• 締切済み

ルーターとFWについて

最近のネットワーク機器にはルーターの機能を有したFWやL3スイッチなどがございます。 どの機器をどのようにして使うべきかについて、3点質問をさせてください。 1.ルーターとルーター機能のあるFWを併用する(ルーターでインターネットの出入り口を受けて、FWに転送する)メリットはございますでしょうか。 2.1つのルーターにWANポートが2つあった場合、2つの回線(グローバルIP)を持たせることは可能でしょうか。 3.拠点間との接続にIP-WANを設定している場合、VPNとインターネット回線を1つのルーターで併用することは技術上は可能でしょうか。(機能が備わっていたとして)また、その場合注意すべき点(パフォーマンス低下、1台壊れるとなにもつなげなくなる)が他にございましたら、教えて頂ければと思います。 アドバイスの程、宜しくお願い致します。

みんなの回答

  • pakuti
  • ベストアンサー率50% (317/631)
回答No.2

どこまで、どう言う想定なのかが不明なので一概には言えませんが・・・ 1. セキュリティと言う事ではアクセス制限を行わないルーターであれば、あまり意味が無いかと 私が管理しているネットワークの中に BGPが必須と言うものがあり、FWでBGP機能を持たせると高価なものになるため BGP対応の安価なルーターでBGPを動作させ、FWで境界線を作っている環境があります。 また別環境では配下に複数のネットワークが存在し FireWallも複数存在しているため、最上段は高速なL3スイッチでルーティング処理のみを行わせ それぞれのFireWallがアクセスコントロールを行っています。 2. 技術的には可能です。 2つの回線IPをどのような目的で使用するかにもよりますが、あまり意味が無いかも? 単純にDMZが複数存在する場合等であればOKですが。。 障害対応であれば、ISPのみの対応となるのでいまひとつです。 別回線を引くのであれば、機器も別物にする等の対応が必要かと。 また、回線でIPが変わると思いますので公開DMZの場合、ISPからのルーティングが問題になります。 この場合、1.での話のようにBGP等で運用する必要が出てくるかと思われます 3. どこの企業でも普通に行っています。 注意点はスループットと、クライアントのDNSを本社のADにするとVPNが切れた場合に インターネットへのアクセスも行えなくなる とかでしょうか? 状況にもよりますが、拠点間は専用のIP-VPNで接続し外部への出入り口は別に設け 1か所で管理する方法がお勧めです。

  • maesen
  • ベストアンサー率81% (646/790)
回答No.1

1.について DMZを構成する場合などはメリットはあると思います 機器にセキュリティホールがあった場合に被害の範囲を狭めることが出来る場合があります。 2.について ルータの機能としてはもちろん可能。 実際にはプロバイダ契約などの絡みがある。 1回線で複数のグローバルIPも可能になる。 ルータの機能として可能で契約によるというのも同じ。 3.について IP-WANというのはIP-VPNのことでしょうか? >VPNとインターネット回線を1つのルーターで併用することは技術上は可能でしょうか 一般的なことなのでもちろん可能です。 余計なことかもしれませんが、 >最近のネットワーク機器にはルーターの機能を有したFWやL3スイッチなどがございます。 最近というのがどのくらいをイメージしているのか不明ですが、これらの機器はそれほど新しいものでは無いと思います。 高機能な物の価格が下がったということはあると思いますが。 質問されていることは、出来るかと聞かれれば出来るという回答になると思いますが、それらの機器を導入するコストが見合うかというのは問題が別ということになると思います。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ルータ、VPN機器の選定

    拠点間VPNとクライアントVPNのセンター側の機器として、インターネット接続のためのルータとVPNゲートウェイを別の機器にする場合、それぞれのお勧めはありますでしょうか? 規模としては、3拠点程度に、それぞれ数十台の端末です。 一体型であればYAMAHAのルータにしようと思っていますが、やはり機器を分けていた方がパフォーマンスやセキュリティをよくできるのでしょうか?

