組織のネットワーク構成を見直す必要があり、色々勉強しています。

その時、色々なサイトにあるファイアウォールの構成をみると、インタ
ーネットとファイアウォールの間に、ルーターを配置した図をよく見る
のですが、ルーターを置く意味はどんな事があるのでしょうか?

ファイアウォールがルーターの機能ももっていると思うので、ルーター
なしで、直に接続しても良いような気がしています。
(そうすれば、機器のお金が浮きますし。。)

ご教授よろしくお願いいたします。

このQ&Aに関連する最新のQ&A

A 回答 (6件)

正直なところ、ネットワーク構成も機器構成も判らないので何ともいえない、というのが正直なところです。



ただ、ファイアウォールの前(インターネット側)にルータを置く理由として考えられるのは:
・機能上の制限によるもの
 →例えば、インターネットに接続するのにPPPoEが必要だがファイアウォールがPPPoEをしゃべれない、等
・パフォーマンス上の要求によるもの
 →拠点間接続用のVPNルータなど、ファイアウォールで防ぐ必要性が低い装置をファイアウォールに介さずに接続したい、等
  No.1, No.2の回答はこれになるかと。
・契約上の要求によるもの
 →特定のサービスを受けるためにそのような構成になっている、等
・前例を踏襲しているため
 →以前、何らかの理由で組んだ構成を、機器更新後も「ネットワーク構成変更の理由がない」としてそのまま従来の構成できている、等

もし前任者がいるのであれば、その人に意図を聞くのが一番手っ取り早いです。
    • good
    • 2

業務用ネットワークではよくある話なのですが、回線が複数IP契約(8IPとか16IPとか)になっている時に、その接続にファイアウォールが対応していないということがあります。


例えば、NetScreenだと、自分のIPアドレスをネットワークアドレスで持ってしまったり…。
なので、慣習的にルータの前にファイアウォールを設置する、ということがあるみたいです。
    • good
    • 1

◆回答



>その時、色々なサイトにあるファイアウォールの構成をみると、インタ
>ーネットとファイアウォールの間に、ルーターを配置した図をよく見る
>のですが、ルーターを置く意味はどんな事があるのでしょうか?


上記に絞って回答します。

<1>
一番可能性がありそうなのは、御覧になっている構成図があくまで機能的なイメージ構成図であるという事です。
機能別で考えるとFWとRTは別物なので、分けて書いておこう。
実際の構築で何を選定するか、1台でまとめるか等は別に考えよう
・・・というだけの話ですね、これに難しいところはありません。

<2>
次に、ハードウェア的にも分割の意図で記載していると仮定し、そのメリットは何かと考えてみます。
まず思い浮かぶのは、DMZの実現です。
殆どの企業は、自社のサイトを公開していますよね?
このサイトから一般他者へはアクセス可能とする必要があるものの、サイトから社内へ向かうアクセスはメンテナンス時の戻り通信のみにしたいというのがよくある「やりたい事」になります。
この時公開サーバーよりも社内側にFWを設置する事で、公開サーバーが踏み台となってのセキュリティリスクを軽減する事が可能です。

とはいえこれも、実際の案件に於いては外部ISPと公開サーバーの間にもある程度のFWを介すケースや、
1台の機器(Netscreen等が有名です)でその辺を全部振り分けようという構成が多いと思います。

<3>
他には、機能分割の意味合いがあるでしょうか
現在のルーターは、異なるプロトコルを話せるような強みを感じられる場所で選定される事が多いと感じます。
IPネットワークの別セグメント同士をくっつけるだけであれば、L3スイッチで大体賄えてしまいますので。
ISPが提供している方法には専用線からISDN(まだ現役ですよ!)のようなサービスまでいろいろとありますので、うってつけといえばうってつけですね。
また大企業になると自前でBGPを回すケースも出てきますが、さすがにこうなるとルーターでないと厳しいでしょう。
異種接続、冗長化、高速化に関してはルーターに頑張ってもらい、セキュリティはその後で考慮しよう。という程度に捉えて良いかと思います。

◆おまけ

>ファイアウォールがルーターの機能ももっていると思うので、ルーター
>なしで、直に接続しても良いような気がしています。
>(そうすれば、機器のお金が浮きますし。。)

