ネットワークで離れた拠点間を同一セグメントで接続することを考えております。

構成としては、

192.168.1.0/24⇔L3SW⇔L3SW⇔IP-VPN⇔L3SW⇔192.168.1.0/24

のように

192.168.1.0/24

を2拠点で同一とすることです。

この時、図に記載した通り、
複数のL3SWとIP-VPNを経由することが条件となります。
→既存から存在する構成のため。

調べているとL2TP装置等を
L3SWと192.168.1.0/24
の間におけば
L2トンネルをはることで実現できるようにも考えておりますが、
L2TPの各事例をみていると

192.168.1.0/24

192.168.2.0/24
をつなぐ等、同一セグメントではなく、
別セグメントをつなぐ例ばかりが見受けらえれます。

質問のような構成はL2TPでは実現できないのでしょうか?

よろしくお願いいたします。

このQ&Aに関連する最新のQ&A

A 回答 (3件)

富士通Si-Rシリーズでは、Ethernet over IPという手法で


拠点間を同一セグメントにできるようです。

以下のサイトに、IP-VPNにNTTフレッツ光を利用したコンフィグ例が掲載されています。

インターネットVPNでのEther over IP機能によるブリッジ接続
http://fenics.fujitsu.com/products/technical/exa …


話が逸れますが、
>別セグメントをつなぐ例ばかりが見受けらえれます。
というのは、以下の意図があるためでしょう。
----
拠点間を同一セグメントで接続する場合、
ブロードキャストパケットが拠点間の通信帯域を浪費してしまう問題が発生する。
この問題を回避するために、ブロードキャストドメインを分割(別セグメントに)している
----

実際には、問題対処として以下のような対策を行うことが多いです。
無策で拠点間を同一セグメント接続することは少ないと思います。
・別セグメントにした上で、拠点間でproxyARPを有効にする
  →IPノードからは同一セグメントのように見える。
・Ethernetで直接通信する古い機器(ホストコンピュータ等)だけを同一セグメントに接続する
  →こういった機器は、無駄なブロードキャストパケットを送信しないので。
・同一セグメントで接続する必要がある通信だけをプロトコル単位でブリッジする
  →SNA(DINA、HNA、FNA)だけをブリッジするというのはよくある話。
    • good
    • 0

これ、



> 192.168.1.0/24⇔L3SW⇔L3SW⇔ IP-VPN⇔L3SW⇔192.168.1.0/24

のネットワークの右と左で同じIPアドレスを使うことが目的というよりも、1つのブロードキャストドメインにしたいということですよね?
その場合はいくらNATで対処してもダメです

L2TPに限らず、L3のネットワーク上にL2のトンネルを張ることができる装置があれば、間にL3のネットワークがいてもL2レベルで接続して同じブロードキャストドメインにすることは可能です
以前、こんな製品を使って構築をしたことがあります
http://www.centurysys.co.jp/router/XR410TX2L2.html
このルータ自体は去年販売終了していますが、ここの製品の後継機でL2VPNと書かれた機種なら大丈夫かと

http://bam-system.ddo.jp:8080/ura/10
にもパケットがブリッジされているように書かれています
    • good
    • 0

(1)L3SW(2)⇔(3)L3SW(4)⇔IP-VPN⇔(5)L3SW(6)


※○数字はポート
の各ポートにブリッジ設定することで可能かと思います。ただし、IP-VPNがキャリア側のサービスである場合、網内でブリッジ設定がオプションで選択できない限り無理です。

「それぞれ192.168.0.1で運用している拠点を、あとからVPN接続する必要がでて、それぞれにサーバがあってIPアドレスの変更ができない」のような理由であれば、NAT変換をお勧めします。つまり、どちらか片側のアドレスを異なるサブネットに変えてしまうことです。例えば

