• 締切済み

同一セグメントでポートのフィルタリング

社内を192.168.0.0/24のネットワークで構成しています。 サーバのセキュリティの関係から、同一セグメント上でポートフィルタリングを掛けたいのですが、同一セグメントで可能でしょうか。 192.168.0.0/24  | フィルタリング(レイヤースイッチ?)  | 192.168.0.0/24 よろしくおねがいします 

みんなの回答

  • kuma-ku
  • ベストアンサー率54% (1558/2845)
回答No.2

こんばんは 基本的に、入出力のPort 単位でIP フィルタリング可能なものを探す必要があります。 http://www.allied-telesis.co.jp/products/list/switch/8724sl/catalog.html http://www.allied-telesis.co.jp/products/list/switch/8624el/catalog.html 同一サブネット内の場合、通常スイッチング処理されてしまいます。 それを、IP ヘッダまで確認できるL3スイッチが必要です。 ---------- ■ ハードウェアIPフィルターは、ルーティングされない同一IPネットワーク内のトラフィックに対しても有効です。そのため、「192.168.10.0/24から他ネットワークへのTCPコネクション確立要求を拒否」するつもりで次のような設定を行うと、192.168.10.0/24内でもTCPの通信ができなくなってしまいます。 ADD SWITCH L3FILTER MATCH=SIPADDR,PROTOCOL,TCPSYN,TCPACK SCLASS=C ↓ ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY ↓ 通常、ネットワーククラス単位でフィルターを設定するとき(SCLASS、DCLASSにA, B, Cまたは1~32のマスク長を指定したとき)は、前の例のように送信元(SIPADDR)と宛先(DIPADDR)の両方を指定してください。

参考URL:
http://www.allied-telesis.co.jp/support/list/switch/8624el/m068802a/overview_08SWITCH_60HWF.html#sec10
  • suzui
  • ベストアンサー率67% (199/297)
回答No.1

(機種によって)できます。 たとえばCisco Catalyst3550など。 フィルタリング要件の複雑さによって、 上位機種である6500などが適切な場合もあります。 参考URLは3550のマニュアルの該当部分です。

参考URL:
http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/sw/cat30/3550mscg/chapter27/27_swacl.shtml
  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

注目のQ&A

カテゴリ

あなたにピッタリな商品が見つかる! OKWAVE セレクト

専門家に質問してみよう

職業から探して質問する
質問する