- ベストアンサー
学校向けのLAN切り分け
こんにちは ちょっと困っております。 学校機関向けのLANを2系統に分けて、一つは生徒用のインターネット用、もう一つは職員用のインターネットとグループウエアを利用するもの。 グループウエアは独自のシステムでOSがRedhat7.3+PHP4+PostgreSQL+Apacheを利用したものです。 目的は、生徒にはグループウエアへアクセスさせたくないので、LANの切り分けをしたいのですが、ルータを使った方がいいのか、Redhatをルータ代わりにしてLANを構築した方がいいのか。 また後者ならどういう風にセッティングすればいいか わからず悩んでます。 どなたか自信のあるかたお助けください。 よろしくお願いいたします。
- みんなの回答 (8)
- 専門家の回答
質問者が選んだベストアンサー
お勧めはポータブルVLANかと思います。 レイヤー4以上の切り分けはセキュリティ上に問題を起こす可能性があるので問題外かと レイヤーが低いほどセキュリティが高いので、 各層ごとに分けると大まかには以下の形になるかと レイヤー1:物理的切り分け 生徒用にもう一本回線を引き、別にLANを組む レイヤー2:HUBによる切り分け レイヤー2HUBによるVLAN レイヤー3:IPによる切り分け REIYA-3HUBまたは、ルータによる切り分け コストとセキュリティから私なら レイヤー2によるVLANを選択します。 中でもポータブルがセキュリティ上よいかと思います。
その他の回答 (7)
- worldman2003
- ベストアンサー率18% (21/116)
昔、遊びで構築した方法 でも、ある意味凶悪(笑) [インターネット]→[ルータA]→→[ルータB] ↓→[ルータC] ルータとは、ブロードバンドルータです。 プライベートIPアドレスのNAT変換も実はできます。 ルータBは主に僕の勉強実験用 ルータCは家族のための普通のLAN。 プライベートIPアドレスでNAT変換ができるとはいえ ブロードバンドルータBはブロードバンドルータA をインターネットのルータと勘違いをし ブロードバンドルータCも同様に勘違いをします。 ですので、ブロードバンドルータB・C間の 端末同士でのPING・TRACERTは通用しませんでした。 ただし、LAN側RIP設定はOFF状態です。 多分、インターネットルータと勘違いしてるんで ONでも問題ないとは思いますが、トラフィックを 考えるとOFFを推奨 学校との事で、生徒さんの人数にもよりますが、 MN8300 or MN9300の4096ポート自動管理できれば 問題はないかと思われます。 ちなみに、上記2機種はルーティングの設定変更 が可能ですが、IPアドレス・DHCP以外 「ディフォルト」をお勧めいたします。 実質使われるルータはBとCで、ルータAは 振り分けのためというなんとも悲しい状況に・・・。 これに当てはめるとしたら (ルータBとC) 片方が教員とグループウエア 片方が生徒さんという事になりますね。
- 参考URL:
- http://www.ntt-me.co.jp/mn/
- s-isyuto
- ベストアンサー率22% (29/127)
あ!まちがえた ポータブルではなく マルチブルだった
お礼
アドバイスありがとうございます。 参考にさせていただきます。
- togino
- ベストアンサー率75% (97/129)
すこし整理してアドバイスさせて頂きたいと思います。 今、hooma さんが管理すべきエリアは3つあります。 ■ 教師用エリア ■ 生徒用エリア ■ 外部エリア(プロバイダ) つまり、3つのエリアをどのようにして接続するべきなのか、という点に悩まれているわけです。 3つをつなげるのですから、2つの方法があります。 ■ [外部]-[ルータA]-[生徒]-[ルータB]-[教師] という風に、数珠繋ぎにする方法です。 もちろん教師と生徒を入れ替えた形状もありえます。 ■ [外部]-[ルータC]-[教師] └[生徒] 3箇所を1点で繋ぐ方法です。 「どっちがいいのか」という問いに関しては、正直どちらでもいいというのが答えです。 次に各ルータを具体的にどうするのか?という点ですが。 ■ ルータA 外部→生徒は不許可 生徒→外部は許可 デフォルトは、外部向け 通常のプロバイダ接続の設定で問題ないわけです。 ■ ルータB 生徒ネットワークと教師ネットワークの相互利用をどの程度考えるのかによって設定は若干変わりますが 教師→生徒は許可 生徒→教師は不許可 デフォルトは、ルータAへ あたりが基本になるでしょうか。 ■ ルータC 上記(AとB)の設定を1つのルータで済ませてしまいます。 3エリア双方向の通信なので、6通りの通信が存在します。おのおのについてルーティングやフィルタの設定をする必要があります。 ---- さて、今までは論理上のネットワーク設計ですが 次に、物理的にネットワークを設計しないといけません。 ルータを具体的にどうやって実現するのか? ■ ルータ製品を購入する プロバイダに接続する場合は、ブロードバンドルータなるものを大抵は購入なされるでしょう。通常の製品でもルータA の機能を実現することは可能でしょう。 逆に ルータC の機能は、少し高めのルータが必要になると思います。 ■ パソコンにネットワークカードを挿してルータにする これだと、既存の資源を利用できますので安くあがりますが、 ルータC などネットワークカード3枚挿しというのは、なれないと設定が難しいかと思います。 一番問題になるのが、ルータB をパソコンで代用できるのか、という点になると思いますが お勧めとしては、ルータB はグループウェアが走るマシンと別にする方がよいと思います。一応生徒エリアと接する訳ですので、城壁上に生徒の個人情報が入ったものを置くのはセキュリティー上よろしくありません。 --- 以上をかんがみると ■ 方法1 ルータA: 通常のブロードバンドルータ ルータB: パソコンにカード2枚挿しでルータ or 普通のルータ ■ 方法2 ルータC: VLAN 機能のあるちょっと高価なルータ いずれにせよ、グループウェアは教師エリアの中に置く 私のアドバイスとしてはこうなります。 いろいろ意見はあるかと思いますが、1つの考えとして・・・
