- 締切済み
JP1によるPing監視について
下記顧客環境にてJP1によるPing監視を行おうとしております。 ・監視対象 DMZセグメントサーバ ローカルセグメントサーバ ・構成 インターネット | FW - L2SW - サーバ(DMZ) | L2SW | サーバ(ローカル) ・監視条件 上記は環境はすべて顧客資産であり、顧客資産への設定は最小限に抑える必要がある。 監視対象のDGはFWのそれぞれのセグメントポートとなっている。 責任分解点として、顧客資産とは別のFWを設置し、監視用セグメントとNAT構成を組みたい。 監視はインターネットからではなく、内側の専用セグメントから行う。 この場合、顧客資産とは別のFWをどの位置に設置するのが最良か、皆様のお知恵をお貸し下さい。 よろしくお願い致します。
- SHLIA01
- お礼率0% (0/2)
- ネットワーク
- 回答数2
- ありがとう数0
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- jeee
- ベストアンサー率52% (119/227)
>ICMPパケットは必ず許可されているものなのでしょうか。 顧客又はネットワーク設計者の考え方で決まると思いますが。 たとえば、インターネットから来るICMPパケットの対応 通しているところ NEC(www.nec.co.jp) 日立(www.hitachi.co.jp) 通していないところ マイクロソフト(wwww.microsoft.com) 富士通(jp.fujitsu.com) IBM(www.ibm.com) このようにコンピュータメーカでも違いがあります。 また、ネットワークは、どこかの会社のコピーがあったと思いますが、「シンプル イズ ベスト」だと思います。 ネットワークの可用性を上げるため、二重化などを行うと、だださえ複雑になりますので、構想図としては単純なネットワークがベストと思います。 さらに、インターネット側のルータなどの死活監視をする場合には、FWでICMPパケットを通す必要がありますし、障害時にはルータなどが3層のICMPまでは機能していることが素早くわかります。 先日、家庭で使っているパソコンのWebでNECが見れない現象が発生しました。Pingは通るのに。 ブロードバンドルータの再立ち上げしたら治りましたが。 ブロードバンドルータのFW機能に異常が発生していた。(メーカのホームページをチェックする必要があるかな) ネットワークの障害は、複雑です。 最後に、監視システムのソフトパッチやウイルス対策ためのインターネットの接続は。 また、監視者は、障害時に情報の収集やメールなどでインターネットを使用するのか。(OSやJP1なとのサポートサービスの利用など)
- jeee
- ベストアンサー率52% (119/227)
FWを設置する場合には、一つのサブネットワーク化が必要となり、顧客のIPアドレス管理に影響すると思います。 次のいずれかだと思いますが。 ・サーバ(DMZ)にLANインターフェースを追加しFWを接続する。 デメリット サーバに設定が必要となる。 ・L2SW(DMZ)にFWを接続する。 デメリット 顧客のFWの設定が必要となると思われる。(監視ネットワークアドレスをルーティングしないようにする。) ・L2SW(ローカル側)にFWを接続する。 デメリット 監視用のパケットが顧客のネットワークを通過する。ただし、通過するパケットの極少量と思いますが。 メリット 監視サーバで異常を検知した場合、顧客の管理者に自動でメールなどで通知することができる。 私がやるとしたら最後ですね。最初の2つは設定が複雑でミスの原因になりうるの思いますが。 なお、JP1でPing監視だけですか。ったいないな。CPU、メモリやディスクの容量、アプリケーションの実行の監視などをやったらと思いますが。
関連するQ&A
- 外向け(DMZ)・内向けの名前解決について
現在、ルータを2台接続し、 バリアセグメント(DMZ)とLAN側とネットワーク帯に分けています。 それぞれのネットワーク帯の名前解決はできており、 それぞれのネットワーク対からインターネットを閲覧できることも確認しています。 また、バリアセグメント(DMZ)内サーバからバリアセグメント(DMZ)内設置の公開webサーバを閲覧できることも確認できております。 ここで、疑問にもっておりますのは、 LAN側内設置のクライアントから バリアセグメント(DMZ)内設置の公開webサーバを閲覧することなのですが、どのように設定すればよろしいのでしょうか? IPaddressを直打ちすれば閲覧できることは確認しています。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- DMZ上へのメールサーバ(SMTPとPOP)構築について
現在メールサーバはASPを利用しており、社内に環境はありません。 今回、社内に設置してあるFWに、DMZを新設して、 そこにメールサーバを設置しようとしています。 通常なら、DMZにはSMTPサーバ(メールリレーサーバ)のみ設置し、 POPサーバ(Exchange等)は社内LANに設置する方法がセキュリティ的にも 妥当かと思いますが、今回の用件としては、どうしてもインターネット上からの、 メール参照が必須となります。 (インターネット上からDMZ上のPOPサーバにPOPしに来る) 要は、自宅からメールが見たいということになります。 そこで、FWに空ける穴としては、下記追加を想定しておりますが、 問題等あればご指摘願いますでしょうか。 Untrust⇒DMZ ・・・SMTP(25)、POP3(110)を許可 Trust⇒DMZ ・・・SMTP(25)、POP3(110)を許可 ※なお、SMTPサーバ、POPサーバはPostfixでの構築です。
- 締切済み
- ネットワーク
- NetScreen50でTrust→DMZのPINGが通らない
現在社内LANとインターネットをファイアウォール経由で接続するべく設定を行っているのですが、 ファイアウォールのTrustポート→DMZポート間のpingが通らず困っています。 マニュアルを見ても良く判らないレベルです…。 一応、簡単な構成は以下の通りです。 社内LAN(192.168.*.*) → Switch → FW 192.168.4.254/24 (eth01:Trust) → → FW FW *.*.*.45/29 (eth02:DMZ) → ルータ → インターネット FW機種:NetScreen-50 ・社内LANからはFWのeth01までpingが通ります。 ・FWのeth01(Trust)、eth02(DMZ)共にInterface Modeを"NAT"または"Route"で試してみましたが駄目でした。 ・ポリシーの"Trust to DMZ"で"Any Any Any(またはPing) Permit"と設定してあります。 また、Interfaceの設定でもeth01、02共にPINGは許可してあります。 これを読んで何かお気付きの方がいらっしゃいましたら、ご教授下さると助かります。 よろしくお願い致します。
- ベストアンサー
- ネットワーク
- ネットワーク構成について(中・上級者向け?)
