ネットワーク構成に関する質問です。

ネットワーク構成に関する質問です。

現在、二つのブロードバンドルータにて家庭内ネットワークを以下のように構成しています。

ブロードバンドルータA：サブネット192.168.1.0/24、100BASE-TX
・WAN側はインターネットと接続されている（フレッツ光）
・LAN側には、Linuxサーバがあり、内部ネットワークのネームサーバなど各種デーモンが稼働

ブロードバンドルータB：サブネット192.168.0.0/24、1000BASE-TX、無線LAN機能あり
・WAN側は、ブロードバンドルータAのLANポートに接続され、WAN側IPは固定にしている
・LAN側プリンタやDLNA対応のHDD、テレビなどが有線接続されている
・家族の個人PC（デスクトップ・ノート・PS3など合計6台）は無線LANによって接続されている

先日、Linuxサーバとして運用していたノートPCのHDDから異音がしていたので、昔使っていた
フルタワー筐体のPCを引っ張り出し、Linuxサーバとしてリプレースしました。
ただし、設置スペースの問題から元々あった場所から移設と共に有線でケーブルを張りました。
移設先は子供たちから仕事などの作業の邪魔をされることもないこともあり、自分のPC（家庭内ではこのマシンが一番ハイスペック）も移設しました。

しかし、ここで、問題が発生。実際に使ってみると、無線LANが頻繁に切断されるので無線状況を調べたところ、自宅のアクセスポイントの電波強度は一番強いのですが、別のアクセスポイントがたくさんありました（時間によりますが、確認できた最大は8アクセスポイントありました）。何となく電波干渉なのかな、とも思われます。

順当に考えるともう一本LANケーブルを追加してブロードバンドルータBにぶら下げるのが、
一番良いのでしょうが、５０ｍのケーブルをきれいに張る作業をもう一度やるかと思うと、
正直、やりたくないです。
それで、考えたのは、設置場所まで来ている、ブロードバンドルータAとLinuxサーバを接続している有線LANケーブルを共用できる方法がないか知りたいです。

よろしくお願いします。

No.10 ベストアンサー 回答者： Toshi0230 回答日時： 2010/10/18 23:24

No.2です。

まず最初に、お詫びを。
追加で提示されたネットワーク図を見て、質問者さんのネットワーク構成を誤読していたことを知りました。(質問者さんの仕事PCは有線LAN等でネットワークに安定的につながっていて、Linuxサーバが有線と無線の二つのインタフェースを持っているものと思っていた）
なので、No.2に回答した内容のうち、A2とA3は回答として不適切なので撤回します。
お騒がせした形になり申し訳ありません。

ってこれだけでは何なので、以下に回答を訂正・改訂して提示いたします。
（あくまで機器の設置場所は現状から変えない、という前提での話です）

A2の改定案はちょっと考えつかないので忘れて下さい。

A3の改定案については、他の方の回答にもありますがVLAN対応のハブを導入する形での対応になるかと思います。多少出費が必要ではありますが…
この手の製品は通常のハブに比べると高くなりやすいですが、ブランドにこだわらなければ8ポートのVLAN対応スイッチが1台数万円のオーダーで手に入ります。今回の用途であればこのレベルでも十分に間に合うかと。

Corega CG-SSW08GTR
http://www.corega.co.jp/prod/ssw08gtr/spec.htm
Planex SWP-0208G
http://www.planex.co.jp/product/giga/swp-0208g/

接続の形としては以下の様な形になります。

ルータA─┐　　　　　　　　　　　　　　　 ┌─Linuxサーバ
　　　　 ├─VLANスイッチ===VLANスイッチ─┤
ルータB─┘　　　　　　　　　　　　　　　 └─お仕事PC

VLANスイッチの設定を適切にできれば、ルータやLinuxサーバには何も手を付ける必要はないです。セキュリティも、線を新たに敷設するのと変わりません。

もう一つ、これは完全に回避策になりますが、ルータBにVLANのアクセスサーバ機能があれば、PCをルータAのLANに接続して、VPNでルータB配下のネットワークにアクセスする、という方法も考えられます。
この方法をとる場合、コスト的に安くあげられる可能性があります。ただし、この方法はPCやルータへの追加設定が必要になることと、PCへのセキュリティリスクが若干ですが上昇するので、ルータBにVLANサーバ機能がない場合はA3改定案の方がおすすめと考えます。（同じコスト掛けるなら運用はA3改定案の方が楽と思われるので）


