セキュリティ強化対策(Router編)
私もBA8000をもっているので、同じ構成にチャレンジしようと
http://www.aconus.com/~oyaji/router/new_network.htm を
見たのですが、『ネットワーク構成』の表のところで
A(プライマリLAN) LAN1/2 192.168.0.1 192.168.0.0/24 クライアント用
B(セカンダリLAN) LAN3/4 192.168.1.1 192.168.1.0/24 サーバ用
となっていますが、
『VLANの設定』の説明のところで
サーバをLAN1に云々・・・と書いてあり混乱しています。
あれ?
> セキュリティ強化対策(Router編)
> 私もBA8000をもっているので、同じ構成にチャレンジしようと
> http://www.aconus.com/~oyaji/router/new_network.htm を
> 見たのですが、『ネットワーク構成』の表のところで
> A(プライマリLAN) LAN1/2 192.168.0.1 192.168.0.0/24 クライアント用
>
> B(セカンダリLAN) LAN3/4 192.168.1.1 192.168.1.0/24 サーバ用
> となっていますが、
> 『VLANの設定』の説明のところで
> サーバをLAN1に云々・・・と書いてあり混乱しています。
すいません。誤植ですので修正しました。
コンテンツと実態は変えてるので混乱したものです。
http://www.aconus.com/~oyaji/router/new_network.htm の
『ネットワーク構成図』で
LAN2(クライアント)とLAN3(サーバー)で通信
できるってことですか?(理解不足ですみません)
環境図
BA8000
プライマリ192.168.0.1
+ (LAN1)---[SWハブ]---PC1(Client)192.168.0.20
+ (LAN2)
l
セカンダリ 192.168.1.1
+ (LAN3)
+ (LAN4)---PC2(Server)192.168.1.100
現在は、上記のような構成になっているのですが
LAN2,LAN3を使うとなると、各PCにLANカードを増設するのですか?
http://www.aconus.com/~oyaji/router/ba8000_conf.htm の
LAN側ネットワークの設定の説明では、サーバーを
プライマリLANにしている説明なんですよね?
私の設定詳細
プライマリLAN IPアドレス -----------192.168.0.1
プライマリLANサブネットマスク ------255.255.255.0
セカンダリLANモード ----------------有効
セカンダリLAN IPアドレス -----------192.168.1.1
セカンダリLANサブネットマスク ------255.255.255.0
DHCPサーバ機能 [プライマリLANのみ] -有効
LANデフォルトゲートウェイ ----------192.168.0.1
Proxy DNS機能 ----------------------有効
Universal Plug and Play機能 有効無効
フィルタリングは おやじさんを参考に
同じ設定にしました。
1.ハードウェア構成
2.VLAN という機能を使ってもPC1,PC2 で
通信(主にFTP)できるのか?
以上の2点がよく理解できません。
よろしくお願いします。
> http://www.aconus.com/~oyaji/router/new_network.htm の
> 『ネットワーク構成図』で
> LAN2(クライアント)とLAN3(サーバー)で通信
> できるってことですか?(理解不足ですみません)
LAN1/2がプライマリLAN、LAN3/4がセカンダリLANですからロジカルにはそれぞれのLAN内(プライマリ/セカンダリ)は単なるHUB接続なので自由に通信できますが、プライマリ/セカンダリ間はサブネットが違いますから、BA8000がルーティングしてあげないと通信できません。これはルータの基本的な話。
で、ご質問の件は、何もしないで単にプライマリ/セカンダリLANの設定をしただけでは、BA8000はデフォルトのフィルタリングで通信を遮断しているので通信はできません。それをおやじは下記の図3用のフィルタリング設定(フィルタ設定の最後の2つ)で通信できるようにしてあげました。つまり設定すればできます。
http://www.aconus.com/~oyaji/router/new_network.htm
> 環境図
>
> BA8000
> プライマリ192.168.0.1
> + (LAN1)---[SWハブ]---PC1(Client)192.168.0.20
> + (LAN2)
> l
> セカンダリ 192.168.1.1
> + (LAN3)
> + (LAN4)---PC2(Server)192.168.1.100
>
> 現在は、上記のような構成になっているのですが
> LAN2,LAN3を使うとなると、各PCにLANカードを増設するのですか?
これは、そうですというのが正解なのか? 質問の意味が良くわかりません。鶏と卵の関係かと思いますが、無理して使うこともなくポートが足りなくてこのポートを使う必要があるならネットワーク的にはLAN2はLAN1とLAN3はLAN4と等価ですから、目的にあわせてポートに端末をつなげればいいかと思いますが。つまり、ルータにつなぐためにLANカードを増設するということはなく、端末をルータにつなぎたいから増設するということしかありえないと思うのですが・・・?
> http://www.aconus.com/~oyaji/router/ba8000_conf.htm の
> LAN側ネットワークの設定の説明では、サーバーを
> プライマリLANにしている説明なんですよね?
違います。こちらは一般的なルータ同様にLAN1から4までを単なるHUBとして一くくりで使用し、VLAN機能を使わない時(デフォルト)の例です。
> 私の設定詳細
> プライマリLAN IPアドレス -----------192.168.0.1
> プライマリLANサブネットマスク ------255.255.255.0
> セカンダリLANモード ----------------有効
> セカンダリLAN IPアドレス -----------192.168.1.1
> セカンダリLANサブネットマスク ------255.255.255.0
> DHCPサーバ機能 [プライマリLANのみ] -有効
> LANデフォルトゲートウェイ ----------192.168.0.1
> Proxy DNS機能 ----------------------有効
> Universal Plug and Play機能 有効無効
>
> フィルタリングは おやじさんを参考に
> 同じ設定にしました。
単純にまねても駄目です。FTPの20番とFTP-DATA用の4000-4029は使用されているFTPデーモンやその設定によって考えないとうまくいきませんので、注意してください。この設定は、おやじのサイトで紹介しているProFTPD/vsFTPD/WarFTPDのようにポート等がいろいろ設定ができるFTPデーモンでないとできません。設定できないデーモンならほとんどザル設定になるでしょう。
> 1.ハードウェア構成
上記はおやじが使用していたときと全く同じ構成で、クライアントはLAN1配下に別途SW-HUBを接続してそこに複数端末をつなげていました。
> 2.VLAN という機能を使ってもPC1,PC2 で
> 通信(主にFTP)できるのか?
BA8000がルーティングできるよう、フィルタを適切に設定すればOKです。それが前述した下記の図3関係のフィルタ設定です。
http://www.aconus.com/~oyaji/router/new_network.htm
VLANやフィルタのことがどうしても理解できなければ、下記内容で設定すれば簡単に動作すると思います。下記でもフラグが扱えないルータに比べれば十分に安全かと思います。
http://www.aconus.com/~oyaji/router/ba8000_conf.htm