社内ネットワーク構成の見直しを任されたのですが、
知識が薄く判断出来かねています。
以下の疑問にどなたかお答え頂けないでしょうか。
【現状の構成】
WAN(DNSサーバ、メールサーバ)
|
[モデム内蔵ルータ] - [Webサーバ/FTPサーバ(Linux)]
|
[ルータ] - [ファイルサーバ(Windows)]
|
[クライアントPC(Windows)]
・モデム内蔵ルータとWebサーバ、ルータにグローバルアドレスを割り当てています。
・モデム内蔵ルータとルータでは異なるサブネットマスクを設定しています。
・ファイヤーウォールは各端末で適用しています。
・Webサーバは外部に公開します。ファイルサーバは内部LANからのみアクセスします。
・他に外部からアクセスは行いません。
■疑問1
現状、3つのノードにグローバルアドレスが割り当てられていますが、
上記の運用方法の場合にはモデム内蔵ルータにだけ割り当て、
他はプライベートアドレスで問題ないでしょうか?
#モデム内蔵ルータ配下(右ルート)はDMZ領域とし、
Webサーバにはプライベートアドレスでアクセスする形を検討しています。
■疑問2
PPPoE接続がモデム内蔵ルータとルータの2つに設定されており、
モデム内蔵ルータにはさらにPPPoEブリッジが設定されています。
モデム内蔵ルータ側でPPPoE接続すれば、ルータでのPPPoE接続は
必要ないと思うですが、何か不都合は発生するでしょうか?
また必要ないのであれば、モデム内蔵ルータのPPPoEブリッジ設定と
ルータのPPPoE接続設定を解除すればよいのでしょうか?
投稿日時 - 2010-12-10 17:53:25
現状複数IP契約して運用しているものを1IPでの運用に変えたいがそれで問題ないか
という趣旨の質問だと想像してます
(違ってたらスルーしてください)
疑問1
外部からのWEBアクセス・FTPアクセスをそれぞれのサーバ宛に
転送してやればそれで可能です
(質問者さんの考えてる方法で問題ありません)
疑問2
これも質問者さんの考えてる方法であっています
(モデム内蔵ルータ側でPPPoE接続すれば、ルータでのPPPoE接続は
必要ない)
>モデム内蔵ルータのPPPoEブリッジ設定とルータのPPPoE接続設定を解除
そういうことになります
例)
モデムで PPPoE LAN側セグメント 192.168.0.0/24
ルータ WAN側 セグメント 192.168.0.0/24
LAN側セグメント 192.168.1.0/24
といった形になります
注意点として
Webサーバ/FTPサーバ(Linux)に車内からアクセスする際は
グローバルIPでのアクセスができなくなるかもしれません
(ローカルIP(上の例でいえば192.168.0.0/24)でのアクセスは可)
そのあたりの動作はルータの挙動にもよると思います
(回避策がないわけではないですが とりあえず省略)
投稿日時 - 2010-12-11 08:09:05
お礼
ご回答ありがとうございます。
疑問1はモデム側でhttpとftpポートをサーバ側に解放することで、
サーバのグローバルIPは必要なくなるということですね。
DMZ領域の意味合いを正確に理解していなかったようなので、
もう少し検討してみます。
ありがとうございました。
投稿日時 - 2010-12-14 09:44:54
2人が「このQ&Aが役に立った」と投票しています
ベストアンサー以外の回答(5件中 1~5件目)
他の方とのやりとりを拝見し、光電話ルーター「PR-S300NE」接続環境までは把握出来ましたが、ご指摘の光電話ルーターはあくまでもNTT電話通信に主軸を置いている機器ですので、サーバ公開と具体的な転送設定・変換設定での動作には不向きの回線・機器です。
先刻のDNS及びメールサーバ公開には、DNSレコードとネームサーバ、BINDといったグローバルIP固定サービスを主に置いているサービスも御座いますので、そのサービスをNAPT配下に置くのはお勧めしかねます。NAPT変換内にサーバを置くのは極力少なく設定し、Webサービスやファイルサーバ等のセキュリティ確保と、メールサービス等の同時安定通信を考慮しますと、光電話ルーターをPPPOEブリッジ設定(NAT機能利用せず)、配下にYamaha製「RTX1100」や「RT58i」等のルーターにてPPPOE-Unnunberd接続・プライベートLAN混在構築がお勧めです。
上記構築にて、グローバルIPを直接振るサーバとNAPT変換配下のサーバの同時安定通信が可能です。
投稿日時 - 2010-12-16 20:41:16
お礼
ご回答ありがとうございます。
やはり「PR-S300NE」にルータ機能を求めるのは酷ですか。
