AとBの２つに分けたLANを構築したい

ワークグループで作られたLANです。
AとBは、基本的にデータのやりとりをさせたくないです。
そこで、以下のようにTCP/IPを設定しました。

ワークグループA
ＩＰアドレスを１９２．１６８．１．１２７～２５４
サブネットマスクを２５５．２５５．２５５．０

ワークグループB
ＩＰアドレスを１９２．１６８．１．０～１２８にし
サブネットマスクを２５５．２５５．２５５．１２８

デフォルトゲートウェイは１９２．１６８．１．１

しかしながら、どちらもインターネットができて、良いのですが、AとBがお互いに見えるのです。

どうすればいいのかご教授願います。
LAN初心者です。
よろしくお願いします。

No.9 ベストアンサー 回答者： kusa_mochi 回答日時： 2009/07/10 16:26

そのIPアドレスなら、家庭用のブロードバンドルーター辺りに接続していると想像する。

ならば、ブロードバンドルーターのVLAN機能を使ってAとBを別々のVLANグループに分けてしまえば、質問者殿が考えている事が出来ると思う。

VLAN機能はルーターのHUBのポートに割り当てることが多いので、AのグループのPCはポート１にHUBをかましてそのHUB配下に全て接続する。
Bのグループも同様にポート２で。
PCの台数が４台以内なら、HUBを別途かまさずにVLANアドレスを個々に指定して直接ルーターのHUBに繋げばOKかと。

この回答へのお礼

想像していただいた環境の通りです。
それでアドバイスいただき大変感謝しております。

VLANについては、全く知識がありません。

そういうのもあること自体知りませんでした。
これまで、いろいろと調べてきましたが、この方法が最善かと思います。
これからさらにVLANについて学習したいと思います。

本当に今回はありがとうございました。

お礼日時：2009/07/17 09:16

No.13 回答者： winarrow07 回答日時： 2009/07/13 10:08

winarrow07です。

CafeGrandeさんのおっしゃっているマルチプルVLANがいいかもしれませんね。あまり使わないから忘れてました。
これだと別にネットワークアドレスを分けなくてもいいですし、インターネットも両方利用できます。でもお互いは通信できません。
問題は、IPアドレス設定が自動取得の場合は両方のVLANにDHCPサーバが必要(もしくは固定にする)なのと、マルチプルVLAN機能のあるスイッチが必要なことです。
今のスイッチが対応してなければゼロ円では無理ということになります。
いずれにせよ、投資なしでやることは厳しいでしょう。
個人の話なのであきらめてください、会社の話なのであれば投資してもらうしかないでしょう。(投資というほどの額でもないですが)

No.12 回答者： work-10 回答日時： 2009/07/11 08:01

激安ルータを2台追加して、3台のルータで構成する手は確かに有りますね。

普通はそんな邪道しませんけど。
ルータのトラブルが3倍にならなければ良いのですが・・・。

No.11 回答者： work-10 回答日時： 2009/07/11 07:58

現在の機器の構成を記載すらしてないのに、ゼロ円で何とかしたいとはビックリです。

各ユーザがパソコンの設定を変えても(まちがい設定を含めて)、絶対アクセスできないようにしたいのでしょうが・・・。
普通に電気屋さんで売ってるルータは、VLANにはほぼ対応してません。
ポートベースVLANに対応してるハブかルータを入れないと無理です。
それでも各ユーザがLANコネクタを別グループに差し替えることが出来るなら意味無いですが・・・。

ヤフオクで中古を探してみたらどうでしょう？
安ければ2000円くらいからハブが有りますね。

No.10 回答者： CafeGrande 回答日時： 2009/07/10 19:14

まず、ＩＰ空間（サブネットマスク）の考え方が正しくありません。

【ワークグループA】
　ネットワークアドレス：192.168.1.128 /プレフィクス長：25
　サブネットマスク　　：255.255.255.128

　この場合、ネットワークアドレスは、192.168.1.128で
　ブロードキャストアドレスが192.168.1.255となり
　実際につかえる空間は、192.168.1.129～254までとなります。


【ワークグループB】
　ネットワークアドレス：192.168.1.0 /プレフィクス長：25
　サブネットマスク　　：255.255.255.128

　この場合、ネットワークアドレスは、192.168.1.0で
　ブロードキャストアドレスが192.168.1.127となり
　実際につかえる空間は、192.168.1.1～126までとなります。

