• ベストアンサー

セグメント越えのアクセス禁止

某社なのですが、同じビル内に 1階   192.168.0.* (100クライアント) 2階 192.168.1.* (100クライアント)   3階 192.168.2.*  (100クライアント) ※数字は適当 と言う風にセグメントが分かれています。 同じ階同士では、違うワークグループでも接続可能ですが、階またぎでは接続を許可しないと管理者が言っているらしいです。 どういったポリシーで禁止だと思われますか。 また、違うセグメントは繋がないのが(ルーターまたぎだからですかね)普通なのでしょうか。 ご回答宜しくお願い致します。

質問者が選んだベストアンサー

  • ベストアンサー
  • himmax
  • ベストアンサー率31% (31/98)
回答No.1

組織的理由だとすると、それぞれの階でセキュリティポリシーを変えている、物理的理由とすれば、単にルータがないからですかね。 この場合、普通はレイヤ3スイッチを導入し、各セグメントはVLANで管理することが多いと思われます。複数階またがる組織もありますし。

tayamasan
質問者

補足

レイヤ3でVLANでした。lmhostsなど入れれば問題はないと思うのですが、セキュリティ上避けたほうがいいんでしょうか。

その他の回答 (2)

noname#41381
noname#41381
回答No.3

どうか参考程度に... >どういったポリシーで禁止だと思われますか。 > ポリシーとなると、そこのネットワークポリシーによるものなので、 そのネットワークを運用している中で決まった決まりですね。>管理者にお尋ねを... というと当たり前の回答になってしまうのですが、#1の補足 >lmhostsなど入れれば問題はないと思うのですが > これから、たぶんWindowsのブラウジングや名前解決の話なのかな? ようは、pingはお互いに通るけどネットワークの一覧に出てこないといった感じの。 (pingも通らないのであれば、明らかにそこのポリシーによるものですね) これは単にWindowsネットワークがそのように作られていない(WINSサーバが無い等)とか ルータ(L3-SW)でVLAN間で特定のブロードキャストを流していないだけではないでしょうか? 通常WINSサーバの無い環境でhelper-addressとかdirected-broadcastで ブロードキャストの送信なんてしないでしょうから >階またぎでは接続を許可しないと管理者が言っているらしい > という説明になっているかもしれませんね。 実際にVLAN間のルーティングしていないとか、フィルタリングしているかもしれませんが...。 また、#1の補足から >セキュリティ上避けたほうがいいんでしょうか。 もし、lmhostsなりIPアドレスで検索するなりで見えるのであれば、 向こうからも見えているでしょうから、自分が見ることでセキュリティ低下にはつながらないでしょう。 #もともと低いということですね ネットワークポリシーの中で「許可しない」と明記されていては試してもダメですが、 そうでなければ、問題ないと思われます。 #セキュリティポリシーが作られていない部門での管理者の意見(命令)は #単なるわがままととらえられることがあるとか無いとか...

tayamasan
質問者

お礼

ありがとうございます。申し訳ありませんが、回答順にポイントをつけさせていただきました。

tayamasan
質問者

補足

おそらく転送量の問題。他部門とのやたらなファイル共有の禁止のためと思うんですよね。IPアドレスでは接続できる環境なので。やったらおこられますけど。ありがとうございます。

  • stsu
  • ベストアンサー率62% (83/132)
回答No.2

ブロードキャスト・ドメイン分割する理由はわかりますよね? 以前は「LANは繋げるもの」が常識でしたので、大抵の 企業は各セグメント同士を接続したフラットなLANにな っています。 但し人事情報等、企業内でも公開できない情報もある ので、そういう情報を扱う部門だけLAN上に特別な配慮 をするケースは多いです。 質問のケース(フロアごと分離)は残念ながら想像が つきにくいので、可能ならそこのネットワーク管理者 に質問するしかなさそうです。 ここで書かれた無責任な(失礼!)回答から誤った 判断をされぬよう、老婆心からアドバイスさせて 頂きました。 → 決して#1の方の回答を否定するものではござい   ませんので、ご了承願います。

tayamasan
質問者

お礼

ご回答ありがとうございます。

関連するQ&A

専門家に質問してみよう