MAC認証を使用したデバイス認証
アクセススイッチ (PoE) GbESWX2220P-26NT
16
 LAGによる経路の冗長化
無線LANアクセスポイントへのPoE給電
VLANによるセグメント分割
DHCPスヌーピング
ループ発生時のループ防止
IEEE 802.1X認証、MAC認証を使用したユーザー/デバイス認証
GbESWX2220P-18NT
8
 LAGによる経路の冗長化
無線LANアクセスポイントへのPoE給電
VLANによるセグメント分割
DHCPスヌーピング
ループ発生時のループ防止
IEEE 802.1X認証、MAC認証を使用したユーザー/デバイス認証
アクセススイッチ GbESWX2310-52GT
8
 LAGによる経路の冗長化
VLANによるセグメント分割
DHCPスヌーピング
ループ発生時のループ防止
IEEE 802.1X認証、MAC認証を使用したユーザー/デバイス認証
GbESWX2220-26NT
8
 LAGによる経路の冗長化
VLANによるセグメント分割
DHCPスヌーピング
ループ発生時のループ防止
IEEE 802.1X認証、MAC認証を使用したユーザー/デバイス認証
無線LANアクセスポイント Wi-Fi 6EWLX323
64
 SSID毎にVLANを設定
プライバシーセパレーターによる災害時利用者間の通信遮断
RADIUSクライアントによるユーザー認証
Wi-Fi 6WLX322
16
 SSID毎にVLANを設定
プライバシーセパレーターによる災害時利用者間の通信遮断
RADIUSクライアントによるユーザー認証
オブション アクティブオプティカルケーブル YAOC-100G-1M
8
 QSFP28スロットに装着して使用する
100Gbps接続のアクティブオプティカルケーブル
スタック構成時にスイッチ同士を接続
YAOC-25G-1M
4
 SFP28スロットに装着して使用する
25Gbps接続のアクティブオプティカルケーブル
SFP28モジュール YSFP-25G-LR
8
 SFP28スロットに装着して使用するSFP28モジュール
シングルモード光ファイバーを使用することで、
最大10kmの接続が可能
SFP+モジュール YSFP-10G-SR
76
 SFP+スロットに装着して使用するSFP+モジュール
マルチモード光ファイバーケーブルを使用時、
最大400mの接続が可能
電源ユニット YPSU-550W-AC
6
 SWX3220-30TCs / SWX3220-30MCのオプションの電源ユニット

ネットワーク設計のポイント

  1. インターネット接続と閉域網の接続は、拠点ルーターで実現し、LAN内のレイヤー3機能、IPアドレスの配布は、L3コアスイッチで実現
    • 閉域網 / インターネット 一体型VPNサービス10G回線を2本使用する

  2. 単一障害点(SPOF)を除去して安定したネットワーク環境を実現
    • コアスイッチとディストリビューションスイッチおよび、サーバースイッチはスタックを採用し、下位スイッチとはリンクアグリゲーションで接続してSPOFを除去する
    • コアスイッチとディストリビューションスイッチは冗長化電源とホットスワップ対応で高い耐障害性を実現する

  3. より多くの端末に高速で安定した無線LAN環境を提供
    • 無線LANアクセスポイントとして、Wi-Fi 6E 対応モデル (WLX323) とWi-Fi 6 対応モデル (WLX322) を採用する
    • WLX323/WLX322に搭載されている「適応型ローミングアシスト機能」を使用することで、電波強度に応じて最適な無線LANアクセスポイントへの切り替えを促し、移動しても快適な通信を実現する
    • PoE給電用フロアスイッチとして、2.5ギガビット/10ギガビット対応モデル (SWX2220P-26NT / SWX2220P-18NT) を採用する

  4. スイッチのRADIUSサーバーを利用した認証機能により不正なデバイスからの侵入を防御
    • 社員用は、有線端末にIEEE 802.1X認証方式 (EAP-TLS) 、無線端末に WPA3 (WPA3-EAP) 認証方式で接続端末を認証する
    • ゲスト用は、有線端末にIEEE 802.1X認証方式 (PEAP) 、無線端末に WPA3 (WPA3-SAE) 認証方式で接続端末を認証する
    • 無線端末は、証明書のユーザー登録オプションにSSIDを指定することで、許可していないSSIDの不正アクセスを抑制する

  5. スイッチのスケジュール機能と連携することで、PoE受電機器への給電を制御
    • 平日の業務時間のみ無線LANアクセスポイントへPoE給電することで、業務時間外の電力消費を削減し、無線LANの不正使用を未然に防ぐ