で、ネットワークセグメントが分かれているのだから、デフォルトゲートウェイも
それぞれのネットワークに必要になります。

ワークグループAのG/Wは、192.168.1.129とか
ワークグループBのG/Wは、192.168.1.1　とかです。

このとき、ルーターに２つのアドレスを与えますが、２つのネットワーク間での
ルーティングはしないようにしなくてはいけません。
ここで利用するルーターは、少なくともＬＡＮ側ポートが分割できる物が必要に
なるためBuffaloとかCoregaとか家庭向けのものを利用しても完全な分離ができま
せん。
そして、ルーティングテーブルを書く技量も必要になります。


▼手っ取り早い方法としては．．．
マルチプルＶＬＡＮを使ってアップリンクポートを共有化してしまうのが、IPとか
ワークグループとか考えなくて良いのですが、マルチプルＶＬＡＮを利用するには
スイッチの技量が必要になります。
まずは、「マルチプルＶＬＡＮ」をキーワードに夢を膨らませてはいかがですか。

この回答へのお礼

詳細なアドバイスありがとうございます。

VLANのことと併せて、これから少し頭の中を整理してチャレンジしたいと思います。

大変参考になりました。
ありがとうございました。

お礼日時：2009/07/17 09:18

No.8 回答者： dr-9 回答日時： 2009/07/10 14:47

No.5ですが、

(案1)では、どちらのワークグループもインターネットが出来ませんでした。そして、(案2)のワークグループAでインターネットが出来ません。
あまり良くない案を提示して失礼しました。

恐らく、ファイル共有のフォルダが異なるワークグループ間でお互いに見えてしまう事が問題の様なので、見えなくする方法はどうでしょうか？
設定は簡単で、共有フォルダ名(フォルダ名ではなく)の最後に半角の"$"を入れるだけです。
これで、共有フォルダがマイネットワーク上で表示されなくなります。
ただ表示されないだけで、アクセスは出来ます。

アクセスするには、
\\(ホスト名 or IPアドレス)\(共有フォルダ名)
をアドレスバーに入力すれば今までと同じにアクセス出来ます。
（ショートカット集orお気に入りを作っておくと楽になります）

但し、単純な共有フォルダ名のままだと簡単に推測出来てしまい、誰しもがアクセス出来て意味がなくなってしまうのでこの辺はワークグループA,Bで少し工夫が必要かも知れませんが。

No.7 回答者： pakuti 回答日時： 2009/07/10 14:14

お金を掛けたくないのであれば

固定IPにして、Windowsファイアウォールで制御するしか無いでしょう。。。

ワークグループを分けても普通に見る事は可能です。

No.6 回答者： winarrow07 回答日時： 2009/07/10 13:29

そんなわけ方だとダメだと思います。

。
というか今はお互い見えるから両方ともインターネットができますが、完全に分離してお互いが見えないようになったとしたら片方はインターネットに繋がりません。(片方はデフォルトゲートウェイに行けないことになるので)
2つのネットワークに分けるのであればルータの購入または買い替えは必要になります。今お使いのルータがもしかしたらそのままいけるかもしれないですが型名など不明ですのでわかりません。
知恵を絞ってお金をかけないようにできることもあれば、お金をかけないとどうしようもできないことがあることはLAN初心者であってもわかるはずです。

No.5 回答者： dr-9 回答日時： 2009/07/10 13:17

簡単に思いつく分け方として案を２つあげてみました。

以下の設定で、それぞれのワークグループ内のものだけが見えるようになります。

(案１)
ワークグループA
ＩＰアドレスを１９２．１６８．１．１２９～２５４
サブネットマスクを２５５．２５５．２５５．１２８

ワークグループB
ＩＰアドレスを１９２．１６８．１．１～１２６
サブネットマスクを２５５．２５５．２５５．１２８


(案２)
ワークグループA
ＩＰアドレスを１９２．１６８．０．１～２５４
サブネットマスクを２５５．２５５．２５５．０

ワークグループB
ＩＰアドレスを１９２．１６８．１．１～２５４
サブネットマスクを２５５．２５５．２５５．０

No.4 回答者： yambejp 回答日時： 2009/07/10 12:38

そもそもワークグループにはセキュリティなんて概念はないでしょう。

「見やすくしたい」というだけならＡとＢを別のワークグループに
するだけでも効力があるでしょう。

お互いに干渉したくないならデフォルトゲートウェイにもう一つ
ＩＰアドレスをふるなどで対応できないこともないかもしれませんが
ゲートウェイが一つしかないってことはそのゲートウェイに
アクセスできるマシンはそれぞれ同じ立場となるので
無理があるかもしれません。

あとは、共有フォルダを隠したり、パスワードをかけたりして
調整するのが限界かなぁ・・・