- - PR -
ワークグループ×2ネットワークの根本的な設計
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-05-19 15:45
はじめまして、少し質問させてください。
2つの異なるアドレスのネットワークが存在する場合、1つしかないインターネット網への出口を共有するにはどのように接続するのが良いのでしょうか。 現在社内に2つのネットワークが存在し、2つのネットーワークは次のように接続しています。 [インターネット網]←[ルーター1(192.168.1.0)]−[ルーター2(192.168.2.0)] ルーター1 1.LANアドレスとして192.168.1.1(255.255.255.0)を設定 2.インターネット接続設定 3.DHCPを有効に設定(192.168.1.2-192.168.1.253) 4.LANポートとルーター2のWANポートを接続 5.配下に5台のPC(ワークグループ) ルーター2 1.WANアドレスとして192.168.1.254を設定 2.LANアドレスとして192.168.2.1(255.255.255.0)を設定 3.DHCPを有効に設定(192.168.2.2-192.168.2.254) 4.WANポートとルーター1のLANポートを接続 5.配下に5台のPC(ワークグループ) このように接続しているのですが、ネットワーク的に問題はないのでしょうか。 本来ネットワークを分けていたのは、他ネットワークのPCを参照できなくすることと、部署毎のPC管理を考えていました。 上記の接続方法だと、(192.168.2.0)のPCから(192.168.0.1)のPCを参照することが可能です。 それならば、ルーター1のサブネットを255.255.0.0として、全てのPCをぶら下げるのはどうかと考えたのですが、PCのサブネットを255.255.255.0としても、他のネットワークのPCを参照することができます.... 本来、アクセス制限はPCのユーザー制限で行うもので、ネットワークで分けるという考え方がおかしいのでしょうか。 最後に過去ログにもありましたが、(192.168.2.0)上のPCでFTPソフト(delphiで自作)を動かすと、ログオン後にファイル一覧を取得できないエラーが発生することがあります。 nlistコマンドだと全くだめなのですが、listコマンドは成功したりしなかったりです。 (192.168.1.0)上のPCだと問題なく取得できます。 これはルーターの組み合わせによるものなのでしょうか。 以上よろしくお願いします | ||||||||
|
投稿日時: 2004-05-19 17:09
ルータ1と2は共にブロードバンドルータと呼ばれるもののようですね。
その場合、ルータ1と2の間で完全に見えなくするのであればルータ3を追加してルータ1と2のWANポートをルータ3のLANポートに接続、ルータ3のWANポートをインターネット側とするのが一番手っ取り早いです。 双方のグループに公開するサーバはルータ3のLANセグメントに追加すれば見えるようになります。
FTPサーバはどこにあるのでしょうか。インターネット側? とすると2段階でNAT掛けているのが良くないような気がしますが。。。。 NATを解除できるのであればするのが良いように思えますが、アクセス制限の方法を別途考える必要がありますね。 IPフィルタ機能が搭載されているのであれば、それで制限するのが良いと思いますが如何でしょうか。 | ||||||||
|
投稿日時: 2004-05-19 18:18
なるほど、ルーターを3つ使用すればよかったんですね。
かなり2つにこだわっていました.....解決です! 通常ネットワークのセグメントを分ける場合には各セグメントをルーターでまとめて、 最終的にインターネット網につながるルーターに接続すれば良いということですね。 FTPサーバーはインターネット上にあります。 ルーターにNAT設定の無効はありませんでしたが、 WAN・ローカルオフィス(ローカルルーター)の設定があったので、それを試してみたいと思います。 これでNAT変換なしのルーターとして動けばOKということですね。 以上ありがとうございました。 | ||||||||
|
投稿日時: 2004-05-19 18:30
こんばんわ.
broad-band router に疎いのですが,この方法で router 1/2 の network をそれぞれin敗できるのですか?それとも,broad-band router って例外なく NAT かけてしまうとか? 個人的には,「普通に router として使えないのかな?」と思いました. router-2 は NAT せずに default gateway を router-1 に向けて, router-1 で,静的に router-2 の内部 network への routing table を書くと. router-2 internal な PC は default gateway を router-2 LAN 側に向けて, router-1 internal な PC は default gateway を router-1 LAN 側に向けると. これで普通に通信できてしまうのではないかと. router-2 で NAT すれば,router-1 で静的に routing する必要ないでしょうけど,きょ〜じゅ様もご指摘されておられるように,ftp の問題はこの「多段 NAT」に端を発する問題ではないかと.なので「router-2 は NAT しない方が幸せ」案です.router-2 で NAT することで router-1 internal --> router-2 internal の接続制限ができるでしょうけど...
