- ベストアンサー
セグメント越えのアクセス禁止
某社なのですが、同じビル内に 1階 192.168.0.* (100クライアント) 2階 192.168.1.* (100クライアント) 3階 192.168.2.* (100クライアント) ※数字は適当 と言う風にセグメントが分かれています。 同じ階同士では、違うワークグループでも接続可能ですが、階またぎでは接続を許可しないと管理者が言っているらしいです。 どういったポリシーで禁止だと思われますか。 また、違うセグメントは繋がないのが(ルーターまたぎだからですかね)普通なのでしょうか。 ご回答宜しくお願い致します。
- tayamasan
- お礼率78% (127/161)
- その他(インターネット接続・通信)
- 回答数3
- ありがとう数2
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
組織的理由だとすると、それぞれの階でセキュリティポリシーを変えている、物理的理由とすれば、単にルータがないからですかね。 この場合、普通はレイヤ3スイッチを導入し、各セグメントはVLANで管理することが多いと思われます。複数階またがる組織もありますし。
その他の回答 (2)
どうか参考程度に... >どういったポリシーで禁止だと思われますか。 > ポリシーとなると、そこのネットワークポリシーによるものなので、 そのネットワークを運用している中で決まった決まりですね。>管理者にお尋ねを... というと当たり前の回答になってしまうのですが、#1の補足 >lmhostsなど入れれば問題はないと思うのですが > これから、たぶんWindowsのブラウジングや名前解決の話なのかな? ようは、pingはお互いに通るけどネットワークの一覧に出てこないといった感じの。 (pingも通らないのであれば、明らかにそこのポリシーによるものですね) これは単にWindowsネットワークがそのように作られていない(WINSサーバが無い等)とか ルータ(L3-SW)でVLAN間で特定のブロードキャストを流していないだけではないでしょうか? 通常WINSサーバの無い環境でhelper-addressとかdirected-broadcastで ブロードキャストの送信なんてしないでしょうから >階またぎでは接続を許可しないと管理者が言っているらしい > という説明になっているかもしれませんね。 実際にVLAN間のルーティングしていないとか、フィルタリングしているかもしれませんが...。 また、#1の補足から >セキュリティ上避けたほうがいいんでしょうか。 もし、lmhostsなりIPアドレスで検索するなりで見えるのであれば、 向こうからも見えているでしょうから、自分が見ることでセキュリティ低下にはつながらないでしょう。 #もともと低いということですね ネットワークポリシーの中で「許可しない」と明記されていては試してもダメですが、 そうでなければ、問題ないと思われます。 #セキュリティポリシーが作られていない部門での管理者の意見(命令)は #単なるわがままととらえられることがあるとか無いとか...
お礼
ありがとうございます。申し訳ありませんが、回答順にポイントをつけさせていただきました。
補足
おそらく転送量の問題。他部門とのやたらなファイル共有の禁止のためと思うんですよね。IPアドレスでは接続できる環境なので。やったらおこられますけど。ありがとうございます。
- stsu
- ベストアンサー率62% (83/132)
ブロードキャスト・ドメイン分割する理由はわかりますよね? 以前は「LANは繋げるもの」が常識でしたので、大抵の 企業は各セグメント同士を接続したフラットなLANにな っています。 但し人事情報等、企業内でも公開できない情報もある ので、そういう情報を扱う部門だけLAN上に特別な配慮 をするケースは多いです。 質問のケース(フロアごと分離)は残念ながら想像が つきにくいので、可能ならそこのネットワーク管理者 に質問するしかなさそうです。 ここで書かれた無責任な(失礼!)回答から誤った 判断をされぬよう、老婆心からアドバイスさせて 頂きました。 → 決して#1の方の回答を否定するものではござい ませんので、ご了承願います。
お礼
ご回答ありがとうございます。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_1_thumbnail_img_sm.png)
補足
レイヤ3でVLANでした。lmhostsなど入れれば問題はないと思うのですが、セキュリティ上避けたほうがいいんでしょうか。