お礼
アドバイスありがとうございます。 あまり費用をかけたくないので、 ■ 方法1 ルータA: 通常のブロードバンドルータ ルータB: パソコンにカード2枚挿しでルータ or 普通のルータ がいいのかなと思いました。
- _snowflake
- ベストアンサー率25% (24/95)
No.3にて書いた方法は他のネットワークセグメントがある事を考慮したアドバイスですが、他のネットワークセグメントやDMZなどはないのでしょうか? No.3の「回答に対する補足」を見る限りでは、生徒用もしくは職員用のどちらかのルータから他のルータ(他のネットワークセグメント)を参照するのではなく、直接インターネットにでるといった感じでしょうか? もし、そうするのならばVLAN機能を搭載したルータを購入される方法もあるかと思います。 そうすれば、1つのルータで生徒用と職員用のLANを切り分け、そのままインターネットにもアクセスできるようになるので、ネットワークの簡略化・メンテナンスが楽になりますが、ルータが故障した場合は全てのネットワークが止まるといったリスクがある事を忘れないで下さい。また、その他、考慮すべき事柄も踏まえた提案でもないですので、一つのアドバイスとして参考程度にお願いします。 VLAN機能を搭載したルータは色々なベンダーから出ていますので、価格や機能面で適したルータを選定されてはいかがでしょうか?
お礼
アドバイスありがとうございます。 参考にさせていただきます。
- _snowflake
- ベストアンサー率25% (24/95)
グループウェアシステムをルータとして兼用した方が、メンテナンス面から考えれば楽かと思いますが、グループウエアシステムにトラブルが生じた場合は、職員用・生徒用のネットワークに障害が発生する事になります。 グループウェアシステムとルータを別に構築した場合は、トラブルが発生しても生徒用のインターネットは確保可能ですが、メンテナンスするシステムが1つ増える事になります。 後は、ハードウェアトラブルが発生した場合の復旧方法や対策なども考慮する必要があるため、一概にどの方法が適しているかは回答しにくいです。 あと、セッティングに関するご質問ですが、既存のネットワーク構成が分からないため、アドバイスできないのが正直なところです。 一つのパターンとしてLANを2系統に分けるのであれば、各々にルータを構築して、既存の他ルータをデフォルトゲートウェイとして参照するように設定する方法があります。
補足
アドバイスありがとうございます。 ハードウェアのトラブルが発生した場合の復旧方法は 大事ですが、ひとまずおきまして システムを構築する方法へポイントを絞ってもよろしいでしょうか。 やはり、ルータを二つ用意して教務室用と校内用に分け 教務室用のLANの中にグループウエアを置いた方が よいみたいですね。 この場合、主になるルータは教務室用で、従になるルータは校内用ということでしょうか。
- _snowflake
- ベストアンサー率25% (24/95)
よくある事なのですが、構築される前に簡単でも構わないのでセキュリティポリシーを明確にされる事をお勧めします。 後に運用面や管理面で無駄に時間と労力を費やす事になります。 あと、後者のRed Hat Linux をルータにするといった案は、グループウエア用として使用するRed Hat Linuxでしょうか?それとも別途Red Hat Linuxをルータとして構築するのでしょうか?
補足
アドバイスありがとうございます。 >よくある事なのですが、構築される前に簡単でも構わ >ないのでセキュリティポリシーを明確にされる事をお >勧めします。 ごもっともです。 これがないと振り回されますね。 Redhatはグループウエア用とルター用を兼用したいのですが、危険でしょうか。 危険性が高ければ、別途 ルーター用FD-LINUXを考えます。
- ark_kiss
- ベストアンサー率34% (96/281)
ルーターではなく、スイッチを使ってVLANを切ってみるのはどうでしょうか?? 方法に関しては、助言が難しいですが。 またアクセス制御に関しては、IPによる切り分けでやるのがいいと思われます。 それと、学生内にPCに詳しい人がいると書き換えとかしてきますから、IPは固定にせず、DHCPからの自動配布にしたり、インターネットオプションの変更を禁止するような設定にするのが望ましいです。
補足
アドバイスありがとうございます。 考えております方法ですが、Linuxサーバー(グループウエア用)をNIC2枚差しにして 二つのLANを構築し生徒用と職員用にしたいのですが 二つの異なるLANでWANへつなげるか心配なところです。
お礼
アドバイスありがとうございます。 参考にさせていただきます。