別々のGWを持つ、2つのセグメント間の通信
- 2つのネットワークセグメントの通信を実現する方法について教えてください。
- L2_VLANの設定やネットワークアドレスの変更ができない場合、どのような機材や設定が必要ですか?
- A社とB社のクライアントがお互いを見ずに、それぞれのサーバーにアクセスする方法はありますか?
- ベストアンサー
別々のGWを持つ、2つのセグメント間の通信
2つのネットワークセグメントがあります。この2つのセグメントの通信を実現させたいです。 知識と経験不足なので教えて頂けるとたすかります。 ■環境■ 添付図の通りですが、 ・192.168.10.0/24 → A社 ・192.168.20.0/24 → B社 ※それぞれのサーバー/PCは全てWindows系。 ※それぞれが別々のゲートウェイを持ち、インターネットに接続可能。 ※ただしサーバーの保守の為だけの接続で、クライアントはインターネット接続されていない。 ※A,Bお互いのクライアントが通信出来てはいけない。 ※お互いのネットワークアドレスの変更は不可。 ※クライアントPCの設定変更も不可。 ※物理的に同じ部屋にあるので、配線の取り回しの心配はない。 ■質問■ 同一セグメントにそろえて、L2_VLANだと可能なのでしょうが、ネットワークアドレスを変更できないので ルーターかL3なのではと考えております。 ※AのクライアントはAのサーバ/クライアントとBのサーバーのみを見たい。 ※Bのクライアントも同様にBのサーバ/クライアントとAのサーバーのみを見たい。 この環境で上記内容を実現させようと思ったら、どのような機材でどのような設定にすればいいのでしょうか?
- amuru_tora
- お礼率74% (59/79)
- ネットワーク
- 回答数7
- ありがとう数17
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
No.2です。 >記載し忘れたのですが、既存のルータの設定変更も出来ません。 そうなんじゃないかって気がしたんですが、やはりですか。 >RTX810のNAT機能を落として、それぞれのサーバへのルーティンテーブルを設定。 IPアドレスに空きがあり、RTXを使用するのであればNATで解決できそうに思います。 ちなみに今回の構成ではRTXはインターフェースに設定するネットワーク以外にルーティングしないのでルーティングテーブルの追加は不要なはずです。 サーバから見た場合、 サーバのIPアドレスを逆側のネットワークにマッピングするため逆側のLANインターフェースで静的NATが必要 アクセスした逆側のクライアントのIPアドレスを自ネットワークに偽装するため自側のLANインターフェースで静的又は動的NATが必要 サーバは両方のネットワークにあるので、上記の設定がが両方のLANインターフェースに必要になることになります。 検証していないのではっきり言えなくて申し訳ありませんが、nat descriptor、outer、inner、静的NATエントリを適切に設定すれば良いと思われます。 もしかしたらtwice natが必要かもしれません。 >副作用などが考えられるなら教えていただけると助かります。 IPアドレスを偽装するため、実アドレスとは異なるIPアドレスでサーバにアクセスするぐらいでしょうか。
その他の回答 (6)
- bunjii
- ベストアンサー率43% (3589/8248)
>両ネットワークはAD環境ではありません。ですのでアクセス制限と言うより、ネットワーク機材の設置で解決したいと思っています。 ルーターを使わない方法としてA社とB社のサーバーへネットワークアダプタを各1枚増設して追加されたアダプタから相手会社のLANへ接続することで対応可能でしょう。 双方のサーバーはルーティングを行わないことでA社のPC(クライアント端末)からB社のPCへアクセスを止めることができるはずです。
お礼
返信遅くなり大変申し訳ございませんでした。ありがとうございました。
- anmochi
- ベストアンサー率65% (1332/2045)