  6. オフィス ネットワークの分割はVLANで実現
    • ゲスト用ネットワークは業務用ネットワークへの影響を軽減するためにQoSで使用帯域を制限する
    • VLAN定義は以下の通り
      • サーバールーム
        • VLAN10 (10.10.0.0/22) : 部署A用
        • VLAN20 (10.20.0.0/22) : 部署B用
        • VLAN30 (10.30.0.0/22) : 部署C用
        • VLAN50 (10.50.0.0/24) : 部署共通用
        • VLAN100 (10.100.0.0/24) : 管理用
        • VLAN200 (10.200.0.0/24) : ルーター間接続用
        • VLAN201 (10.201.0.0/30) : A棟間接続用
        • VLAN202 (10.202.0.0/30) : B棟間接続用
      • オフィスA棟
        • VLAN11 (10.11.0.0/22) : 部署A用
        • VLAN21 (10.21.0.0/22) : 部署B用
        • VLAN31 (10.31.0.0/22) : 部署C用
        • VLAN51 (10.51.0.0/24) : 部署共通用
        • VLAN91 (10.91.0.0/24) : ゲスト用
        • VLAN101 (10.101.0.0/24) : 管理用
        • VLAN201 (10.201.0.0/30) : 棟間接続用
      • オフィスB棟
        • VLAN12 (10.12.0.0/22) : 部署A用
        • VLAN22 (10.22.0.0/22) : 部署B用
        • VLAN32 (10.32.0.0/22) : 部署C用
        • VLAN52 (10.52.0.0/24) : 部署共通用
        • VLAN92 (10.92.0.0/24) : ゲスト用
        • VLAN102 (10.102.0.0/24) : 管理用
        • VLAN202 (10.202.0.0/30) : 棟間接続用

  7. コアルーティングとエッジルーティングを併用することで負荷分散を実現
    • オフィスA/B棟のデフォルトゲートウェイは各ディストリビューションスイッチに設定する
    • 各ディストリビューションスイッチのデフォルトゲートウェイはコアスイッチに設定する
    • コアスイッチ - ルーター間および、コアスイッチ - ディストリビューションスイッチ間はOSPFによるダイナミックルーティングを設定する

  8. LANマップを活用して日頃の保守・運用業務の軽減を図る
  9. SNMPによる管理機能にも対応
  10. シンプルな無線LAN管理を実現
    • WLX323/WLX322に搭載されている「Radio Optimization機能」を有効にすることで、設定を無線環境に合わせて動的に変更し最適化する
    • ヤマハ無線LANアクセスポイントと連携する「LLDP自動設定機能」を使用することで、接続されたWLX323/WLX322を自動的に認識し、LLDPによる死活監視を開始する

ネットワーク機器のコンフィグ

本構成のサンプルコンフィグは後日公開予定です。

本コンフィグは、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

【拠点ルーターについて】
  • 拠点ルーターについては、実環境や構成規模に適したルーターをご使用ください。
【RADIUSクライアント (NAS) の設定について】
  • コアスイッチ SWX3220-30TCsにて、以下コマンドでRADIUSクライアント (NAS) の設定をしてください。
    ( 本コマンドで設定したRADIUSクライアント (NAS) 情報は、コンフィグには表示されません。設定内容は、"#show radius-server local nas" コマンドで確認できます。)
    コアスイッチの管理用IPアドレス 10.100.0.0/24、共有パスワード※"(RADIUSシークレット)"のRADIUSクライアント(NAS)を追加する。
    A棟ディストリビューションスイッチの管理用IPアドレス 10.101.0.0/24、共有パスワード※"(RADIUSシークレット)"のRADIUSクライアント(NAS)を追加する。
    B棟ディストリビューションスイッチの管理用IPアドレス 10.102.0.0/24、共有パスワード※"(RADIUSシークレット)"のRADIUSクライアント(NAS)を追加する。 
    • SWX3220>enable
SWX3220#configure terminal
SWX3220(config)#radius-server local-profile
SWX3220(config-radius)#nas 10.100.0.0/24 key (RADIUSシークレット)
SWX3220(config-radius)#nas 10.101.0.0/24 key (RADIUSシークレット)
SWX3220(config-radius)#nas 10.102.0.0/24 key (RADIUSシークレット)
※ 共有パスワードは、128文字以内、\ [ ] " ? スペースを除く半角英数字・半角記号を使用してください。
【RADIUSサーバーのユーザーの管理について】
  • 有線端末での802.1X認証 (EAP-TLS) ユーザー登録につきまして、ダイナミックVLANは設定しません。
    アクセススイッチの対象となるアクセスVLANポートに接続して認証してください。
  • 無線端末での802.1X認証 (EAP-TLS) ユーザー登録につきまして、各ユーザー毎に接続先 SSIDを設定してください。

関連情報

トップへ