PPPoE接続-Unnumber接続・プライベートLAN混在の構成も含めて
再検討してみます。
ありがとうございました。
投稿日時 - 2010-12-20 11:38:35
#3の補足で間違いがあるのに気が付きました(書き間違えなのかもしれませんが一応)
>1.モデム内蔵ルータとWebサーバをNAT接続
> Web/ftpサーバはプライベートIPのみを持つ。
> (外部へのアクセスはできるが外部からのアクセスはできない)
(外部へのアクセス・外部からのアクセス両方可能です)
そうじゃないと意味ないし元の構成を満たさないことになってしまいます
あと Webサーバ/FTPサーバ(Linux) については
ローカルの固定IP運用ということにしたほうが余分なトラブルはありません
DHCPにするとポートフォワードが正しくできなくなることがあり得ます
投稿日時 - 2010-12-14 22:07:15
お礼
ご指摘ありがとうございます。
NATとはプライベートIPをグローバルIPに変換することと理解していたため、NAT設定だけでは外部からのアクセスは出来ないものと捉えていました。
ただNATには静的NAT、動的NAT、IPマスカレードがあり、静的NATでは(それ以外も?)ポート解放設定も同時に行うため、NAT設定を行えば外部からのアクセスも可能になるという認識になるのですね。
勉強になりました。
投稿日時 - 2010-12-15 11:15:23
#3 の補足への返信です
質問3
それであっています
結果として複数グローバルIPを持つ必要は無くなって費用としても安くなる
ということです
疑問4
これも言い回しが微妙ですがプライベートIPで公開することはできません
構築上プライベートIPのPCとなりますが顧客が見れば
あくまでグローバルIPで公開されているように見えます
実際の構築がどうなっているかということに関しては
企業の規模やサーバ構築の仕方・企業の考え方によっても
変わってくるので何とも言えません
ちなみに私の所はグローバルIP1で運用していますが
それは企業間VPN構築の為であってWEB/FTP/メールサーバは
レンタルサーバを使用しています
(一時社内構築してた時期がありましたが保守などの関係で止めました)
今でもVPN使ってなければ動的IPで事足ります
(実際そういった運用してた時もあります)
>すべてNAT接続とするとモデム内蔵ルータに負担がかかり過ぎる
>とのことなので、別ルータの購入の必要性を検討しています。
通信負荷などもあるのでそのあたりは何とも言えません
どのような機器をお使いなのかは分かりませんが
最低限[モデム内蔵ルータ] の部分に関しては
SOHO向けのルータに置き換えたほうがいいとは思いますし
もしADSLであれば回線的にどうなのよ って疑問が出ます
上り速度が遅い = ユーザがあなたの所を閲覧するときの速度も遅いということになります
サーバ置く置かないにかかわらずクライアント何台つながるんですか
って話も出てきます
そういったトータルの負荷がすべてモデムルータにかかってきます
ADSLモデムルータなら単純交換ってわけにもいきません
ブリッジで動かしてその後のルータにPPPoE等の処理を行わせるといった必要が出ます
最初に書いたように私はこの質問に主旨として
>現状複数IP契約して運用しているものを1IPでの運用に変えたいがそれで問題ないか
と受けているのでそれ以外の機器構成については深くは考えていません
投稿日時 - 2010-12-14 21:31:25
お礼
詳しく解説していただきありがとうございます。
お陰でだいぶ疑問が晴れ、整理されてきました。
後出しで恐縮ですが、モデム内蔵ルータはNTTの「GE-PON-ONU PR-S300NE」を使用しており、回線はNTTのBフレッツ(光)になります。
クライアントPCは10台程度でネット検索とメールぐらいにしか使いません。ファイルサーバへのアクセス頻度も高くありません。
koi1234様のご回答を参考にさせていただきますと、恐らく今の機材のままNATとしても十分な通信速度が得られるのではないかと思います。
一度NATでネットワークを構築し、運用していく中でSOHO向けルータの導入を検討してみようと思います。
投稿日時 - 2010-12-15 09:42:30
#2です
ちょっとニュアンスが微妙なのが気になったので補足しておきます
>疑問1はモデム側でhttpとftpポートをサーバ側に解放することで、
>サーバのグローバルIPは必要なくなるということですね。
モデム内蔵ルータのWAN側(グローバル)IPへのhttp/ftpアクセスをすると
それが(ローカルIP運用されてる)[Webサーバ/FTPサーバ(Linux)]へそれぞれ