192.168.1.0<----->192.168.10.0(本当は192.168.1.0)
つまり右側の拠点は、192.168.10.0として存在しているとL3SWに思わせることです。一番右にあるL3SWで実施する場合、(5)から入ってくるパケット(192.168.10.x宛)を192.168.1.xとして(6)ポートに吐き出す方法です。逆はまた逆です。IP-VPNの両端にあるルータで実現することも可能です。

前者のブリッジ接続した場合、片側のブロードキャストパケットはそのままもう一方のサブネットに流れるので、IP-VPNの回線に結構な不可がかかります。回線の太さによっては、”マイコンピュータ”などクリックした日にゃ、何分も待たされるようなことになります。
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QVPN 同じセグメント構成のLAN間接続

PPTP-VPNをテスト環境で構築しました。
ひとつ気になることがあります。

VPNでLAN間を結ぶとき同じセグメント構成のLAN間接続はできません。(実際に試してみました)
これはなぜなのでしょうか?
ブロードキャストがルータを超えられないというのがキーなのかな?と考えているのですが、はっきりとした答えがだせません。

またVPNで結ばれた拠点間は同じLANに存在しているかのようにネットワークを利用できるというイメージなのですが、実際のLANのようには振舞えないものなどがあれば一例として教えて頂けれと思います。

Aベストアンサー

どのような構成で試したのでしょうか?

PPTPを使う場合には以下の2種類の構成があります。

・VPNクライアント(端末)がVPNサーバ(ルータ)に対して接続する「リモートアクセスVPN」

・2台のルータ間でVPNを構築する「LAN間接続VPN」

リモートアクセスVPNの場合には接続先ネットワークと同一セグメントに所属することが出来ます。
LAN間接続VPNは異なるセグメント間をルーティングを使って接続します。

ただ、ファイル共有をしたいというような要望であればセグメントが違っても問題ありません。
※セグメントが違う場合のファイル共有はNBT(NetBIOS over TCP/IP)を使います。

またLAN間を同一セグメントで接続したい場合は、L2(Ethernet)レベルで接続する必要があります。
そういう場合にはL2VPN装置(ルータ)などを利用します。

参考URL:http://www.rtpro.yamaha.co.jp/RT/FAQ/PPTP/pptp-ans.html#1

Q2拠点間を同一ネットワークにしたい

お世話になります。

会社の本社⇔支社間をネットワークでつなぐ事になりました。
現在の所、本社は固定、支社は動的のIPを持っていて
ADSLを使ってのインターネットVPNを構築中です。
この場合別ネットワークがルーター越しに入ってくるという形になりますよね??

ところが、基幹プログラム(SQL)を動かすのに、
ベンダーさんより「同一ネットワーク内でないとダメだ」と指摘を受けました。
PPTPのことを言っているのかわからないのですが、
PPTPは脆弱性も指摘されていますのでできれば使いたくないと思っています。

物理的に離れた場所で、安全に、かつ同一ネットワーク内にいるように
見せるにはどのような技術が必要なのか知っている方がいらしたら
教えていただけないでしょうか。

知識が曖昧なため、不明な箇所も多いかと思いますがどうぞよろしくおねがいします。

Aベストアンサー

#1 の者です。
YAMAHAですね。やっぱり IPSec Tunnel をしていると思うのですが、リモートサイト同士ではSegmentを分ける必要があるのでそのままでは無理ですね。
#2 の方が言われるように、端末台数が少ないのであれば、softether で対応した方が早いかもしれません。ただ、端末の更新と追加の際には夫々にインストールが必要ですが。。。

というより、SQL Server に接続できないアプリケーションが一番の問題だと思いますね。そもそも IP リーチャブルであれば、SQL Server の ロケーションは意識する必要ないかと。実際、SQL Server は FW かまして別Segmentで運用している例はざらにありますので。

広域Ether を利用するのも一つの手ではあります。(高いですが)

