- ベストアンサー
ファイアウォールにおけるネットワーク分割
・ISPからの割り当て IPアドレス:202.xxx.xxx.96~111 ネットマスク:255.255.255.240(28ビット) 各ゾーンのアドレス ・WAN側:202.xxx.xxx.96/28(グローバル) 97~102をホストで利用可能 96はネットワークアドレス、103はブロードキャストアドレス ・DMZ側:202.xxx.xxx.104/29(グローバル) 105~110をホストで利用可能 104はネットワークアドレス、111はブロードキャストアドレス ・LAN側:192.168.1.0/24(プライベート) (1)ルータのNIC(ファイアウォールに対向する側)とファイアウォールのWAN側NICは、ISPから指定されたIPアドレスとネットマスクをそのまま使用 (2)DMZのネットワークアドレスは、WAN側よりマスクが1ビット長いものを設定。→割り当てられたネットワークの後半部分をサブネットとして切り出すため。 (3)ファイアウォールには、WAN側(96~103)宛てとDMZ側(104~111)宛てのパケットについて、それぞれルーティング設定をしておく。 (4)ルータには、202.xxx.xxx.96~111宛てのパケットについて、ファイアウォールのWAN側NICをゲートウェイとして転送するルーティング設定をしておく。 (4)は、ルータとDMZ側が同一ネットワークアドレスに属する(アドレスが同一とはどういうことか?)にもかかわらず、実際には同一ネットワークに存在しないために必要。この設定がないと、ルータは202.xxx.xxx.96~111宛てのパケットを直接転送する(直接とはどういう意味か?)ために、ARPによって転送先のMACアドレスを得ようとするが、これはDMZ側アドレスに関しては失敗する(なぜ失敗するのか?)ため、通信不能になる。 ()の疑問について教えていただけると助かります。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
アドレスしか書かれていないので結線は想像で答えます。 また、質問者は設計者と違うのですか?誰から誰に対する質問か良くわからないので純粋に質問にだけ答えます (アドレスが同一とはどういうことか?) ISPから見ると、割り当てたネットワークは202.xxx.xxx.96~111の範囲1個なので msndanceさんのネットワークにDMZが存在する事はわかりません。 なので、ISPからみてアドレスが同一ということでないでしょうか (直接とはどういう意味か?) 先ほどの質問と同じでISPからは同一のネットワークに見えるわけで、 同一のネットワークアドレスに直接転送と言う意味だと思います (なぜ失敗するのか?) ARPとはレイヤ2の通信なので同一ネットワーク内にしか届きません、 DMZが直接接続されたネットワークで無い場合はARPが失敗します。 アドレスの割り当て方から某光系ISPだと思われますが、 あくまでIPアドレスだけを割り当てているのであって、 ネットワーク構成を通知するためにはルーティングテーブルの交換が必要になります。この辺は敷居が高いのでネットワークをしっかり勉強して検討してみてください。
その他の回答 (1)
- mii-japan
- ベストアンサー率30% (874/2820)
IPアドレス:202.xxx.xxx.96~111/28 のサブネットを 202.xxx.xxx.96/29 と 202.xxx.xxx.104/29 の二つに分けて使用すると受け止めないとおかしくなります >202.xxx.xxx.96/28(グローバル) >97~102をホストで利用可能 >96はネットワークアドレス、103はブロードキャストアドレス これは設定が中途半端です ブロードキャストは 202.xxx.xxx.111 になります もしくは 202.xxx.xxx.96/29 です
お礼
>(なぜ失敗するのか?) >ARPとはレイヤ2の通信なので同一ネットワーク内にしか届きません、 >DMZが直接接続されたネットワークで無い場合はARPが失敗します。 これで理解できました。ありがとうございます。 ここであげたアドレスはネットワークの勉強のための仮想的なものです。もう少し礼儀正しい質問文が打てればよかったのですが、800字という字数制限ギリギリだったため、とりとめのない文章になってしまいました。すみません。