多少は分かっていたつもですが全然分かっていなかったようなので、質問させて下さい。
下図のような構成のネットワークは実現可能なのでしょうか?
ポイントは、点線で囲んだ中には同一IPアドレスを持つ機器が存在するところです。これらの機器は点線の外側にアクセスすることはありません(というより、させたくない)。
要件は次のとおりです。
PC-A/PC-B/PC-Cはそれぞれの点線グループ内のIP機器にアクセスできる他、インターネット側とPC-D/PC-Eにもアクセスしたい。
PC-DやPC-Eから、点線内の「IP機器」にアクセスできなくてよい(むしろ、させない)。
PC-DやPC-Eから、点線内のPC-A/PC-B/PC-Cにアクセスできた方がよいが、必須ではない。PC-A/B/Cからのリクエストで、PC-D/Eにはアクセスしたい(ファイル転送など)。
このようなことが可能であるとして質問です。
問1.PC-A/B/Cの各PCは、ネットワークインターフェースが2枚必要でしょうか?それとも1枚で済ませることが可能でしょうか?
図中ではPC-A/B/Cから上下に2本線が出ていますが、必ずしもこういう接続である必要はないです。要は、一つの点線内のIPパケット(192.168.0.100/196.168.0.101宛て)が、他の点線内に混入しなければいいです。
問2.PC-A/B/Cの上側の「???」の部分には、どのような機器が必要でしょうか?普通のSWハブで済ませる方法があるでしょうか?
問3.各PCにはどのような設定が必要でしょうか?
アドバイスをよろしくお願いします。
-
気になる質問をクリップする
クリップした質問は、後からいつでもマイページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
クリップを取り消します
-
良い質問の評価を上げる
以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します
-
評価を下げられる数の上限に達しました
評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる
teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 過去に投稿した質問と同じ内容の質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します
この機能は開放されていません
評価を下げる条件を満たしてません
質問の評価を下げる機能の利用条件
この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
-
メールアドレスの認証
メールアドレスの認証
-
質問評価に関するヘルプページの閲覧
質問評価に関するヘルプページの閲覧
checkベストアンサー
0
問1.PC-A/B/Cの各PCは、ネットワークインターフェースが2枚必要でしょうか?それとも1枚で済ませることが可能でしょうか?
図中ではPC-A/B/Cから上下に2本線が出ていますが、必ずしもこういう接続である必要はないです。要は、一つの点線内のIPパケット(192.168.0.100/196.168.0.101宛て)が、他の点線内に混入しなければいいです。
OSにもよるかと思いますが、例えばLinuxなら一つのNICに複数のIPを持たせることは可能ですし、windowsでも可能です。Macも多分出来ると思いますが調べたことが無いので知りません。
が、設定が複雑になるくらいならNICを2枚用意する方が良いと思います。
問2.PC-A/B/Cの上側の「???」の部分には、どのような機器が必要でしょうか?普通のSWハブで済ませる方法があるでしょうか?
ルータをかませるのが楽かと思いますが、PCにルータの役割をさせれば機器は無くてもいいです。
HWでもPCでもどちらでもルータの役割を持った何かを挟むのが一般的な構成になるかと思います。
問3.各PCにはどのような設定が必要でしょうか?
PCorルータの設定としては、
- 内部→外部へのアクセス
NAPTが必要 - 外部→内部へのアクセス
外部からのアクセスに対するポートフォワーディグ(もしくは複数の外側のIPを持って静的NAT)
及び
IPによる内部へのアクセス制限の実施
という感じでしょうか。
お勧めの構成としては、???部分に適当なルータを設置し、ルータの配下にPCとIP機器を直接ぶら下げれば要件がクリアできるように思います。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
0
PC-A/B/Cにネットワークインタフェースを2枚用意するのがお手軽かも。
(???は不要)
PC-A/B/Cはルーティングとフォワーディングを全てオフにして
必要なルーティング設定を追加する感じでしょうか。
各IP機器はデフォルトルートをPC-AかBかCにするくらいかな。
と書いておいて今更ですが、自分の知識は古い時代で止まってるので
最新のノウハウがあればもっとクールな解決策があるかもしれません。(^_^;
あと、OSによっては設定関連がアレなんで分かるなら
出しといた方がいいかもしれません。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
0
一般的には、???にNAT箱を置くことで、要件は満たされると思います。その場合はNICは2枚必要ありません。NAT箱は一般的にはルータになります。