QIPSECとL2TP/IPSECの違いについて

基本的な事ですいません。よくわからなくて困っておりますので助けていただけると助かります。

ヤマハのルータRTX1100と107eを使って2拠点間VPNを構築しようと思っています。ipsecを使う予定なのですが、ヤマハのサイトなど色々調べても、l2tp/ipsecでのVPNの設定例はiphoneやipadと拠点をつなぐ例になっているものばかりで、ルータを使っての拠点間VPNの場合はipsecの設定が紹介されています。
そもそもルータでつなぐ拠点間VPNの場合は選択肢としてl2tp/ipsecを使うことはできないのでしょうか? (意味ないのでしょうか?)

l2tp/ipsecの方が新しいファームから実装されているようなので、スピードやセキュリティ面でもそちらを使った方がいいのかなと思っているのですが(単純ですいません)

l2tp/ipsecを使うべきかipsecのみでいいのか教えていただけると幸いです

Aベストアンサー

 お尋ねの件ですが、L2TPアクセス自体リモートアクセス型接続ですので、LAN間接続VPNでは出来ません。
 参考サイト・・「http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/#support」
 因みに、RT107EのL2TPアクセスはファームウェア更新した際に利用可能となりますが、認証レベルはchapかpapしか対応出来ません。特定のアンドロイド端末ですと、mschap-v2しか対応出来ない機種もありますので、注意点です。
 よって、LAN間VPNはIPSEC-VPNになりますが、アクセスレスポンスで言うと「3des-cbc sha-hmac」、セキュリティレベルで言うと「aes256-cbc sha256-hmac」になります。なおIPSEC-VPN接続には、鍵交換用ポート解放・パススルー設定(UDP500)と、暗号化双方向通信ポートとしてespパケットをパススルーする設定が必要です。
 それと、相手先IPセグメント(対向ルーターセグメント)のネットワーク経路を通知する設定(静的ルーティング)をIPSECトンネルルートアクセス出来るようにしないといけません。Yamahaでは出来ませんが、富士通ルーターでは、「Ethernet over IP」設定をする事で、全拠点・同一セグメントでのアクセスが可能です。IPSECトンネル通信内部に仮想HUBを構築し、仮想HUBを経由して同一セグメントアクセスを可能としています。
 つまり、Yamahaルーターで構築する場合、夫々の拠点のIPアドレスは違う数値でなければいけない点、YamahaルーターのWAN側の接続機器(モデム)により、モデム内部にDMZ設定(YamahaのWAN側に全転送)、若しくは静的IPマスカレードにてespパケットとUDP500番の通信をYamahaWAN側へ転送する設定、モデムにもスタティックルート設定でYamahaとセグメント通信出来るようにする作業が発生することも想定されます。
 Yamahaルーターが、上記の様にルーターモデムに接続するのではなく、自身でPPPOE接続する場合にはYamahaのみの設定でOKです。 ※IPSEC-VPN接続する為には、グローバルIPが最低1個必要です。(NetvolanteDNSドメインでも代用可能です)

 お尋ねの件ですが、L2TPアクセス自体リモートアクセス型接続ですので、LAN間接続VPNでは出来ません。
 参考サイト・・「http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/#support」
 因みに、RT107EのL2TPアクセスはファームウェア更新した際に利用可能となりますが、認証レベルはchapかpapしか対応出来ません。特定のアンドロイド端末ですと、mschap-v2しか対応出来ない機種もありますので、注意点です。
 よって、LAN間VPNはIPSEC-VPNになりますが、アクセスレスポンスで言うと「3des-cbc sha-hmac」、...続きを読む

