Q&A
アクセス制限をパケットレベルで行うのはやめた方が良いような。コストを抑えるために、余計なパケットを流したくないといった用途であれば別ですが、権限によるアクセス制限の場合、アプリケーション層で行うべきで、例えばActiveDirectoryなどを利用するのが良いのではないかと。
VLANとVPNを用いた拠点間通信についてご質問です。
私は中小で開発部に所属しており、社員の中でパソコンに詳しいからと会社のネットワークを任されております。ネットワークに関しては家庭用に毛が生えた程度です。
もちろんネットワークの知識をもっと知りたいと思っております。宜しくお願い致します。
VLANとVPNを用いた拠点間通信についてご質問です。
・4拠点あります。
・VPN機能付き、またIEEE 802.1Q対応のルーターを同じもの4つを4拠点にルーターとして設置。
・L2のCatalystスイッチ24ポートを各拠点に設置。
・4つの固定IPを取得し、4つのルーターに設定。
・インターネット接続方法はPPPoE認証接続。
・ルーターがL2のCatalystスイッチに接続するポートは4拠点ともトランクポート図の赤丸です。それぞれのVLANIDのすべて含みます。
・VLANIDはこうしようと思っています。
VLANID10(営業部)
VLANID20(開発部)
VLANID30(経理部)
・また全社員アクセス可能なノード(NASかファイルサーバーかパソコンの共有フォルダを札幌本社の24ポートに接続。ポート24はトランクポート(ですよね?))
この質問に関連してhttps://teratail.com/questions/214876を先に質問させていただいております。
この質問でご回答いただき、アクセス制御に関してはルーターのフィルタリングが肝だと認識しております。
質問の内容がプロの方から見てとんちんかんかもしれませんが、上記の構成のようにした場合、何と言いますか…ほんと申し訳ありません。この場合も肝は4つのルーターのIPパケットフィルタリング次第でどうにでもアクセス制御できるということでしょうか?「どうにでも?」この言葉、ほんとにすいません。
・例、静岡の経理PCから仙台の経理PCへのアクセスは可能にさせたい。
・例、静岡の経理PCから新潟の営業PCへのアクセスはさせたくない。
・部署が増えた場合、各拠点のスイッチの設定は、各拠点の社員の協力を得る。例えば、静岡に部署が増えた、または全VLANアクセス権限が必要な偉い人が入社した場合です。静岡のある方のPC(teraterm入り)をコンソールケーブルでCatalystに接続し、札幌の私がリモートデスクトップで設定を行う。
設定ミス、故障等は考えないようにして、技術的に上記の構成で何とでもなるかどうかが知りたいです。
ほんとすいません。
「この程度の知識で管理者(札幌の私)は…」とかほんとすいません、グサッときます悲笑。
素人ながらいろいろ調べて、上記の図の構成がシンプルなのかな勝手に思いました。
みなさまどうか宜しくお願い致します。
※追加
【条件】
・部署ごとの通信をVLANで区切る。それは管理者がアクセスポートをポートVLANとして設定するだけで通信を制限したい。
・ポートのVLANを書類申請式にして上長の許可ありきで管理者はポートに対しての設定を行う。
・新しい部署またはプロジェクトグループのVLANが必要となった時も申請を出してもらい管理者がリモートデスクトップでスイッチに設定を行う。
・全社員がアクセスできる端末をBuffaloのterastationとする。Windowsのアカウントとは別にterastationにブラウザで入ってへterastationのユーザーを作り、
NASのフォルダへのアクセスは現時点では申請式にして、その申請を元にリモートデスクトップでNASのアカウントを打ち込んでアクセスさせる。
(フリーソフトでのパスワード解析等はいまは無視する)
・現時点ではADを導入しない。(ほんとはしたい…。)
・「ネットワークへのログイン」という意味というか考え方がわかりませんでした。
ログインとはOSにするもので、LANケーブルを挿せばネットにつながる、という認識でした。ここら辺をもう少し勉強してみます。
恐れ入りますがこの質問に対して「ネットワークへのログイン」は必要不可欠でしょうか?お願い致します。
いずれは、例えばこれは可能性でしかないですが、社員以外の人間がパソコンを持ってきて、LANケーブルをつなげたとき、無線のSSIDとパスワードをどうにかして知られたときに、
「登録されていないパソコン、ユーザーはネットを使えないようにする」ということはしたいです。あくまでもいつかですが…。
・各端末の通信制御を、スイッチのポートのVLANIDの設定、ルーターのフィルタリングのみで可能かどうか。
【質問2】
・この質問で構成図を使いVPNやL2スイッチなどで限定していますが、そもそも「支店を持つ会社があたかも同じビル内いるようにネットワークを組む場合はみなさんはどのような技術、設定を行うのでしょうか?」
「シンプルに拠点間通信を行う場合は、普通(?)はどうするのでしょうか?」
関連した質問はこちらでございます。https://teratail.com/questions/215485「支店を持つ会社の拠点間通信について。」
ありがとうございます。逆に「アクセス制限をパケットレベル」以外の知識がありませんでした。TCP/IPモデルの「層」の本質の理解が足りないのだと思いました。きっと眺めてわかった気でいたのだと思いました。
調べます!
