社内ネットワークの構築

❏スケジュール

設計

どのような機器をもたせるか、使用する機材は何にするかを決める工程
設計書一覧
  • ユーザ数/PCなど台数調査
  • 部署ごとの部屋割り図
  • アプリ/サービスリストアップシート
  • 必要コストの概算計算書
  • 設けるセグメントとIPアドレス範囲
  • セグメント間のアクセス制御
  • ネットワーク構成図
  • IPアドレス管理表
  • オフィースレイアウト
  • 機器のリストアップシート

 》 調達

必要な機器、資材、サービスなどの発注、インターネット接続回線やISPへの申し込み、支払い、到着品の検収、あるいは回線の開通などを確認する工程

事前設定

事前にある程度の設定をして、基本的な部分が動作する状態にしていく工程

設置

実際の現場に設定する工程。LAN配置の工事もこれに含まれる
ガントチャートの例
ガントチャートの例

動作確認

設定した機器と配線に問題がなく、ネットワーク全体が想定どおりに動くかどうかを確認する工程

❏予算

イニシャルコスト

  • 設計料 ★
  • 機器代金
  • 工事料(機器設定料 ★、機器設置料 ★、LAN配線工事料)

 ※ ★:自分でやって0円に済ます

ランニングコスト

  • 通信料(アクセス回線事業者とISPへ支払う代金)
  • ネットワークサービス利用用(クラウドサービス等の有償サービス)
  • 機器保守料(購入しないでレンタルにした場合や年間保守サービス料等)
  • サブスクリプション料(アンチウィルスソフト利用料等)

❏ 設計

◇セグメント構成

  • 1つの部署が1つのセグメントに対応
  • 各セグメントに何台のPCを所属させるか決める
  • 各セグメントにIPアドレスの範囲を割り当てる
  • その中で、自動割り当て範囲と手動割り当て範囲を決める
  • サブネットマスクを決める(255.255.255.0が一般的)
  • セグメント間のアクセス制御を決める
  • 来客用セグメントから各部署へはアクセス不可にする

◇VLANの有効活用

ポートVLAN

  • 指定したポートを別のセグメントとして扱える機能
  • 例えばポート1~6はセグメント1、ポート7は
    セグメント2といった形
  • セグメント間のやりとりを中継するために、ルータ
    のポートも各セグメントに所属する必要がある

タグVLAN

  • ルータとスイッチを1本のLANケーブルでつなぐ
  • スイッチでポートVLANを実現する
  • タグVLANの専用ポートを通るデータはタグと呼ばれる
    付加情報によってセグメントを区別する



◇接続パターン

基本方針

  • ルータとPCが離れていなければルータと直接つなぐ
  • ルータとPCが離れている場合
    • 1つのセグメントだけ伸ばしたいならハブを使う
    • 2つ以上のセグメントを伸ばしたいならタグVLAN+スイッチを使う
  • 各PCが極めて大量のデータを同時に送受信するならルータに直接つなぐ

上記考え方を導入した例

  • 技術部、総務部、来客用無線LANは基本的に別々のセグメントにしたいので、
    ルータのポートごとにセグメントを変える「ポートVLAN」を使う
  • 営業部とユーザサポート部はどちらも技術部から離れていて、かつ両部は隣り
    合っているので、ポート数が多いスイッチを1つ置いて、ルータとの間はタグVLANにして、スイッチのポートVLANを使って2つのセグメントを作る

❏ 機器の調達

◇インターネット回線の調達

アクセス回線
  • オフィースや住居からインターネットの入り口までつなぐ回線
  • 提供いているのは主にNTTやKDDI(回線事業者)
  • 地域によって利用できる事業者やサービスメニューが限られている
  • 使用媒体で最も多いのが光ファイバで、CATVやADSLがそれに続く
  • 光ファイルを使う配線方式には、光配線方式、VDSL方式、LAN配線方式がある
回線事業者の選択
  • サービス提供エリアが広い
  • 必要な機能やサービスが提供されている(通信速度)
  • 自由度が高い(指定機材でないと利用出来ないという事がない)
  • 料金が予算の範囲内である
ISPの選択
  • 使用する基幹回線(バックボーン)に余裕がある
    (大手であることが一つの目安)
  • スピードテストの測定を参考にする
  • 使用を予定しているアクセス回線のサービスメニューをサポートしている

