- - PR -
VLANについて
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-09-17 23:10
はじめて投稿します。初歩的な質問なのですがどなたかよろしくお願い致します。
現在社内には2つのネットワーク、インターネット抜けができる(A):192.168.1.x/24 と、閉じたネットワークである(B):197.168.2.x/24 があります。 (B)はセキュリティー上の理由によりインターネット抜けはできない、閉じたネットワークでなければならないということになっています。(A)と(B)は物理的に全く繋がっていません。 この度、ある1台のマシン(C)は、(A)と(B)両方に接続させる必要があります。そこでVLANハブの設置を考えています。(C)は(A)(B)と繋がるが、(A)と(B)は繋がらないという設定にすれば、(B)のセキュリティーは確保されると考えます。 そこでお伺いしたいのですが、このような構成にした場合、(A)(B)(C)のネットワークアドレスは全て192.168.1.x/24等で同じにしなければならないのでしょうか? VLANハブはレイヤ2による中継を行うものと思うので(間違ってますか?)レイヤ2での中継を許可されても、ネットワークアドレスが違えばレイヤ3での中継は通らないのでは、と考えました。間違いでしょうか? | ||||||||
|
投稿日時: 2004-09-17 23:21
物理的に1台のハブを論理的に複数に分ける仕組みだと思ってください。 レイヤ2において論理的に分けちゃう仕組みであり、中継する仕組みじゃないです。 ということですから、間違ってます。
も間違いです。 (C)に複数のNICを用意して、それぞれのネットワークに各NICを繋ぐ、というのが 基本的な考え方です。で、(C)はルーティングを含めて一切のパケットの中継処理を 行わないように、セキュリティには気を配ってください。 状況次第でVLANを使うことは可能ではあります。 VLAN対応のハブを(A)(B)それぞれにつなぎ、それぞれ接続した口は別のVLANに所属させ、 それぞれのVLANに(C)を接続する、なんて使い方は可能ですし。 | ||||||||
|
投稿日時: 2004-09-17 23:41
Mattun様 早速のご回答ありがとうございます。
NICの2枚差しも考えたのですが、VLANの方が手軽に導入できる気がしていまして・・・ VLANを使うとした場合、(A):192.168.1.x/24、(B):197.168.2.x/24、(C):? の それぞれのIPアドレスをどのようにすればよいのかがちょっと不安です。 (C)は(A)(B)両方と通信するわけなので、やはり、192.168.1.x/24 等に統一する必要 があるのでしょうか。 | ||||||||
|
投稿日時: 2004-09-17 23:51
手軽っていうより、物理的にシンプルな構成になる可能性はあるんですが、 それは物理構成や物理的制約次第です。 その辺判断できるほどの詳しい情報は書いてくれてないので、判断しかねます。
それをやったら(A)と(B)が通信できちゃうわけです。 (C)はあくまでも(A)(B)それぞれのネットワークアドレスを持つ 2つのIPアドレスを持つ必要があります。 その2つのIPアドレスを1枚のNICに割り当てる方法もあれば、2枚のNICに割り当てる方法もあります。 (A)と(B)間で通信を行わない構成である以上、論理構成は1つしか考えられないですが、 その論理構成がどういう構成なのか、頭に描けてますか?それが一番重要です。 そして、その論理構成を実現する上で、物理構成をどうするか、を考える上で、 VLANを使ってシンプルな構成にすることが出来たり、NICが1枚で済んだりするわけです。 先ほど書いた、 (C)に複数のNICを用意して、それぞれのネットワークに各NICを繋ぐ、というのが 基本的な考え方です。 っていうのは、物理構成=論理構成になる、って意味で、シンプルな構成なわけです。 論理構成を把握できてない段階で、VLAN云々なんて考えても混乱するだけですし、 論理構成を把握できてる状態なら、どうVLANを生かすかも自ずと見えてきますよ。 | ||||||||
|
投稿日時: 2004-09-18 00:16
こんばんわ.
L2 -> bridge L3 -> switch が一般的なのではないかと愚考しますが如何でしょう? -> Mattun様 実現したいことはなんとなく分かりますが,-> n-squid様 普通に「Security 対策万全です」な環境では普通許可されないと思います. が,「それでも...」なら,firewall の機能を実装すれば如何でしょう? Windows client でお考えなのでしょうか? Linux あたりだと,Netfilter で packet filter する傍ら, ip forwarding を disable してしまえば良いのではないかと. そうすることで,A -- B 間の通信は抑制され,C への攻撃も防げます. この場合,C は A/B 双方の network address を持ちますね. WindowsXP だと http://support.microsoft.com/default.aspx?scid=kb;JA;315236 このようにすると ip forward されるので,逆の設定をすれば良いのでしょうね. Windows Server 2003 も http://support.microsoft.com/default.aspx?scid=kb;ja;323339 とすると有効みたいです. その上で ICF などで双方の interface の packet filter な設定をすれば良いのではないかと. 以上,あくまでも参考までに. | ||||||||
|
投稿日時: 2004-09-18 00:26
L3はルーティングと表現するならまだしも、switchと表現しても区別付かないし 一般的でもないです。そもそもそんな用語の区別しようとする意図がわからないです。 その他の部分についても、Windowsすべておよび大抵のLinuxディストロにおいて、 意図的に設定しない限りL3におけるルーティング機能は無効になってます。 質問者を混乱させたいんでしょうか。 質問者が構成を考える上で、参考になる情報が全然なく、混乱させるだけなんですが。 | ||||||||
|
投稿日時: 2004-09-18 00:31
あ,ゴメンナサイ. そういう意図は全く無いです. L3 -> router と書き込みたかったです... ただ「VLAN ハブ」なるものがよく分からないです. [ メッセージ編集済み 編集者: kaz 編集日時 2004-09-18 00:39 ] | ||||||||
|
投稿日時: 2004-09-18 00:41
VLAN対応のハブ、です。 すでに書いた 物理的に1台のハブを論理的に複数に分ける仕組みだと思ってください。 というのが基本的な考え方です。 # さらなる拡張機能がある場合もありますが。 あまり悪態つきたくないのですが、分からないものに中途半端に返信して、 混乱させるような真似は勘弁してください。 返信が全くつかずに全然話が進んでない、なんて状況じゃないんですから。 | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。