お世話になっております。 ネットワークの設計について質問させてください。 ちょっと長くなりますが、よろしくお願いします。 下記のようなネットワークを構築するとします。 ・インターネットからWEB(サーバ)へのアクセス ・内部セグメントからインターネット閲覧 インターネット | | |210.0.0.1/24(global) ルータ |210.0.1.1/24(global) | | |210.0.1.2/24(global) FW――――――――――――WEB 210.0.2.1/24(global) |192.168.0.1/24(private) | |【192.168.1.0/24(NWアドレス)】 | 内部セグメント 【質問1】 このようなネットワーク(IPアドレス)構成はありますか? 【質問2】 このような構成でルータ~FWセグメントにglobalIPを振るメリット・デメリトットを教えてください。 個人的にprivateIPでも構わないのではないかと考えています。 【質問3】 このような構成でFW~WEBセグメントにglobalIPを振るメリット・デメリトットを教えてください。 個人的にprivateIPでも構わないのではないかと考えています。 【質問4】 このような構成で、インターネットからWEBサーバにアクセスの設定を行う場合、下記設定になりますか? ルータ設定:インターネット~WEB間ルーティング(インターネットからWEB(サーバ)へのアクセスのため) FWの設定:インターネット~WEB間ルーティング(インターネットからWEB(サーバ)へのアクセスのため) 内部セグメントからルータに向けてのNAT設定(内部セグメントからインターネット閲覧のため) 以上、よろしくお願いします。
- ベストアンサー
- ネットワーク
- 異なったパブリックIPでWEBサーバーを公開したい
現在は、SSG320でこの構成で動いておりますのでできるとは思われますが、UTMの差し替えがあり、Sonicwall Pro 3060で再構築しているところです。 要件としては、DMZ内にWAN側と異なったセグメントのグローバルネットワークでWEBサーバーを公開する方法を探してます。 設定例 WAN GW グローバルIP 10.10.10.247/29 DMZ ローカルIP 192.168.1.0/24 DMZ グローバルIP 61.205.227.135/26 DMZローカルとDMZグローバルをNATして61.205.227.135/26のセグメントを使用して、WEBサーバーを公開しようと考えてます。 出来る・できないはちょっと不明ですが、イメージとしては、以下をできる機能を探してます。( NATの二重みたいな感じですが・・・) WAN IP → DMZ グローバルIP → DMZLocalIP こんな機能とかってなんかありますかね? 設定する機能名の当たりでも教えてもらえれば後は頑張れそうです。
- ベストアンサー
- ネットワーク
- 低価格(1~3万円程度)で購入できるローカルルータを探しています。
低価格(1~3万円程度)で購入できるローカルルータを紹介 願いたく質問させていただきました。 最初は低価格のブロードバンドルータでいけると思い、メーカ に確認しましたが、「ローカルルータ」というものが必要と 判明し、NGでした。その後、調査をしてみたのですが、ロー カルルータとしての機能を持っているものが見つかりません。 ・必要としているもの 有線のローカルルータ スループット:100Mbps ・現状のネットワーク構成 F/W(NetScreen-5GT)+光にて外部と通信。 F/WにてDMZ、Trustゾーンを組んでいる。 他はL2SWやHUB、WindowsPC、Linuxサーバが 各ゾーンに配置されている。 ・実現したいこと Trustゾーン配下に購入したいルータを設置 してセグメントを分けて使用したい。 ルータ配下に設置したサーバは特定ポート だけ通信許可。 F/W経由でインターネット接続(パッチを当 てるなど)したい。 本ルータにて配下のサーバ類に対し、MACア ドレス制御をしたい(必須ではありません)。 以上、よろしくお願いいたします。
- ベストアンサー
- ルーター・ネットワーク機器
- ping のreply が無い
| SV |---|L2SW|---|L3SW|---|Center.Router|--Z--|Edge.Router|---| PC | よくあるネットワーク構成だと思います。 (全て、全二重で接続されています) -Z- の区間は、インターネットVPNで接続しています。 5分間隔で、SVからEdge.Router に対してping を使った 死活監視をしています。 pingを5回発行して、全てreplyが無ければメールで 障害を通知する仕組みにしているのですが、 数時間毎にdownのメールが届きます。 実際は、回線が切れているわけでなく、 5分後に回復メールが届きますし、 回復メールを待たなくても、 障害メール到着後、直ちにサーバーからpingを発行したら、 きちんとreplyがあります。 よくわからないのは、 ・ping の応答待ち時間を延ばすことで改善されるのか ・reply が届かなかった場所を特定する方法はあるのか 恐れ入りますが、 ご教授願いませんでしょうか。 よろしくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- ntpサーバの置き方