◇ルータ選び

  • WAN側インターフェースの対応回線にFTTH(光ファイバー)が含まれる
  • LAN側インターフェースのイーサーネットの規格に1000BASE-Tに含まれる
  • 管理機能へのアクセス方法にGUIが使用出来る
  • スループットが1.0Gbit/s以上ある
  • DHCPサーバ機能を装備
  • NAT機能を装備。およびNATテーブルに「使用PC数 ×200」分装備している 
  • ポートVLANとして使えるポートが必要な個数ある
  • タグVLAN に使えるポートが必要な個数ある。使用できるタグの最大数が十分
  • ファイアウォール機能に十分な機能が備わっている
  • VPN機能が備わっている

◇スイッチ選び

  • ルータと同様のイーサーネット規格の1000BASE-Tに対応されている
  • 接続PCの台数より多めのポート数がある
  • 管理機能へのアクセス方法にGUIが使用出来る
  • スイッチング容量が以下の数値を上回っている
    データ転送速度 ✖ ポート数 ✖ 2

◇無線LAN親機 選び

  • 最新の通信規格に対応している(現段階の最新:IEEE802.11ac)
  • 電波が強い(ハイパワータイプ)
  • 接続が比較的安定している
  • スループットが高い

◇ネットワーク構成図の作成

基本情報

  • 詳細設計・機器選定がおわったら作成
  • 工事の事前準備や、実際の工事で最も基本的で重要な図面
  • トラブル発生時はこの図面を基に原因を突き止める

記載すべき要素

  1. ネットワークに使用するルータやスイッチなどの機器
  2. 機器同士の接続(機種名や接続ポート名など具体的に書く)
  3. インターネットなど外部との接続
  4. VLANの設定
  5. IPアドレスの割当方法や割当範囲

※1 RTX1210にはLAN1LAN2LAN3の3つのポートグループ’(インターフェース)がある。このうちLAN1は8つのポートがついている。そこでLAN1をポートVLANとして使い、技術部の6台はここから直接接続する。

残りは2ポートしかないため、総務部の4台はハブ経由してつなぐ。来客用無線LANセグメントは1台の親機をそのままつなぐ

※2 SWX2200-24Gはポートが24個あり、そのうちP1をルータとの接続に使用し、P212を営業部セグメント、P1324をユーザーサポート部セグメントとして使用する。またP12には営業部の無線LAN親機を接続する

◇IPアドレス割当表

  • PCなどに重複して割合ることがないようにIPアドレス管理表を
    作って割当状況を管理する
  • DHCPで自動割当するアドレスについては、その割当範囲を記載
  • 手動で割当する範囲については、割り当てするIPアドレスと併せ
    て、機器名、機器の種類あるいは使用者名などを記載する
  • 管理表に対する更新履歴も記載する

❏ 事前設定1

◇オフィースレイアウトと機器の設定場所を決める

オフィースレイアウトの記入事項

  • デスクの配置と個数
  • PCの設定位置と台数
  • 最終的な状態をイメージしながら詳細を決める

機器の設定場所のポイント

  • LANの配線や機器の管理がしやすいこと
  • 極端な気温の変化がないこと
  • 日常的な人の動線から干渉を受けないこと
  • 地震の揺れなどの影響が少ないこと
  • 各機器の近くに商用100Vのコンセントがあること

その他のポイント

  • WAN回線を室内に引き込む位置。ルータの設置場所から近い所に出て
    いるのが理想的
  • LAN工事はどのような方法で行うのか決める(ケーブル作成、フリー
    アクセスフロアやモールの使用、部屋をまたぐ配線の方法)

◇必要機器のリストアップ

ネットワーク機器 ルータ、スイッチ、ハブ、無線LAN親機など
LAN配線 LANケーブル、コネクタ、工具、ケーブルテスト、配線をカバーするモールなど
電源関係 テーブルタップ、3個口タップ、UPS(無停電電源装置)など
その他 タグ(LANケーブルにつける)、ラック、棚、工具(設置工事に必要なもの)など

◇LAN配線工事者の選び方

  • きちんと現地調査をして、明確な見積もりをしてくれる
  • 予定と異なる工事になった場合の対応や、考えうる変更内容と料金差などについて丁寧に説明してくれる
  • 工事技術が確かでかつ通信品質まで考慮して検査してくれる
  • 工事内容を記した図面をきちんと残してくれる。図目は故障発生時やLAN配線の一部変更時に重要な役割を果たす
  • 細かい部分にも神経を張り巡らせてくれる。タグなどを漏れなくつけてくれるなど

