• ベストアンサー

セグメント越えのアクセス禁止

某社なのですが、同じビル内に 1階   192.168.0.* (100クライアント) 2階 192.168.1.* (100クライアント)   3階 192.168.2.*  (100クライアント) ※数字は適当 と言う風にセグメントが分かれています。 同じ階同士では、違うワークグループでも接続可能ですが、階またぎでは接続を許可しないと管理者が言っているらしいです。 どういったポリシーで禁止だと思われますか。 また、違うセグメントは繋がないのが(ルーターまたぎだからですかね)普通なのでしょうか。 ご回答宜しくお願い致します。

質問者が選んだベストアンサー

  • ベストアンサー
  • himmax
  • ベストアンサー率31% (31/98)
回答No.1

組織的理由だとすると、それぞれの階でセキュリティポリシーを変えている、物理的理由とすれば、単にルータがないからですかね。 この場合、普通はレイヤ3スイッチを導入し、各セグメントはVLANで管理することが多いと思われます。複数階またがる組織もありますし。

tayamasan
質問者

補足

レイヤ3でVLANでした。lmhostsなど入れれば問題はないと思うのですが、セキュリティ上避けたほうがいいんでしょうか。

すると、全ての回答が全文表示されます。

その他の回答 (2)

noname#41381
noname#41381
回答No.3

どうか参考程度に... >どういったポリシーで禁止だと思われますか。 > ポリシーとなると、そこのネットワークポリシーによるものなので、 そのネットワークを運用している中で決まった決まりですね。>管理者にお尋ねを... というと当たり前の回答になってしまうのですが、#1の補足 >lmhostsなど入れれば問題はないと思うのですが > これから、たぶんWindowsのブラウジングや名前解決の話なのかな? ようは、pingはお互いに通るけどネットワークの一覧に出てこないといった感じの。 (pingも通らないのであれば、明らかにそこのポリシーによるものですね) これは単にWindowsネットワークがそのように作られていない(WINSサーバが無い等)とか ルータ(L3-SW)でVLAN間で特定のブロードキャストを流していないだけではないでしょうか? 通常WINSサーバの無い環境でhelper-addressとかdirected-broadcastで ブロードキャストの送信なんてしないでしょうから >階またぎでは接続を許可しないと管理者が言っているらしい > という説明になっているかもしれませんね。 実際にVLAN間のルーティングしていないとか、フィルタリングしているかもしれませんが...。 また、#1の補足から >セキュリティ上避けたほうがいいんでしょうか。 もし、lmhostsなりIPアドレスで検索するなりで見えるのであれば、 向こうからも見えているでしょうから、自分が見ることでセキュリティ低下にはつながらないでしょう。 #もともと低いということですね ネットワークポリシーの中で「許可しない」と明記されていては試してもダメですが、 そうでなければ、問題ないと思われます。 #セキュリティポリシーが作られていない部門での管理者の意見(命令)は #単なるわがままととらえられることがあるとか無いとか...

tayamasan
質問者

お礼

ありがとうございます。申し訳ありませんが、回答順にポイントをつけさせていただきました。

tayamasan
質問者

補足

おそらく転送量の問題。他部門とのやたらなファイル共有の禁止のためと思うんですよね。IPアドレスでは接続できる環境なので。やったらおこられますけど。ありがとうございます。

すると、全ての回答が全文表示されます。
  • stsu
  • ベストアンサー率62% (83/132)
回答No.2

ブロードキャスト・ドメイン分割する理由はわかりますよね? 以前は「LANは繋げるもの」が常識でしたので、大抵の 企業は各セグメント同士を接続したフラットなLANにな っています。 但し人事情報等、企業内でも公開できない情報もある ので、そういう情報を扱う部門だけLAN上に特別な配慮 をするケースは多いです。 質問のケース(フロアごと分離)は残念ながら想像が つきにくいので、可能ならそこのネットワーク管理者 に質問するしかなさそうです。 ここで書かれた無責任な(失礼!)回答から誤った 判断をされぬよう、老婆心からアドバイスさせて 頂きました。 → 決して#1の方の回答を否定するものではござい   ませんので、ご了承願います。

tayamasan
質問者

お礼

ご回答ありがとうございます。

すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. インターネット・Webサービス
  3. インターネット接続・通信
  4. その他(インターネット接続・通信)