余談ですがこのネットワーク、意図されてかどうか判りませんが、Linuxサーバが接続しているLANがDMZに該当するものとなっています。セキュリティ確保の観点からは、特にルータを1つにする必要は無いのではないかと愚考します。

この回答への補足

再度、ご回答頂き、誠にありがとうございます。

構成については、誤解を招く説明をしてしまった様なので
申し訳なく思っています。

具体的な機器も複数あげて頂いて助かります。
別の回答で上がった機器と合わせ、比較検討させて頂きます。
費用との折り合いが付けば（というか、妻がOKすれば、が正しいかな）
ご説明頂いた構成でVLANとするのが良いかと思って居ます。

ところで、ルータの多段構成は、フレッツ回線を引いたときに工事に
きたNTT（？）の担当者との話の上でこの形にしました。
工事後の雑談で、サーバ立てる事とルータが1台余ってる話をしたら、
ルータ有効活用する一つとして、話してくれました。
セキュリティ向上に繋がるので～、とかなんとか言っていたので、
現在の形になりました。

補足日時：2010/10/20 10:15

この回答へのお礼

いろいろな解決策をご呈示頂き、多くの時間を費やしたのではないかと
ただただ、恐縮です。

また、機器について具体的な製品をあげて頂き、大変助かりました。

本当にありがとうございました。

お礼日時：2010/10/20 23:52

No.12 回答者： bunjii 回答日時： 2010/10/20 10:44

>ケーブル敷設に1本用のモールを使っていますので、全て2本用に入れ替えしなければならず、できればやりたくないです。

極細タイプまたはフラットケーブルであれば現在のモールに収容出来るのではないでしょうか？

尚、ルーターを１段にしてルーターBを無線LANのアクセスポイント専用にする案については検討されたでしょうか？
また、回答No.10のVLANスイッチを2台追加する案も有効ですが費用の面で採用の可否を意思表示されたら如何でしょうか？

この回答への補足

ご回答頂き、ありがとうございます。

>極細タイプまたはフラットケーブルであれば現在のモールに収容出来るのではないでしょうか？
それもそうですね。気がつきませんでした。

>ルーターを１段にしてルーターBを無線LANのアクセスポイント専用にする案
この案についてですが、別の方の回答であったとおり、セキュリティ面を考慮し、
現在のルータ２段の構成を維持したいと思います。


>費用の面で採用の可否を意思表示されたら如何でしょうか？
ほぼ、解決方法も見いだせ、回答者の皆様には、貴重なお時間を割いて頂いて、
大変感謝しております。

費用面で見た場合、ケーブルの追加敷設が一番ですが、ルータBのLANポートが
４つのうち３つ利用しており、すでに枯渇しかかっています。
追加敷設した場合、全ポート埋まってしまいますので、いずれhubの追加は必要
となることを考えると、この機会にVLAN-SW導入するのが良いのではないかと
考え、VLAN-SW２台を導入したいと思います。
また、機器選定ですが、こちらは、費用の問題もあるので、妻との相談の上、
ご提案頂いたcorega,planex,ciscoのいずれかを選びたいと思います。
個人的には、corega製が価格（kakaku.comで16,000円後半）も手ごろでサイズも
こなれているので、妻の理解は得やすいかと思います。

補足日時：2010/10/20 23:40

この回答へのお礼

つたない説明で誤解をさせてしまい、すみませんでした。
なるべく費用を掛けず、問題を解決しようと腐心して頂いた
事が文章ににじみ出ているように感じ、うれしく思いました。

貴重なお時間を頂き、大変ありがとうございました。

お礼日時：2010/10/20 23:46

No.11 回答者： Lchan0211 回答日時： 2010/10/19 09:33

No.3です。

ルーターのDMZ機能の危険性について補足しておきます。
本来、DMZ機能は、
http://ja.wikipedia.org/wiki/%E9%9D%9E%E6%AD%A6% …
にある通り、内部ネットワークからDMZへのアクセスはできるが、
DMZから内部ネットワークへのアクセスはできない構成を言います。
これにより、DMZ内のサーバを乗っ取られても、内部ネットワークへは
アクセスできないするのが目的です。