質問と回答の流れを読ませてもらったけど、クライアントの状態によってはやねこいかも知れないね。 > クライアントはインターネット接続されていない。 私はここに着目した。 もしこれが、図中で言えばA社の方に5台、B社の方に6台描かれている「PC」に デフォルトゲートウェイが設定されていないという意味だとすると、 A-Bをルーターでつなげただけでは通信できない。 その場合はルーターに双方向のIPマスカレードを設定してやる必要があるだろう。 双方向IPマスカレードというのは以下のような考え方だ。 サーバーのIPアドレスがちょっと文字がつぶれて見えないけど仮に Aサーバー:192.168.10.210 Bサーバー:192.168.20.210 としよう。 で、A-B間に置くルーターのIPアドレスを192.168.10.240と192.168.20.240の二つを振ったとする。 もちろん10をA側で20をB側につなぐ。 で、ABサーバー両方ともリモートデスクトップによってリモート管理すると仮定する。 その時、ルーターには ○192.168.10.0/24:任意のポート→192.168.10.240:3389というTCPパケットを192.168.20.210:3389にIPマスカレードする。 ○192.168.20.0/24:任意のポート→192.168.20.240:3389というTCPパケットを192.168.10.210:3389にIPマスカレードする。 という設定を行う。そうすると、AのPCから192.168.10.240にリモートデスクトップすると、AのPCからは192.168.10.240と通信しているように見え、実はそれは192.168.20.210に転送されているが、Bサーバーから見ると192.168.20.240と通信しているように見える。 PCもサーバーも相手が同一論理セグメントであるように見えるわけだ。これで、サーバーとPCのいずれかに「デフォルトゲートウェイ」が設定されていなくても通信する事ができるようになる。当然AのPCとBのPCは相手の存在も知らないので通信しあえない。 ※これはクライアントがインターネットに接続されていないという内容を クライアントのデフォルトゲートウェイが設定されていないと解釈した上での 回答なのでそうでなければてんで的外れです。 もちろんPCにデフォゲがあってもこの方式を採用しても大丈夫だけどね。
お礼
返信遅くなり大変申し訳ございませんでした。ありがとうございました。
- bunjii
- ベストアンサー率43% (3589/8248)
>※AのクライアントはAのサーバ/クライアントとBのサーバーのみを見たい。 >※Bのクライアントも同様にBのサーバ/クライアントとAのサーバーのみを見たい。 >この環境で上記内容を実現させようと思ったら、どのような機材でどのような設定にすればいいのでしょうか? 「192.168.10.0/24 → A社」/「192.168.20.0/24 → B社」と言うことなので回答No,2のようにローカルルーターでLAN間を結べば良いでしょう。 ルーターの設定ではリクエストの宛先によるフィルターが必要でしょう。 A社のサーバーとB社のサーバーを相互にアクセスするには使われるクライアントPCに接続権を与えるより利用者のIDにアクセス権を与えるような管理にすべきかと思います。 A社のクライアントからB社のサーバーへ接続するときネットワークの知識を持たないオペレーターが使いこなせるかが問題になるでしょう。(その逆も同じ) A社のクライアント/サーバーがAD(アクティブディレクトリ)で運用されているのであればB社も同様になっていると考えられます。 A社とB社のAD同士を信頼関係で結べば利用者のIDレベルで相互アクセスが可能になると思います。 具体的な運用方法を提言するのは無理なので考え方のみにさせて頂きます。
お礼
返信遅くなり大変申し訳ございませんでした。ありがとうございました。
補足
ご回答ありがとうございます。 両ネットワークはAD環境ではありません。ですのでアクセス制限と言うより、ネットワーク機材の設置で解決したいと思っています。 教えて頂いたアドバイスは今後の参考とさせていただきます。ありがとうございます。
- maesen
- ベストアンサー率81% (646/790)
機材としてはAとBの間にローカルルータを入れれば良いだけだと思います。 ※ローカルルータっていう機器があるのではなくローカルルータとして使用できるルータってことです。 設定としては、 ・ルータのインターフェースにIPアドレスを割り当てる ・通信していいノードとだめなノードがあるのでフィルタを設定する ・クライアントPCの設定変更がNGなので、AおよびBの既存ルータに静的ルートのエントリを追加する 基本的にこれで要件を満たすはずです。 >※ただしサーバーの保守の為だけの接続で、クライアントはインターネット接続されていない。 これは少し気になるのですが、この実現方法によってはクライアントの設定変更が必須になる可能性もあります。 あと、もちろんL3スイッチを導入すれば同じことが出来ますが、価格差が大きいと思いますのでワイヤースピードで通信出来なければならないなど特別な理由が無ければ必要無いと思います。
お礼
返信遅くなり大変申し訳ございませんでした。ありがとうございました。
