- PR -

ネットワーク設計について

1
投稿者投稿内容
crahadoll
常連さん
会議室デビュー日: 2005/01/20
投稿数: 45
投稿日時: 2006-06-02 16:41
お世話になっております。
ネットワークの設計について質問させてください。
ちょっと長くなりますが、よろしくお願いします。

下記のようなネットワークを構築するとします。
・インターネットからWEB(サーバ)へのアクセス
・内部セグメントからインターネット閲覧

インターネット


|210.0.0.1/24(global)
ルータ
|210.0.1.1/24(global)


|210.0.1.2/24(global)
FW――――――――――――WEB 210.0.2.1/24(global)
|192.168.0.1/24(private)

|【192.168.1.0/24(NWアドレス)】

内部セグメント

【質問1】
このようなネットワーク(IPアドレス)構成はありますか?

【質問2】
このような構成でルータ〜FWセグメントにglobalIPを振るメリット・デメリトットを教えてください。
個人的にprivateIPでも構わないのではないかと考えています。

【質問3】
このような構成でFW〜WEBセグメントにglobalIPを振るメリット・デメリトットを教えてください。
個人的にprivateIPでも構わないのではないかと考えています。

【質問4】
このような構成で、インターネットからWEBサーバにアクセスの設定を行う場合、下記設定になりますか?
ルータ設定:インターネット〜WEB間ルーティング(インターネットからWEB(サーバ)へのアクセスのため)
FWの設定:インターネット〜WEB間ルーティング(インターネットからWEB(サーバ)へのアクセスのため)
内部セグメントからルータに向けてのNAT設定(内部セグメントからインターネット閲覧のため)

以上、よろしくお願いします。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-06-02 19:51
こんにちは。

【回答1】
「ありますか」を「正しいですか」に読み換えて
少なくとも下記部分は誤っています。
→ 内部セグメントのPCでデフォルトゲートウェイが設定できません。
|192.168.0.1/24(private)

|【192.168.1.0/24(NWアドレス)】


【回答2】
メリット :特に無いように思います。
デメリット:グローバルアドレスの無駄、不要な?ルータの存在。

【回答3】
メリット :FWのDMZ設定が解り易くなる。
デメリット:強いていえばグローバルアドレスの無駄。

【回答4】
スタティックルート設定だと
> ルータ設定:インターネット〜WEB間ルーティング(インターネットから
> WEB(サーバ)へのアクセスのため)
インターネット〜FWのルート設定
→ 質問図に記載漏れがないなら、このルータが存在する意味が理解できません。

> FWの設定:インターネット〜WEB間ルーティング(インターネットから
> WEB(サーバ)へのアクセスのため)
> 内部セグメントからルータに向けてのNAT設定(内部セグメントからイン
> ターネット閲覧のため)
通常、内部セグメントからDMZ(質問図のWEB部分)へのルーティング設定
も必要ですね。
crahadoll
常連さん
会議室デビュー日: 2005/01/20
投稿数: 45
投稿日時: 2006-06-02 21:13
ご回答ありがとうございます。

>少なくとも下記部分は誤っています。
>→ 内部セグメントのPCでデフォルトゲートウェイが設定できません。
>|192.168.0.1/24(private)
>|
>|【192.168.1.0/24(NWアドレス)】
すみません。書き誤りです。

>【回答2】
>メリット :特に無いように思います。
>デメリット:グローバルアドレスの無駄、不要な?ルータの存在。
>
>【回答3】
>メリット :FWのDMZ設定が解り易くなる。
>デメリット:強いていえばグローバルアドレスの無駄。
なるほど。ということは、ルータEthernet側から下は基本的にプライベートアドレスということですね?

ほかに一般的なFWを利用した構成図があれば、
簡単にで構いませんので記載して頂けないでしょうか?

よろしくお願いします。
F/A
ぬし
会議室デビュー日: 2006/03/18
投稿数: 312
お住まい・勤務地: Tokyo
投稿日時: 2006-06-03 21:59
ネットワーク構成に一般的なんて言葉が通用するのかは不明ですが、
一般的にはファイアウォールの方がルーターより
インターネット寄りにあるんじゃないでしょうか?

しかし、グローバルIPが潤沢に予約できて
羨ましい環境ですね。

<追加訂正>
図にあるファイアウォールは、ルーターより
ルーターらしい仕事してますよね。

[ メッセージ編集済み 編集者: F/A 編集日時 2006-06-03 22:01 ]
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-06-05 13:50
このところ、忙しいもので返答が遅くなりました。

引用:

crahadollさんの書き込み (2006-06-02 21:13) より:

ほかに一般的なFWを利用した構成図があれば、
簡単にで構いませんので記載して頂けないでしょうか?

相談元の図からインターネット側のルータを除いた図が一般的ですね。
→ この辺の情報はご自身で探しては如何でしょうか?
  ネット上でもかなり参考になる情報が見つかるはずです。
  一般企業の情報は少ないと思いますが、大学等学校関係は公開している
  ところは少なくないです。
  できればこうした機会に書籍等を購入して勉強されると良いでしょう。

DMZに置く機器構成に相違がある程度で何処も大差無いと思われます。

相談の真意が理解できませんが、何処かのSIベンダの提案内容に疑問を感じる
といった状況なら、「肝心な部分は自分で勉強する」必要があると思います。

・・・こうした場所で安易に質問していると後で苦労します・・・
Wind
ベテラン
会議室デビュー日: 2004/11/10
投稿数: 73
投稿日時: 2006-06-06 10:19
こんにちは。

入力内容がすっとんだので、簡潔に(再度入力面倒……)。

回答2)
上層のRouterがAccess Router(Access回線を収容するRouter)であったり、BGPを食わせるRouterならグローバル必須。
NAT PointがFirewallなら、グローバル必須。
NATをRouterもしくはさらに上層でやるなら、プライベートでも構わないかと。
(Access Routerなら、WAN側のAddressはキャリアから払い出されるはずですが)

回答3)
DMZに設置するサーバ次第。
Webのみなら大差ないですが、SMTPをおいた場合、サーバプロダクトによってはプライベートアドレスがヘッダーに書かれる場合があります。
これを嫌う管理者は、DMZにもグローバルを振る場合があります。

構成図云々に関して)
自分であれば、ですが、構成図はAccess Routerまで記載しますね。
Access Routerがないと、Firewallから見たDefault Routeが判らなくなりますので。
Access RouterのDefault Routeはキャリアからもらえるはずなので割愛しちゃいますかね、多分。
この手の構成図のPointはRoute設定、Network境界が分かる事が重要かと思います。

以上、ご参考まで。
Wacky
会議室デビュー日: 2006/04/02
投稿数: 14
投稿日時: 2006-06-06 10:37
こんにちは。

ぱっと見、UnNumbered用の設計かなと思いましたが違うのかな?

元の図から引用して考えて見る。。。
グローバルIP:210.0.0.0/28
DMZ セグメント:172.16.0.0/24
LAN セグメント:192.168.0.0/24
と仮定して、

インターネット


|210.0.0.0/28(WAN側)
ルータ
|210.0.0.1/28(LAN側)


|210.0.0.2/28(Untrust)
FW―172.16.0.1/24(DMZ)――――WEB 172.16.0.2/24(MIP:210.0.0.3)
|192.168.0.1/24(Trust)


LAN セグメント

情報が足りないので、こんな感じかな〜と書いてみました。
1

スキルアップ/キャリアアップ(JOB@IT)