ところが、安価なルーターの中は、
http://bb.watch.impress.co.jp/cda/bbword/6672.html
にもある通り、「なんちゃってDMZ」とか「DMZもどき」と呼ぶべき、
いいかげんなDMZ機能を持つものが多く存在しています。
この、なんちゃってDMZの場合、外部ネットワークからは
DMZにしかアクセスできませんが、DMZから内部のネットワークに
普通にアクセスできてしまいます。これはDMZから内部ネットワークに
ルーターを経由せずHUB経由でアクセスできてしまうためです。
つまり、DMZ用の接続ポートやVLAN機能を持たないルーターは、
なんちゃってDMZの可能性が高いです。

No.3の案3は、ルーターのDMZ機能を使うことを提案していますが、
結局DMZと内部ネットワークを50mの1本のLANケーブルで共用しますので、
なんちゃってDMZになってしまう可能性が高いです。
なので、案3は取り下げます。

現状の質問者さんの環境はルーター2台を組み合わせることで
192.168.1.1/24をDMZにしています。
1本の50mのケーブルをDMZと内部ネットワークで共有すると、
このセキュリティを壊してしまうことになると思います。

結局、このセキュリティを維持したまま、自分のPCを内部ネットワークに
接続するには、他の方が言われている通り費用をかけてVLANを構成するか、
あきらめて内部ネットワーク用にもう1本のLANケーブルを施設するくらい
しかないと思います。

この回答への補足

再度のご回答、誠にありがとうございます。

リンク先ページを読ませて頂き、仰る意味がよく分か
りました。
DMZ機能は利用しておりませんでしたが、ルータは
ご指摘の「なんちゃってDMZ」でしたので、結果的に
この構成は正解だったんですね。

解決策としては、ご提案頂いた、VLAN構成で行こうと
思って居ます。

次のハードルは、妻の説得ですが、こちらは自分で
なんとかします。

補足日時：2010/10/20 10:22

この回答へのお礼

ネットワークに関する知識が豊富で、感嘆致しました。

私の知らないことをたくさん教えて頂き、感謝しております。

大変ありがとうございました。

お礼日時：2010/10/20 23:48

No.9 回答者： bunjii 回答日時： 2010/10/18 14:52

図解で補足頂きましたので状況が理解できました。

ルーターAとルーターBの接続関係はあなたのポリシーで変更できないものと考えた上での回答です。
解決にはLinuxサーバーを居間へ移すかLANケーブルをもう１本敷設するかの２択です。

一般的に公開サーバーを設置する場合は１段ルーターでIPマスカレードによるポート解放としているようです。
この方法ならルーターBは不要となり、ルーターAからHUB経由で全てのデバイスを同一LANに接続できます。
ルーターBはブリッジモードで無線LANのアクセスポイントとして活用できます。

この回答への補足

再度のご回答誠にありがとうございます。

解決方法として頂いたもサーバの移設ですが、
Linuxサーバを居間に移設する案は無理なんです。
（最初は居間に置こうとしてましたが、フルタワー筐体のため、掃除に邪魔、
　目障り、うるさい、目に付くと子供が触りたがる、ケーブル類が危険、等々、
　いろいろ言われて妻から却下食らいました。）

もう一方の案ですが、最終案として考えます。
ケーブル敷設に1本用のモールを使っていますので、全て2本用に入れ替え
しなければならず、できればやりたくないです。
1本用にしたのは、妻の要望（配線は美しく、目立たないようにとのこと）から
なるべく、小さいモールを選びました。

補足日時：2010/10/20 01:21

No.8 回答者： bunjii 回答日時： 2010/10/17 15:39

質問内容を整理してみると以下のようになりますが正しいでしょうか？

１．問題にしているのはLinuxサーバーで家族の個人PCと同じ無線LANに接続されている
２．ルーターBはWAN側をルーターAのLAN側に接続し、LANポートが無く全て無線LANとなっている
３．無線LANが不安定のためLinuxサーバーをルーターAのLAN側へ有線で接続したいがもう１本のLANケーブルを敷設できない
４．家族の個人用PCは現状の無線LAN接続で良い