補足
ご回答ありがとうございます。 記載し忘れたのですが、既存のルータの設定変更も出来ません。 例えばヤマハのRTX810を島の間に起き、それぞれの既存のルータから接続。 RTX810からそれぞれの島のハブに接続。 RTX810のNAT機能を落として、それぞれのサーバへのルーティンテーブルを設定。 これで実現可能になりますでしょうか? 副作用などが考えられるなら教えていただけると助かります。
- ryo_ Deathscythe(@Deathscythe)
- ベストアンサー率14% (515/3615)
ルーターに静的登録すれば特に問題ないように見えますが・・・ ルータの下がHUBって書いてありますがリピータHUB?L2スイッチ入れてないんですか? まぁひねりのないクラスCだしインターネットも見れない小規模構成だから問題ないのかな? ちなみにあなたの業種は何でしょう? 知識と経験不足とのことですがペーパーのCCNA持ちから見ても失礼ながら素人に見えます。 同一セグメントにそろえて、L2_VLAN →VLANを設定することを「切る」といいますが、 仮想的に切ったら同じネットワークに属さない。つまり同一セグメントにはならない。そのためそれは無意味です。 ついでにルーター同士の接続ですので普通「VPN」を設定してやらないと同一ネットワークにすらならないです。 (配線の取り回しは問題ないということなので1ルーター直下に集結させるのでしょうか?それでも上記の通り無意味ですが) ルーターかL3→ルーターの別称が「L3スイッチ」ですが、もしかして光モデムのことですか?
お礼
返信遅くなり大変申し訳ございませんでした。ありがとうございました。
補足
ご回答ありがとうございます。 記入し忘れてましたが、既存のルータは一切設定変更出来ません。 ・ハブとは普通のスイッチングハブです。 ・今あるそれぞれのルータは別々にISP契約しています。技術的と言うよりは、制約が多くて既存のネットワーク機材の設定に手を加えることは出来ません。物理的に配線の差し替えて程度なら問題ありません。 ・L2SWのマルチプルVLANで二つの島を繋ぐことも最初に考えたのですが、セグメントをそろえられないのでIPアドレスによる解決しかないのではと考えています。
関連するQ&A
- 異なるセグメントのドメインコントローラで認証したい
以下のようなネットワーク構成で、WindowsXPクライアントをドメインに参加させようとしています。 L2SW --- RTX1200 --- Windows2008サーバ(DC) | -- RT58i --- WindowsXPクライアント RTX1200のセグメントは、プライベートアドレスが172.18.19.0/24、 RT58iのセグメントは、プライベートアドレスが172.18.19.0/24としています。 Windows2008サーバは、RTX1200で1対1の静的NATをしL2SWプライベートIPアドレス(192.168.19.240)に変換しています。 WindowsXPクライアントは複数台あり、RT58iで1対多の静的NATをしL2SWプライベートIPアドレス(192.168.19.101)に変換しています。 RTX1200の内部にあるXPマシンからドメインに参加できることは確認済みです。 下記のURLを参考に設定してみようかと思うのですが、 http://network.station.ez-net.jp/server/domain/nt/join_via_router.asp NAT変換している場合はこれとはまた違ってくるのでしょうか。 私のWindowsサーバやネットワークの知識が乏しく、 また、Windowsサーバ側のセグメントは本番運用の環境であるため、 ある程度の見当をたててから設定変更などをしたいと思っています。 情報が不足しているかもしれませんが、 このようなネットワーク構成でドメイン参加するには どういった設定が必要でしょうか。 宜しくお願い致します。
- ベストアンサー
- Windows系OS
- セグメントについて
企業にあるCGIを実行させる為に家から企業のサーバに接続しました。 企業側ではDHCPでクライアントにIPアドレスを割り当てています。 ここで質問なんですが、 接続した時に割り当てられたIPアドレスが10.1.130.5 企業サーバ側のDNSサーバのアドレスが10.1.1.1 結局、名前解決ができておらず表示されませんでした。この要因として考えられるのが、同一セグメントではないからでしょうか?DNSサーバが10.0.130.*に設定しないといけないのでしょうか?またはIPアドレスが10.1.1.*であれば大丈夫なのでしょうか?
