- PR -

ISAと静的ルーティング

投稿者投稿内容
ヨッシー
ベテラン
会議室デビュー日: 2004/04/27
投稿数: 79
お住まい・勤務地: 朝霞市から豊洲へ
投稿日時: 2004-09-08 11:45
こんにちは。
引用:

るーさまさんの書き込み (2004-09-08 09:08) より:
おはようございます。


社内のネットワークセグメントとネットワークAのセグメントを分割するのは、
ネットワークAが提携会社のネットワークだからです。

業務上のデータをやりとりする関係ではあっても同じ会社ではないので、
同一セグメントでは何かと問題があるということだと思います。
(そのために「社内」という表記をしたのと思うのですが・・・。)


また、ルーターとネットワークセグメントAは光で繋がっているそうです。

よろしくお願いします。


本当に難しいですね!

環境が今のままで変えられないなら、方法としては下記でやるしかないかなと思います。

  1. ISA2004のRRASが使用できない以上、クライアント側で業務の度に「デフォルトゲートウェイ」を変更してもらう。
  2. ISA2004→ISA2000に戻して、RRASの機能を使用し、『ネットワークA』へルーティングさせる。
  3. デスクスペースの都合やマシンの有無の問題があるかとは思いますが、あらかじめ「デフォルトゲートウェイ」を『ネットワークA』に設定したマシンを導入する。『ネットワークA』への接続は、そのマシン以外させないようにするとか…。

すみません。いろいろと制約が多いと、おのずと選択肢が消えていってしまいます。
私には、ここまでしか回答できません。
るーさま
ベテラン
会議室デビュー日: 2004/07/26
投稿数: 52
お住まい・勤務地: 江戸っ子・東京勤め
投稿日時: 2004-09-08 12:56
ヨッシー様、引き続きのご返信ありがとうございます。


提案して頂いた案の内、2,3は採用してもらえないと思いますので、
1もしくは「なんとかする」の方向でやるしかないかと・・・。

最悪の場合、4番目の措置として、
ネットワーク業務が必要な端末のそれぞれにroute -p(であってましたっけ?)
でルーティングテーブルを記述してしまうという方法があります。


それにしても、ISAはルーターのハズなのに・・・。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-09-08 13:50
こんにちわ.
引用:

るーさまさんの書き込み (2004-09-08 12:56) より:

それにしても、ISAはルーターのハズなのに・・・。


ではないです,正確には.
あくまでも firewall と proxy です.
router とは全く別物で,router も兼ねることが出来るかも...くらいです.

でも,個人的な所見を述べさせていただくと,
単に「やり方が判らないだけ」だと思うのですが,如何でしょうか?
ISA 2004 はまだ試せていないので「こうすれば」は書き込めませんが,
manual などを見れば,下位に別 network がある場合の設定箇所があるのではないかと.
少なくとも「そういった機能を有効にできない」などということは有り得ないかと.
とりあえず試したいんですけどね...時間が...
ヨッシー
ベテラン
会議室デビュー日: 2004/04/27
投稿数: 79
お住まい・勤務地: 朝霞市から豊洲へ
投稿日時: 2004-09-08 14:34
こんにちは。
引用:

kazさんの書き込み (2004-09-08 13:50) より:

でも,個人的な所見を述べさせていただくと,
単に「やり方が判らないだけ」だと思うのですが,如何でしょうか?
ISA 2004 はまだ試せていないので「こうすれば」は書き込めませんが,
manual などを見れば,下位に別 network がある場合の設定箇所があるのではないかと.
少なくとも「そういった機能を有効にできない」などということは有り得ないかと.
とりあえず試したいんですけどね...時間が...



私も同感です。

ISA2004を一度だけインストールしましたが、画面の感じしか見ていないので、機能面がどんな風になっているのかはわかりません。しかも今社内ではなくなったので…
きっと、設定できる項目があるんでしょうけど、今はなんとも言えません。

何とかできる方法が見つけられるよう祈っています。
シャーク
会議室デビュー日: 2004/05/17
投稿数: 8
投稿日時: 2004-09-09 14:59
ISAに関しては実績がまるでないので何ともいえないのですが