QIPアドレスのセグメント

とは、どのような事を意味しているのでしょうか?
宜しくお願い致します。

Aベストアンサー

多分ネットワークセグメントのことをおっしゃってるのでは?一言で言うとセグメントはグループのことです。
IPアドレス 192.168.10.1
サブネットマスク 255.255.225.0
のPCなら
192.168.10の部分をネットワークアドレス
1の部分をホストアドレス
と呼びます。
同じセグメントのPCとは同じネットワークアドレスを持ったPCということで、例えば
192.168.10.1と192.168.10.25は同一セグメントのPCといえます。また、
192.168.11.1のアドレスをもったPCは別セグメントのPCとなります。
セグメントを分割するのは一般的にはルータというネットワーク機器で分割します。なぜ、セグメントを分割しなければいけないかは、ブロードキャストの問題、台数の制限、管理のしやすさ等さまざまな理由があります。

QIP-VPNとインターネットVPNの違い

就職活動をしている大学生です。
セキュリティとネットワークに興味があり、そこから自分が何をやりたいのか突き詰めて行った結果VPNを提供している企業が浮かび上がって来ました、業界研究をしている際に疑問が出てきました。

IP-VPNとインターネットVPNの違いの違いがいまいちわかりません。

インターネットVPNはインターネット上を介したVPN、IPは事業者のネットワーク内のVPNって解釈でよいのですかね??

そうなるとプライベート回線を引くのとIP-VPNの違いは???

提供している事業者の違い、VPNに関すること、VPNの今後&求められるもの等、教えてください。

よろしくお願いします。

Aベストアンサー

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワーク網を通信経路として用い、自社専用ネットワークであるかのようなWANを構築できるサービスのことです。
通信事業者側で用意している網は品質を保証してあり、ユーザー側はIP-VPN網に接続するだけで、セキュアな通信ができ、インターネットVPN同様LANのように使えます。

プライベート回線とは専用線やフレームリレー網などのことを言っているのですかね?
専用線は料金が距離に比例し、拠点間の距離が離れるほどコストが大きくなり、セルリレー/フレームリレーは、フルメッシュ型接続ですけど、柔軟なネットワーク構築が難しいという問題があります。専用線・フレームリレーなどは回線帯域の割にはコストが高いので、インターネットVPNやIP-VPNでコストを安くしてネットワークを構築するようになってきてます。

インターネットVPNやIP-VPNはプロトコルにIPを使わなくてはならないので、データはIPに乗せる必要があります。
そこで、広域イーサネットというサービスを各通信事業者が行っています。広域イーサネットはプロトコルをIP以外(IPXやSNAなど)を通すことができ、またイーサなので、WAN側に接続するのに極端な話、スイッチでつなげられますので、今までのようにルータの設定などいらなくなります。(VLAN構成にするならスイッチの設定が必要ですけけど)また、QoSなどデータの優先制御や帯域制御などもできますので、VoIPなどにも使えますね。
ということで、簡単に拠点間のLAN構築が可能になります。

提供しているサービスの違いは、どこも似たり寄ったりかなって思いますけど。
サービス提供エリアや、構築にあったオプションサービスなどで選べばいいのでは。

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワ...続きを読む

Q同一セグメントって何?

A 192.168.1.1 と B 192.168.2.1 は
同一セグメントでしょうか?
どちらもデフォルトゲートウェイは
255.255.255.0 です。

今、AのPCからBのPCを
PcAnywhereでリモートしたいのですが、
できるのかどうか知りたいです。

同一セグメントでないとできないという
噂を聞いたのですがこの場合はどうでしょうか?

すみません。どなたか教えて下さい。

Aベストアンサー

まず、同一セグメントではありません。
デフォルトゲートウェイが255.255.255.0と書かれてますが、それはサブネットだと思います。
1.1と2.1のアドレスにてPcAnywhereの接続に関しては
1のセグメントと2のセグメントの間にルーティング機能が必要になります。ルーティング機能がある機器はルータです。
もし、わからない場合は1.1の端末からコマンドプロンプトでping 192.168.1.2と打ち、Reply From 192.168.1.2と返ってくれば可能な可能性が高いです。

