• 締切済み

JP1によるPing監視について

下記顧客環境にてJP1によるPing監視を行おうとしております。 ・監視対象   DMZセグメントサーバ   ローカルセグメントサーバ ・構成   インターネット      |      FW - L2SW - サーバ(DMZ)      |      L2SW      |   サーバ(ローカル) ・監視条件   上記は環境はすべて顧客資産であり、顧客資産への設定は最小限に抑える必要がある。   監視対象のDGはFWのそれぞれのセグメントポートとなっている。   責任分解点として、顧客資産とは別のFWを設置し、監視用セグメントとNAT構成を組みたい。   監視はインターネットからではなく、内側の専用セグメントから行う。 この場合、顧客資産とは別のFWをどの位置に設置するのが最良か、皆様のお知恵をお貸し下さい。 よろしくお願い致します。

みんなの回答

  • jeee
  • ベストアンサー率52% (119/227)
回答No.2

>ICMPパケットは必ず許可されているものなのでしょうか。 顧客又はネットワーク設計者の考え方で決まると思いますが。 たとえば、インターネットから来るICMPパケットの対応 通しているところ NEC(www.nec.co.jp) 日立(www.hitachi.co.jp) 通していないところ マイクロソフト(wwww.microsoft.com) 富士通(jp.fujitsu.com) IBM(www.ibm.com) このようにコンピュータメーカでも違いがあります。 また、ネットワークは、どこかの会社のコピーがあったと思いますが、「シンプル イズ ベスト」だと思います。 ネットワークの可用性を上げるため、二重化などを行うと、だださえ複雑になりますので、構想図としては単純なネットワークがベストと思います。 さらに、インターネット側のルータなどの死活監視をする場合には、FWでICMPパケットを通す必要がありますし、障害時にはルータなどが3層のICMPまでは機能していることが素早くわかります。 先日、家庭で使っているパソコンのWebでNECが見れない現象が発生しました。Pingは通るのに。 ブロードバンドルータの再立ち上げしたら治りましたが。 ブロードバンドルータのFW機能に異常が発生していた。(メーカのホームページをチェックする必要があるかな) ネットワークの障害は、複雑です。 最後に、監視システムのソフトパッチやウイルス対策ためのインターネットの接続は。 また、監視者は、障害時に情報の収集やメールなどでインターネットを使用するのか。(OSやJP1なとのサポートサービスの利用など)

  • jeee
  • ベストアンサー率52% (119/227)
回答No.1

FWを設置する場合には、一つのサブネットワーク化が必要となり、顧客のIPアドレス管理に影響すると思います。 次のいずれかだと思いますが。 ・サーバ(DMZ)にLANインターフェースを追加しFWを接続する。   デメリット     サーバに設定が必要となる。 ・L2SW(DMZ)にFWを接続する。   デメリット     顧客のFWの設定が必要となると思われる。(監視ネットワークアドレスをルーティングしないようにする。) ・L2SW(ローカル側)にFWを接続する。   デメリット     監視用のパケットが顧客のネットワークを通過する。ただし、通過するパケットの極少量と思いますが。   メリット     監視サーバで異常を検知した場合、顧客の管理者に自動でメールなどで通知することができる。 私がやるとしたら最後ですね。最初の2つは設定が複雑でミスの原因になりうるの思いますが。 なお、JP1でPing監視だけですか。ったいないな。CPU、メモリやディスクの容量、アプリケーションの実行の監視などをやったらと思いますが。

SHLIA01
質問者

補足

ご回答ありがとうございます。 確かにローカル側のL2SWに接続したほうが一番デメリットが少なそうですね。 一つ確認をさせてください。 非常に無知で誠に申し訳ないのですが、ローカルからDMZへのICMPパケットは必ず許可されているものなのでしょうか。 もし許可されていなければ、顧客のFWにローカルからDMZへのICMP許可の設定を入れなければなりません。 例えば、監視用FWがマルチポートタイプであれば、次のような接続はいかがでしょうか。 ローカル側のL2SWとDMZ側のL2SWの両方からそれぞれのセグメントで監視FWに接続、MIPをかけて監視セグメントと通信させる。 その際、監視FWで許可するのは、監視セグメントの固有IPとMIPIP間のICMPパケットのみとする。 上記接続方法ですと、監視FWではローカルとDMZの通信は遮断されているので、通信がループすることもありませんし、顧客側の機器で設定を行う必要もないような気がします。 何卒、ご意見賜ればと存じます。 ちなみに、障害メールは別ソフトとの連携で、障害発生時に自動的に管理者まで発報するようなシステムを組んでおります。 またリソース・プロセスの監視もできますが、今回は、顧客がそこまで望まなかったということで・・・。

関連するQ&A