質問

2011年05月12日 11時26分
  • 境界にあるルータのルーティングについて

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

あるネットワーク(A)と別のネットワーク(B)が存在し、そのABを接続するルータがあるとき、通常ルータはAとBをルーティングします。
しかし、セキュリティなどの理由でAとBのネットワークをルーティングしない場合、このルータ上ではどのようにAとBのネットワークのルーティングをとめているのでしょうか?
※セキュリティ上の理由とは企業間のネットワークを接続したりする場合。
※LANとWANを接続する場合もルーティングされないと思っています。

通常ルータは直接接続されているネットワークは無条件でルーティングをしてしまうと思います。
#ちなみに、上記のようなネットワークの場合、AのネットワークからBのネットワークに接続する場合はNAPTやNATを使ってアクセスすることになると思っています。

CISCOのルータでは、どのように(どのようなコマンド)で上記を実現しているのか教えていただけないでしょうか?

4件の回答があります

回答

お疲れ様です。

ちょっと環境がよくわからないのですが、
ルーターにAのセグメントとBのセグメントの2系統があり、Aのセグメントにあるノードから、Bセグメントへのノードに通信ができない場合なにが原因か?ということでよいでしょうか?

AのネットワークからBのネットワークにNATが挟まる理由が少々わかりませんが・・・。

まずルーターの原理で考えれば、仰るとおり、異なるセグメント間のネットワークを接続する機器になります。
機器にもよりますが、ルーターでルーティング機能を無効にすることはたぶんできないのではないかと思います。(ルーターの意味が無くなるから)
L3スイッチであれば、VLANにIPを振らなければルーティングはしなくなりますが・・・。

たとえば、ネットワークAがサーバー設置のセグメントで、「192.168.1.0/24」としましょう。ネットワークBが、端末が設置されているセグメントで「172.16.1.0/24」としましょう。
この場合、ネットワークAにある会計サーバー(192.168.1.2)は、経理端末(172.16.1.101)からしか通信できないようにして、他の端末からはアクセスできないようにするといった場合、ルーティングをしないというよりは、接続をブロックしていることになります。
いわゆる、ACL(アクセスコントロールリスト)で、ルールを書き、上記のような条件を作成しセキュリティを保つことになります。
(基本的にファイアーウォールで書けるACLも同じ事です)

ネットワークの構成にもよりますが、上記の場合、ネットワークAに存在するサーバーのデフォルトゲートウェイの設定がなかったり、違うルーターに向いていると、ルートがない形なりますので、ネットワークBからパケットを送っても返す先が無かったり間違っていれば結果的に通信は成立しません。

もうすこし、情報の整理をいただいて、A、Bそれぞれのネットワークがどのような用途なのか(インターネット等のWANなのか、職場内のLANの一セグメントなのか等)、と、何がしたいか、何ができないかを教えてもらえると、より詳しいアドバイスができると思います。

2011年05月12日 12時04分

回答

どのようにAとBのネットワークのルーティングをとめているのでしょうか?
Aのポートから来た信号をBのポ−トに転送しない
というだけですが...
正確にいうと
1番(でもなんでもいいけど)ポートにつながっている信号線からきた信号のうちAから来たと判定されるもの(判定条件はIPとか)は2番ポートにつながっているBのネットワークには通さない、けれどAからじゃない信号は通す。
ということをやっています。判定条件はパケットのなかのヘッダにある情報を使います。

2011年05月12日 12時12分

回答

私だったら、NATは使わず、ルーティングで処理します。
制限はルーティングはなくアクセスリストを使用します。

access-list *** deny ip Aのネットワークアドレス Bのネットワークアドレス
access-list *** deny ip Bのネットワークアドレス Aのネットワークアドレス

わざわざルータをつないでるというのは、もう一つのネットワークの先に通信したいものがあるということですよね。

であるなら、アクセスリストで特定のネットワークだけ止めたほうが良いと思います。

2011年05月12日 15時57分
TT

回答

皆様

早速の回答ありがとうございました。
実は、グローバルIPアドレスは未取得なのですが、プライベートIPアドレスをつかって、LANとWANの間の通信確認のテスト環境を作ろうと思っていました。
LAN側 192.168.1.0/24
WAN側 172.20.10.0/24
そこでWAN側のIPアドレスとLAN側のIPアドレスをfa0/1とfa0/0にそれぞれアサインして、PATを設定してLAN側からWAN側への疎通試験をしようと思っていました。しかし、ルータにLAN側とWAN側のIPアドレスを設定し、それぞれのセグメントにPCを設置し、PATの設定をせずにPINGをしたところ、LAN側からもWAN側からもお互いに通信ができました。(当然ルータのルーティングテーブルにはLAN側もWAN側もルートが存在していました。)
ルータの機能は異なるネットワークを接続することなので、つながって当たり前なのですが。。。

そこで、通常のブロードバンドルータはLAN側とWAN側のネットワークにつながっているのになぜ、NAPTやNATが必要なのかを知りたいと思っていました。

いろいろ考えているうちに、WAN側に仮想サーバとして設置したPCに以下の設定をしているのが原因ではないかと現時点では、考えています。

ルータのWAN側Int 172.20.10.1 255.255.255.0
IPアドレス 172.20.10.3 255.255.255.0
ゲートウェイ 172.20.10.1 255.255.255.0

ゲートウェイが不要なのではないか。。。。

これらの想定も踏まえもう一度設定してみて、うまくいかないようであれば、再度質問させていただきます。

結果が出ましたら、報告までに記載したいと思います。

2011年05月12日 23時39分

あなたもコメントしましょう!