DMZ、内部ネットワーク全端末(サーバ、クライアント含む)で、時刻調整をするために、ntpサーバを置こうと思っています。 どのように設置するのが一番いいのでしょうか? DMZには10台ほど端末があり、社内には100台ほど端末があります。(社内は今後300台ぐらいまで増える可能性あり) ネットワークは、下記のような構造になっています。 <ネットワーク構成> インターネット | FW--DMZ | 社内ネットワーク 案1、DMZにntpサーバを1台設置する。 流れ1.DMZ設置ntpが、外のntpサーバと同期 流れ2.DMZ設置ntpサーバに、社内とDMZ全端末を向ける。 案2、DMZ、社内にntpサーバを1台ずつ設置。 流れ1.DMZ設置ntpサーバが、外のntpサーバと同期 流れ2.DMZ設置ntpサーバと、社内のntpサーバが同期 流れ3.「dmz端末は、DMZのntpサーバと同期」「社内端末は、社内のntpサーバと同期」のように全端末設定する 案1をとると「設定ポイントがdmzのntpサーバ1台なので、 状況に合わせてntpを変える必要がない。ただ、ntpサーバの負荷は案2より高い。」 案2をとると「設定ポイントがntpサーバ2台なので、状況に合わせてntpを変える必要あり。ただ、ntpサーバの負荷は案1より低くなる。」 どちらの案でntpサーバーは設置するのが普通なのでしょうか? ご教授お願いします。
- ベストアンサー
- ハードウェア・サーバー
- 拠点間の同一セグメント
ネットワークで離れた拠点間を同一セグメントで接続することを考えております。 構成としては、 192.168.1.0/24⇔L3SW⇔L3SW⇔IP-VPN⇔L3SW⇔192.168.1.0/24 のように 192.168.1.0/24 を2拠点で同一とすることです。 この時、図に記載した通り、 複数のL3SWとIP-VPNを経由することが条件となります。 →既存から存在する構成のため。 調べているとL2TP装置等を L3SWと192.168.1.0/24 の間におけば L2トンネルをはることで実現できるようにも考えておりますが、 L2TPの各事例をみていると 192.168.1.0/24 と 192.168.2.0/24 をつなぐ等、同一セグメントではなく、 別セグメントをつなぐ例ばかりが見受けらえれます。 質問のような構成はL2TPでは実現できないのでしょうか? よろしくお願いいたします。
- 締切済み
- ネットワーク
- 2つの拠点を監視
よろしくお願いします。 弊社のシステムは、ビル内の社内システム(イントラ)と、 Amazonクラウド上のWebシステムがあります。 この2つの拠点内のサーバを、1つの監視サーバで統合監視できるか、思案しております。 例えば社内システムにZabixなど監視サーバを構築し、 インターネット経由でクラウド上のサーバを死活監視するなどです。 しかし、インターネット経由で監視をするのは、果たして構成として妥当か悩んでいます。 デメリットや懸念として考えられることなど、ご意見を頂ければ助かります。
- ベストアンサー
- その他(ITシステム運用・管理)
補足
ご回答ありがとうございます。 確かにローカル側のL2SWに接続したほうが一番デメリットが少なそうですね。 一つ確認をさせてください。 非常に無知で誠に申し訳ないのですが、ローカルからDMZへのICMPパケットは必ず許可されているものなのでしょうか。 もし許可されていなければ、顧客のFWにローカルからDMZへのICMP許可の設定を入れなければなりません。 例えば、監視用FWがマルチポートタイプであれば、次のような接続はいかがでしょうか。 ローカル側のL2SWとDMZ側のL2SWの両方からそれぞれのセグメントで監視FWに接続、MIPをかけて監視セグメントと通信させる。 その際、監視FWで許可するのは、監視セグメントの固有IPとMIPIP間のICMPパケットのみとする。 上記接続方法ですと、監視FWではローカルとDMZの通信は遮断されているので、通信がループすることもありませんし、顧客側の機器で設定を行う必要もないような気がします。 何卒、ご意見賜ればと存じます。 ちなみに、障害メールは別ソフトとの連携で、障害発生時に自動的に管理者まで発報するようなシステムを組んでおります。 またリソース・プロセスの監視もできますが、今回は、顧客がそこまで望まなかったということで・・・。