- PR -

RTX1000でネットワーク分離

1
投稿者投稿内容
未記入
会議室デビュー日: 2008/08/09
投稿数: 3
投稿日時: 2008-11-09 21:23
いつもお世話になっております。

表題の要件を実現させたく試行錯誤しているのですが、うまくいきません。お力貸してください。

下記の様なIP構成で既にネットワークが構成されています。
[RTX1000] 192.168.1.1
[A層]192.168.1.31 〜 50 WAN側接続可能
 └--ファイルサーバー 192.168.1.1
[B層]192.168.1.61 〜 90 WAN側接続不可
・クライアントは全台Windows XP Professional
・※セグメントはA/B層とも同じ 192.168.1.***
・A/B層とも、DHCPはなく全台固定IP
・A層のネットワークには一般的なブロードバンドルーターがあり、これを経由してWAN側に接続。
・B層に属するPCは業務内容とセキュリティ的にWAN側への接続を許可していません。IPこそA層と同じですが、物理的にケーブルが接続されていません。

■要件
今回A層に設置されたファイルサーバーをB層から参照する必要が出てきましたが、WAN側への接続は従来通り接続させないように運用したいと思っています。そこで、未使用状態で放置されていたRTX1000を活用したいと考えています。
Windowsですので、B層のユーザーは[デフォルトゲートウェイ]とDNSを空欄にすればWAN側への接続は行えないままファイルサーバにはアクセスできる環境になりますが、逆にこの点を知っているユーザーに設定されてしまうとWAN側にも接続できることになります。
特殊アプリが動いていることもあり、IP体系は変更しないことが条件です。

LAN1: A層
LAN2: B層
LAN3: PPPoE
と設定するものとしてMACやIPのフィルターをどのように行えばよいのか、ご教授願います。
未記入
常連さん
会議室デビュー日: 2007/06/22
投稿数: 44
投稿日時: 2008-11-10 00:02
RTXはさわったことありませんのであしからず。

ヤマハのHPに設定事例集とかありますけど見てます?
さらっと見た感じでは結構丁寧に書いてありますよ。


さてと、
MACフィルタなんて後々管理できます?
ハードの新規追加、保守交換なんて発生するたびにメンテですよ?


まずはネットワークのサブネットをきっちりと分割して
その上でルーティング及びIPフィルタリングを考慮すればよいのでは?


アドレス体型の変更がいやだったらブリッジ接続可能なFWの導入の検討を。
akasaka
常連さん
会議室デビュー日: 2008/06/17
投稿数: 22
投稿日時: 2008-11-10 03:52
A層のファイルサーバにもう一つIPアドレスを振ることは可能ですか?
例えば、192.168.2.1 とか...。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2008-11-10 08:20
こんにちは。

引用:
未記入さんの書き込み (2008-11-09 21:23) より:

下記の様なIP構成で既にネットワークが構成されています。
[RTX1000] 192.168.1.1
[A層]192.168.1.31 〜 50 WAN側接続可能
 └--ファイルサーバー 192.168.1.1
[B層]192.168.1.61 〜 90 WAN側接続不可
・クライアントは全台Windows XP Professional
・※セグメントはA/B層とも同じ 192.168.1.***
・A/B層とも、DHCPはなく全台固定IP
・A層のネットワークには一般的なブロードバンドルーターがあり、これを経由してWAN側に接続。
・B層に属するPCは業務内容とセキュリティ的にWAN側への接続を許可していません。IPこそA層と同じですが、物理的にケーブルが接続されていません。

表題にネットワーク分離とありますが、ネットワークを分離する基本的な方法論を
理解されていないように見受けました。

このレベルの方へのBBS上でアドバイスは「SIベンダに依頼しましょう」以外の
有効なアドバイスは持ち合わせておりません。
progman
大ベテラン
会議室デビュー日: 2005/06/08
投稿数: 227
投稿日時: 2008-11-23 13:56
1)A層、B層という呼び方はネットワークレイヤの概念とは関係ないものだとおもいますので、グループA、グループBといった呼び方をしたほうが誤解を招かないのでよいでしょう。
ネットワークレイヤーの概念と結びつけて名前付けされているのでしょうか?

2)BグループのPCにIPアドレスを現時点でふっているのに、LAN接続はおこなっていないのですね。それはアプリを動かす上で必要なことなのでしょうか?

3)一般的なルーターなどでは同じIPセグメント内でも、範囲を絞って通信の拒絶をする設定が可能ですから、それにより制限をかけることは可能でしょう。
RTX1000は私は知りませんが、おなじような設定はできるでしょう。

4)3)の場合でも[デフォルトゲートウェイ]の設定の仕方を知っていれば、変更してつなぐユーザが出てくるという懸念と類似して、グループBのユーザがIPアドレスを変更して、つないでしまう。という心配はあるかもしれません。

5)ルーターがIPアドレスでなく、物理アドレスで通信可否を判断する機能があれば、グループBの物理アドレスからは拒絶する。または、グループBのアドレスからは許可するといった設定により、可能です。
この場合、こういった機能はルーターなら必ずもっているというものでもないのでRTX1000にあるかは確認が必要です。
また、グループA,BのMACアドレスを全て調べて登録する。それが変わったら、再登録するといった手間が常に発生することになります。

6)もうひとつですが、RTX1000にブリッジ機能があるならが、A,B間にかまして、NetBueiのパケットはとおして、IPパケットは通さない。A,B間のファイル共有はNetBueiでおこなうといったことも考えられます。


[ メッセージ編集済み 編集者: progman 編集日時 2008-11-23 14:01 ]
1

スキルアップ/キャリアアップ(JOB@IT)