インターネットVPN
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
インターネットVPN
msg# 1
ゲスト
投稿数: 0
いつもお世話になります。
インターネットVPNで繋がっている2つの支店間で
端末Aと端末Bはお互いに通信できるが、
端末AとDはできず、
端末BとCも通信できない
ようにする方法として
どのような方法がシンプルなのでしょうか?
端末A---スイッチ-VPNルータ--(インターネットVPN)--VPNルータ-スイッチ--端末B
端末C--/ L--端末D
端末E-/ L--端末F
※端末とVPNルータ間にはそれぞれスイッチがあります。
すみません、きちんと絵が描けてませんが、
端末D、Eはスイッチから出てると思ってください。
こういう場合でもVLANで切ったりできるでしょうか?
(端末AとBだけVLAN2で、その他がVLAN3とか)
それとも、アクセスリストで送信元A宛先B(逆も同じく)を許可したりされますか?
端末を勝手に追加されないように、ポートセキュリティを使ったりがよいでしょうか?
あと、相対的にMACアドレスで制御するのと、IPアドレスで制御するのでは、どちらのほうが機器に負荷がかかるのでしょうか?
質問が多く、曖昧で申し訳ありませんが
以上、よろしくお願いします。
インターネットVPNで繋がっている2つの支店間で
端末Aと端末Bはお互いに通信できるが、
端末AとDはできず、
端末BとCも通信できない
ようにする方法として
どのような方法がシンプルなのでしょうか?
端末A---スイッチ-VPNルータ--(インターネットVPN)--VPNルータ-スイッチ--端末B
端末C--/ L--端末D
端末E-/ L--端末F
※端末とVPNルータ間にはそれぞれスイッチがあります。
すみません、きちんと絵が描けてませんが、
端末D、Eはスイッチから出てると思ってください。
こういう場合でもVLANで切ったりできるでしょうか?
(端末AとBだけVLAN2で、その他がVLAN3とか)
それとも、アクセスリストで送信元A宛先B(逆も同じく)を許可したりされますか?
端末を勝手に追加されないように、ポートセキュリティを使ったりがよいでしょうか?
あと、相対的にMACアドレスで制御するのと、IPアドレスで制御するのでは、どちらのほうが機器に負荷がかかるのでしょうか?
質問が多く、曖昧で申し訳ありませんが
以上、よろしくお願いします。
Re: インターネットVPN
msg# 1.1
ゲスト
投稿数: 0
要件が少ないようです。
どこを通信可能/不可能にするのでしょう?
あと、インターネットに出られるかどうかは通信要件の対象外ですか?
単純なのであれば、Tunnelインタフェースに入る前にACLで落とす、でよさそうですけどね~
引用:要件によってはプライベートVLANを検討するかもしれません。
引用:ここはインターネットVPNとは別要件じゃないでしょうか?
LANのセキュリティの話なので、必要に応じて、だと思います。
引用:IPアドレスで制御=ACL=ルータで実施
MACアドレスで制御=スイッチで実施
と適用位置を決めてしまえば、負荷を分散させることも、フィルタ対象をどこで通す(ブロックする)かも柔軟に決めやすいかと思いますよ
┌─┬─┬─┬─┬─┬─┬─┐
│ │A │B │C │D │E │F │
├─┼─┼─┼─┼─┼─┼─┤
│A │-│○│ │×│ │ │
├─┼─┼─┼─┼─┼─┼─┤
│B │-│-│×│ │ │ │
├─┼─┼─┼─┼─┼─┼─┤
│C │-│-│-│ │ │ │
├─┼─┼─┼─┼─┼─┼─┤
│D │-│-│-│-│ │ │
├─┼─┼─┼─┼─┼─┼─┤
│E │-│-│-│-│-│ │
├─┼─┼─┼─┼─┼─┼─┤
│F │-│-│-│-│-│-│
└─┴─┴─┴─┴─┴─┴─┘
あと、インターネットに出られるかどうかは通信要件の対象外ですか?
単純なのであれば、Tunnelインタフェースに入る前にACLで落とす、でよさそうですけどね~
引用:
こういう場合でもVLANで切ったりできるでしょうか?
