CISCOのL3スイッチにvlan1[ip:192.168.1.1/24]/vlan2[ip:192.168.2.1/24]]2つのVLANを作成します。vlan1、2のネットワークにはファイアウォールが設置してあります。[VLAN1-FW IP:192.168.1.2/24][VLAN2-FW IP:192.168.2.2/24]vlan1のパソコンからvlan2のパソコンにアクセスする際、VLAN2のファイアウォール経由でアクセスさせたいと思っています。
(パソコンのゲートウェイは、所属VLANのファイアウォールを設定しています。VLAN1のファイアウォールには[192.168.2.0 255.255.255.0 192.168.1.1]のルーティングを設定しています。)

試しにL3スイッチに[ip route 192.168.2.0 255.255.255.0 192.168.2.2]ルーティング設定を追加してみましたがうまくいきません。
[ip route 192.168.2.100 255.255.255.255 192.168.2.2]のように単体のIPに対してルーティング設定を追加した場合はうまくいくのですが・・。

ネットワークの理解が浅く、意図や説明が分かりにくいと思いますが、不明な部分は補足致しますのでどうぞご指導下さい。よろしくお願い致します。

※添付画像が削除されました。

このQ&Aに関連する最新のQ&A

A 回答 (1件)

こんにちは。




存在しているネットワークは 192.168.1.0/24 192.168.2.0/24 の2つですか?
また、FWで使用しているポートは1つのみでしょうか、それとも2つ?

なお、セグメントが増えてしまいますが、FWを経由させたいのであれば、
添付の図のような構成にしてみてはいかがでしょうか。

もしくは、FWをL2モードで動かしてみるとか。
(あるかどうかはわかりませんが・・・)
L2モードとは 以下のURLのような機能です。
http://networkengine2.seesaa.net/article/8198282 …

http://docs.forticare.com/int/jp/200A_QSG.pdf
※トランスペアレントモードの部分

ip route 192.168.2.100 255.255.255.255 192.168.2.2
ip route 192.168.2.0 255.255.255.0 192.168.2.2
でなぜ動きが違うのかはわくわかりません・・・。
「Cisco Catalyst3560 の」の回答画像1

この回答への補足

回答ありがとうございます。設置しているファイアウォールはNetscreen
なので、解説とても分かりやすかったです。
ネットワークは少々複雑で例えば下記のような事をしているので、L2モ
ードでの運用は難しいかもしれません。

・FWは10程の拠点とVPN接続している。
・拠点のクライアントはVPNを経由し、VLAN2のFWからインターネット
接続。(インターネットへの出口をひとつにしている)
経路:拠点~vpn~→ VLAN1のFW→ L3→ VLAN2のFW→ インターネット
・独立していたVLAN1とVLAN2に、L3を後付けし相互通信可能にした。

本日休日でネットワーク図等が無いので、平日出社後再度補足致しま
す。申し訳ありませんが、よろしくお願い致します。

補足日時:2009/05/23 13:48
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QNTTの光回線のちがいと仕組みを教えてください。

現在私は、戸別の光回線でNTT東の固定電話・docomoの携帯電話・2007年よりplalaのプロバイダー契約をしています。支払いは一昨年一本化しました。つい最近ISP契約を「光コラボ」に切り替えると安くなるといわれましたが、私はNTTのグループのサービスをずっと利用しているのに自動で切り替えにならないのでしょうか。フレッツ光とか、ぷらら光とか言われても何が違うのかわかりません。NTTグループの仕組みもわからないのです。ちなみに私の契約コース名は、光メイト(ホーム)ということで混乱しています。契約変更したほうが良いのでしょうか? すみませんが、わかり易く教えてください。

Aベストアンサー

>私はNTTのグループのサービスをずっと利用しているのに自動で切り替えにならないのでしょうか。

なりません。別会社の別サービスなんですから勝手に切り替わると大きな問題。
NTT東日本、NTT西日本、NTTCom、NTTドコモ、NTTぷららとそれぞれ別会社。

NTT東なら、光コラボの方が安価だが、NTT西日本だと、光コラボにすると逆に高くなることもありえるし光コラボにする方が安価な場合もある


フレッツ光は、NTT東日本とNTT西日本のFTTHのサービス名称
ドコモ光、ぷらら光、OCN光は、光コラボってサービス。NTT東西の回線を借りて提供されている。
回線もISPと同じ会社が提供するってことになります。IP電話もNTT東日本以外になる場合もある

現状あなたの回線は、NTT東日本、IP電話は、NTT東日本で、ISPは別のNTTぷららと契約となっている
もし、ぷらら光ってものにするなら、回線及びISPは、NTTぷららとなり、IP電話は、NTT東日本となる