ActiveDirectory、予算下りないんです。セキュリティと予算…すいません中小で。でもActiveDirectoryに何と言いますか、アクセス制御のような働きがあるのは知りませんでした。
調べます!とは言ってもやっぱりパケットレベルでもできるかどうか知りたいです。宜しくお願い致します。
> t_obara
例題は以下とあります。
・例、静岡の経理PCから仙台の経理PCへのアクセスは可能にさせたい。
・例、静岡の経理PCから新潟の営業PCへのアクセスはさせたくない。
ここから、「権限によるアクセス制限の場合」とは読み取れないのですが、どこから読み解きましたか?
例題レベルであればTCP/IPレベルでの制限が必要かと思いますが。
上記の構成にすることで、あたかも96ポートのスイッチができ、あたかも4つのVPNルーターが1つのルーターになるのだと思っていました。この段階でルーターにIPパケットフィルタがなければ、すべてのパソコンが通信可能。フィルタ設定で、経理、営業、開発の行き来ができなくなる、または管理者の設定(私なのですが‥すいません)次第で許可不許可ができるものだと思っていました。いづれADサーバーやファイルサーバーを入れたときは、アカウントによって、フォルダへのアクセス制御ができればなぁと思っていました。
社内の中でパソコンのことやITのことを調べたがるのは自分だけだったので任されていますが、いやー私、井の中の蛙でした。すいません。
> over さん
私は、「部署が増えた場合、、、。例えば、静岡に部署が増えた、または全VLANアクセス権限が必要な偉い人が入社した場合」の記載を読み、そう考えました。
> t_obara
「または全VLANアクセス権限」とあるとおり、ネットワーク単位での制御と読めます。その場合はTCP/IPレベルでの制御が必要になるとの理解です。共有電子コンテンツへのアクセス制御であれば、t_obara様の言われるとおり、ADを導入した方が良いとは思います。
回答1件
0
ベストアンサー
例えば新潟の人が仙台に出張して作業をする場合に、社内のNWにログインすると、そのログイン情報から権限を割り当ててアクセス権を得る場合には、NWレベルでの処理は不可能になります。ActiveDirectoryでなくても設定などは面倒だけど実現できなくはないものもあります。
パケットレベルでもできるかどうか知りたいです。
そもそも、VLAN間でルーティングは必要なのですか?
https://www.infraexpert.com/study/vlanz8.html
こちらをご覧いただければ良いのですが、VLANはそれぞれ別のネットワークになるので、その間の通信をする場合はルーティングが必要になります。
単にルーティングを設定しなければ相互に参照はできません。ただ、例えばメールだけは見れるようにといった場合には対応できませんが。
投稿2019/10/03 09:30
総合スコア5488
ご回答ありがとうございます。つくづく知識不足だと思いました。「社内のNWにログイン」これすら何を意味するのかがわかりません。すいません。スイッチのポートの開閉のみでネットワーク使用を管理しようとしていました。←これも私の使っている言葉が間違っているかもしれません。
ネットワークを勉強するにあたりt_obaraさんのおすすめの本、教材はございますか?
差し支えなければ教えていただければと思います。
あなたの回答
tips
プレビュー