(端末AとBだけVLAN2で、その他がVLAN3とか)
引用:
端末を勝手に追加されないように、ポートセキュリティを使ったりがよいでしょうか?
LANのセキュリティの話なので、必要に応じて、だと思います。
引用:
相対的にMACアドレスで制御するのと、IPアドレスで制御するのでは、どちらのほうが機器に負荷がかかるのでしょうか?
MACアドレスで制御=スイッチで実施
と適用位置を決めてしまえば、負荷を分散させることも、フィルタ対象をどこで通す(ブロックする)かも柔軟に決めやすいかと思いますよ
Re: インターネットVPN
msg# 1.1.1
ゲスト
投稿数: 0
arashi1977様
さっそくのお返事ありがとうございます。
書き方がまずかったですね、申し訳ありません。
AとBはサーバのような使い方で、両方の支店内の各PCからアクセスしたいです。(D、C、E、F…はAとBにつながるPCのつもりでした。)
A-B間は○
A-インターネットは×
B-インターネットは×
A-同じ支店内のPC(C、E)は○
B-同じ支店内のPC(D、F)は○
A-他支店内のPC(D、F)は○
B-他支店内のPC(C、E)は○
A-B間はインターネットVPNでつながっているようです。
AとBのみはインターネットにつなげたくありません。(外部から攻撃を受けたくないため)
このような事は可能でしょうか?
インターネットVPNにつながるイコールAとBをインターネットにつなげたくないと矛盾してるような気がしますが。。
今はデフォルトゲートウェイの設定を無効にし、
AとBを外部につながらないようにしていますが、
支店同士の通信が切れるので困っています。
各C~Fはインターネットにつながっています。
以上、よろしくお願いします。
さっそくのお返事ありがとうございます。
書き方がまずかったですね、申し訳ありません。
AとBはサーバのような使い方で、両方の支店内の各PCからアクセスしたいです。(D、C、E、F…はAとBにつながるPCのつもりでした。)
A-B間は○
A-インターネットは×
B-インターネットは×
A-同じ支店内のPC(C、E)は○
B-同じ支店内のPC(D、F)は○
A-他支店内のPC(D、F)は○
B-他支店内のPC(C、E)は○
A-B間はインターネットVPNでつながっているようです。
AとBのみはインターネットにつなげたくありません。(外部から攻撃を受けたくないため)
このような事は可能でしょうか?
インターネットVPNにつながるイコールAとBをインターネットにつなげたくないと矛盾してるような気がしますが。。
今はデフォルトゲートウェイの設定を無効にし、
AとBを外部につながらないようにしていますが、
支店同士の通信が切れるので困っています。
各C~Fはインターネットにつながっています。
以上、よろしくお願いします。
Re: インターネットVPN
msg# 1.1.1.1
ゲスト
投稿数: 0
引用:インターネットに出るときはPAT(NATオーバーロード/IPマスカレード)してるんですよね?
であれば、その対象からAおよびBを外してやればいけそうに思えますが…
どういうネットワーク構成か、にもよるでしょうね。
この辺はすべてACLによって実現可能な気がします
AとBのみはインターネットにつなげたくありません。(外部から攻撃を受けたくないため)
(略)
各C~Fはインターネットにつながっています。
であれば、その対象からAおよびBを外してやればいけそうに思えますが…
どういうネットワーク構成か、にもよるでしょうね。
この辺はすべてACLによって実現可能な気がします
Re: インターネットVPN
msg# 1.2
ゲスト
投稿数: 0
arashi1977様
いつもありがとうございます。
なるほど、PATの設定で、AとBを外す。
シスコのルータ使ってたら自分でも簡単にできそうですね。
詳しい構成は教えてもらってないのですが、
相談されたもので。
ありがとうございました。
いつもありがとうございます。
なるほど、PATの設定で、AとBを外す。
シスコのルータ使ってたら自分でも簡単にできそうですね。
詳しい構成は教えてもらってないのですが、
相談されたもので。
ありがとうございました。
