社内ゲスト用無線LANスポット　VLANでの構築

Question

ゲストがインターネットを利用できるよう、ただし社内ネットにはアクセスできないようにしたいと考えています。
いずれは、出向者がインターネットとネットワークプリンタのみを使えるようにしたり、部署ごとにセグメントを分ける事も視野に入れています。

無線LANアクセスポイントはBUFFALOの「WAPM-APG300N」を使用しています。
ルーターはヤマハRT57i ですが、RTX810等に置き換えを予定しています。
クライアントPCは有線・無線LAN混在で、１０台程度あります。
サーバーはWinｄows SBS2011Stdでドメイン環境にしてあります。

RTX810にはLANポート分割機能があるようですが、来客者も使う無線LANはネットワークの末端にあり、物理的にポートを分け、新たなケーブルを引き回す事が難しい状況です。広い工場内の為、ハブを複数経由しており、物理的な距離も長い状況です。

そこで、WAPM-APG300NはタグVLANを構築可能となっていたので、この機種の機能が使えないだろうかと考えました。無線LAN一台で、社員と来客者が別々のSSIDとVLANIDを使用できるようです。
ただし、条件として「VLAN対応L2スイッチ」が必要とありました。

お聞きしたいのは、ルーターから無線LANまでの間にあるすべてのハブがVLAN対応L2スイッチングハブでなければならないのか？という点です。

ルーター自体はVLANに対応しているので、社内ネットにはアクセスせず、インターネットにつなげるだけならば、可能でしょうか？

それとも、ルーターと無線LANの間にる複数のハブすべてを置き換えないと実現は難しいでしょうか。

よろしくお願いします。

bunjii · Accepted Answer

>簡単に言うと、タグVLAN・マルチSSID対応無線LAN機とVLAN対応ルーター（RTX810）を繋げ、VLANを構築する場合、間に挟むハブはすべてVLAN対応のL2スイッチである必要があるか？
「来客に無線LANでインターネットへ接続を可能にする」と言うことは不特定のノートパソコンを接続することになりますのでパスワードなしで接続を許可することになりかねません。
そのためには社内LANとは物理的に切り離さないとセキュリティを保てなくなります。
セグメントを分ければ良いと言うのは社内のメンバーのみが接続する範囲での考え方です。
得意先、仕入先については信頼関係が有ると言っても利害関係のある相手ですから同一LANへ接続させるのは禁物です。

>既存のシステムでどこまでできるか、どれくらいの投資が必要か、費用対効果はどうか、等、上への説明の為に様々な可能性を模索中に出てきた疑問でした。
ですから、出入りの専門業者にプランを立てさせて費用の積算をさせるのが順当です。
プランが実現できないときはプランの立案費用が発生しますので依頼する前に取決めしてトラブルにならないよう注意してください。

bunjii · Answer

会社のシステムについて質問する場所ではないように思います。
出入りの専門業者へ社内のセキュリティポリシーを伝えて立案させてください。
あなたの知識不足を補うためにガセネタを吹き込まれると会社の危機に繋がります。
確りしたネットワークを構築しないと重要な情報が漏洩します。
特に来客に対して無線LANの接続サービスを行うことは非常に危険です。
物理的にネットワークを切り離すべきと思われます。

社内ゲスト用無線LANスポット VLANでの構築

>簡単に言うと、タグVLAN・マルチSSID対応無線LAN機とVLAN対応ルーター（RTX810）を繋げ、VLANを構築する場合、間に挟むハブはすべてVLAN対応のL2スイッチである必要があるか？

会社のシステムについて質問する場所ではないように思います。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

社内ゲスト用無線LANスポット　VLANでの構築