「社内PCのデフォルトゲートを変えずにインターネットにもネットワークAにも通信したい」

という要件だけを満たすのであれば

理想(インターネット):社内PC→ISA→インターネット
理想(ネットワークAへ):社内PC→ISA→ルーター→ネットワークA

という構成にこだわらず

(インターネット):社内PC→ルーター→ISA→インターネット
(ネットワークAへ):社内PC→ルーター→ネットワークA

というように、社内PCのデフォルトをルーターにしてしまうのも一つの手ではないでしょうか
まあ、ルーターのスペック等現実には難しい面もありますが。

また、仮にISAでRoutingが可能であったとしても、
(ネットワークAへ):社内PC→ISA→ルーター→ネットワークA
この通信を採用させると、パケットの流れが
行き
社内PC→ISA→ルーター→ネットワークA
戻り
ネットワークA→ルーター→社内PC
となり、行きと戻りのパケットの経路が変わってしまいます。
こうなると、場合によっては(FWがステートフルインスペクション採用なら)
ネットワークA発社内PC向け通信をFWでDropする場合もありますので。

そういった意味では
route add -p 172.19.0.0 mask 255.255.0.0 ルーター

のバッチファイルを社内にまいてダブルクリックというのが一番無難かつ美しい
パケットの流れになるのではないかと。

ご質問の趣旨とは離れてしまう書き込み、申し訳ございません。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-09-09 15:32
こんにちわ.
引用:

シャークさんの書き込み (2004-09-09 14:59) より:

また、仮にISAでRoutingが可能であったとしても、
(ネットワークAへ):社内PC→ISA→ルーター→ネットワークA
この通信を採用させると、パケットの流れが
行き
社内PC→ISA→ルーター→ネットワークA
戻り
ネットワークA→ルーター→社内PC
となり、行きと戻りのパケットの経路が変わってしまいます。
こうなると、場合によっては(FWがステートフルインスペクション採用なら)
ネットワークA発社内PC向け通信をFWでDropする場合もありますので。


そもそも router がどちら向きなのかわからないですね...
router そのものは default gateway 設定されてるのでしょうか?
それとも,単に別 network 間を結んでいるだけ?
Uchikoshi
@ITエディタ
会議室デビュー日: 2001/07/27
投稿数: 197
投稿日時: 2004-09-09 20:20
 いまひとつ状況がつかみにくくいのですが、通信したい先のネットワークAは、ISA2004の「ネットワーク」ではどのように定義しているのでしょうか? ISA2004では、「内部」「境界領域」「外部」など、明確に定義されたネットワークがいくつかあるはずですが、そのうちのどこに定義しているのでしょうか? 別ネットワークだから、基本的には新しいネットワークを定義するべきだとは思いますが(例「会社Aネットワーク」とか)、内部ネットワークの一部に含めてもよいかも知れません。

 もし「内部」ネットワークの一部だとすると、「ネットワーク ルール」で、『「内部」←[ルート]→「内部」』というようなルールは存在していますでしょうか? デフォルトではこのようなルールはないので、パケットが破棄されているのではないでしょうか(手元で再現したわけではないので、推測ですが)。もし別ネットワークとして定義しているなら、そのルーティングを許可するネットワークルールを作成する必要があると思います。

 さらに、ISA2004マシンには、ネットワークA宛のスタティックなルートをあらかじめ定義しておく必要があると思います(たぶん)。

的外れだったらごめんなさい。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-09-09 21:00
こんばんわ.
引用:

Uchikoshiさんの書き込み (2004-09-09 20:20) より:

 さらに、ISA2004マシンには、ネットワークA宛のスタティックなルートをあらかじめ定義しておく必要があると思います(たぶん)。


問題はここで,るーさま様よりの情報を信じる限り,
RRAS での設定ができなくなっている,
route add して routing table には追加できたようですから,
引用:

 もし「内部」ネットワークの一部だとすると、「ネットワーク ルール」で、『「内部」←[ルート]→「内部」』というようなルールは存在していますでしょうか? デフォルトではこのようなルールはないので、パケットが破棄されているのではないでしょうか(手元で再現したわけではないので、推測ですが)。もし別ネットワークとして定義しているなら、そのルーティングを許可するネットワークルールを作成する必要があると思います。


なのかな?

でも,自分も推測ですが,それはないと考えていました.
そのような環境を ISA 2000 で作った際に,
たしか「あえて policy を書く」ことはせず,
routing だけで通信できたと記憶しています.
でも,記憶違いということもあり得ますので,
Uchikoshi 様のご指摘のように「内部 -> ISA -> 内部」な rule を追加してみては?
でも,この場合の rule は「内部 -> 内部」となる???それも変???

スキルアップ/キャリアアップ(JOB@IT)