インターネットVPN
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
takamoto463
居住地: 大阪
投稿数: 177
居住地: 大阪
投稿数: 177
いつもお世話になります。
インターネットVPNで繋がっている2つの支店間で
端末Aと端末Bはお互いに通信できるが、
端末AとDはできず、
端末BとCも通信できない
ようにする方法として
どのような方法がシンプルなのでしょうか?
端末A−−−スイッチ−VPNルータ−−(インターネットVPN)−−VPNルータ−スイッチ−−端末B
端末C−−/ L−−端末D
端末E−/ L−−端末F
※端末とVPNルータ間にはそれぞれスイッチがあります。
すみません、きちんと絵が描けてませんが、
端末D、Eはスイッチから出てると思ってください。
こういう場合でもVLANで切ったりできるでしょうか?
(端末AとBだけVLAN2で、その他がVLAN3とか)
それとも、アクセスリストで送信元A宛先B(逆も同じく)を許可したりされますか?
端末を勝手に追加されないように、ポートセキュリティを使ったりがよいでしょうか?
あと、相対的にMACアドレスで制御するのと、IPアドレスで制御するのでは、どちらのほうが機器に負荷がかかるのでしょうか?
質問が多く、曖昧で申し訳ありませんが
以上、よろしくお願いします。
インターネットVPNで繋がっている2つの支店間で
端末Aと端末Bはお互いに通信できるが、
端末AとDはできず、
端末BとCも通信できない
ようにする方法として
どのような方法がシンプルなのでしょうか?
端末A−−−スイッチ−VPNルータ−−(インターネットVPN)−−VPNルータ−スイッチ−−端末B
端末C−−/ L−−端末D
端末E−/ L−−端末F
※端末とVPNルータ間にはそれぞれスイッチがあります。
すみません、きちんと絵が描けてませんが、
端末D、Eはスイッチから出てると思ってください。
こういう場合でもVLANで切ったりできるでしょうか?
(端末AとBだけVLAN2で、その他がVLAN3とか)
それとも、アクセスリストで送信元A宛先B(逆も同じく)を許可したりされますか?
端末を勝手に追加されないように、ポートセキュリティを使ったりがよいでしょうか?
あと、相対的にMACアドレスで制御するのと、IPアドレスで制御するのでは、どちらのほうが機器に負荷がかかるのでしょうか?
質問が多く、曖昧で申し訳ありませんが
以上、よろしくお願いします。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
要件が少ないようです。
どこを通信可能/不可能にするのでしょう?
あと、インターネットに出られるかどうかは通信要件の対象外ですか?
単純なのであれば、Tunnelインタフェースに入る前にACLで落とす、でよさそうですけどね〜
引用:要件によってはプライベートVLANを検討するかもしれません。
引用:ここはインターネットVPNとは別要件じゃないでしょうか?
LANのセキュリティの話なので、必要に応じて、だと思います。
引用:IPアドレスで制御=ACL=ルータで実施
MACアドレスで制御=スイッチで実施
と適用位置を決めてしまえば、負荷を分散させることも、フィルタ対象をどこで通す(ブロックする)かも柔軟に決めやすいかと思いますよ
┌─┬─┬─┬─┬─┬─┬─┐
│ │A │B │C │D │E │F │
├─┼─┼─┼─┼─┼─┼─┤
│A │−│○│ │×│ │ │
├─┼─┼─┼─┼─┼─┼─┤
│B │−│−│×│ │ │ │
├─┼─┼─┼─┼─┼─┼─┤
│C │−│−│−│ │ │ │
├─┼─┼─┼─┼─┼─┼─┤
│D │−│−│−│−│ │ │
├─┼─┼─┼─┼─┼─┼─┤
│E │−│−│−│−│−│ │
├─┼─┼─┼─┼─┼─┼─┤
│F │−│−│−│−│−│−│
└─┴─┴─┴─┴─┴─┴─┘
あと、インターネットに出られるかどうかは通信要件の対象外ですか?
