- - PR -
VLANについて
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-09-17 23:10
はじめて投稿します。初歩的な質問なのですがどなたかよろしくお願い致します。
現在社内には2つのネットワーク、インターネット抜けができる(A):192.168.1.x/24 と、閉じたネットワークである(B):197.168.2.x/24 があります。 (B)はセキュリティー上の理由によりインターネット抜けはできない、閉じたネットワークでなければならないということになっています。(A)と(B)は物理的に全く繋がっていません。 この度、ある1台のマシン(C)は、(A)と(B)両方に接続させる必要があります。そこでVLANハブの設置を考えています。(C)は(A)(B)と繋がるが、(A)と(B)は繋がらないという設定にすれば、(B)のセキュリティーは確保されると考えます。 そこでお伺いしたいのですが、このような構成にした場合、(A)(B)(C)のネットワークアドレスは全て192.168.1.x/24等で同じにしなければならないのでしょうか? VLANハブはレイヤ2による中継を行うものと思うので(間違ってますか?)レイヤ2での中継を許可されても、ネットワークアドレスが違えばレイヤ3での中継は通らないのでは、と考えました。間違いでしょうか? | ||||||||
|
投稿日時: 2004-09-17 23:21
物理的に1台のハブを論理的に複数に分ける仕組みだと思ってください。 レイヤ2において論理的に分けちゃう仕組みであり、中継する仕組みじゃないです。 ということですから、間違ってます。
も間違いです。 (C)に複数のNICを用意して、それぞれのネットワークに各NICを繋ぐ、というのが 基本的な考え方です。で、(C)はルーティングを含めて一切のパケットの中継処理を 行わないように、セキュリティには気を配ってください。 状況次第でVLANを使うことは可能ではあります。 VLAN対応のハブを(A)(B)それぞれにつなぎ、それぞれ接続した口は別のVLANに所属させ、 それぞれのVLANに(C)を接続する、なんて使い方は可能ですし。 | ||||||||
|
投稿日時: 2004-09-17 23:41
Mattun様 早速のご回答ありがとうございます。
NICの2枚差しも考えたのですが、VLANの方が手軽に導入できる気がしていまして・・・ VLANを使うとした場合、(A):192.168.1.x/24、(B):197.168.2.x/24、(C):? の それぞれのIPアドレスをどのようにすればよいのかがちょっと不安です。 (C)は(A)(B)両方と通信するわけなので、やはり、192.168.1.x/24 等に統一する必要 があるのでしょうか。 | ||||||||
|
投稿日時: 2004-09-17 23:51
手軽っていうより、物理的にシンプルな構成になる可能性はあるんですが、 それは物理構成や物理的制約次第です。 その辺判断できるほどの詳しい情報は書いてくれてないので、判断しかねます。
それをやったら(A)と(B)が通信できちゃうわけです。 (C)はあくまでも(A)(B)それぞれのネットワークアドレスを持つ 2つのIPアドレスを持つ必要があります。 その2つのIPアドレスを1枚のNICに割り当てる方法もあれば、2枚のNICに割り当てる方法もあります。 (A)と(B)間で通信を行わない構成である以上、論理構成は1つしか考えられないですが、 その論理構成がどういう構成なのか、頭に描けてますか?それが一番重要です。 そして、その論理構成を実現する上で、物理構成をどうするか、を考える上で、 VLANを使ってシンプルな構成にすることが出来たり、NICが1枚で済んだりするわけです。 先ほど書いた、 (C)に複数のNICを用意して、それぞれのネットワークに各NICを繋ぐ、というのが 基本的な考え方です。 っていうのは、物理構成=論理構成になる、って意味で、シンプルな構成なわけです。 論理構成を把握できてない段階で、VLAN云々なんて考えても混乱するだけですし、 論理構成を把握できてる状態なら、どうVLANを生かすかも自ずと見えてきますよ。 | ||||||||
|
投稿日時: 2004-09-18 00:16
こんばんわ.
L2 -> bridge L3 -> switch が一般的なのではないかと愚考しますが如何でしょう? -> Mattun様 実現したいことはなんとなく分かりますが,-> n-squid様 普通に「Security 対策万全です」な環境では普通許可されないと思います. が,「それでも...」なら,firewall の機能を実装すれば如何でしょう? Windows client でお考えなのでしょうか? Linux あたりだと,Netfilter で packet filter する傍ら, ip forwarding を disable してしまえば良いのではないかと. そうすることで,A -- B 間の通信は抑制され,C への攻撃も防げます. この場合,C は A/B 双方の network address を持ちますね. WindowsXP だと http://support.microsoft.com/default.aspx?scid=kb;JA;315236 このようにすると ip forward されるので,逆の設定をすれば良いのでしょうね. Windows Server 2003 も http://support.microsoft.com/default.aspx?scid=kb;ja;323339 とすると有効みたいです. その上で ICF などで双方の interface の packet filter な設定をすれば良いのではないかと. 以上,あくまでも参考までに. | ||||||||
|
投稿日時: 2004-09-18 00:26
L3はルーティングと表現するならまだしも、switchと表現しても区別付かないし 一般的でもないです。そもそもそんな用語の区別しようとする意図がわからないです。 その他の部分についても、Windowsすべておよび大抵のLinuxディストロにおいて、 意図的に設定しない限りL3におけるルーティング機能は無効になってます。 質問者を混乱させたいんでしょうか。 質問者が構成を考える上で、参考になる情報が全然なく、混乱させるだけなんですが。 | ||||||||
|
投稿日時: 2004-09-18 00:31
あ,ゴメンナサイ. そういう意図は全く無いです. L3 -> router と書き込みたかったです... ただ「VLAN ハブ」なるものがよく分からないです. [ メッセージ編集済み 編集者: kaz 編集日時 2004-09-18 00:39 ] | ||||||||
|
投稿日時: 2004-09-18 00:41
VLAN対応のハブ、です。 すでに書いた 物理的に1台のハブを論理的に複数に分ける仕組みだと思ってください。 というのが基本的な考え方です。 # さらなる拡張機能がある場合もありますが。 あまり悪態つきたくないのですが、分からないものに中途半端に返信して、 混乱させるような真似は勘弁してください。 返信が全くつかずに全然話が進んでない、なんて状況じゃないんですから。 |