QVPN接続で入った先のネットワークIPと自分のLAN内のIPのネットワークアドレスが同じだった場合

YAMAHAのRT58iというルータを使って遠隔地のネットワーク内にVPN(PPTP)接続でアクセスできるようになったのですが、入った先のネットワークIPが192.168.1.*で、自分のLAN内のネットワークIPも192.168.1.*なので、ping 192.168.1.1とかでルータとの接続を確認しようとするときに、VPN先のルータとアクセスしているのか、それとも自分のLAN内のルータにアクセスできているのか区別できません。

このような環境の場合、VPN先のルータの192.168.1.1だけにアクセスする方法というのはあるのでしょうか。

ご存じの方いらっしゃいましたらご教授よろしくお願いいたします。

Aベストアンサー

物理的に遠隔地同士の接続だとしても、同じネットワークアドレスを利用しているなら論理的には同一セグメント扱いになりますから、同じIPアドレスを複数共存させることはできません。

やはりネットワークアドレスを分離して、ルータに「このネットワークアドレスに対する要求はこっち」という風に、ルート情報を明記するのが一番楽でしょう。同一ネットワークアドレスで運用するのなら、CIDRなどで分割&集約させる必要があると思います。
http://itpro.nikkeibp.co.jp/article/COLUMN/20080715/310810/

QVPN接続後Pingが通らない。

現在以下の内容をローカルで繋いてリモートアクセスのVPNテストを行っています。

PC1→(LAN2)YAMAHARTX1200(LAN1)→PC2

PC1にYMS-VPN7をインストールしました。

VPNを接続する前にPC1からPC2へPingをすると応答はOKなのですが、

その後PC1からリモートアクセスでVPN接続すると、Pingが通らなくなります。

ファイアーウォールは特に設定していません。

原因が分かる方がいらっしゃいましたら教えていただけますでしょうか。

宜しくお願い致します。

Aベストアンサー

VPN通信を設定すると、別途ファイアーウォール設定にて、LAN内の1台及び全てに対して、ポート開放しないと、外部とは、個別VPN通信できません。
TTPT用、IPsec用ポートをそれぞれ開放しておく事で、以前どおり、通信可能になります。
YAMAHAで、サポート説明して頂けます。

QルータでLAN側WAN側を同じネットワークアドレスにするとエラー

はじめまして。初心者です。ルータの機能について教えてください。
機種はcisco 1721です。

ルータの設定で以下のように間違えて設定したところ、エラーになりました。

 LAN側:IP 172.17.1.1 サブネットマスク 255.255.0.0
 WAN側:IP 172.17.2.1 サブネットマスク 255.255.0.0

 エラー: % 172.17.0.0 overlaps with Ethernet0

 *エラーの原因はネットワークアドレスが重複したためです。

「ルータとは、異なるネットワークアドレスを結ぶもので、
 WAN側とLAN側は同じネットワークアドレスではいけない」
という基本的な理屈は理解しています。

ここから質問なんですが、
 1.ルータ側で設定を禁止しないといけないものなのでしょうか。
   実際に運用するかは別として、上記のように使用してもルータに問題は
   無いように思うのですが

 2.上記のように同じネットワークアドレスに設定する方法はあるのでしょうか。
   それとも絶対に許されない設定なのでしょうか。

ルータの設計思想のような質問です。
勉強不足で申し訳ございませんが、ご教授をお願いいたします。

はじめまして。初心者です。ルータの機能について教えてください。
機種はcisco 1721です。

ルータの設定で以下のように間違えて設定したところ、エラーになりました。

 LAN側:IP 172.17.1.1 サブネットマスク 255.255.0.0
 WAN側:IP 172.17.2.1 サブネットマスク 255.255.0.0

 エラー: % 172.17.0.0 overlaps with Ethernet0

 *エラーの原因はネットワークアドレスが重複したためです。

「ルータとは、異なるネットワークアドレスを結ぶもので、
 WAN側とLAN側は同じネットワ...続きを読む

Aベストアンサー

こんにちは
>1
大多数のルータは、ネットワークのオーバーラップを避けるため、
警告メッセージを出します。


>2
基本的にはできても通信異常が起こりえるため、
設定できないのと同じ状況です。

--------------------
以下余談ですが、、、
仮にI/F1 で172.17.1.1/16 を設定した場合、
I/F1 が所属するNW アドレスは、172.17.0.0/16 になります。
この状態で、I/F2 に172.17.2.1/16 を付与できたとすると、
I/F2 の所属するNW アドレスも、172.17.0.0/16 になります。

