オフィス ネットワークの設計 (中規模)

従業員数が200人程度、端末の台数が500台程度(2~3台/1人)を想定した
中規模なネットワークをヤマハネットワーク機器で構成した場合の例を以下に示します。

office middle Scale Image 01 office middle Scale Image 02
お客様の想定利用環境 ネットワークに対するお客様の要件 ネットワーク構成と設計のポイント ネットワーク機器のコンフィグ 関連情報

お客様の想定利用環境

  1. オフィスは1F~4Fで、社員は200名程度(各フロア50名程度)
  2. 社員1人あたりの所有端末数は、2~3台(有線端末、無線端末)程度
  3. オフィスには社員用フロアの他にサーバールーム、各フロアごとに会議室を2部屋完備
    • 部署A用のサーバーが3台、部署B用のサーバーが3台、部署C用のサーバーが3台、部署共通用のサーバーが3台で、合計12台をサーバールームで一括管理
    • 社員が共通で使用する複合機は各フロアに3台で合計12台

ネットワークに対するお客様の要件

  1. 安定した無線LAN環境のもとで、ストレスなく業務を遂行したい
  2. 単一障害点(SPOF)を除去して安定したネットワーク環境を構築したい
  3. 不正な端末のネットワークへの侵入を防止したい
  4. LANに接続するユーザー、デバイスを認証したい
  5. 業務に支障がでないように、ゲスト用ネットワークと分離したい
  6. 不要な時間帯に無線LANアクセスポイントを停止することで電力消費を削減したい
  7. ネットワーク管理者の保守・運用業務を軽減したい

ネットワーク構成と設計のポイント

ネットワーク構成図 (全体)

network-office-middle-scale-01

ネットワーク構成図 (2F~4F共通)

network-office-middle-scale-02

ネットワーク機器一覧

レイヤー
種類
機種
台数
機能
拠点ルーター GbERTX1300
2
 VRRPによるインターネット回線の冗長化
IPフィルター / DNSサーバー
インターネット接続
コア コアスイッチ GbESWX3220-30TCs
1
 冗長化電源とホットスワップ対応で高い耐障害性
LAGによる経路の冗長化
VLAN間ルーティング / DHCPサーバー
PBR / ACL / QoS
LANマップによるLANの見える化
RADIUSサーバー
サーバースイッチと各フロアのフロアスイッチの収容
ディストリビューション フロアスイッチ GbESWX2320-16MT
4
 LAGによる経路の冗長化
VLANによるセグメント分割
無線LANアクセスポイント、IP電話、IPカメラへのPoE給電
DHCPスヌーピング
IEEE 802.1X認証、MAC認証を使用したユーザー/デバイス認証
各フロアのアクセススイッチの収容
アクセス サーバースイッチ GbESWX2320-30MC
1
 LAGによる経路の冗長化
VLANによるセグメント分割
DHCPスヌーピング
部署A/B/C用/部署共通用サーバーの収容
MAC認証を使用したデバイス認証
アクセススイッチ (PoE) GbESWX2220P-26NT
8
 LAGによる経路の冗長化
無線LANアクセスポイントへのPoE給電
VLANによるセグメント分割
DHCPスヌーピング
ループ発生時のループ防止
IEEE 802.1X認証、MAC認証を使用したユーザー/デバイス認証
GbESWX2220P-18NT
4
 LAGによる経路の冗長化
無線LANアクセスポイントへのPoE給電
VLANによるセグメント分割
DHCPスヌーピング
ループ発生時のループ防止
IEEE 802.1X認証、MAC認証を使用したユーザー/デバイス認証
アクセススイッチ GbESWX2310-52GT
4
 LAGによる経路の冗長化
VLANによるセグメント分割
DHCPスヌーピング
ループ発生時のループ防止
IEEE 802.1X認証、MAC認証を使用したユーザー/デバイス認証
GbESWX2220-26NT
4
 LAGによる経路の冗長化
VLANによるセグメント分割
DHCPスヌーピング
ループ発生時のループ防止
IEEE 802.1X認証、MAC認証を使用したユーザー/デバイス認証
無線LANアクセスポイント Wi-Fi 6EWLX323
32
 SSID毎にVLANを設定
プライバシーセパレーターによる災害時利用者間の通信遮断
RADIUSクライアントによるユーザー認証
Wi-Fi 6WLX322
8
 SSID毎にVLANを設定
プライバシーセパレーターによる災害時利用者間の通信遮断
RADIUSクライアントによるユーザー認証
オブション アクティブオプティカルケーブル YAOC-100G-1M
2
 QSFP28スロットに装着して使用する
100Gbps接続のアクティブオプティカルケーブル
SFP+モジュール YSFP-10G-SR
32
 SFP+スロットに装着して使用するSFP+モジュール
マルチモード光ファイバーケーブルを使用時、
最大400mの接続が可能
電源ユニット YPSU-550W-AC
1
 SWX3220-30TCs / SWX3220-30MCのオプションの電源ユニット

ネットワーク設計のポイント

  1. インターネット接続と閉域網の接続は、拠点ルーターで実現し、LAN内のレイヤー3機能、IPアドレスの配布は、L3コアスイッチで実現
    • インターネット10G回線を2本と閉域網の10G回線を2本使用する