単純なのであれば、Tunnelインタフェースに入る前にACLで落とす、でよさそうですけどね〜
引用:
こういう場合でもVLANで切ったりできるでしょうか?
(端末AとBだけVLAN2で、その他がVLAN3とか)
引用:
端末を勝手に追加されないように、ポートセキュリティを使ったりがよいでしょうか?
LANのセキュリティの話なので、必要に応じて、だと思います。
引用:
相対的にMACアドレスで制御するのと、IPアドレスで制御するのでは、どちらのほうが機器に負荷がかかるのでしょうか?
MACアドレスで制御=スイッチで実施
と適用位置を決めてしまえば、負荷を分散させることも、フィルタ対象をどこで通す(ブロックする)かも柔軟に決めやすいかと思いますよ
takamoto463
居住地: 大阪
投稿数: 177
居住地: 大阪
投稿数: 177
arashi1977様
さっそくのお返事ありがとうございます。
書き方がまずかったですね、申し訳ありません。
AとBはサーバのような使い方で、両方の支店内の各PCからアクセスしたいです。(D、C、E、F…はAとBにつながるPCのつもりでした。)
A−B間は○
A−インターネットは×
B−インターネットは×
A−同じ支店内のPC(C、E)は○
B−同じ支店内のPC(D、F)は○
A−他支店内のPC(D、F)は○
B−他支店内のPC(C、E)は○
A−B間はインターネットVPNでつながっているようです。
AとBのみはインターネットにつなげたくありません。(外部から攻撃を受けたくないため)
このような事は可能でしょうか?
インターネットVPNにつながるイコールAとBをインターネットにつなげたくないと矛盾してるような気がしますが。。
今はデフォルトゲートウェイの設定を無効にし、
AとBを外部につながらないようにしていますが、
支店同士の通信が切れるので困っています。
各C〜Fはインターネットにつながっています。
以上、よろしくお願いします。
さっそくのお返事ありがとうございます。
書き方がまずかったですね、申し訳ありません。
AとBはサーバのような使い方で、両方の支店内の各PCからアクセスしたいです。(D、C、E、F…はAとBにつながるPCのつもりでした。)
A−B間は○
A−インターネットは×
B−インターネットは×
A−同じ支店内のPC(C、E)は○
B−同じ支店内のPC(D、F)は○
A−他支店内のPC(D、F)は○
B−他支店内のPC(C、E)は○
A−B間はインターネットVPNでつながっているようです。
AとBのみはインターネットにつなげたくありません。(外部から攻撃を受けたくないため)
このような事は可能でしょうか?
インターネットVPNにつながるイコールAとBをインターネットにつなげたくないと矛盾してるような気がしますが。。
今はデフォルトゲートウェイの設定を無効にし、
AとBを外部につながらないようにしていますが、
支店同士の通信が切れるので困っています。
各C〜Fはインターネットにつながっています。
以上、よろしくお願いします。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:インターネットに出るときはPAT(NATオーバーロード/IPマスカレード)してるんですよね?
であれば、その対象からAおよびBを外してやればいけそうに思えますが…
どういうネットワーク構成か、にもよるでしょうね。
この辺はすべてACLによって実現可能な気がします
AとBのみはインターネットにつなげたくありません。(外部から攻撃を受けたくないため)
(略)
各C〜Fはインターネットにつながっています。
であれば、その対象からAおよびBを外してやればいけそうに思えますが…
どういうネットワーク構成か、にもよるでしょうね。
この辺はすべてACLによって実現可能な気がします
takamoto463
居住地: 大阪
投稿数: 177
居住地: 大阪
投稿数: 177
arashi1977様
いつもありがとうございます。
なるほど、PATの設定で、AとBを外す。
シスコのルータ使ってたら自分でも簡単にできそうですね。
詳しい構成は教えてもらってないのですが、
相談されたもので。
ありがとうございました。
いつもありがとうございます。
なるほど、PATの設定で、AとBを外す。
シスコのルータ使ってたら自分でも簡単にできそうですね。
詳しい構成は教えてもらってないのですが、
相談されたもので。
ありがとうございました。
