- PR -

Netscreen5GTでのNAT変換

1
投稿者投稿内容
ロビンマスク
ベテラン
会議室デビュー日: 2006/08/02
投稿数: 53
投稿日時: 2006-10-25 15:03
お世話になっております。
現在Netscreen5GTを用いて拠点と本社間のネットワークを結んでおります。
今回拠点の方で、新たなシステムを導入することになりました。しかし、拠点とのIPセグメントとは別の物を提示されました。そのため、ルータにNAT機能を持たせようと思います。
TRUST側の1つのポートに新システム用とし、残りを既存のクライアント用ポートとしたいと思います。そこでNetscreen5GTでポート単位でセグメントを分け新システムのセグメント(例:192.168.1.×/24 → 172.17.1.×/28)といった感じでNAT変換は可能でしょうか?
よろしくお願いします。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-10-25 15:51
こんにちは。目的が理解できませんので、可能なら補足説明を願います。

引用:

ロビンマスクさんの書き込み (2006-10-25 15:03) より:

今回拠点の方で、新たなシステムを導入することになりました。しかし、拠点とのIPセグメントとは別の物を提示されました。そのため、ルータにNAT機能を持たせようと思います。

普通は新システムのSIベンダに既設環境のアドレス体系に合わせるよう指示する
と思うのですが?

Q1.既設環境とアドレス体系を変えなくてはならない理由は?
Q2.本社と接続しなくてなはならない理由は?

完全独立系のシステムなら別ネットにすればよいし、他システムとの連携を持たせる
なら既設のアドレス体系に合わせるべきではないでしょうか???

誤字訂正・・・

[ メッセージ編集済み 編集者: BackDoor 編集日時 2006-10-25 15:58 ]
てふてふ
会議室デビュー日: 2006/09/05
投稿数: 8
投稿日時: 2006-11-01 09:26
まず、Backdoor様もおっしゃているとおり、
ネットワーク体系の見直しが最善だと私も思います。

私からは、実現可能かどうかだけ。。。
質問を見ると、NetScreenのVIP機能を使えばできます。


ただし、下記条件を満たそうと思えば
>TRUST側の1つのポートに新システム用とし、残りを既存のクライアント用ポートとした
>いと思います。そこでNetscreen5GTでポート単位でセグメントを分け新システムのセグメ
>ント(例: 192.168.1.×/24 → 172.17.1.×/28)といった感じでNAT変換は可能でしょ
>うか?

NS-5GTのport-modeを考慮する必要があります。
通常の"trust-untrust"では、実現できないような。。。

*ロビンマスク様もご存知だと思いますが、NetScreenはZONEの概念で動作しています。
カスタムでL3ZONEを作成しないと実現しないと思います。
(NS-5GT-207-02なら、"DMZ Zone"が使えますので、できそうな気がします。)

ほかの型番の場合は制限がありますので、
やりたいことができないと思いますよ。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-11-01 10:50
もう見ておられないかも知れませんが、追加コメントです。

私ならこのケースでは下記のような対応をします。

1.新システムのネットワーク体系を既存環境に合わせる調整を行う。
 既存体系に合わせられれば問題なし。
 → 既存環境に合わせられない場合、明確な理由付けが必要です。
   経営側は環境変更の追加費用の妥当性を判断する必要があります。

2.諸般の事情で独立ネットワークにせざるを得ない場合は、WANを
 構成するNetscreenの設定を変えずに、新システムを導入する
 拠点内にIPルータを新設し、セグメント分割を行う。
 → 既存環境が安定稼動できているなら、そこへの影響を最小限
   にすることが望ましいと思われます。
   また、IPルータの新設費用も新システム導入に伴う止むを得ない
   処置ということで追加予算をとることが可能かと思われます。
ロビンマスク
ベテラン
会議室デビュー日: 2006/08/02
投稿数: 53
投稿日時: 2006-11-01 11:03
ご返信遅くなり申し訳ありませんでした。
IPのセグメント変更はやはり本社と拠点側の問題がありどちらも変更不可となってしまいました。
私なりに調べた結果、extendならDMZでいけそうですが、ただの5gtだportmodeに変更し、一から設定変更しなければいけないようです。ただ、trustモードでコンフィグからの設定しか行ったことがないもんで・・・。上手くいくかという感じです。
BackDoor様、てふてふ様ありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)