これは2つの network を1つの network にしたいということでしょうか?であればそれは無理でしょう.というか,それなら間に router を挟まなければ良いのではないかと. | ||||||||
|
投稿日時: 2004-05-20 09:26
[おはようございます。
説明がへたくそでした... 現在のネットワークの状況がそうなっています。 ただし、router-1にrouter-2のrouting tableは設定せずにNATを有効にしています。 ここで問題だったのは、router-2配下のPCからrouter-1配下のPCを参照することができてしまうことで、 この2つのネットワークを完全に分けた状態でインターネット網への1つしかない出口を共有することが目的です。 きょうじゅさんの書き込みにあったように、ルーターを1台追加し、そのルータにrouter-1、router-2の静的ルートを設定しなければ解決すると考えております。
そうなんです。 ルーターを一つにして、LANアドレスを192.168.1.1(255.255.0.0)として 下に192.168.1.2-192.168.1.254(255.255.255.0)と192.168.2.1-192.168.2.254(255.255.255.0)を接続すれば、PCのサブネットで同一ネットワークしか見れないかと思いましたが、大きな勘違いでルーターがルーティングするので問題なく192.168.1.0、192.168.2.0の両方向からネットワークは参照できてしまいました。 きょうじゅさん、KAZさんのおっしゃられる通り、 一番問題だったのは、ルーターのNATをきちんと理解していなかったことで、 NAT有効のブロードバンドルーターと、ローカルルーターを混在して考えていたのが、 そもそもの間違いでした....ありがとうございました。 | ||||||||
|
投稿日時: 2004-05-20 10:43
[追加で質問させてください!
先にこのように書きましたが、どうも意味がわかりません.... セグメントは2つではなく、192.168.0.0(255.255.0.0)の1つのセグメントとなっているのでしょうか。 PCをこの状態でHUBのみと接続した場合は通信は行われないですよね。 だとすると、ルーターのLANポート側に2つのセグメントが存在していて、 ルーターがそれをルーティングしているのですか。 根本的な質問ですいません.....よろしくお願いいます。 | ||||||||
|
投稿日時: 2004-05-20 19:20
私も実際に使用したことがない(個人使用のルータタイプADSLモデムを除く)ので分からないのですが、できるものとできないものがあるのではないでしょうか。 ただ、この手のルータは最近かなり安いため、それほど多くの機能はもっていないのではないかと考えます。 であれば、ターゲットユーザが通常必要としないであろう、NATなしのルーティングは考慮しないことが殆どと思いますが。 こういった仕様の確認や設定に時間を掛けるのであれば、もう1台買った方が安くあがるため、"手っ取り早く"済ませる方法として書きました。 # FTPが出来なるなるだろうという制限がつきますが(^^;
192.168.2.1-192.168.2.254(255.255.255.0)側のPCってゲートウェイアドレスは何処を指定しているのでしょうか。 マスクに255.255.255.0が指定されていれば192.168.1.1はネットワーク外と見なされてルータに到達できないように思えますが。 またPC上でNetBEUI等、非IPの通信なら通ってしまいますが、無効にされていたのでしょうか。 # 仕様を考えるとYAMAHAのRTX1000辺りがベストバイな気がするがそれではあまり面白くないなぁf(^^;;; | ||||||||
|
投稿日時: 2004-05-25 10:20
[おはようございます、返信がおそくなってしまいました。
FTPソフトがリストを取得できない問題は原因不明で、 FTPサーバー←インターネット網←SONICWALL←ルーター(CenterCom700)←PC(FTPソフト)という形で、別の場所で試してみたところ、全く問題なくいけました。 ルーターはローカルルーター(NAT無効)、ブロードバンドルーター(NAT有効)の2通りの方法で試しましたが、どちらでもリストの取得は可能でした。 FTPソフトがリスト取得できなくなる環境との違いは、SONICWALLのユーザー数が異なるだけなのですが.....結局ネットワークは一元化することになりました。
ゲートウェイアドレスはルーター(192.168.1.1)を指しています。 NetBEUIに関しては、Microsoft ネットワーク用ファイルとプリンタ共有がインストールされていると、入ったりしてるんでしょうか。 ルーター無しのテストではPINGは通らなかったのですが。 最後にルーターと一言でいっても、本来のローカルルーター、インターネット網へ接続するためのブロードバンドルーターと意味が様々で、書籍でネットワークを学んでいても、実務が伴わないと何かしら理解できないこともあり、こういう場でいろいろな方に教えて頂くことは大変参考になりました。 ありがとうございました。 | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。