• ベストアンサー

VLANであればセキュリティ的に安全?

サブネットや第3オクテットの分けだと、 パソコン側で設定変更すれば別セグメントに侵入できてしまいますよね? VLANであれば、仮想的に分断できているので、 別LANのセグメントにはユーザー側からはどうやっても侵入できないのでしょうか? (セキュリティ的に安全?)

  • ENTRE
  • お礼率0% (16/2523)

質問者が選んだベストアンサー

  • ベストアンサー
  • washi001
  • ベストアンサー率41% (158/380)
回答No.3

VLANといっても使い方が様々ですね。 単に、レイヤ2のネットワークであれば、確かに別セグメントになるので、 侵入は不可能です。 キャリアが提供している、レイヤ2ネットワークサービスは、1本の回線 (光ファイバ)に複数のVLANを通して、同時に複数のユーザが物理的には 同じ回線を使っているのに、相互接続できないようになっています。 セキュリティ的には、安全と言えます・ たた、レイヤ3スイッチで、VLAN間ルーティングという事をを行う (普通はこういう使い方)では、VLAN間で通信することを前提としているので、 このケースだと別セグメントとはいえ、通信が可能となります。 ご参考まで。

その他の回答 (2)

noname#206655
noname#206655
回答No.2

拠点間通信をやって、インターネットやらないようにする。 こちらの、ある事業所では「個人の端末持ち込み禁止」「USBチップ持ち込み禁止」のところがある。 VLANて(検索せずに)ハブのポートでIPを一定時間保有する仕組みと認識してます(ホントかな) なんで、このIPはこのポート、って憶えて居るので、一斉送信(ブロードキャスト)が少ないって機能だと思う。IP以外の通信を仕掛けられたら、知らないうちに2台が通信してるかも。 以前は、NET-WAREのIPX/SPX、Windows95のNET-BEUI、IBMの・・・忘れた。が混在してました。 入鉄砲と出女てき、メールの文書、表計算を添付すると出なっかたり、入ってこれないようにしてるみたい。

  • t_ohta
  • ベストアンサー率38% (5080/13274)
回答No.1

ポートVLANならHUBの口を差し替えれば繋げない事はないので、100%安全とは言い切れない。 タグVLANなら設定を変えるだけなので、IPアドレスのセグメント分けと差は無いと言えるかも知れませんね。 VLANはあくまでもブロードキャストドメインを分ける事が目的なので、セキュリティ目的で利用するのは危険だと思います。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • 無線APにおけるNative Vlanについて

    はじめまして。nsuzuki5555と申します。 このたび無線LANにおけるNative Vlanについて質問させて頂きます。 構成は下記の通りです。わかりにくくすいません。 DHCPサーバ--<L3 Switch>--<L2Switch>--Trunk接続--<AP>~~~PC  L2Swtich側のNative Vlanを13に設定しAP側のFastEthernetもNative Vlan13に設定します。 ここで疑問なのですが、APからのRadioの設定にもNative Vlan13の設定を入れる必要性があるかです。私的にはAP側の設定でFastethernet側のサブインターフェースのみNative Vlan13の設定でOKだとおもっております。APにはPCが所属するVlanの設定Fastethernet側、Radio側にも設定をされています。仮にVlan12とします。 Native Vlanとはタグ付をされていないフレームだと認識しております。仮にPCをAP経由で接続する際Vlan12にひもづけされているSSIDで認証を行いDHCPへの要求をブロードキャストで要求したとして(DHCPサーバとPCのセグメントは別セグメント。DHCPサーバのセグメントはVlan13です。)も L3SwitchでIp-helper-addressでDHCPサーバのIPアドレスを設定しております。 私の単純な理解ですが、Vlan12のSSIDでRadius認証で成功したあとVlan13(Native Vlan)に対してブロードキャストパケットでIPの要求をだしVlan12で使用されているIPアドレスが割り当てられるという仕組みなのでしょうか?PCからVlan13(AP)に対してパケットを送った場合APとL2Switch間ではNativeVlan13で設定されているためタグ付されていなくても双方でVlan13で認識できると考えております。 レベルの低い質問ではございますがご回答のほどよろしくお願い致します。

  • RTX810のポートVLANからWAN接続について

    以下お分かりになる方がいらっしゃれば御教示頂きたく。 よろしくお願いいたします。 現在、YAMAHA RTX810をポートVLANを使いセグメントを分割しました。 その他機器はL2、L3は使わず、島ハブでホストを繋げていこうと思っています。 vlan port mapping lan1.1 vlan1 vlan port mapping lan1.2 vlan1 vlan port mapping lan1.3 vlan2 vlan port mapping lan1.4 vlan3 ip vlan1 address 192.168.10.1/24 ip vlan2 address 192.168.20.1/24 ホスト側のIPはDPCPでVLANごとに取得し、VLAN1からVLAN2へのpingが応答が帰ってくるので、ポートVLANはルーティング設定がなくてもよいと思ったのですが、WAN側への通信がうまくいきません VLAN1からは外部へのping、httpアクセスは可能 VLAN2からは外部へのping、httpアクセスは不可(ただし外部DNSサーバから名前解決はしてる) ICPMがタイムアウトではなく、外部DNSで名前解決もしているのでエコー要求は送ったが、戻り先のホストに到達できないような感じだと思うですが・・・どう設定すればいいのかわかりません。 よろしくお願いいたします。

  • Catalyst2948G-L3nituite

    Catalyst2948G-L3についてなんですが、 IRB(Integrated Routing and Bridging) と VLAN(仮想LAN) って大きな違いはなんですか? どちらとも、セグメントを分けて、そのセグメントどうしルーティングできるようなんですが?