もし、ドコモ光で、ISPもドコモなら、
回線は、NTTドコモで、ISPもNTTドコモ。そして、IP電話もNTTドコモになる

>NTTグループの仕組みもわからないのです。

深く考えない方がよいですよ
NTTは持ち株会社
NTT東西は、日本国の法律って大人の事情により、県外、国際は提供出来ない。ISPも同様に提供出来ない。
NTTComは、県外、国際、ISPを提供。現在では、市内、県内、県外、国際、ISPも提供可
NTTぷららは、NTT東がISPを提供するために設立させた。そして、NTTの再編に伴いNTTComの子会社となっている
NTTドコモは、携帯電話を主。ISPもやっている

KDD(現KDDI)は、電電公社から国際部門が分離独立した会社で現在は、NTTグループから独立している


>ちなみに私の契約コース名は、光メイト(ホーム)ということで混乱しています

NTTぷららのコース名ですね。NTTぷららのフレッツ光(Bフレッツ)の接続サービスの名称です
このサービスは、別とNTT東西のFTTHを契約する必用があります。

ぷらら光は、回線とISPがセットになり提供されているもの。

>私はNTTのグループのサービスをずっと利用しているのに自動で切り替えにならないのでしょうか。

なりません。別会社の別サービスなんですから勝手に切り替わると大きな問題。
NTT東日本、NTT西日本、NTTCom、NTTドコモ、NTTぷららとそれぞれ別会社。

NTT東なら、光コラボの方が安価だが、NTT西日本だと、光コラボにすると逆に高くなることもありえるし光コラボにする方が安価な場合もある


フレッツ光は、NTT東日本とNTT西日本のFTTHのサービス名称
ドコモ光、ぷらら光、OCN光は、光コラボってサービス。NTT...続きを読む

Qファイアウォール と IPパケットフィルタリング

タイトルの二つは、同じものではないのでしょうか?

Aベストアンサー

 ことばのあやかも知れんが、私の解釈では、
・ファイアウォールという概念
・IPパケットフィルタリングという方法
という事になる。
 実際、ファイアウォールという概念はIP以外のネットワークでも使われるだろう(多分)。例えばIPX/SPX、例えばX.25、例えばATMセルリレー。

 また、IPパケットフィルタリングはその言葉どおり「IP」、拡大解釈しても「TCP・UDP(・ICMP)」のレイヤでしかフィルタを行わない。これに対して、例えばHTTP Proxyなどのゲートウェイでも、HTTPレベル(TCP/IPレイヤに対して応用レイヤと言う)でのフィルタを行う事がある。これもファイアウォールと言えるだろう。つまり、ファイアウォールはIPパケットフィルタリングを含む、という解釈になるのではないかな。

QPPPoEの仕組みについての異常に拙い愚問です。

LAN側にDHCPクライアントが加わった際には、ネットワークアドレスさえもが分からない故に、そのクライアントPCが【ブロードキャスト】でDHCPサーバを探すのだろう、と思われますが、IPアドレスを貰う事情から類推しまして次の内容を知りたくなったものですから、教えて下さい。

Q:「WAN側へのPPPoE接続が初めて【BBルータ】によって行なわれる際にも、パブリックネットワーク側のグローバルIPアドレスが当該【BBルータ】に割り当てられていませんので、その値のリースを何らかのサーバに御願いせねばならないのでしょうけれども、『WAN側へのブロードキャスト』が許されていないのでしょうから、どういう仕組みが採用されているのでしょうか?」

Aベストアンサー

普通にブロードキャストをします。

参考URLの記事がわかりやすいと思います。

参考URL:http://itpro.nikkeibp.co.jp/members/NBY/techsquare/20021220/2/

QIPv6で接続したときのルーターのファイアウォール

IPv6で接続した時、他のパソコンからアクセスされないように、全ての受信接続がブロックできるファイアウォール機能をもったルーターを教えてください。ルーターじゃなくてもそのような機能をもった通信機器があれば教えてください。個人で使用するのであまり値段が高くない物がいいです。

Aベストアンサー

YAMAHAのルータなら可能です
価格的にはちょっと高いですが

市販のブロードバンドルータでIPv6対応といっているものの大半はIPv6ブリッジ機能、IPv6パススルー機能しか持っていません
これはIPv6を素通しする機能で、フィルタリングができません
(素通しするか、全く送受信できないようにするか、どちらかしかできません)

Qケンタくんとアイプラン(NTT)の仕組みがどうもよく分かりません、、、教えてください

アナログ回線で通信料金を安くしたいのでNTTのHPで割引サービスを探すとケンタくんやアイプランがいいかと思っているのですが、内容がいまいちよく理解できません。ケンタくんは通信料金の多い上位3つへの電話番号(同一県内)への通信料が安くなるみたいですが、でもこれってよく閲覧する3つのHPへの料金が安いよってことですか。違う気がしますけど。アイプランにしても同一区域内*の1電話番号への通信料,,,って何がどう割引になるんですか。同一区内、上位3つへの電話番号って一体どういうことを指しているのでしょうか。初心者みたいですがもう少し詳しく教えてください。