NIC2枚刺しの場合は、NAT箱を置かないで、PC-D,Eの所属するネットワーク側のインターフェースと192.168.0.0 をルーティングさせないことで、要件は満たせます。???はhubかswですね。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
0
こんにちは。
少なくとも点線で囲まれたサブ・ネット内に、そのサブネットを2つに分離するような機器が必要になると思います。
方法としては、色々あると思います。下記は考えられると思います。(たぶん他にもあると思います。)
①既に気が付かれているようにPC-A/B/CをNIC 2枚挿しとする。
???は普通のSWで良いです。
各IP機器のIP設定が手動なら、PCに特別な設定はいらないと思います。
自動設定ならDHCPを設定する必要が有ります。
②???をNATルータとし、PC-A/B/Cを例えばDMZに入れる。(ポート・フォワーディングでもOK)
PC-A/B/CはNIC 1枚挿しで良いです。
PCに特別な設定はしなくてもルータ側で対応できると思います。
なお、IP機器側からPC-D/Eやネットへ接続できてしまいます。逆はできません。
③???x3の部分にVLANを入れる。
PC-A/B/CはNIC 1枚で済みます。(しかし、高く付きそうな気がします。)
やはりPCに特別な設定は要らないだろうと思います。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
0
問1、2、3共通
PC-A,B,CにNICが2つ以上ずつあれば構成はそれだけでOKです。
NICが1つしかない場合は特殊な構成が必要です。全ての機器を同一NWアドレスにする(L2レベルで解決するならば)か複数のアドレスをNICに持たせることになります。パケットフィルタリングとかVLAN分割をするとかが必要ですのでこれに対応したSWとかPC設定が必要です。
まあ、あとは仮想OSを使うとソフトウェア的にできるかもしれないです。詳しくは状況教えてくだされば考えます。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
0
つまりやりたいことは
インターネットからL3レベルで到着したデータがBBルータまで到着したのち, L2レベルでPC A~Eに割り振られるという通常の構成(BBルータまではグローバルアドレス, BBルータからはプライベートアドレス)にプラスしてA~Eの中でさらにいくつかの機器にIPアドレスをつけたい(しかもこれらに重複のアドレスをつける可能性を考慮する).
ということでしょうか?
以前使っていた仮想マシンではこれに似たことをしていると思います.
仮想マシンはホストマシンとは別のアドレスを持ち, ブリッジによってホストと疎通していました.
それはさておき本題としまして
実現としては点線ないのマシンのデフォルトはPC A~C で, それぞれA~Cにルートを記述する.
???はいらない, そのままPC A~Cをルータ代わりに使用する(もしくはこのような使い方ができる機材を???にPC~A~Cにフォワーディングする)
内部のアドレスはプライベートアドレスなのでNAPTを用いて変換し外にアクセス
外部からは疎通を遮断するためルータは外部からのアクセスを遮断.(外部からのアクセスをPC D~EからもアクセスできなくするもしくD Eについているプライベートアドレスからのアクセスだけ通す設定)
でどうでしょうか?
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
15分調べてもわからないことは、teratailで質問しよう!
- ただいまの回答率 88.37%
- 質問をまとめることで、思考を整理して素早く解決
- テンプレート機能で、簡単に質問をまとめられる
2016/06/02 17:43
環境をちゃんと伝えていなくてすみません。PCはすべてWindowsです。
1枚のNICに複数のIPを持たせることができるのですか?
もしできるとして、仮にPC-Aに192.168.0.1と192.168.1.2(点線より上向きのつもり)を与えたとして、NICの出口が物理的に1つしかない以上、192.168.0.100へのパケットは点線の内側と外側の両方の出てしまうのでしょうか?そうであれば、ちょっと困ったことになりませんか。
やはり、簡単な方法としてはNIC2枚挿しなのでしょうけど、お勧めいただいたルータ設置が妥当だと思えるようになってきました。
2016/06/02 18:08
windowsPCに2枚目のNICを挿して苦労するより10倍は楽だと思います。
>1枚のNICに複数のIPを持たせることができるのですか?
GUIから簡単に出来るのでwindows nic IP 複数 あたりで検索してみて下さい。
ただしその場合、ソフトウェアルータの設定も必要になるかと思います。
無線だとOS標準の機能で簡単に出来ますが、有線だと知らないです。多分出来るとは思いますし、OS標準の機能じゃなくてもフリーのツールを使うという方法もあります。
>もしできるとして、仮にPC-Aに192.168.0.1と192.168.1.2(点線より上向きのつもり)を与えたとして、NICの出口が物理的に1つしかない以上、192.168.0.100へのパケットは点線の内側と外側の両方の出てしまうのでしょうか?そうであれば、ちょっと困ったことになりませんか。
はい、電気的にはパケットが流れます。
実際に通信を出来るかはARPテーブルを静的に定義することで必要のない通信は(MACアドレスを偽装され無い限り)遮断できます。
が、まあめんどくさい上に対してメリットもなく、制約も色々あるのでお勧めできません。