ファイアウォールにおけるネットワーク分割

・ＩＳＰからの割り当て
ＩＰアドレス：202.xxx.xxx.96～111
ネットマスク：255.255.255.240(28ビット)

各ゾーンのアドレス
・ＷＡＮ側：202.xxx.xxx.96/28(グローバル)
97～102をホストで利用可能
96はネットワークアドレス、103はブロードキャストアドレス
・ＤＭＺ側：202.xxx.xxx.104/29(グローバル)
105～110をホストで利用可能
104はネットワークアドレス、111はブロードキャストアドレス
・ＬＡＮ側：192.168.1.0/24(プライベート)

(1)ルータのＮＩＣ（ファイアウォールに対向する側）とファイアウォールのＷＡＮ側ＮＩＣは、ＩＳＰから指定されたＩＰアドレスとネットマスクをそのまま使用
(2)ＤＭＺのネットワークアドレスは、ＷＡＮ側よりマスクが1ビット長いものを設定。→割り当てられたネットワークの後半部分をサブネットとして切り出すため。
(3)ファイアウォールには、ＷＡＮ側（96～103）宛てとＤＭＺ側（104～111）宛てのパケットについて、それぞれルーティング設定をしておく。
(4)ルータには、202.xxx.xxx.96～111宛てのパケットについて、ファイアウォールのＷＡＮ側ＮＩＣをゲートウェイとして転送するルーティング設定をしておく。

(4)は、ルータとＤＭＺ側が同一ネットワークアドレスに属する（アドレスが同一とはどういうことか？）にもかかわらず、実際には同一ネットワークに存在しないために必要。この設定がないと、ルータは202.xxx.xxx.96～111宛てのパケットを直接転送する（直接とはどういう意味か？）ために、ＡＲＰによって転送先のＭＡＣアドレスを得ようとするが、これはＤＭＺ側アドレスに関しては失敗する（なぜ失敗するのか？）ため、通信不能になる。

（）の疑問について教えていただけると助かります。

No.1 ベストアンサー 回答者： noname#17587 回答日時： 2005/12/24 12:27

アドレスしか書かれていないので結線は想像で答えます。

また、質問者は設計者と違うのですか？誰から誰に対する質問か良くわからないので純粋に質問にだけ答えます


（アドレスが同一とはどういうことか？）
ISPから見ると、割り当てたネットワークは202.xxx.xxx.96～111の範囲１個なので
msndanceさんのネットワークにDMZが存在する事はわかりません。
なので、ISPからみてアドレスが同一ということでないでしょうか

（直接とはどういう意味か？）
先ほどの質問と同じでISPからは同一のネットワークに見えるわけで、
同一のネットワークアドレスに直接転送と言う意味だと思います

（なぜ失敗するのか？）
ARPとはレイヤ２の通信なので同一ネットワーク内にしか届きません、
DMZが直接接続されたネットワークで無い場合はARPが失敗します。

アドレスの割り当て方から某光系ISPだと思われますが、
あくまでIPアドレスだけを割り当てているのであって、
ネットワーク構成を通知するためにはルーティングテーブルの交換が必要になります。この辺は敷居が高いのでネットワークをしっかり勉強して検討してみてください。

この回答へのお礼

＞（なぜ失敗するのか？）
＞ARPとはレイヤ２の通信なので同一ネットワーク内にしか届きません、
＞DMZが直接接続されたネットワークで無い場合はARPが失敗します。

これで理解できました。ありがとうございます。

ここであげたアドレスはネットワークの勉強のための仮想的なものです。もう少し礼儀正しい質問文が打てればよかったのですが、800字という字数制限ギリギリだったため、とりとめのない文章になってしまいました。すみません。

お礼日時：2005/12/24 13:48

No.2 回答者： mii-japan 回答日時： 2005/12/26 05:20

ＩＰアドレス：202.xxx.xxx.96～111/28

のサブネットを
202.xxx.xxx.96/29　と
202.xxx.xxx.104/29

の二つに分けて使用すると受け止めないとおかしくなります

＞202.xxx.xxx.96/28(グローバル)
＞97～102をホストで利用可能
＞96はネットワークアドレス、103はブロードキャストアドレス

これは設定が中途半端です
ブロードキャストは　202.xxx.xxx.111　になります
もしくは
202.xxx.xxx.96/29　　です