- PR -

L3スイッチでのVLAN相互通信について

1
投稿者投稿内容
月詠
会議室デビュー日: 2009/03/25
投稿数: 2
投稿日時: 2009-03-25 14:54
L3スイッチでのVLAN相互通信について

着任3年目のしがない技術者です

現在 IPの違う3つの環境のネットークをL3で統一し、相互通信を行おうとしています。

使用機器

L3スイッチ D-Link DES−3828
ルータ1 NetScreen 50
ルータ2 NetScrenn 5GT
ルータ3 富士通

VLAN-1 172.16.*.*/255.255.00
VLAN-2 10.10.*.*/255.255.255.0
VLAN-3 192.168.*.*/255.255.255.0

各端末はデフォルトGWを各ルータに設定していますが
各端末のGWを変更せずにVLAN間で相互通信するためにはVALNの設定をどのようにしたらよいか教えていただけますか?

kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2009-03-25 15:57
こんにちは.
引用:

月詠さんの書き込み (2009-03-25 14:54) より:

現在 IPの違う3つの環境のネットークをL3で統一し、相互通信を行おうとしています。

L3 switch の機能で統一しなければならないのですか?
router は既存なのですよね?
で,その router へ gateway が向けられている LAN が VLAN-1 〜 3 なのですよね?
ではそれぞれの router の gateway として設定されていない側(external とします)
を,同一の network address にして L2 で接続して,
それぞれの router で「自分が所属していない network」の
routing table を追加すれば良いだけでは?
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2009-03-25 16:16
要件が見えないので、適当に書いときます。

コード:
[現状構成]

(WAN)  (WAN)   (WAN)
 |   |    |
 |   |    |
[NS50] [NS5GT] [LR???]---------------
 |   |    | ↓変更したくない
 |172  |10   |192 
 |   |    |
-[L2]----[L2]------[L2]-----------------
 |   |    | ↓触りたくない※
 |   |    |
  PC   PC    PC


[移行方式1--上位収容]
 ・3台のFW、ルータを共通セグメントに収容する。
 ・WAN側を含めて、2つのVLANが必要。

     (WAN)
 _____|_____
[____VLAN2____]
[____VLAN1____]
 |   |    |
 |   |    |
 |   |    |  →IPアドレスの変更、経路情報の追加
[NS50] [NS5GT] [LR???] →▲継続使用の有無が見えないですが?
 |   |    |
 |172  |10   |192 
 |   |    |
-[L2]----[L2]------[L2]-----------------
 |   |    | ↓触らない
 |   |    |
  PC   PC    PC


[移行方式2--相互接続]
 ・WANの統合は、後でできる。
 ・各FW、ルータの空きインタフェースを使用。
 ・L3いらないかも

(WAN)  (WAN)   (WAN)
 | __|____|_
 |/  |/   |/→L2で接続し、経路情報を追加
[NS50] [NS5GT] [LR???]---------------
 |   |    | ↓変更したくない
 |172  |10   |192 
 |   |    |
-[L2]----[L2]------[L2]-----------------
 |   |    | ↓触りたくない※
 |   |    |
  PC   PC    PC

_________________
_福田太郎_
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2009-03-25 17:08
それぞれの router(firewall)をいきなり L3 で入れ替えて,
VLAN 間通信させた方が効率的なように思えますが,
配線が届くか?とかいった facility が見えないのでなんとも.
月詠
会議室デビュー日: 2009/03/25
投稿数: 2
投稿日時: 2009-03-25 17:43
[現状]

[NS50] [LR?] [NS5GT]
| | |
|------------| [L2]
| L2 | |
-------------- |
| |
[PC] [PC]


[構成予定]

[NS50] [LR?] [NS5GT]
 |      |     |
_________________
[ L3 ]
_________________
[_VLAN1_|_VLAN2_|__VLAN3_]
___________________________________
 |      |     |
 |172     |10    |192
|---------------| [L2]
| L2 |    |
|---------------|    |
   |         |
  [PC]        [PC]

こんな感じで構成したいと思っています






[ メッセージ編集済み 編集者: 月詠 編集日時 2009-03-25 17:48 ]
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2009-03-25 21:31
構成情報ありがとうございます。
一部レイアウトが崩れてますが、要旨は理解はできます。

・FWのIPアドレス等は変更しない。
・PCのIP設定の変更はしない。
・各VLANに、従来のGWと内部経路のGWを存在させる。

この場合は、Netscreenのセグメントでは問題です。
NetscreenはFWなので、ICMPリダイレクトを返さないと思いますので、
PCのGWがNetscreenのままでは、他セグメントとの通信ができません。
例を示します。

コード:

 (WAN)
  |
  |
 [NS50]
 GW|宛先が内部ならICMPリダイレクト
  |↓
 ↑|
 [L2SW]─―[L3SW]――他セグメント
  |┌→リダイレクト後の流れ
  |
  PC

ご希望の構成と等価なトポロジです。実際にはL3の一部をL2として使います。
ICMPリダイレクトを受信したPCにはテンポラリな経路が生成されます。


したがって、
・NetscreenとLRに各セグメントの経路を追加する。
・NetscreenのLAN側のみICMPリダイレクトを出すようにする。

または、
・PCに Route addを行い内部経路のGWをL3のIPアドレスにする。


あるいは、上の要件から逸れますが、
・現状のFWのIPアドレスをL3に譲り、FWには新しいIPを付与する。
・L3にデフォルト経路を追加する。

といった措置をすることになります。
が、WANが統合されないなら、既存のWAN超えの通信に影響が出ますので、
PCにRouteAddは必須になるかと。

_________________
_福田太郎_
1

スキルアップ/キャリアアップ(JOB@IT)