  2,3の業者との間で打ち合わせをして、現場の状況を反映した見積もりを作ってもらい金額と対応から依頼先を決める。

  なを最初の時点で複数の業者から見積もりを行う旨を伝えておく

❏ 事前設定2

まっさらの機器を現場に持ち込んでゼロから設定するのではなく、あらかじめ仮の環境である程度の設定をしておき、
それを現場に持ち込んで最終的な調整をする

◇ルータ(RTX1210)の設定

管理画面にアクセス

  1. PCとルータのLAN1ポートをLANケーブルで接続
  2. ルータの電源をON。powerランプが点灯したら起動完了
  3. PCでブラウザを起動して http://192.168.100.1/ にアクセス
  4. 管理画面にアクセスすると、ユーザーとパスワードを求められるが空欄のままでOKを
    クリック
  5. 「データを蓄積する設定を有効にしました(TRAFFIC)」ダイアログが表示されたら
    OKをクリック
  6. ダッシュボードが表示される

基本設定(かんたん設定上の)

  1. 管理画面にアクセスした時のパスワードを設定、暗号化する
  2. 日付と時から 現在の日時 をクリック。「コンピュータの時刻に合わせる」を選択
  3. LAN1アドレスをクリック。「DHCPで払い出すIPアドレスの範囲を自動で変更する」
    をON。「設定に含まれるIPアドレスを自動的に変更する」はOFF
  4. プロパイダー接続設定
    インターフェースの選択 LAN2
    接続種別の選択 PPPoE接続
    プロパイダー情報の設定 ユーザーID、接続パスワード
    DNSサーバの設定 DNSサーバを指定しない、またはプロパイダーから自動取得
    フィルターの設定 すべてのアプリケーションの利用を許可する
  5. LAN2とONUを接続して設定一覧にあるプロパイダー情報の「接続する」をクリック

 ポートVLANの設定

  • ネットワーク構成図を基にポートVLANを設定
  • LAN1インターフェースのポート1~6、ポート7、ポート8を別セグメントで設定
  • 管理画面 → 保守 → コマンドの実行の画面にコマンドを入力して実行する

ポートVLANモードへの切り替え lan type lan1 port-based-option=divide-network  
ポートVLANの割り当て

vlan port mapping lan1.1 vlan1

vlan port mapping lan1.2 vlan1

vlan port mapping lan1.3 vlan1

vlan port mapping lan1.4 vlan1

vlan port mapping lan1.5 vlan1

vlan port mapping lan1.6 vlan1

vlan port mapping lan1.7 vlan7

vlan port mapping lan1.8 vlan8

  • vlan1,vlan7はVLANの名前
  • 同じ名前が付いたポートが1つのセグメント
VLANのIPアドレス指定

ip vlan7 address 192.168.103.1/24

ip vlan8 address 192.168.104.1/24

  • 各セグメントにつなぐPCから見た時のルータの
    IPアドレスとなる
  • vlan1に対しては工場出荷状態のIPアドレスが引
    き継がれる(192.168.100.1/24)
 DHCPサーバへの設定 dhcp scope 103 192.168.103.2-192.168.103.191/24
  • vlan7にDHCPサーバを用意するコマンド
  • 103はスコープと呼ばれDHCPサーバを特定する
    ための名前
  • vlan1に対しては工場出荷時の設定(scope 1)が
    そのまま引き継がれる
  • vlan8に対してはポート8に接続するルータモー
    ドの来客用無線LAN親機がDHCPサーバを内蔵し
    ており、無線LANにつなぐスマホやPCはそちら
    のDHCPサーバを使用する
DNSへのアクセス許可  dns host any
  • 各VLANからDNSサーバにアクセスする許可を
    与えるための設定

◇スイッチ(SWX2200-24G)の設定

 ルータとスイッチの接続

  1. PCとルータのLAN1ポートをLANケーブルで接続
  2. ルータのLAN3とスイッチのポート1をLANケーブルで接続してスイッチの電源をON
  3. PCでブラウザを起動して http://192.168.100.1/ にアクセス
  4. 管理画面の「LANマップ」タブをクリック。そして画面右上の「設定」をクリック
  5. LANマップの設定画面でLAN3インターフェースの「LANマップを利用する」を選択
    「端末も監視、管理する」をONにして「設定の確定」をクリック