転送されるということになります
(そういった転送設定が必要というのが#2の回答です)
結果として[Webサーバ/FTPサーバ(Linux)]にグローバルIPを
割り当てる必要は無い(その分のグローバルIPは不要)ということです
ユーザから見れば[Webサーバ/FTPサーバ(Linux)]に対しては
グローバルIPが振られてるように見えます(そうじゃないとアクセスできない)
※ 社内LANからモデム内蔵ルータのWAN側(グローバル)IPへの
http/ftpアクセスというのはできない可能性があります
(これはそのルータの仕様によるもの)
その場合
・社内のローカルIPとしてアクセスする
・一旦外部のプロキシを経由してからアクセスする
・全く別の回線上からアクセスする
いずれかの方法を行ってください
投稿日時 - 2010-12-14 10:42:26
お礼
度々のご回答ありがとうございます。
いただいた情報を自分なりにまとめてみました。
■WebサーバをグローバルIPを使わずに公開する方法
1.モデム内蔵ルータとWebサーバをNAT接続
Web/ftpサーバはプライベートIPのみを持つ。
(外部へのアクセスはできるが外部からのアクセスはできない)
2.http/ftpアクセスをWebサーバに転送(ポートフォワード設定)
Web/FTPサーバはプライベートIPでhttp/ftpアクセスのみを受け付ける。
(外部から来たhttp/ftpアクセスはすべてWeb/FTPサーバが受ける)
この設定でWebサーバがグローバルIPを使わずに
外部に公開できることは理解できました。
そこで、さらに疑問が沸いてしまったので
引き続きご回答いただけないでしょうか。
疑問3
モデム内蔵ルータとWebサーバをNAT接続すると、
必然的にモデム内蔵ルータとルータ間もNAT接続になる?
現状、モデム内蔵ルータのLAN側はPPPoE-unnumber接続により
グローバルIPが割り当てられています。
WebサーバをグローバルIPからプライベートIPとするならば、
モデム内蔵ルータのLAN側も同セグメントのプライベートIPとする必要があり、
そこと繋がるルータも同セグメントのプライベートIPを割り振る必要がある。
この考え方で正しいでしょうか?
疑問4
そもそも論で恐縮なのですが、社用のWebサーバを公開する場合、
一般的にはグローバルIP/プライベートIPのどちらで公開しているのでしょうか?
グローバルIPで運用してるWebサーバもあるようなので、
変更する必要性が分からなくなりました。
(セキュリティの強固差の問題でしょうか?)
すべてNAT接続とするとモデム内蔵ルータに負担がかかり過ぎる
とのことなので、別ルータの購入の必要性を検討しています。
よろしくお願いします。
投稿日時 - 2010-12-14 19:54:28
ご指摘形態ですと、通常の場合モデム側にてルーター機能を利用せず、別付けルーターにてPPPOE-Unnunberd接続(プライベートLAN混在)設定を実施する方法が正規の方法となります。
まずDNSサーバ・メールサーバとなる機材にグローバルIPを直接振る形となるため、NAPT機能を利用しないモデムにルーターを接続し、その配下にてPPPOE-Unnunberd設定にてDNSサーバ・メールサーバ機器にグローバルIPを振り、同時にプライベートLAN・配下にてWebサーバを置く形となり、ファイルサーバ及びその他PCについては、プライベートLAN側に置く形がお勧めです。
Webサーバ側の通信を転送するようにルーターへ設定しなければいけませんが、別途用意しますルーターがSOHO向けルーターでしたら、柔軟な構築が可能です。お勧めはYamaha製「RTX1100」や「RT58i」、「RT107e」です。
お尋ねの問題点として、全てプライベートLAN側に置く形ですと、ルーターのNAPT変換と転送規定に従い動作しますが、モデム内蔵ルーターのCPUやメモリ等のスペックは決して良い物ではないので、サーバへの転送が今までと同様のレスポンスと安定性が得られるかは流動的です。ご指摘の中でDNSサーバ・メールサーバとなる機材も御座いますので、通常でしたらお勧めはPPPOE-Unnunberd接続にて、それぞれのサーバを公開する方法がお勧めです。
投稿日時 - 2010-12-10 19:31:37
お礼
ご回答ありがとうございます。
モデム内蔵ルータの性能に関しては盲点でした。
確かにすべてをNAPT設定してしまうと重くなる可能性がありますね。
PPPoE-Unnumber接続との併用も検討してみます。
投稿日時 - 2010-12-13 16:59:45
OKWaveのオススメ
おすすめリンク