問題のLinuxサーバーをルーターAのLAN側へ接続するにはHUB１台と短いLANケーブル２本を用意するだけで解決します。

Linuxサーバー ←┬→ HUB ←50mLANケーブル→ルーターA
ルーターB　　 ←┘

尚、ルーターBのメーカーと形式を補足頂ければ他の対策も考えられます。

この回答への補足

ご回答頂き、誠にありがとうございます。

それぞれ頂いた回答にそれぞれ補足したため、
内容が分散されてしまい、誤解を生じさせてしまった
様です。

回答として、現状のネットワーク構成図とまとめを追加します。

補足日時：2010/10/18 13:07

No.7 回答者： Toshi0230 回答日時： 2010/10/16 00:38

> Linuxサーバにルータの役目を負わせる様な感じだと理解していますが、間違いないでしょうか？

違います。
ちょっと詳しく説明する時間がとれないので、差し支えなければ来週半ばくらいまで時間下さい。
頂いた補足も考慮して追加説明をしたいと思います。

この回答への補足

再度のご回答ありがとうございます。
私の誤解のために、お手数をお掛けしてしまい、
恐縮です。

ご回答は、Toshi0230さんのご都合に合わせます。

補足日時：2010/10/18 10:59

No.6 回答者： yidong 回答日時： 2010/10/15 15:30

▼案１

既設LANケーブルが
4対8芯なら

2対ずつに分けて
100BASE-TX　を2本とする。

※自分でLANケーブルを加工する必要あり
ノイズで速度が通常より落ちる可能性あり。

▼案２
PLC を導入する

▼案３
VLAN対応スイッチを導入する

この回答への補足

ご回答頂き、ありがとうございます。

▼案１
既設LANケーブルは、4対8芯です。
ですが、自分でケーブル加工したことがないので、自信ないです。。。
特別な工具等必要な気もしますが、簡単にできるものなのでしょうか？

▼案２
PLCですが、検討してみましたが、電源タップ総入れ替えに近いものが
あるので、見送りです。
目立たないようタップを家具の裏奥深くに押し込んでしまっているので。。。

▼案３
他の方の回答で調べてみましたところ、この案がいまの構成への
影響が最も少なく、今後の拡張にも強そうなので良さそうですね。
とはいえ、提案頂いたCISCOのスイッチ、大きいですね。。。
ギガビット対応だと値段が跳ね上がりますし。。。

補足日時：2010/10/18 10:49

この回答へのお礼

案１は、全く予想外で、びっくりしましたが、そんな方法もあるのかと
感嘆致しました。

最終的には、ご提案頂いた案３で構成する予定です。

ご回答頂き、ありがとうございました。

お礼日時：2010/10/20 23:56

No.5 回答者： pakuti 回答日時： 2010/10/15 15:12

PLCを使うか

L2スイッチでVlanを切れるものを2台買うか

8チャンネルも出ているのであれば無線の調整では
干渉を避けるのは難しいでしょう。

ブロードバンドルーターのDMZ機能ですが危険を伴います。
お金を掛けられるのであれば、ブロードバンドルーターを
FireWall機器（SSGやFortigate）、ルーター（YamahaやAllied）に変更し
DMZネットワークを構築すると良いかもしれません。
ただしこの場合は、それなりの知識が必要です。

L2スイッチですが、CISCOのCatalyst2950であれば数千円で売っています。
ただし、ギガビット対応となるとそれなりの値段が掛かります。

この回答への補足

ご回答頂き、誠にありがとうございます。

PLCは、調べたところ、電源タップの利用を推奨していないとのこと
（対応品を買えば大丈夫そう）ですので、電源タップだらけのうちの
環境では、ちょっと無理そうですね。

VLANについてよく分からないので調べてみました。
どうやら、複数のVLANスイッチでは、トランクリンクというもので
相互接続し、タグというものでグループを判別する、ということですが、
この認識は合っているでしょうか？

ところで、ブロードバンドルータのDMZ機能について、危険を伴う、
と仰っているのは、具体的にはどのような危険があるのでしょうか？
一般的に販売されているブロードバンドルータとご提案頂いた機器
との違いは、どこにあるのでしょうか？

以上、お手数をおかけ致しますが、ご回答よろしくお願いします。

補足日時：2010/10/18 10:30

No.4 回答者： nnori7142 回答日時： 2010/10/15 08:45

　お尋ねの件ですが、まずルーターBのモードをハブ設定にする形が良いかと存じますが、現状WANポートに接続されていると言うことは、ルーターモードにて利用されているかと存じますが、ルーターB自体のIPアドレスを192.168.1.254等へ変更・DHCPサーバ機能の無効化を実施、ルーターBのWANに接続されているケーブルを外し、ルーターBのハブポートの所にハブを接続、そのハブからルーターAへ接続すればOKかと存じます。

　ルーターB自体に設定されましたIPアドレスは当然、他機器の利用されていないIPを設定して下さい。
　ただし電波干渉については、利用されている無線機器に無線干渉に対する対策（自動チャンネル検索等）が付いている機種でなければ難しいですね。周辺環境にて8拠点無線LANを検出される形態ですので、ケースによっては、Buffalo等該当機能が付いている機種への交換が必要になる場合も御座います。