 タグVLANの設定

  1. 管理画面で「LANマップ」タブを選び、画面左上の「LAN3インターフェース」の
    右の「タグVLAN」をクリック
  2. 画面の左上部の「新規」をクリック
  3. 下記表の通り入力して「確定」をクイック
    VLAN-ID 名前 ルータのIPアドレス
    101 VLAN101  192.168.101.1/24
    102 VLAN102  192.168.102.1/24
  4. VLAN101の「参加ポート選択」ボタンをクリックして、イラストのポート1~12まで
    を順にクリックして、緑色で塗りつぶされた状態にして「確定」をクリック
  5. VLAN102の「参加ポート選択」ボタンをクリックして、イラストのポート1、13~24
    までを順にクリック、緑色で塗りつぶされた状態にして「確定」をクリック
  6. VLANにDHCPサーバを用意するためルータの「コマンドの実行」から以下を実行
    DHCPサーバへの設定 dhcp scope 101 192.168.101.2-192.168.101.191/24
    dhcp scope 102 192.168.102.2-192.168.102.191/24

  ※ポート1はルータから情報が届くポートなので、各VLANに共通に所属させる必要がある


◇無線LAN(WG1800HP2)の設定

 親機の動作モード

  • AP(アクセスポイント)モード
    有線のオフィースネットワークの一部を、単純に無線に置き換えたもの。ネットワークの各種機能(DHCP,セグメント間通信等)は
    有線のネットワークのものを使用
  • ルータモード
    メインのオフィースネットワークからは独立させ、ネットワークの各種機能は無線LAN親機の機能を使用

 親機に設定する項目


項目 意味 設定値
SSID 無線LANの電波を識別するための名前  自由につけてよい
暗号化方式 電波で飛ばす情報を暗号化する方式

WPA2-PSK(AES) / WPA-PSK(AES)

暗号化キー 暗号化の際のパスワードのようなもの 英数記号で8~63桁までは16進数で64桁

◇APモードでの親機設定

 APモードへの切り替え

  1. 本体背面上部のスライドスイッチを「BR」へ切り替え、ACアダプタの一方を本体に接続し、もう一方を商用100Vに接続する
  2. 設定用PCのTCP/IPプロパティを開き192.168.1.2/24に変更する
  3. PCのLANポートと無線LAN親機のLAN1ポートをLANケーブルで接続する
  4. PCのWebブラウザを起動してhttp://192.168.1.210/に接続して管理画面を表示させる
  5. 管理者パスワードも初期設定を行い「設定」をクリックする
  6. ユーザ名に「admin」、パスワードに設定したパスワードを入力して「OK」をクリック
  7. 管理画面の左メニューで「Wifi(無線LAN)設定」をクリック
  8. 展開したメニューから「Wifi詳細設定(2.4GHz)をクリック
    1. SSID、暗号化モード、WPA暗号化キー(PSK)を入力して「設定」をクリック
    2. 左上部の「保存」ボタンをクリック
    3. 対象ネットワークの選択リストより不要なネットワーク(ゲストSSID:xxxxx、WEP専用SSID:xxxxx)を選択して「使用しない」に変更
  9. 展開したメニューから「Wifi詳細設定(5GHz)」をクリックして同様の設定を行う

◇ルータモードでの親機設定

 ルータモードへの切り替え

  1. 本体背面上部のスライドスイッチを「RT」へ切り替え、ACアダプタの一方を本体に接続し、もう一方を商用100Vに接続する
  2. 設定用PCのTCP/IPプロパティを開き「IPアドレスを自動的に取得する」「DNSサーバー
    のアドレスを自動的に取得する」に変更する
  3. PCのLANポートと無線LAN親機のLAN1ポートをLANケーブルで接続する
  4. PCのWebブラウザを起動してhttp://192.168.10.1/に接続して管理画面を表示させる
  5. 管理者パスワードも初期設定を行い「設定」をクリックする
  6. ユーザ名に「admin」、パスワードに設定したパスワードを入力して「OK」をクリック
  7. らくらくWebウィーザードの動作モード選択で「ローカルルータ」を選択して「次へ」
    をクリック
  8. 接続設定の画面では次のように入力して「設定」をクリック
    DHCPクライアント機能 「使用する」をOFF
    IPアドレス/ネットマスク(ビット指定) 192.168.104.192/24
    ゲートウェイの固定アドレス 192.168.104.1
    ネームサーバのプライマリDNS 192.168.104.1
    ネームサーバのセカンダリDNS 空欄
  9. 設定が完了したらブラウザを再起動して再度管理画面を表示させる
  10. ユーザ名に「admin」、パスワードに設定したパスワードを入力して「OK」をクリック
  11. 無線LAN親機の基本設定
    1. 管理画面の左メニューで「Wifi(無線LAN)設定」をクリック
    2. 「5GHz通信機能」の「使用する」をOFFにして「設定」をクリック
    3. 画面左上に点滅する「保存」ボタンが現れたら、このボタンをクリック
  12. 無線LAN親機の詳細設定(2.4GHz)
    1. APモードでの2.4GHzに関する設定と原則的に同じ