  • 家庭でできる堅固な無線LANセキュリティについて

    家庭の無線LANルータ、無線アクセスポイントに堅固なセキュリティ設定を施したいと思います。 WEP、MACaddressフィルタ、ステルス機能がついた 無線LANルータ、もしくは無線APがあるとします。 この状態で堅固なセキュリティを司る場合、 どのような方法が考えられますでしょうか? 私は以下を考えております。 1.WEP上限128bitを使用しての暗号化 2.ステルス設定の有効化 3.MACアドレスフィルタの有効化 4.無線APであるならば、   大事なデータが入っているサーバのセグメントには無線APをたてない 5.無線APはできるだけ違うセグメントにして、   当セグメントのサブネットを最小限にする。 ほかにもこんな方法があるよというものがありましたら、 ぜひ教えてください。 よろしくお願いします。

  • 小規模LAN構成について

    小さな事業所のLAN構成について教えてください。 現在、NTT光を使って、ONU→CTU→HUBという簡単な構成にしていますが、別の部屋を借りる事になり、セキュリティの関係で別セグメント構成にしたいと考えています。 また、セグメントで分けた別部屋に設置予定のNAS(ディスク)へのアクセス出来るようにしたいと考えています。 簡単なイメージはこの通りです。 この様なイメージで、セグメントを分けて無線LANを使用し、今の部屋から別部屋のNASへはアクセスしたいと考えています。  ONU → CTU → L2スイッチ → 今の部屋のHUB → 無線LAN(ルータ) → 各PC                 ↓            ↓                           ↓            →  有線LAN → プリンタ                 ↓                 ↓ →  → 無線LAN(ルータ) → 各PC(別の部屋で使用) 質問1   CTUにL2スイッチをつないでVLAN構成にしたいと思います。 そのVLANで別セグメントに   HUB や無線ルータをつなぎたいと思いますが、問題はあるでしょうか。 以上、よろしくお願いします。  

  • セグメントの意味

    「セグメント」はコリジョンドメインの届く範囲、 「サブネット」は同一LAN内 と、私は認識しているのですが、たとえばサブネットマスクが「255.255.255.0」のネットワークのとき、「172.29.1.2」と「172.29.1.50」は「同一セグメントである」、 「172.29.1.2」と「172.20.1.2」は「別のセグメントである」といったように、使用するのは間違いでしょうか? このような場合は「サブネット」を使用したほうがいいのでしょうか? ネットワーク関係の仕事をしている身ですが、イマイチ言葉の意味が身に付きません。。。

  • 異なるグループのLANへ安全に入るには‥

    現在FWやプロキシの体制が万全なLANがあります。 それとは別に通常セキュリティレベルのLANがあり、 それぞれは全く別のインターネット回線を使用しています。 万全な方から異なる方のLANへ、 クライアントの負担をなるべく少ない状態で入るには、 どういった方法がありますでしょうか。 万全なLAN→ルータ→VLAN→もう一方のルータ→もう一方のLAN ということができたりするのでしょうか。 色々調べてみたのですが、色々な情報が混ざってしまって混乱気味です(___; どうぞ宜しくお願いします。

  • L2スイッチで実現するには..

    R(ルータ)とSW(L2スイッチ)で以下の様なことを実現したいと思っています。R、SWに必要な機能は何ですか? ・LANを4セグメン作りたい ・その4セグメント間は通信の必要なし ・各セグメントからRを経由して様々なNWと  通信を行う。 VLANは必要だと思いますが、VLANにもいくつか種類がある(マルチプル、タグ、ポート)どの機能が必要か教えて下さい。また、Rから見てLAN1~LAN4は全て違うネットワークに見えるのでしょうか。Rに各セグメントごとのルーティングって設定可能なのでしょうか。 SWのR側LANはLAN1~LAN4以外のセグメントが必要なのでしょうか。 まとめて聞いて申し訳ないですが、NWに詳しい方よろしくお願いします。 他NW--R--SW--LAN1       --LAN2       --LAN3       --LAN4  

  • セキュリテイUSBメモリーが安全に取りはずしできない

    XP-SP3のユーザーです 仮想CDドライブとUSBメモリーの2つを立ち上げるタイプのセキュリテイUSBメモリーを 導入しましたが、安全に取りはずし操作をしても外れず、タスクバーに このUSBメモリーの仮想CDドライブのソフトのアイコンが残ったままになります。 また、デバイスドライバーの記憶ボリュームの汎用ボリュームに”!”マークが残った ままになり、シャットダウンが出来ません。 1.セーフモードでは正常に外せます 2.通常モードで常駐ソフトを全て止めて動かした場合も異常発生します 3.汎用のUSBドライバー以外はインストールされていないようです 4.トラブル時に出来る汎用ボリュームの”!”マークは削除ができません。 5.復元ポイントで前の状態に戻したが駄目です。 始めての導入時に、新しいハードウエアが見つかりましたと表示された 時に、なにか別の操作をした様な記憶が有りますが正確に覚えて いません。 <お願い> 1.対策方法をアドバイス下さい 2.新しいハードウエアが見つかりました からやり直す方法を   試してみたいのでその方法を教えてください 以上、どうぞよろしくお願い致します。 最悪、クリーンインストールを意識していますが・・・・

  • サブネット化

    1つのセグメントをAとBというネットワークにサブネット化するとき、まずルータのポート(ネットワークA側)のアドレスから変更していくのでしょうか?それともホスト(ネットワークA側)からアドレスの変更をしていってもいいのでしょか

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する