- ベストアンサー
- その他(インターネット接続・通信)
- 拠点間の同一セグメント
ネットワークで離れた拠点間を同一セグメントで接続することを考えております。 構成としては、 192.168.1.0/24⇔L3SW⇔L3SW⇔IP-VPN⇔L3SW⇔192.168.1.0/24 のように 192.168.1.0/24 を2拠点で同一とすることです。 この時、図に記載した通り、 複数のL3SWとIP-VPNを経由することが条件となります。 →既存から存在する構成のため。 調べているとL2TP装置等を L3SWと192.168.1.0/24 の間におけば L2トンネルをはることで実現できるようにも考えておりますが、 L2TPの各事例をみていると 192.168.1.0/24 と 192.168.2.0/24 をつなぐ等、同一セグメントではなく、 別セグメントをつなぐ例ばかりが見受けらえれます。 質問のような構成はL2TPでは実現できないのでしょうか? よろしくお願いいたします。
- 締切済み
- ネットワーク
- 他セグメントのPCをマイネットワークに表示させたい
機械初心者ですが、VLANの設定することになりました。 勉強不足で申し訳ないのですが、教えてください。 セグメントA 192.168.0.0/24 255.255.255.0 セグメントB 192.168.2.0/24 255.255.255.0 セグメントC 192.168.3.0/24 255.255.255.0 と分けました。 [インターネット]--[ルーター]--[L3スイッチ]--[各セグメントPC] です。 それぞれのセグメントPCからpingが通る事も確認しました。 基本的にA⇔B⇔C間は特定のIP以外(ファイルサーバー・プリンター・管理PC)以外は 行き来出来ないようにルールの設定もしました。 質問 (1)セグメントAのファイルサーバー(仮に192.168.0.100とします)へ、 セグメントB・Cから直接\\192.168.0.100と打ち込めばアクセス出来ることは確認したのですが、 B・Cのマイネットワークに表示させることは出来ないでしょうか。(win7です) (Aに繋がっているPCのマイネットワークには出てきます) 欲しい答え:「出来る」or「出来ない」・「出来るならハブの設定なのか、各クライアントの設定なのか、そのやり方」 (2)的外れな質問かもですが、クライアントのディフォルトゲートウェイは セグメントによって違いますか?? インターネットに繋がっているルーター/192.168.0.101--L3スイッチのセグメントBのIP/192.168.2.254 だとしたらセグメントBに繋いでいるPCのディフォルトゲートウェイは 192.168.0.101ですか?192.168.2.254ですか?? 聞いてばかりですみませんが宜しくお願いします。
- ベストアンサー
- ネットワーク
- ルータを使用しないセグメントの接続について
各セグメントのデフォルトゲートウエイ(ルータ)の変更ができない場合に、他の方法でセグメントの接続は可能でしょうか? 【ネットワークA】 <<インターネット>> | | [ルータA] |192.168.1.1 | [ハブA1] |PC(A11) 192.168.1.11/24, DGW)192.168.1.1 ...他 : : | [ハブA3] PC(A31) 192.168.1.31/24, DGW)192.168.1.1 ...他 【ネットワークB】 [ルータB] |192.168.10.1 | [ハブB1] | | [ハブB2] NAS 192.168.10.21/24, DGW)192.168.10.1 PC(B21) 192.168.10.21/24, DGW)192.168.10.1 ...他 ・現状 ネットワークAとネットワークBは同じフロアにありますが接続されていません。 ネットワークAはPCが50台ほど、ネットワークBはサーバ、NAS、PCが数台接続されています。 ネットワークAは事務処理用で各自I台、インターネットに接続できます。 ネットワークBは管理業務用で担当部署専用で他のネットワークには接続してません。 ・制約事項 ルータA、ルータBは変更できない。 ・目的 ネットワークAの各PCから、ネットワークBのNASを共有したい。 ネットワークBは当面、NASの共有以外は現状のまま閉じた状態としたい。 以上、よろしくお願いします。
- ベストアンサー
- ネットワーク
- セグメントの異なるサーバへのtelnetについて