この感覚は大事だし、真っ当だと思います。
コスト・リターンをまな板にかけた上で選んで下さい
冗長性や可用性といった部分にある程度の妥協が効くのであれば、それほど高額にはならないと思います。
    • good
    • 1

ファイアウォールは不正な侵入を防いだり、特定のポート、接続を制限する者です。


ルーターはDHCPとしてアドレス割り当てを行います。
現在ではルーターがFWの役割もしています。

もちろんFW単体製品とは性能は劣りますが、よほど詳細なルールでないかぎり
通常のルーターで十分です。
またルーターはアドレス変換なども行います。
たとえばAに送るはずのデータをBに送ったりもできます。


さらに今のルーターはインターネット接続の役割も果たします。
プロバイダの接続情報を入力したりもできますよね?


Windows標準のFWは自分に自分にアクセスするものを制限します。

零細企業、中小企業であれば1万程度のルーターだけで十分です。
簡易FW機能も含んでいます。
FWはWindows標準のもので十分です。

大企業や、WEBサーバーを外に置き不正アクセス対策や情報保護が必要な場合は
ハードウェアのFWも必要でしょう。


FWだけの場合インターネットに1台だけのPCをつなぐ場合はそれでも大丈夫です。
また光接続などでONUがルーターの役割(DHCP)の役割も果たしている場合も
ルーターは必要ないかもしれません。
    • good
    • 0

ルータがファイアウォールの前にある意味ですが、


スクリーニングルータとしての利用が考えられます。

基本的にルータはレイヤ3までの通信を制御可能です。
ファイアウォールはレイヤ7までの通信を監視できるものが多いです。

仮にインターネットとファイアーウォールを直で繋ぐと、
インターネットからの大量の通信をファイアーウォールで
捌く事になります。

そうすると、最大スループットに余裕がないファイアーウォールだと、
高負荷状態になり、機器の通信安定性が損なわれる事になります。

ファイアーウォールの前にルータを置き、インターネットからの
不要な通信をルータの設定で制御する事によって、ファイアーウォールの
負荷、帯域利用を下げる事が可能です。
    • good
    • 0

>ファイアウォールがルーターの機能ももっていると思うので、ルーター


>なしで、直に接続しても良いような気がしています。
>(そうすれば、機器のお金が浮きますし。。)
ファイアウォーは外部からの攻撃に対しての防波堤が主目的なので、内部に入りたいパケットを選別するためにルータをファイアウォーの前に設置してファイアウォーの負荷を低減させるのが目的だと思います。

安全とお金を天秤に掛けて、安全を重視すると「ルーターとファイアウォール」、お金を重視すると「ファイアウォール」に全てを任せて頑張ってもらうという選択だと思います。
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QIP-VPNとインターネットVPNの違い

就職活動をしている大学生です。
セキュリティとネットワークに興味があり、そこから自分が何をやりたいのか突き詰めて行った結果VPNを提供している企業が浮かび上がって来ました、業界研究をしている際に疑問が出てきました。

IP-VPNとインターネットVPNの違いの違いがいまいちわかりません。

インターネットVPNはインターネット上を介したVPN、IPは事業者のネットワーク内のVPNって解釈でよいのですかね??

そうなるとプライベート回線を引くのとIP-VPNの違いは???

提供している事業者の違い、VPNに関すること、VPNの今後&求められるもの等、教えてください。

よろしくお願いします。

Aベストアンサー

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワーク網を通信経路として用い、自社専用ネットワークであるかのようなWANを構築できるサービスのことです。
通信事業者側で用意している網は品質を保証してあり、ユーザー側はIP-VPN網に接続するだけで、セキュアな通信ができ、インターネットVPN同様LANのように使えます。

プライベート回線とは専用線やフレームリレー網などのことを言っているのですかね?
専用線は料金が距離に比例し、拠点間の距離が離れるほどコストが大きくなり、セルリレー/フレームリレーは、フルメッシュ型接続ですけど、柔軟なネットワーク構築が難しいという問題があります。専用線・フレームリレーなどは回線帯域の割にはコストが高いので、インターネットVPNやIP-VPNでコストを安くしてネットワークを構築するようになってきてます。

