- - PR -
Netscreen でハブアンドスポークのVPN構成 + ハブ側のLANアドレスをNATしたい
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2006-10-27 21:33
本部側(ハブ)と各複数拠点(スポーク)間のVPNを構築したいと考えています。
しかしながら、VPNを構築する各拠点のLAN(trust)のアドレス体系がバラバラで重複することも考えられます。 よって、拠点のサーバ(今回本部側と通信したいサーバ)のローカルアドレスにNATをかけて、管理上都合の良いアドレス体系にした上で、VPN経由で本部側にデータを送信する方法をNetscreenで考えています。 検証環境では SV--(LAN1)--netscreen ---(WAN1)--- netscreen --(LAN3)-- SV (LAN2) をLAN3からNATするアドレス用に使う LAN1:10.1.1.0/24 LAN2:10.1.2.0/24 LAN3:192.168.1.0/24 でやっています。 VPNをはることはできるのですが。 いまひとつNetscreenでのNATの方法も理解していないということもあって、NATがからむとうまくいきません。 アドバイスお願いします。 thanks in advance | ||||
|
投稿日時: 2006-10-28 22:45
こんにちは。
上手くいかなくて当然だと思われます。 >VPNを構築する各拠点のLAN(trust)のアドレス体系がバラバラで >重複することも考えられます。 この状況を整備することなく、社内ネットワークを運用するのは無謀だと思います。 例えば、A拠点とB拠点が同じプライベートアドレス体系を採用されていた場合、 A拠点にも、B拠点にも同じIPアドレスを持つサーバが存在する可能性が発生します。 → いくらWAN上で完璧なルーティング設計をしても、上記状態では重複したIPアドレス を持つサーバへのアクセスは困難だと思われませんか? この機会をポジティブに捉えて、全社のIPアドレス体系の整備をされることを推奨します。 | ||||
|
投稿日時: 2006-10-29 15:20
こんにちわ.
基本的には BackDoor 様のご指摘通りだと思います. いろいろな事情で「現行の address 体系を変えることができない」ことも あるでしょうけど,どのように「うまくいかない」のか書かれていないと 議論にならないと思いますよ. それすら「うまく纏められない」のであれば, やはり network 体系の整理から始められるべきかと思われます. 以上,ご参考までに. | ||||
|
投稿日時: 2006-10-31 13:18
アドバイスありがとうございます。
いろいろと試してみた結果、うまくいきました。 「MIP」や「DIP」など、どうも私には不慣れなものでしたので。。。 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。