  • Net Screen でのインターネットVPN

    現在4拠点間を Fujitsuル-タ-(VPN) + Net Screen 5GT EX(FW) でインターネットVPNを構築しています、拠点追加に際しコストセーブを考えており、ルーター(YAMAHA RTX1500)のみか Net Screen のみでのインターネットVPN構築を考えています(ルーターのみの場合でも主要拠点は FW 設置)。 心配なのは Net Screen のみでVPNを構築し、FW機能とIpsec機能を使った場合のスループットなのですが(現在は実測20Mほど出ています)、どなたかご経験有りますでしょうか? 又、Net Screen 5GT , GT Plus, Extended で差(スループット)は有るのでしょうか? 回線は YUSEN 100M です。

  • ルータ、ハブについて

    今LANを数拠点を管理させられています。が、ほぼ素人です。 フレッツVPNワイドを使ってVPNを組もうと思うのですが、 通常は 【WAN】-ルータ-スイッチ-PC となると思うのですが、訳があって、 既存のルータとは別にレンタルを用意します。 その際に 【WAN】-スイッチ-ルータ       \          -ルータ(既存) という構成にすることはできるのでしょうか? 2点目 フレッツVPNワイドでNWIPをアドレスを割り当ててもらうのですが、 複数のNWアドレスを割り当ててもらうことができるのでしょうか? できないのであれば、1点目のような構成でない場合にどのような構成をとればよろしいのでしょうか? よろしくお願いします。

  • 多拠点でのネットワークについて

    教えてください。 5程拠点がある団体です。 各地を閉域網のVPN(インターネット回線ではない)で結びます。 各地のPCは本社から出ていくようにしたいです。 2点質問があります。 (1)本社に2つの光回線線を引きます。  インターネット回線とVPN回線です。  拠点VPNルータ⇒本社VPNルータ⇒インターネット回線ルータへ向かって  出ていくようにするには、本社側のVPNルータと、拠点のVPNルータの  デフォルトルートはどのようにすればいいでしょうか?  各拠点のVPNルータは、本社のVPNルータをデフォルトルートにして、  本社のVPNのデフォルトルートは、インターネットのルータに設定すればいいのでしょうか? (2)本社のインターネット回線には、外からWebサーバなどがあるDMZへ入ってくることも   兼ねているのですが、本社や各拠点のPCから出ていくルートにもなるという状況は   何か問題が発生することはありますでしょうか? よろしくお願い致します。 

  • CISCOルータについて

    今度会社のWANをIP-VPN化にする計画があり、 その拠点ごとのルータ選定に対して分からない事が あるため教えてください。 IP-VPN上にVoIPを乗せる予定でVoIPゲートウェイは OKI電気製を使用します。 それだけならどんなルータでもいいと思うのですが VoIPに対してQosをかけたいと思っております。 そこでCISCO1720を使用しようかと思っているのですが このルータのQosでVoIPを制御できるのかどうかを教えてください。 マニュアルを読んだ限りでは大丈夫そうなのですが 他に相談できる人がいないため、どなたか教えてください。

  • センタールータ経由のインターネット接続について

    センタールータ経由のインターネット接続について ネットワーク初心者です。 仕事の関係上、Century XR-410を使用してVPNを構築することになりました。 ネットワークの構成としては、拠点AとBの2拠点があります。 それぞれの設定は下記のような形です。 ●拠点A WAN側IPアドレス:10.10.10.1 LAN側IPアドレス:192.168.10.1 サブネット:255.255.255.0 ●拠点B WAN側IPアドレス:10.10.20.1 LAN側IPアドレス:192.168.20.1 サブネット:255.255.255.0 (条件) AとBはIPSecによるインターネットvpnを行います。 拠点Bからのインターネット抜けを、拠点Aのルータから抜けさせたいと 思っています。 その時に、 拠点AのIPSecポリシーとして 本装置側のLAN側のネットワークアドレス:0.0.0.0/0 相手側のLAN側のネットワークアドレス:192.168.20.0/24 拠点BのIPSecポリシーとして 本装置側のLAN側のネットワークアドレス:192.168.20.0/24 相手側のLAN側のネットワークアドレス:0.0.0.0/0 と設定するようにマニュアルには、書かれていました。 通常VPNでは、それぞれの拠点のLAN側ネットワークアドレスを書く事になると思っていますが、 なぜ、「0.0.0.0/0」と書かなくてはいけないのか分かりません。 この時の「0.0.0.0/0」とは、すべてのアドレス?となるのでしょうか? マニュアルを読んでもいまいち理解できなかったので、教えて下さい。 ちなみに、マニュアルとは http://www.centurysys.co.jp/support/xr_common/guides.html の「インターネットVPN設定例集 IPsec編 P.48 」 になります。 よろしくお願いいたします。