❏ 機器の設置

 LANの配線工事(工事業者に依頼した時の確認事項)

  • ケーブル敷設やコネクタ取付などの作業が丁寧に行われていること
  • 指定した部分に十分な余裕を持ってLANケーブルが引き出されている
  • 美観を損ねないようモールが設置されていること
  • ケーブルの行き先などを示すタグが適切につけられていること
  • 配線後のテストが確実に行われてること

 機器の設定

  • ルータ、スイッチ、ハブ、無線LAN親機などを設置する
  • 地震などで簡単に落下しないよう、十分に安定した状態で設定する
  • 設置と調整が全て終わったら、ケーブルをきれいに整理する
  • 機器を設置し終わったら電源とLAN配線を聞きに接続する

 インターネット接続の設定

  • ルータのプロパイダー接続でISPと接続されている事を確認
  • 設定用PCのWebブラウザから適当なWebサイトに接続してインターネットへのアクセスが正常に行えることを確認

❏ 動作確認

 有線LAN接続での動作確認

  1. すべての機器の電源コードを接続し、続いてルータの電源コードをONにする
  2. 動作確認用PCのIPアドレスとDNSは自動取得を選択する
  3. 動作確認用PCのLANポートとルータのLAN1のポート1をLANケーブルで接続する
  4. コマンドプロンプトから各セグメントに対してpingマンドを実行して正常に通信が行える事を確認する
    192.168.100.1 技術部セグメント
    192.168.101.1 営業部セグメント
    192.168.102.1 ユーザサポート部セグメント
    192.168.103.1 総務部セグメント
    192.168.104.1 来客用無線LANセグメント
  5. 動作確認用PCでWebブラウザを起動し、適当なWebサイトに接続してインターネットへのアクセスが正常に行えることを確認する
  6. 上記4,5のテストを、動作確認用PCを下記表のポートにつないだ状態で、それぞれ行う
    ハブのポート2 総務部セグメント
    スイッチのポート2 営業部セグメント
    スイッチのポート13 ユーザサポート部セグメント

 無線LAN接続での動作確認

  1. 動作確認用PCと各無線LAN親機とを接続して「有線LAN接続での動作確認」で実施したテストを行う
    2.4GHzの営業部用無線LAN
    5GHzの営業部用無線LAN
    来客用無線LAN

❏ APモードの無線LAN親機のIPアドレスを固定する

DHCPサーバからIPアドレスを割り当てられている状態では管理画面を表示する際に  IPアドレスを調べ直す必要があるため
IPアドレスを固定にする

 APモードの無線LAN親機のIPアドレスを調べる

  1. PCとルータのLAN1ポートをLANケーブルで接続
  2. PCでブラウザを起動して http://192.168.100.1/ にアクセス
  3. 管理画面の「LANマップ」タブをクリック。画面下部左側のツリーで「SWX2200-24G」
    を選択すると、画面下部右側にスイッチと接続している機器のリストが表示される
  4. スイッチのポート12に接続されているのがWG1800HP2
  5. この状態で画面下部右上の「▷▷」をクリックして詳細表示に切り替え、リストを右へ
    スクロールすると、この機器に割り当てられているIPアドレス(APモードの無線LAN親
    機のIPアドレス)が表示される

