おなかすいたー
罠にはまりそうだったのでメモる
大雑把に言えば、セグメント=ブロードキャストドメイン=サブネットでいいかと思われ
文脈によっては意味が変わりまくりすてぃだけど…
セキュリティ対策の為、セグメントを分けたい
セグメントを分けるとは
- 物理的にネットワークを分ける
- サブネットを分けるだけでは、クライアントがIPの設定を変更すると使えるようになる、からダメ
どうやる?
物理的にマジで分ける
[ルーター]-[L2スイッチ]- PC(セグメントA) | [L2スイッチ] - PC(セグメントB)
VLAN使う
[ルーター] = [L2スイッチ] - PC(セグメントA) (ルーティング) | PC(セグメントB)
セグメントを分ける、とは
セグメント分ける、とはそいつのLANケーブルに物理的にネットワークケーブルに電気信号が行かないようにすること(とする)
サブネットを分ける、とは別。サブネットを分けて、理論的にネットワークを分離しても、ネットワークケーブル上には電気信号が流れていて(んー受け取る事が可能で)クライアントのNICがそれを拾わないだけ。(いやまー実際はL2スイッチが行かないようにしているとは思うけど、ARPやらごにゅごにょやれば取れる)
サブネット分割で、理論的にネットワークを分けても、クライアントのネットワークIPアドレスの変更で、サブネットをまたぐ事ができてしまう。これでは「セキュリティの為のセグメント分割」の目的は果たせない。
ので「セグメント分けてよ」といわれたら「物理スイッチ追加しないで、新しいネットワークアドレス追加すればいいな」なんて思ってはダメ。確かに、そういう設定をすればお互いに通信はできなくなるけれども。
(セグメント分ける=サブネット分ける、となんとなく思って、アレー違うなーなんか違う、と思って、ピンときたので書き残す)
セグメントを分けたらルーティングが必要
L3スイッチなんていいもの使えば、VLAN分ける&ルーティングもしちゃう、という「セキュリティの為にセグメント分けてよ」という要件がズバッと解決できちゃう。
でも、今あるネットワーク機器で対応したいのが小規模オフィス(つまりオレ)
セグメントとセグメントを橋渡しするためにルーターを使おう。
- セグメントA(社員)
- セグメントB(社内サーバー)
- セグメントC(社外の人)
Cの人はインターネットへしかいけないようにしたい。
んーFWいるか…。
これバッファローの普通の無線ルーターでできるかなー…。
倉庫にIX2015があったから、それ使いたいけどあんまりごちゃごちゃスイッチ置きたくないんだ。
これが手持ちの手札!
IX2015を召還するか、LinuxサーバーにNIC増やして、iptablesやらbridgeやらをごにょごにょやればすごく自由になれる、がそれはやりたくない(めんどい)