関連するQ&A

  • ネットワーク セグメントについて

    ネットワーク セグメントについて 検討違いだったらすみません。 例えばですが、HUB-A下が1階A、HUB-B下が2階Bとして以下のような構成にしました。 これってセグメントを分けたことになるのでしょうか? セグメントを分けた場合、PC-CからPC-Aというリモートなどでの接続もできなくなるという形でしょうか? [ルータ] 192.168.0.1 | ∟[HUB-A]--[PC-A] 192.168.0.2         --[PC-A] 192.168.0.3         --[HUB-B]             | --[PC-C] 192.168.1.4             ∟--[PC-D] 192.168.1.5

  • 1回線に2つのセグメントを持たせた場合のセキュリティについて

    現在、施設内のみのLANとインターネット用のLANの2回線があります(各ネットワークは独立しておりつながっておりません)。それを1回線に統合し、2つのセグメントを持たせたいと思っております。 たとえば、施設内LANをセグメント1として、インターネットLANをセグメント2とします。インターネットに接続したいクライアントだけに、VPCをインストールし、IPアドレスを2つ持たせてネットに接続したいのですが、その場合のセキュリティをどうしたらよいか悩んでおります。 ルーターで、ネット接続をしたいクライアントのIPにだけ流すようにするだけでは、施設内LANにアクセスされてしまうでしょうか?さらに、インターネットに接続したVPCのOSにウイルスが感染した場合、施設内LANのネットワークには影響があるのでしょうか? よろしくお願いいたします。

  • 別々のGWを持つ、2つのセグメント間の通信

    2つのネットワークセグメントがあります。この2つのセグメントの通信を実現させたいです。 知識と経験不足なので教えて頂けるとたすかります。 ■環境■ 添付図の通りですが、 ・192.168.10.0/24  →  A社 ・192.168.20.0/24  →  B社 ※それぞれのサーバー/PCは全てWindows系。 ※それぞれが別々のゲートウェイを持ち、インターネットに接続可能。 ※ただしサーバーの保守の為だけの接続で、クライアントはインターネット接続されていない。 ※A,Bお互いのクライアントが通信出来てはいけない。 ※お互いのネットワークアドレスの変更は不可。 ※クライアントPCの設定変更も不可。 ※物理的に同じ部屋にあるので、配線の取り回しの心配はない。 ■質問■ 同一セグメントにそろえて、L2_VLANだと可能なのでしょうが、ネットワークアドレスを変更できないので ルーターかL3なのではと考えております。 ※AのクライアントはAのサーバ/クライアントとBのサーバーのみを見たい。 ※Bのクライアントも同様にBのサーバ/クライアントとAのサーバーのみを見たい。 この環境で上記内容を実現させようと思ったら、どのような機材でどのような設定にすればいいのでしょうか?

  • PCでのゲーム禁止方法を教えてください。

    新米システム管理者です。 社員の方が配布されているPCで業務時間中にゲームしているということで、 ゲーム禁止とすることとなりました。 配布しているクライアントPCは WindowsXP(32/64bit)、WindowsVISTA(32/64bit)、Windows7(32/64bit)です。 グループポリシーを使用して可能かどうか? どのように実施すればよいかを教えていただけますでしょうか? また、グループポリシー以外に方法があれば教えてください。 よろしくお願いします。

  • マイネットワークにアクセスできません

    デスクトップ(WinXP)とノート(WinMe)をルータを介してつなげています(このルータはADSLモデムに接続されています)。 WinXPのネットワークセットアップウィザードで、ネットワークを作成したところ、WinXPのマイネットワークには何も表示されず、[ワークグループのコンピュータを表示させる]をクリックすると「アクセスできません。アクセス許可がない可能性があります。このワークグループのサーバー一覧を現在、利用できません。」と表示されます。 一方、先のウィザードでWinMeに作成されたマイネットワークのワークグループのフォルダ中には、WinMeのパソコンは表示されますが、WinXPのパソコンは表示されません。 これはどうしてなのでしょうか? よろしくご回答ください。お願いします。 ※2つのパソコンでのワークグループ名の間違いはありませんでした。 ※それぞれのパソコンからはインターネットに接続できます。