インターネットVPNやIP-VPNはプロトコルにIPを使わなくてはならないので、データはIPに乗せる必要があります。
そこで、広域イーサネットというサービスを各通信事業者が行っています。広域イーサネットはプロトコルをIP以外(IPXやSNAなど)を通すことができ、またイーサなので、WAN側に接続するのに極端な話、スイッチでつなげられますので、今までのようにルータの設定などいらなくなります。(VLAN構成にするならスイッチの設定が必要ですけけど)また、QoSなどデータの優先制御や帯域制御などもできますので、VoIPなどにも使えますね。
ということで、簡単に拠点間のLAN構築が可能になります。

提供しているサービスの違いは、どこも似たり寄ったりかなって思いますけど。
サービス提供エリアや、構築にあったオプションサービスなどで選べばいいのでは。

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワ...続きを読む

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

Qルーターのファイアウオールについて

Buffaloの有線ルーターをセキュリティレベル「高」で使用しています。
この設定でルーターを使用していたら、こちらのパソコン側からアクセスしない限り、相手先からこちらのパソコンにアクセスはできないと考えて良いのでしょうか?

言い換えると、インターネットに接続された状態のままで、放置状態のパソコンの中をのぞいたり操作したりすることは可能なのでしょうか?こちらのパソコン内にトロイの木馬みたいなウイルスは無いという前提ですが。

この間のパソコン乗っ取り遠隔操作事件で、安全の為にルーターを使うようにとの記事がありましたので、しからばと購入した次第です。
インターネットはさっぱり分かりませんので、よろしくお願いします。

Aベストアンサー

ITエンジニアです。

>インターネットはさっぱり分かりません

了解しました。
小難しい話は一切抜きで、簡潔に回答します。
(多少の語弊はご了承ください)

>安全の為にルーターを使うようにとの記事がありました
>ので、しからばと購入した次第です

質問者様の安全性がこれまでよりも高められました。
遠隔操作されてしまうリスクは大分減ったと思います。
ただし、100%安全という訳ではありません。
というか、いかなる防御策を施してもインターネットに
繋がってる以上、「絶対安全」という事はないのです。
理由は簡単。「人間のやる事に絶対はない」からです。

と言う訳で、「外部からの操作は可能か?」というと
回答は「難しいけど可能」です。
例えばサッカーで言うと、どんなに凄いゴールキーパーでも時には
点を許しますよね?それは、いかに凄腕でも必ずどこかに弱点は
あるからです。少々乱暴な例えですが、簡単に言うとそういう事です。

一番安全なのは、「ネットに繋がない事」です。
サッカーで言うと、「試合に出ない事」にあたります。

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

Qスイッチングハブとレイヤ2スイッチの違いについて

妙な質問ですみません。
周辺機器メーカサイトを見ると、スイッチングハブとレイヤ2スイッチと分かれたカテゴリで置かれているのを目にしますが
スイッチングハブとレイヤ2スイッチの違いとは何でしょうか?

どちらもデータリンクの2層目を対象として動き、アドレステーブルを元に対象のポートに搬送波を流すもので、ほぼ同じものと思っていたのですが、上司に質問したところ、
異なるセグメントを混在して接続でき、同一のセグメントが接続されているポートにのみ、搬送波が流れるものがレイヤ2スイッチ(ただし、異なるセグメントにも搬送波を流す方法はある)とのことで、
上記の機能がなく、MACアドレスで識別するだけのものをスイッチングハブ、という回答をもらいました。
 VLANとは別にそういった機能をもったものがレイヤ2スイッチとのことだったのですが、この認識で正解なのでしょうか?
 色々とサイトを見て回りましたが、スイッチとレイヤ3スイッチやルータの解説などは書いてあるところはありますが、レイヤ2スイッチとスイッチングハブの違いについて書かれたサイトが見当たりませんでした。

 違いについて皆様のお知恵を拝借お願いいたします。

妙な質問ですみません。
周辺機器メーカサイトを見ると、スイッチングハブとレイヤ2スイッチと分かれたカテゴリで置かれているのを目にしますが
スイッチングハブとレイヤ2スイッチの違いとは何でしょうか?