Aベストアンサー

アイプランっていうのは「i・アイプランではないでしょうか?
i・アイプランなら僕も入っているのでおおしえしましょう。
簡単にいうと、自分の決めた同一区域内(これは電話帳にのっています。分らなかったらNTTに聞きましょう)の一つの番号への通話が時間帯にかかわらず、一定額まで利用できます。
たとえば月額3000円払えば、7500円分その決めた電話番号にかけることができます。
ようするにプロパイダのアクセスポイントの電話番号を設定しておき、3000円払うと約37.5時間利用できるということです。
3000円払えば37.5時間まで電話代がいらないのはいいですね。
でも3000円分(37.5時間)をすぎるとまた3分10円に戻ってしまいます。
ご理解いただけたでしょうか?

Qネットに未だ繋いだ事もないのに謎のIPアドレスがファイアウォールに記録される

ノートンIS2008でパーソナルファイアウォールの
自動作成された一般ルールで次のようなものがあります。

------------------------------------------
許可
インバウンド

許可するリモートアドレスが
10.0.0.0-10.255.255.255
172.16.0.0-172.16.255.255
192.168.0.0-192.168.255.255
169.254.0.0-169.254.255.255
fe80::0-febf:ffff:ffff:ffff:ffff:ffff:ffff:ffff

ローカルポートが
138
--------------------------------------------------

169.254.0.0-169.254.255.255
fe80::0-febf:ffff:ffff:ffff:ffff:ffff:ffff:ffff
って何のIPアドレスですか?プライベートIPアドレスじゃないですよね?

Aベストアンサー

http://www.wakhok.ac.jp/~kanayama/summer/05/ipv6/node14.html
fe80::0-febf:ffff:ffff:ffff:ffff:ffff:ffff:ffff
もIPv6のリンクローカルアドレスです。

QPPPoE

今日ADSLが出来るようになったのでルータの設定を
ISDNからADSL用に切り替えようと思い説明書を見ていたら
PPPoEを採用しているプロバイダ(端末型.LAN型)と
PPPoEを採用していないプロバイダ(DHCP)
で設定が違いますがPPPoEの意味が分かりません
プロバイダはODNでルータはMN128SOHOPARB&I(http://www.ntt-me.co.jp/mn128/palbi.html)です
PPPoEって・・・
よろしくお願いします。
   

Aベストアンサー

ODNはPPPoEを採用しています。
http://www.fibergate.jp/2_odn/contents.asp

PPPoEの説明
http://e-words.jp/w/PPPoE.html

Qファイアウォールに日本ネットワークインフォメーションセンターのIPが記

ファイアウォールに日本ネットワークインフォメーションセンターのIPが記録される。
1分間に10数回ほどこちらのパソコンに受信してくるのですが、なんなんでしょうか?
他にも、アジアやアメリカからの記録が同じように、何度も受信してくることがあります。
ひどいときは、ずっと色んなところから、受信します。
ファイアウォールのログに残っています。これって危ないんでしょうか?
ファイアウォールは、無料のPC tools firewall Plus というものを使っています。
モデムのみで、ルータと言うものは使っていません。有線LANというものでネットをしています。
何度も受信があると怖いです。
IPでネットを調べると、IP検索できるサイトにたどり着き、調べてみると、日本ネットワークインフォメーションセンターでした。
何かした覚えはないのですが、ウイルスに感染して何かしちゃったのでしょうか? だから、こちらのパソコンに何度も受信してきてるとか・・。
ウイルス検索をしたけれど、ウイルスは出てこなかったです。自然と消滅したのかも。
パソコンはバリュースターで、XPのホームエディション、SP3です。
よろしくお願いします。

ファイアウォールに日本ネットワークインフォメーションセンターのIPが記録される。
1分間に10数回ほどこちらのパソコンに受信してくるのですが、なんなんでしょうか?
他にも、アジアやアメリカからの記録が同じように、何度も受信してくることがあります。
ひどいときは、ずっと色んなところから、受信します。
ファイアウォールのログに残っています。これって危ないんでしょうか?
ファイアウォールは、無料のPC tools firewall Plus というものを使っています。
モデムのみで、ルータと言うものは使ってい...続きを読む

Aベストアンサー

よくわかりません。
PC tools firewall Plus で蹴ったものではありませんか?
ルータがあると、そういう負担がなくなります。
とりあえず、ルータを導入したほうがセキュリティーはUPします。

http://buffalo.jp/products/catalog/network/router.html

Q光プレミアムのCTUのPPPoE接続について

NTT西日本の光プレミアムサービスについて調べています。
例えば、光プレミアムでCTUにPPPoE通信でプロバイダと通信させていた場合、新規のプロバイダのPPPoE通信をCTUではなく新しい別のルータで追加したい場合、

いままでのCTUのPPPoE通信はそのままで、CTUのLAN側にルータを一台追加して、そのルータもPPPoE通信で、PPPoEのマルチセッションをやると言うことは可能でしょうか?