  • ネットワーク構築(VPN)の設定で悩んでいます。

    複数拠点のあるネットワークで、今までは拠点のルーター(YAMAHA RTX1100)と 本社ルーター(YAMAHA RTX1500)間でVPNを1本通し基幹系データを流し インターネット等の外部接続データを拠点のルーターにFWを設定しそこから外部へ出していました。 今回、ネットワークの再構築をするに当り 本社にCISCOのL3(Catalyst3750)・L2スイッチ2台(Catalyst2960)を新たに入れ ネットワーク機能の障害対策強化を図ろうと思っています。 本社拠点ルーター間には2本VPNを張り、それぞれ基幹系データと 新たに情報系データを流そうかと考えています。 そこで、拠点のルーターの設定なのですが 1.拠点ルーターにFWの機能を持たせず、外部への接続はVPN(情報系)を経由し本社を抜けるパターン 2.拠点ルーターにFWの機能を持たせて、VPN2本の他に外部接続を拠点ルーターにさせるパターン 以上2パターンを考えています。 集中管理という面では、1番が優れているのは当然なのですが 拠点からの外部接続速度の低下や今後考えられる情報系ネットワークの負荷増大を考えると 2番も捨て切れません。 この様な場合、どのような設定がベストと言えるのでしょうか。 なにかアドバイス等ありましたら教えて頂けませんでしょうか。

  • 2重ルータでVPN接続

    2重構成のルータからのVPN接続について質問させて頂きます。 (1)インターネット接続済みの拠点をインターネットVPNで接続したい。 (2)VPNルータで各拠点のルータを置き換えれば済むと考えていたところ、  実は各拠点のルータで光電話等‥のVPNルータ側にない機能が使われており  単純に置換すると今まで利用できた機能が使えなくなるので置き換えできない。 上記の理由から、現状のルータを活かしたまま、VPNルータを2重構成にする方向で考えています。 (2重構成で無くても構わない場合はその方法も知りたいですが、既にVPNルータ購入済みの状態  から作業を引き継いだので、VPNルータは活かしたいです。) 実現したい構成を纏めると下記のようになります。 拠点A                                         拠点B ------------------------------------------------------------------- PC -> VPNルータ -> ルータ ->(インターネット)<- ルータ <- VPNルータ<- PC                ↑                ↑               その他PC           その他PC  VPN接続が必要な端末は限られているので、その他のPCは今まで通り、 通常のルータに接続したままを考えています。(要はVPNルータとVPN接続用PCのみ追加予定です。) 拠点Aに関してはその他PCとVPN接続下のPCでファイルの共有等はやる予定です。 新規のVPNルータはYAMAHAのRTX1200、既存ルータがNECのWEBCASTER V110です。 拠点BのルータはYAMAHA製です。(機種番号は失念しました) こちらのサイトを参考に設定したのですが、うまくいきませんでした。 http://news.mynavi.jp/series/vpn/010/ 拠点B側も2重構成という部分が異なる為だと考えていますが、 設定方法等分かる方がいらっしゃればお知恵を拝借できれば と思います。 長々とすみませんが、宜しくお願い申し上げます。

  • ルータ同士でVPNを張りたいです

    いつもお世話になっています。 このたび拠点Aと拠点BをVPNで常時接続をすることを考えてます。 それにあたって、疑問が浮かんだので質問させてください。  拠点Aは固定IPアドレスを取得しているのですが、拠点Bは固定IPで はありません。その場合、常時接続は可能なのでしょうか?  不可能な場合リモートで、ルータ同士でVPNを張ることはできる のでしょうか? ちなみに、ルータは拠点AがYAMAHAのRTX-1000 拠点BがYAMAHAのRT57iを利用しています。 大変、恐縮ではございますが、よろしくお願いします。

  • ルータでのFW・ソフトでのFWの違いについてどうか教えてください

    色々調べたんですが微妙に分からないので教えてください。 WAN → |ルータ(FW)| → LAN内パソコン このルータのお陰でパソコンにはアタックが来ないのですよね。 ならばトロイの木馬などのウィルス系にやられている場合や、 PnP対応のルータを使用している場合は除いて、 特にポートを開けていないLAN内のパソコンへは ファイアウォールソフトの導入は必要ないのでしょうか? また、外部からルータを見ることはできるのでしょうか。 セキュリティについて、具体的な説明がされている、 良いサイトなどもあればお教え頂ければ幸いです。 宜しくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する