 APモードの無線LAN親機のIPアドレスを変更する

  1. WebブラウザでAPモードの無線LAN親機の管理画面を開く
    http://APモードの無線LAN親機のIPアドレス
  2. ログインダイアログでユーザとパスワードを入力する
  3. 基本設定の画面では次のように入力して「設定」をクリック
    DHCPクライアント機能 「使用する」をOFF
    IPアドレス/ネットマスク(ビット指定) 192.168.101.192/24
    ゲートウェイの固定アドレス 192.168.101.1
    ネームサーバのプライマリDNS 192.168.101.1
    ネームサーバのセカンダリDNS 空欄
  4. 各値を設定したら「設定」をクリック
  5. 新しいIPアドレスで管理画面を再表示して「保存」ボタンをクリックする
  6. IPアドレスの割当表を更新する

❏ ルータへのフィルタ設定

 基本事項

  • パケットを「通過」させるのか「遮断」するのかを決める条件の集まりをフィルタリングテーブルと呼ブラック
  • フィルタリングテーブルは、テーブルの上の条件から順に検査され、条件に合致しなければ、次の条件を検査する
  • 条件に合致した場合、合致したところで、検査は終了し、その次以降の条件は検査されない
  • インターネットから入ってくる通信を「IN」、インターネットに出ていく通信を「OUT」という

 構文

 インターネットを安全に使うためのフィルタ設定 

---------------------------------------------------------------------①
ip filter 600000 reject 192.168.100.0/24 * * * *
ip filter 600001 reject 192.168.101.0/24 * * * *
ip filter 600002 reject 192.168.102.0/24 * * * *
ip filter 600003 reject 192.168.103.0/24 * * * *
ip filter 600004 reject 192.168.104.0/24 * * * *
---------------------------------------------------------------------②
ip filter 600010 reject * 192.168.100.0/24 * * *
ip filter 600011 reject * 192.168.101.0/24 * * *
ip filter 600012 reject * 192.168.102.0/24 * * *
ip filter 600013 reject * 192.168.103.0/24 * * *
ip filter 600014 reject * 192.168.104.0/24 * * *
---------------------------------------------------------------------③
ip filter 600030 pass * 192.168.100.0/24 icmp * *
ip filter 600031 pass * 192.168.101.0/24 icmp * *
ip filter 600032 pass * 192.168.102.0/24 icmp * *
ip filter 600033 pass * 192.168.103.0/24 icmp * *
---------------------------------------------------------------------④
ip filter 600040 pass * 192.168.100.0/24 tcp * ident
ip filter 600041 pass * 192.168.101.0/24 tcp * ident
ip filter 600042 pass * 192.168.102.0/24 tcp * ident
ip filter 600043 pass * 192.168.103.0/24 tcp * ident
---------------------------------------------------------------------
ip filter 609999 reject * * * * *
pp select 1
---------------------------------------------------------------------⑤
ip pp secure filter in 600000 600001 600002 600003 600004 200020 200021 
200022 200023 200024 200025 600030 600031 600032 600033 600040 600041 
600042 600043 609999
ip pp secure filter out 600010 600011 600012 600013 600014 200020 200021 
200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 
200082 200083 200084 200085 200098 200099
---------------------------------------------------------------------
pp select none

---------------------------------------------------------------------⑥
ip filter source-route on 
ip filter directed-broadcast on
①は、インターネットから入ってくる際のフィルター(IN)
送信元のIPアドレスが各セグメントのIPアドレスだった場合は破棄する
②は、インターネットに出ていく際のフィルター(OUT)
宛先IPアドレスが各セグメントのIPアドレスだった場合は破棄する
③は、インターネットから入ってくる際のフィルター(IN)
インターネットに送ったPingの応答を通過させる
④は、インターネットから入ってくる際のフィルター(IN)
IDENT問い合わせのデータを通過させる
pp select 1
相手先情報番号に「pp1」を選択
⑤は、ppのIN,OUTそれぞれのフィルター順番
INは①→③→④の順、OUTは②にフィルターが実施される
pp select none
相手先情報番号「pp1」の選択を終了
⑥は、特別な情報を含むパケットを破棄する

 来客用無線LANからの各部署にアクセスさせないためのフィルタ設定 

ip filter 700000 pass 192.168.104.192 192.168.104.1 udp * 53
ip filter 700001 reject * 192.168.0.0/16 * * *
ip filter 700099 pass * * * * *
ip vlan8 secure filter in 700000 700001 700099
来客用無線LAN親機からルータに宛てたDNS問い合わせを通過させる
192.168.xxx.xxx/16に宛てたデータは全て破棄
以外は通貨させる
上記フィルタをvlan8のセグメント(来客用無線LAN)に適用する