そして以下のような構成を組んだ場合の通信を説明します。

[PC1:172.17.1.100/16]---[I/F1|ルータ|I/F2]---[PC2:172.17.2.100/16]

このとき、PC1 からPC2 宛ての通信を行うと、
以下のような通信フローが取られます。

1)PC1 からPC2 のMAC アドレスを取得するための
 ARP リクエストが送信されます。
2)I/F1 側にはPC2 がいないため、誰もARP の返答を返しません。

このときルータはI/F1 側のNW 内での通信のため、
I/F2 にルーティングしません。
そもそも、ARP はブロードキャストなので、
異なるNW に通信しません。


もし、以下のように適正に設定している場合は、
次のような通信フローがとられます。

[PC1:172.16.1.100/16]---[I/F1|ルータ|I/F2]---[PC2:172.17.2.100/16]

I/F1:172.16.1.1/16
I/F2:172.17.2.1/16

1)PC1 からPC2 宛ての通信は、ネットワークが異なるため、
 ルータのMAC アドレスを取得すべく、ARP リクエストが送信されます。
2)I/F1 でARP リクエストを受信したルータは、
 PC1 にARP リプライを送信し、MAC アドレスを知らせます。
3)PC1 は送信先のIP アドレスにはPC2 のIP ドレスを、
 送信先のMAC アドレスにはルータのMAC アドレスを入れ、
 ルータにデータを送信します。
4)ここで、ルータのARP テーブルにPC2 のIP と
 MAC アドレスが登録されていれば、
 そのままPC2 に送されます。
 登録されていない場合は、ルータがPC2 にARP リクエストを送信します。

こんにちは
>1
大多数のルータは、ネットワークのオーバーラップを避けるため、
警告メッセージを出します。


>2
基本的にはできても通信異常が起こりえるため、
設定できないのと同じ状況です。

--------------------
以下余談ですが、、、
仮にI/F1 で172.17.1.1/16 を設定した場合、
I/F1 が所属するNW アドレスは、172.17.0.0/16 になります。
この状態で、I/F2 に172.17.2.1/16 を付与できたとすると、
I/F2 の所属するNW アドレスも、172.17.0.0/16 になります。

そして以下のような...続きを読む

Qネットワークのトラフィック量を測定できる方法はありますか?

 すいません。ものすごく困っております。

 会社の工場にPAnasonic製のネットワークカメラを20台程設置しているのですが、ネットワークへの負荷が大きいため、たびたび画像が固まることがあります。

 そこでどこの箇所で負荷がかかっているのか測定したのですが、なにかツールもしくは測定方法はないでしょうか。例えばHUBとHUBの間のLAN線にかかっているトラフィック量を測定してみたいです。

 すいませんが、ご教示願えないでしょうか。

 よろしくお願いいたします。

Aベストアンサー

HUBがSNMP対応のインテリジェントHUBであれば、そんなに難しい問題ではないですね。SNMPの設定を行った上で、ネットワーク管理ツールでトラフィックを計測すればOKです。

そうでない場合はちょっとやっかいですね。
とりあえず、ネットワークの図面を書いてみて、どこにどんなHubがあって、どんなPCやネットワークカメラなどの機器がつながっているかを書き出してみてはいかがでしょう?
具体的なトラフィックの数値がわからなくても、怪しいところはあぶり出せると思いますよ?


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング

おすすめ情報