いま、サーバが10台程度なのにモニタ1台しかない環境で、サーバの設定をしています。モニタのついているサーバと設定したいサーバをシリアルケーブルで接続しています。 ここで、サーバのセグメントがことなるためにtelnetで通信ができずに困っています。 どうにか設定する方法を教えてください。(IPアドレスの登録を変更して同一セグメントにするしかないのでしょうか?) ちなみに、SunでSolaris7・8を使っています。
- ベストアンサー
- その他(インターネット接続・通信)
- RTX1200でのセグメント間のフィルターについて
従来、社内のネットワークを192.168.10.0/24だけで運営していました。 ファイルサーバー兼プロキシサーバーを192.168.10.10 に置き、このセグメント内にすべてのPCがあり、インターネット接続はこのプロキシサーバー経由で、また、データの共有フォルダもこのサーバーに置かれていました。 この従来の環境をAグループとします。 今回、業務の拡張にあわせて、192.168.20.0/24 というBグループを作ることになり、ルータも新規にRTX1200を使うことになりました。 RTX1200のLAN2をWAN側とし、インターネットに接続しました。 LAN3はLAN側とし、タグVLANを使用して192.168.10.0/24のAグループと、192.168.20.0/24のBグループを作成しました。 サーバーは192.168.10.10 ですので、そのままAグループに所属しています。 この状態でAグループ、Bグループは相互に通信でき、インターネットにもつながる状態なのですが、これを、 ・基本的にAグループとBグループ間は遮断する。 ・ただし、Aグループにあるサーバー(192.168.10.10)はBグループからでもアクセスできるようにする。 ・AグループもBグループも、インターネットへのアクセスは192.168.10.10のプロキシサーバーを経由してのみ行う。 という風にしたいと思います。 RTX1200のconfigでip filter のかけ方だけで出来ると思うのですが、どうもうまくいきませんでした。 フィルタのかけ方、もしくは上記を実現するよい方法がありましたら、アドバイスください。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- 負荷分散装置を経由する同一ネットワークセグメント内の通信は可能?
SE修行中の者です。「Webクライアント-負荷分散装置(以下、LB)-Webサーバー」という構成を考えています。 このとき、サーバーと同じネットワークセグメント内のクライアントからHTTPリクエストが発行された場合、「行き」パケットはLBを経由しても「戻り」パケットはLBを経由せずに直接クライアントに戻ってしまうのではないかと思います(別セグメントのクライアントならば、サーバー側のデフォルトゲートウェイをLBのIPにしておけば「戻り」もLBを通ってくれると思いますが。) そうなると、TCPのコネクションが確立できない、すなわち通信ができない、ということになるような気がするのです。 このような問題を回避するにはどのようにしたらよいものでしょうか?(ちなみに負荷分散装置はAlteon Application Switchというものらしいです)
- ベストアンサー
- ネットワーク
- ESXサーバのネットワーク設定
ESXサーバのネットワーク設定で、 NICのアドレスは192.168.1.XXX ですが、 仮想サーバのアドレスを A.192.168.1.XXXと B.192.168.2.XXXにして、 Bの仮想サーバをAのネットワークに干渉(到達)することなく、 NICから外部に通信することは可能でしょうか? つまり、Bのネットワークからインターネットに接続したいです。 (セグメントが違うのですが、ESXのルーティング設定等で可能でしょうか?)
- ベストアンサー
- ネットワーク
- 異なるIPセグメントで通信させる方法
端末AとBがあったとして(とりあえずWindowsのPC) AとBのIPアドレスのセグメントは異なるとします。 Bにはポート番号10000番のサーバーソフトが起動していたとします。 その場合AからBへUDPでポート番号10000に対してブロードキャストした場合、Bのサーバーソフトはそのパケットを正常に受信できるでしょうか?(フィルタドライバなどは使わずに一般的なソケットプログラムによる実装で) よろしくお願いいたします。
- ベストアンサー
- ネットワーク
お礼
返信遅くなり大変申し訳ございませんでした。ありがとうございました。