セグメント越えのアクセス禁止

某社なのですが、同じビル内に
１階　　　192.168.0.*　（１００クライアント）
２階 192.168.1.*　（１００クライアント）　　
３階 192.168.2.*　　（１００クライアント）

※数字は適当

と言う風にセグメントが分かれています。
同じ階同士では、違うワークグループでも接続可能ですが、階またぎでは接続を許可しないと管理者が言っているらしいです。
どういったポリシーで禁止だと思われますか。
また、違うセグメントは繋がないのが（ルーターまたぎだからですかね）普通なのでしょうか。
ご回答宜しくお願い致します。

No.1 ベストアンサー 回答者： himmax 回答日時： 2003/01/15 15:17

組織的理由だとすると、それぞれの階でセキュリティポリシーを変えている、物理的理由とすれば、単にルータがないからですかね。

この場合、普通はレイヤ３スイッチを導入し、各セグメントはVLANで管理することが多いと思われます。複数階またがる組織もありますし。

この回答への補足

レイヤ３でＶＬＡＮでした。lmhostsなど入れれば問題はないと思うのですが、セキュリティ上避けたほうがいいんでしょうか。

補足日時：2003/01/15 15:25

No.3 回答者： noname#41381 回答日時： 2003/01/16 12:49

どうか参考程度に...

>どういったポリシーで禁止だと思われますか。
>
ポリシーとなると、そこのネットワークポリシーによるものなので、
そのネットワークを運用している中で決まった決まりですね。＞管理者にお尋ねを...

というと当たり前の回答になってしまうのですが、#1の補足
>lmhostsなど入れれば問題はないと思うのですが
>
これから、たぶんWindowsのブラウジングや名前解決の話なのかな？
ようは、pingはお互いに通るけどネットワークの一覧に出てこないといった感じの。
（pingも通らないのであれば、明らかにそこのポリシーによるものですね)
これは単にWindowsネットワークがそのように作られていない(WINSサーバが無い等)とか
ルータ(L3-SW)でVLAN間で特定のブロードキャストを流していないだけではないでしょうか？
通常WINSサーバの無い環境でhelper-addressとかdirected-broadcastで
ブロードキャストの送信なんてしないでしょうから
>階またぎでは接続を許可しないと管理者が言っているらしい
>
という説明になっているかもしれませんね。
実際にVLAN間のルーティングしていないとか、フィルタリングしているかもしれませんが...。

また、#1の補足から
>セキュリティ上避けたほうがいいんでしょうか。
もし、lmhostsなりIPアドレスで検索するなりで見えるのであれば、
向こうからも見えているでしょうから、自分が見ることでセキュリティ低下にはつながらないでしょう。
＃もともと低いということですね


ネットワークポリシーの中で「許可しない」と明記されていては試してもダメですが、
そうでなければ、問題ないと思われます。

#セキュリティポリシーが作られていない部門での管理者の意見(命令)は
#単なるわがままととらえられることがあるとか無いとか...

この回答への補足

おそらく転送量の問題。他部門とのやたらなファイル共有の禁止のためと思うんですよね。ＩＰアドレスでは接続できる環境なので。やったらおこられますけど。ありがとうございます。

補足日時：2003/01/16 12:56

この回答へのお礼

ありがとうございます。申し訳ありませんが、回答順にポイントをつけさせていただきました。

お礼日時：2003/01/20 15:26

No.2 回答者： stsu 回答日時： 2003/01/15 17:59

ブロードキャスト・ドメイン分割する理由はわかりますよね？

以前は「LANは繋げるもの」が常識でしたので、大抵の
企業は各セグメント同士を接続したフラットなLANにな
っています。
但し人事情報等、企業内でも公開できない情報もある
ので、そういう情報を扱う部門だけLAN上に特別な配慮
をするケースは多いです。

質問のケース（フロアごと分離）は残念ながら想像が
つきにくいので、可能ならそこのネットワーク管理者
に質問するしかなさそうです。

ここで書かれた無責任な（失礼！）回答から誤った
判断をされぬよう、老婆心からアドバイスさせて
頂きました。
→　決して＃１の方の回答を否定するものではござい
　　ませんので、ご了承願います。

この回答へのお礼

ご回答ありがとうございます。

お礼日時：2003/01/16 13:00