この回答への補足

ご回答頂き、誠にありがとうございます。

仰るとおり、拠点が多いため、この土日でチャンネルの変更やPCの移動等
やってみましたが、結果は芳しくありませんでした。
最終手段として無線AP変更は考えてみます。

補足日時：2010/10/17 22:56

No.3 回答者： Lchan0211 回答日時： 2010/10/15 04:24

No.1です。

補足をもらったので再回答します。

(案1)
無線LANのチャネルを変更したり、無線LANルーターの設置位置を少しずらしたり、
指向性アンテナを設置してみたりすることで電波状態を変えて安定しないか
試してみる。

(案2)
50mのケーブルの両端にHUBを設置し、移設先側はLinuxと自分のPCを接続。
ルーター側は、ルーターAとルーターBの両方に接続。
(1本のLANケーブルに2つのネットワークセグメントを共用させる)
ルーターAのDHCPサーバ機能はOFFにする。
192.168.1.0/24のIPを使用する機器はDHCPクライアント機能を使用しない。
ただ、この案はDHCP以外にブロードキャストを行うものがあった場合に
両方のセグメントの機器が反応して問題が発生するかもしれません。

(案3)
ルーターAにDMZ機能があれば、LinuxサーバのIPはDMZに設定する。
これでLinuxサーバは内部LANにアクセスできなくなるので、
ルーターBはルーター機能をOFFにしてアクセスポイントモードで動作させ、
家庭内機器は全て192.168.1.0/24のネットワークで統一する。

(案4)
192.168.1.0/24には外部からのアクセスがあるとされているが、
おそらくルーターAのポート転送機能で特定のポートのみ
特定のIP(Linuxサーバ)固定で転送するよう設定しているはず。
そうであれば、外部からLinuxサーバ以外へのアクセスはないと
考えられるので、家庭内機器も全て192.168.1.0/24のネットワークに
してしまう。(ただ、Linuxサーバが乗っ取られた場合まで考えるなら
この構成は危険かもしれません。)


案1で改善しなければ案3が妥当だと思います。
DMZ機能がなければ割り切って案4にするかな。
案2は試してみると面白いかもしれませんが、
Linuxサーバが乗っ取られる可能性まで考えるなら
Linuxのネットワーク設定を変更して192.168.0.0/24に
アクセス可能になるのでやはり危険ということになります。

この他、ルーターBにVPNサーバ機能があれば、
自分のPCからVPN接続で192.168.0.0/24のネットワークに接続する
という案もありますが、おそらくいちいちVPN接続するのが
面倒だと思います。

この回答への補足

再びご回答頂きありがとうございます。

以下、ご回答頂いた内容に対するアクション結果並びに質問です。

（案１）
土日で実際にいろいろとルータBを移動してみたり、チャンネル設定の変更を
行いましたが、状況に変化は見られませんでした。

（案２）
実は始めに思いついたのがこの案と同様でした。
しかし、違うネットワークセグメントを一緒にしたことが無くどんな影響が出るか
分からなかったので、こちらに質問させて頂いた次第です。
ただ、DHCPを切らなければならない、などは、知らなかったため、勉強になりました。
ありがとうございます。

（案３）
ルータAもルータBもDMZの機能はあります。DMZについて、わたしの理解は、完全に
遮断された別ネットワークのようなイメージです。この案で行くと、非DMZのPCからの
アクセスは遮断されてしまうように思えます。
Linuxサーバは、前述の通り、家庭内LANのネームサーバであり、メールサーバ
（postfix/dovecot)でもあるので、遮断されてしまうと困ってしまいます。

（案４）
ご指摘通り、ルータAのポート転送機能にて外部アクセスをLinuxサーバのIPアドレスへ
転送するよう設定しております。
ルータを多段にした（ルータBの導入した）のは仮にLinuxサーバが乗っ取られても
そこまでなので、家族のPCは安全かな、と思ってこのような構成にしました。
なので、案４は少し危険な気もします。

最後のVPNについてですが、ルータBにはVPNパススルーという設定項目がありました。
LAN内でVPNという発想自体が無かったということと、いままで利用したことがないので
調べてみる価値はありそうですね。

たくさん案を出して頂きありがとうございます。

補足日時：2010/10/17 21:59