- ベストアンサー
ネットワーク構成について(中・上級者向け?)
お世話になっております。 ネットワークの設計について質問させてください。 ちょっと長くなりますが、よろしくお願いします。 下記のようなネットワークを構築するとします。 ・インターネットからWEB(サーバ)へのアクセス ・内部セグメントからインターネット閲覧 インターネット | | |210.0.0.1/24(global) ルータ |210.0.1.1/24(global) | | |210.0.1.2/24(global) FW――――――――――――WEB 210.0.2.1/24(global) |192.168.0.1/24(private) | |【192.168.1.0/24(NWアドレス)】 | 内部セグメント 【質問1】 このようなネットワーク(IPアドレス)構成はありますか? 【質問2】 このような構成でルータ~FWセグメントにglobalIPを振るメリット・デメリトットを教えてください。 個人的にprivateIPでも構わないのではないかと考えています。 【質問3】 このような構成でFW~WEBセグメントにglobalIPを振るメリット・デメリトットを教えてください。 個人的にprivateIPでも構わないのではないかと考えています。 【質問4】 このような構成で、インターネットからWEBサーバにアクセスの設定を行う場合、下記設定になりますか? ルータ設定:インターネット~WEB間ルーティング(インターネットからWEB(サーバ)へのアクセスのため) FWの設定:インターネット~WEB間ルーティング(インターネットからWEB(サーバ)へのアクセスのため) 内部セグメントからルータに向けてのNAT設定(内部セグメントからインターネット閲覧のため) 以上、よろしくお願いします。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
こんちは。hirasakuです。 質問1 実際にはあるよ。 若干WAN側が違うけど、ルーターのWAN側はunnumberedにしてIP振らずにLAN口に通してLAN側にグローバルを振る方法が一般的かな。 このような構成にする理由とか条件があるとは思うけど。 たとえばルーターにはPPPoEでの接続と本来の経路制御のみやらせて、アクセス制御はFWに任せることにより機器の負荷分散ができるよね。 また、障害発生時の切り分けもしやすくなるのでは。 ルーターのスループットにしてもNATやフィルタリングなどなし状態でのスループットを表記している場合があるし、確かにルーターにIPマスカレードと複雑なフィルターを設定すればそれだけ負荷がかかりスループットも落ちる。いまどきのルーターは良くなってそうでもないかもしれないけど。 それと機器の機能にもよるのでは。 たとえばルーターは単純なパケットフィルタ機能しかない FWにはPPPoEの機能がないがステートフルな制御ができるなど。 これも、いまどきのルーター・FWともアプライアンス化されていろんなことが出来るようになってるけどね。 質問2 メリット・・・ルーターの設定は楽。 デメリット・・グローバルIPが複数必要。ランニングがかかるかな。 NATというアドレス変換は大きな枠でとらえるとFWの機能の一つだと思う。だからFW機器には必ずNAT機能が備わっている。ルーター~FW間をプライベートIPにした場合、FWとルーターで2回のアドレス変換が発生するので、WAN側から何かをアクセスさせたいとき複雑になるね。 質問3 メリット・・・ないと思う デメリット・・これも、この構成ならないと思う。 というのは、DMZ側はFWによってDMZ側のホストにアクセス制限をかけるからグローバルだろうとプライベートだろうと変わらない。 でも私もDMZはプライベートがいい。 質問4 ルーターは最初に書いたようにLAN側にグローバルを設定してある。それも複数IPを契約して。ということは、210.0.0.1/29 ならばWAN側からのあて先アドレスが 210.0.0.1-210.0.0.6 のアドレスはFWまで流してくれるのでDMZのWEBサーバーがどうのとかはいらない。 FWはあて先にWEBサーバーのグローバルアドレスが着たらアクセス制御に基づいて通過させるサービスのみ通過させそれ以外は拒否する。 (この構成の場合、80番ポートを通過) FWはLAN側のホストに対してWAN側に許可するポリシーを設定して出すものは出し、拒否するものは拒否する。WAN側へはNATもしくはIPマスカレードによってアドレス変換を行いアクセスさせる。 という具合でしょうか。
その他の回答 (2)
- Toshi0230
- ベストアンサー率51% (836/1635)
A1. No.2さんが答えてくれるので省略。 でも正直なところ、ここまで豪快にGlobal IPを使っているネットワークは見たことがない(^^;。 (大学のように、組織全体にGlobal IPが使われている例を除く) A2. 同上。 付け加えるなら、ルータ~FW間のネットワークをPrivate-IP化するのであれば、ルータの位置にFWを持ってきた方がよいのではないかな? A3. FWにStatic NAT機能がついていない、あるいはNATを使いたくないのであればこういう構成はありです。 が、最近はStatic NAT機能を持たないFirewallなんて見たこと無いですから(DMZ用のインタフェース付きの物では特に)、あまり現実的な話ではないと思います。個人的にもStatic NATを使う方が好みです(Global IP節約できるし)。 A4. ルータは、WEBのサブネットに対する経路情報を持っておく必要がありますね。 FWはデフォルトルートだけでよいでしょう。 FWのルールについてはNo.2さんが回答されているので省略します。
- tsukachan
- ベストアンサー率42% (202/470)
【回答1】 このようなネットワーク構成はありません。 ルータ~FW間はローカルIPです。そこにグローバルは使う必要ありません。 (使えない事は無いですけど意味があまり無いですね。高くなるし) また、FW以下のNWアドレスにあたるローカルIP構成がおかしいです。 ルータも無いのに別セグメントにする意味が無い。 【回答2】 なのでメリットは全くないです。デメリットは取得するグローバルIPが多くなる為コストが掛かる事です。(ただ公開サーバの数が多くなるのであれば必要かもしれませんね) ルータの設定は外部接続設定(NAT・DNS・PPPOEなど)・内部へのルーティング設定(デフォルトをDMZへルーティング) FWは通信ポートの設定・ポート毎の振り分け設定 ルータで全部まかなえる製品ありますからその方がややこしく無いかもしれません。(FW単体を導入するのはセキュリティを強化したいから?) 専門家に頼んだ方が良いですよ・・・・ 知識不足で外部ネットワークとつなぐ構成考えると自分だけでなく他人に迷惑掛かる恐れ有りますから・・・
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
補足
早々のご回答ありがとうございます。 >(使えない事は無いですけど意味があまり無いですね。高くなるし) 前提条件で抜けがございました。 一応、企業のネットワークを想定しています。 yahooとかはこうなっているのかな?と思いました。 >ルータも無いのに別セグメントにする意味が無い。 こちらについてはFWでルーティングの設定を加えてあげればよいのかと。 >(ただ公開サーバの数が多くなるのであれば必要かもしれませんね) 前提条件に漏れがありました。yahooとかを想定していました。すみません。 >ルータで全部まかなえる製品ありますからその方がややこしく無いかもしれません。(FW単体を導入するのはセキュリティを強化したいから?) バリアセグメント構成ですか? 私もかねがね、なぜわざわざDMZ構成にするのか疑問に思っていました。 >専門家に頼んだ方が良いですよ・・・・ >知識不足で外部ネットワークとつなぐ構成考えると自分だけでなく他人に迷惑掛かる恐れ有りますから・・・ はい。ちょっと知識をつけたく相談に乗らせて頂きました。