このページで解説している内容は、以下の YouTube 動画の解説で見ることができます。

WLCでのWPA2-Enterprise⑧(無線LANと有線LANの分離)

全8回の「WLCでのWPA2-Enterprise」の最後の設定となります。

 セキュリティポリシーなどにより有線LANと無線LANを分離したいケースもあるかと思います。例えば無線LANをGuest用、有線LANを社内ネットワークとして利用するケースです。

そこで、最後に有線LANと無線LANを分離する設定を行っていきます。

ネットワークの構成は下図のとおりです。


誤ったACLの設定例

標準アクセスコントロールリスト(標準ACL)を作成します。

注意すべき点は、ACLの最終行には「暗黙のdeny any」があるということです。

 例えば、以下のACLをR1のg0/0/0.200のOUTに適用した場合、「192.168.5.0/24」からのパケットを拒否するつもりが、ACLの最終行には「暗黙のdeny any」が存在するため、結局、すべてのパケットが拒否されることになります。そのため、VLAN200宛(無線LAN)のすべてのパケットが拒否されることになり、VLAN200(無線LAN)内のデバイスは、同じVLAN200内のデバイスとしか通信できなくなってしまいます。

R1(config)#access-list 1 deny 192.168.5.0 0.0.0.255
R1(config)#int g0/0/0.200
R1(config-subif)#ip access-group 1 out

標準ACLの適用

 有線LANと無線LANを分離します。有線LAN→無線LAN、無線LAN→有線LANにアクセスできないように標準ACLを作成して、サブインターフェイスに適用します。

有線LANから無線LANへアクセス拒否する設定

R1ルータに以下の標準ACLを適用します。

R1(config)#access-list 1 deny 192.168.5.0 0.0.0.255
R1(config)#access-list 1 permit any
R1(config)#int g0/0/0.200
R1(config-subif)#ip access-group 1 out
R1(config-subif)#exit

無線LANから有線LANへアクセス拒否する設定

R1ルータに以下の標準ACLを適用します。

R1(config)#access-list 2 deny 192.168.200.0 0.0.0.255
R1(config)#access-list 2 permit any
R1(config)#int g0/0/0.5
R1(config-subif)#ip access-group 2 out
R1(config-subif)#end
R1#copy run start

動作検証

有線LAN内のホストからインターネットへのアクセス

PC1からインターネット上の「Yahoo!Japan」のホームページにアクセスします。

PC1の「Web Browser」のURLに「www.yahoo.co.jp」と入力します。

「Yahoo!Japan」のホームページが表示されます。


無線LAN内のホストからインターネットへのアクセス

Tabletからインターネット上の「Yahoo!Japan」のホームページにアクセスします。

Tabletの「Web Browser」のURLに「www.yahoo.co.jp」と入力します。

「Yahoo!Japan」のホームページが表示されます。


有線LAN→無線LANへのアクセス

PC1からTabletへpingを行います。

※IPアドレスは、DHCPのIPアドレスの払い出し状況で変わります。

 「Destination host unreachable」となり、pingは失敗します。つまり、有線LANから無線LANにアクセスできないことを意味します。


無線LAN→有線LANへのアクセス

TabletからPC1へpingを行います。

※IPアドレスは、DHCPのIPアドレスの払い出し状況で変わります。

 「Destination host unreachable」となり、pingは失敗します。つまり、無線LANから有線LANにアクセスできないことを意味します。


全8回に渡り、「WLCでのWPA2-Enterprise」ネットワークを構築しましたが、これで完了です。

完成した演習ファイルを下にリンクを掲載していますので、うまく構築できなかった時の参考にしてみてください。

演習ファイル(完成)のダウンロード

 ネットワークの構成を Packet Tracer で一から設定していくのは大変かと思います。「ダウンロード」から演習を完了させたファイルのダウンロードができます。ファイルは、ウイルスバスターでウイルスチェックをしておりますが、ダウンロードは自己責任でお願いいたします。

関連コンテンツ