  • エンドユーザーによるコンピュータ名の変更を禁止したいのですが

    エンドユーザーによるコンピュータ名の変更を禁止したいのですが、 グループポリシーによる設定は可能でしょうか? クライアントはWindowsXP,2000,NT,98があります。 アクティブディレクトリへ移行済みです。 お手数をお掛けしますが何卒宜しくお願い致します。

  • IEによるダウンロードを禁止したい

    環境:XP SP2 クライアントx46台のワークグループ ユーザが使用するアカウント:制限つきユーザ 以上の環境でユーザがファイルをダウンロード出来ないようにしたいと考えています。 グループポリシーかレジストリ設定で制限がかけられたはずなんですが…。 項目と設定値をご存知の方いらっしゃいますでしょうか。

  • 相異なるセグメント間での名前解決? - フレッツ グループ

    すみません、技術者じゃないのですが、適当な場所がわからず、ここに質問します。 NTT のフレッツ グループを契約すれば「遠隔の社内の別事業所との間で論理的に閉じたネットワークで通信ができる」と聞き、それを導入しました。 業者は「ping が通ったので、これで完了しましたよ」と帰っていきました。 そうですね、業者は悪くないです。接続してほしいと言っただけなので、全部やってくれたと思います。 私は、Windows でよくある「マイ ネットワーク」と同じく、対向拠点のセグメント内にあるワークグループやその中のコンピュータが見え、同様なファイルのやり取りができると思っていたのです。 クライアントはすべて Windows XP Home です。 ネットワークの知識が多少はある知人に電話してみました。「2003 server とかでドメインでも設定していないと、そんなことできるわけないじゃない。それとも NetBIOS とか使えばできるのかな」ということです。「できるのかな」とか言われても私のほうが知りたいです。そもそも聞いたことのない言葉ばかりです。NetBIOS?名前解決? ルータは業者の持ってきたものを双方に設置しています。また、インタネットには双方からつながります(拠点それぞれからインタネットと拠点間通信の双方がつながる設定までが契約だったので)。 「もう一度業者に頼んだら?」という類の返事以外をお待ちします。というのは、そもそも私の思っていることが可能なのかどうかすら不明なので、仕事として頼めません。

  • WAN越えのネットワーク全体表示について

    こんにちは。 セグメントが異なるネットワーク環境について、ご質問させて頂きます。 複数拠点でワークグループ名を統一し、ネットワークコンピュータ(又はネットワーク全体)を見た時に、Aという拠点からBという拠点の全クライアントが突然見えなくなる場合、あげられる問題は何でしょうか? 拠点AにはWINSサーバがあり、全拠点でそのサーバに対してのWINS設定を行っております。 又、サーバはNT4.0SP6でクライアントは、98,2000PRO,XP PROの混在環境です。 ネットワーク回線は、インターネットVPNを使用し常時接続されている環境です。 補足が必要であれば、言っていただければ回答します。 宜しくお願いします。

  • Sambaにアクセスできない

    マイネットワークにはアイコンが見えているのにクリックすると「アクセス許可がない可能性があります」とのメッセージが出てしまいます。 設定ファイルはワークグループの欄ぐらいしかいじっていないのですが、このアクセス制限とはどこを設定すればよいでしょうか? Fedora3、Samba3、クライアントXPSP2です。 宜しくお願いします。

ルーターの調子が悪い
このQ&Aのポイント
  • 昨年からルーターが作動せず、カードスロットの取り外し挿入で復帰
  • 電源を切っても復帰せず、カードスロットの損傷が心配
  • ひかりTVのサービスやISPぷららについての質問
回答を見る

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する