  2. Webアプリケーションサービスを一斉に利用しても、ストレスなく快適な通信環境を実現
    • NATセッション数が250,000に対応した10ギガアクセスVPNルーター (RTX1300) を2台採用する

  3. VRRP機能を利用してルーターおよびインターネット回線の冗長化を実現
    • インターネット10G回線を2本使用することで、2つのゲートウェイで運用する
    • ネットワークの負荷分散はコアスイッチの「等コストマルチパス」を使用する
    • ロードバランスのルールとして「送信元IPアドレスと送信先IPアドレス」を使用する

  4. 単一障害点(SPOF)を除去して安定したネットワーク環境を実現
    • スイッチ間はリンクアグリゲーションで接続してSPOFを除去する
    • コアスイッチは冗長化電源とホットスワップ対応で高い耐障害性を実現する

  5. より多くの端末に高速で安定した無線LAN環境を提供
    • 無線LANアクセスポイントとして、Wi-Fi 6E 対応モデル (WLX323) とWi-Fi 6 対応モデル (WLX322) を採用する
    • WLX323/WLX322に搭載されている「適応型ローミングアシスト機能」を使用することで、電波強度に応じて最適な無線LANアクセスポイントへの切り替えを促し、移動しても快適な通信を実現する
    • PoE給電用フロアスイッチとして、2.5ギガビット/10ギガビット対応モデル (SWX2220P-26NT / SWX2220P-18NT) を採用する

  6. スイッチのRADIUSサーバーを利用した認証機能により不正なデバイスからの侵入を防御
    • 社員用は、有線端末にIEEE 802.1X認証方式 (EAP-TLS) 、無線端末に WPA3 (WPA3-EAP) 認証方式で接続端末を認証する
    • ゲスト用は、有線端末にIEEE 802.1X認証方式 (PEAP) 、無線端末に WPA3 (WPA3-SAE) 認証方式で接続端末を認証する
    • 有線端末は、認証結果に基づいてVLANを動的に変更するダイナミックVLANを採用することで、ネットワークの不正アクセスを抑制する
    • 無線端末は、証明書のユーザー登録オプションにSSIDを指定することで、許可していないSSIDの不正アクセスを抑制する

  7. スイッチのスケジュール機能と連携することで、PoE受電機器への給電を制御
    • 平日の業務時間のみ無線LANアクセスポイントへPoE給電することで、業務時間外の電力消費を削減し、無線LANの不正使用を未然に防ぐ

  8. オフィス ネットワークの分割はVLANで実現
    • ゲスト用ネットワークは業務用ネットワークへの影響を軽減するためにQoSで使用帯域を制限する
    • VLAN定義は以下の通り
      • VLAN1 (172.16.0.0/24) : 管理用
      • VLAN10 (172.21.0.0/24) : 部署A用
      • VLAN20 (172.22.0.0/22) : 部署B用
      • VLAN30 (172.23.0.0/24) : 部署C用
      • VLAN50 (172.25.0.0/24) : 部署共通用
      • VLAN90 (172.30.0.0/22) : ゲスト用

  9. LANマップを活用して日頃の保守・運用業務の軽減を図る
  10. SNMPによる管理機能にも対応
  11. シンプルな無線LAN管理を実現
    • WLX323/WLX322に搭載されている「Radio Optimization機能」を有効にすることで、設定を無線環境に合わせて動的に変更し最適化する
    • ヤマハ無線LANアクセスポイントと連携する「LLDP自動設定機能」を使用することで、接続されたWLX323/WLX322を自動的に認識し、LLDPによる死活監視を開始する

ネットワーク機器のコンフィグ

本構成のサンプルコンフィグは後日公開予定です。

本コンフィグは、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

【拠点ルーターRTX1300の設定について】 【拠点ルーターについて】
  • 閉域網接続用ルーターについては、実環境に適したルーターをご使用ください。
【RADIUSクライアント (NAS) の設定について】
  • コアスイッチ SWX3220-30TCsにて、以下コマンドでRADIUSクライアント (NAS) の設定をしてください。
    ( 本コマンドで設定したRADIUSクライアント (NAS) 情報は、コンフィグには表示されません。設定内容は、"#show radius-server local nas" コマンドで確認できます。)
    コアスイッチの管理用IPアドレス 172.16.0.0/24、共有パスワード※ "(RADIUSシークレット)" のRADIUSクライアント (NAS) を追加する。 
    • SWX3220>enable
SWX3220#configure terminal
SWX3220(config)#radius-server local-profile
SWX3220(config-radius)#nas 172.16.0.0/24 key (RADIUSシークレット)
※ 共有パスワードは、128文字以内、\ [ ] " ? スペースを除く半角英数字・半角記号を使用してください。
【RADIUSサーバーのユーザーの管理について】
  • 有線端末での802.1X認証 (EAP-TLS) ユーザー登録につきまして、各ユーザー毎にダイナミックVLANを設定してください。
    認証が通りましたら、設定したダイナミックVLANでアクセスが可能となります。
  • 無線端末での802.1X認証 (EAP-TLS) ユーザー登録につきまして、各ユーザー毎に接続先 SSIDを設定してください。

関連情報

トップへ