どうぞ、ご教授頂きますようよろしくお願い致します。

Aベストアンサー

できますよ、と言うかうちでは出来ています。うちのCTUでは、●PPPoE機能設定(※本機能は、CTUのLAN側ポートに接続されているルータ等から、PPPoEを利用してインターネット等へ接続する場合に使用します。)という項目があるので「はい」にしています。そして、CTUのLANポートとルーターのWANポートを接続。CTU・ルーターの両方にプロバイダへの接続設定。それぞれのDHCPサーバー機能は運用上のお好みで。マルチセッションはNTTの売りのひとつなので、CTUの機種にかかわらず同様の設定項目があるのではないでしょうか。

CTUでAプロバイダに接続(有線2台)、ルーターでBプロバイダに接続(有線3台、無線3台)のような形態での同時セッションです。因みに、CTUでAプロバイダとBプロバイダ2セッション、ルーターでA or Bプロバイダの計3セッションを同時接続しても、同じプロバイダへの重複接続でもグローバルIPは別途あてがわれています。外部から自宅機器への接続テスト等が自宅にいながら出来て重宝します。

Qファイアウォール

ファイアウォールと言うのは、セキュリティソフトを導入していなくても、(定期的にWindowsアップデートをしていれば)PCにある程度組み込まれている物なのでしょうか?
あるサイトで「IPアドレスが分かれば、それをアタックできるツールも存在するが、Windows98以降のOSを使用しているなら、心配ない」と言う文章があったので、気になりまして。※ちなみに私のはWin98です。

また、グローバルIPアドレスと言うのは、プロパイダから振りわたれるIPアドレス(掲示板に書き込むと表示されるアドレス)と同一のものと考えていいのでしょうか?区別がよくつかないので困ってます。

Aベストアンサー

こんにちは
Windows98 には標準で[Firewall(以下FW)]はインストールされていません。
また、Windows Update でも提供されません。

◆グローバルIPアドレスについて
[グローバルIP アドレス]は、簡略化すると[10.~][172.16.~][192.168.~]で始まるアドレス以外がソレです。
基本的には、Internet への接続の際にプロバイダから一時的に割り当てられ、回線を閉じたときにリリースします。

◆侵入について
そもそもですが、IP アドレスが分かって、アタックする意味がありません。嫌がらせでDOS アタックやICMP Flood を送ったところで、余り効果はありません。
正直、侵入するとなると、ツールを使っても面倒です。

侵入される以下のような原因があれば別です。

・嫌われるような事をした
・敵がいる
・ネットストーカーに付きまとわれている
・犯罪を犯している

◆FW について
本来、Internet と社内や家庭のNW(Private)を区別し、外部からの不正な侵入を防ぐために、FW は開発されました。
FW には以下の二つのタイプがあります。
[パケットフィルタリング]
初期のFWで、「通す通信」と「通さない通信」を明確に定義するタイプのFW で、迷惑メールのルールに似た設定を行います。

[ステートフルインスペクション]
イスラエルのチェックポイント社が開発したFWの方式で、内部からの通信だけを外部に通し、外部からの通信を遮断する方式です。

※前者の場合、条件次第では外部からの通信を内部へ通してしまう恐れがあります。

最近、PCにインストールするタイプのFW ソフトが出ていますが、正直必要ないです。
その動作のため、PCのパフォーマンスを下げる事はもちろん、下手な設定をすると通信できないようになってしまいます。

いくらFW ソフトが入っていたところで、自分から侵入を助けるプログラムが混入されたソフトをダウンロードしてしまうと、意味がありません。
最も大切な事は、そういったソフトに頼らず、自分のPC は自分で守る事です。

私のPC は、NortonAntiVirusしか入っていません。一応XPのFWをONにしていますが、気休めです。

こんにちは
Windows98 には標準で[Firewall(以下FW)]はインストールされていません。
また、Windows Update でも提供されません。

◆グローバルIPアドレスについて
[グローバルIP アドレス]は、簡略化すると[10.~][172.16.~][192.168.~]で始まるアドレス以外がソレです。
基本的には、Internet への接続の際にプロバイダから一時的に割り当てられ、回線を閉じたときにリリースします。

◆侵入について
そもそもですが、IP アドレスが分かって、アタックする意味がありません。嫌がらせでDOS アタック...続きを読む


人気Q&Aランキング