どちらもデータリンクの2層目を対象として動き、アドレステーブルを元に対象のポートに搬送波を流すもので、ほぼ同じものと思っていたのですが、上司に質問したところ、
異なるセグメントを混在して接続でき、同一のセグメントが接続されているポートにのみ、搬送波が流れるものがレイヤ2スイッ...続きを読む

Aベストアンサー

これは言葉の言い回しだけです。
スイッチングハブとは、解釈の通りでMACアドレスを管理し、必要なポート以外にはデータを流さない装置です。
レイヤ2スイッチはMACアドレスのみ。
レイヤ3スイッチはIPアドレスまで管理しています。
世の中にはレイヤ4スイッチという装置まであります。

要はみんなスイッチングハブです。
レイヤ2スイッチは、スイッチングハブに含まれます。

QIPアドレスのセグメント

とは、どのような事を意味しているのでしょうか?
宜しくお願い致します。

Aベストアンサー

多分ネットワークセグメントのことをおっしゃってるのでは?一言で言うとセグメントはグループのことです。
IPアドレス 192.168.10.1
サブネットマスク 255.255.225.0
のPCなら
192.168.10の部分をネットワークアドレス
1の部分をホストアドレス
と呼びます。
同じセグメントのPCとは同じネットワークアドレスを持ったPCということで、例えば
192.168.10.1と192.168.10.25は同一セグメントのPCといえます。また、
192.168.11.1のアドレスをもったPCは別セグメントのPCとなります。
セグメントを分割するのは一般的にはルータというネットワーク機器で分割します。なぜ、セグメントを分割しなければいけないかは、ブロードキャストの問題、台数の制限、管理のしやすさ等さまざまな理由があります。

QVPN接続でVPNから先のサーバーに到達できない。

PC 特に、通信関係に関しては、素人同然のものです。

会社のサーバーに自宅からアクセスしようと、VPN 接続を試みています。
VPN そのものは接続を確認できたのですが、VPN から先、つまり、会社のサーバー (IBM System i) に到達できません。
( 当然ですが ping も通りません )
会社の他の同僚は、問題なく使用できているのですが、私のところだけつながりません。

念のためですが、VPN そのものは接続できています。
その先にあるサーバーにアクセスできないのです。
言わずもがなですが、自宅の PC で、通常のネット環境には問題はありません。
インターネットも、メールも問題なく動作しています。


この場合、System i に到達できない理由として、どのような事が考えられるのでしょうか?

ちなみに、会社側のルーターは、以前、別のルーターを使用していたのですが、その時は、問題なく使用できていた、という実績があります。
その時と、自宅環境は変わっていないはずです。( 少なくとも意識して変更した事はありません )

素人考えでは、なんらかの、アドレスの指定が重複しているのでは??
と考えているのですが、デフォルト・ゲートウェイとか、IP アドレスとか、自宅側のルーターのアドレスだとか、そのあたりではないかと思っているのですが
下手に変更すると、ネットそのものに繋がらなくなくなってしまいます。

変更するにしても、一箇所だけではなく、何箇所か整合性をとって変更する必要があるかと思いますが、詳しいところまでは知らないので、苦労しています。
御存知の方がおられたら、お教え頂けませんでしょうか?

冒頭述べましたように、当方、パソコン、特に、通信関係に関しては、ほぼ、素人同然です。
他に、似たような質問も見かけたのですが、少し、難しくて理解できませんでしたので、質問させて頂きました。

一応、環境の説明をしておきます。

●自宅のPC
(メーカー) ショップメイド
(OS) Windows XP Professional Version 2002 Service Pack 3
●自宅のルーター・通信回線
(通信回線) NTT Bフレッツ
(ルーター) NEC RV-230NE
(プロバイダー) BIGLOBE
●会社のルーター
(ルーター) Buffalo BHR-4GRV
●会社のサーバー
IBM System i ( AS/400 )

尚、現状、自宅のネット環境は、私が知りえる範囲で以下の通りです。

< VPN 接続前の ipconfig コマンドの結果 >
Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1


< VPN 接続後の ipconfig コマンドの結果 >
Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1

PPP adapter XXXXX:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.8
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.1.8

( PPP adapter XXXXX の部分は、VPN 接続先の会社側のものかと思います。XXXXX は会社名なので伏せさせて頂きました)

VPN 接続した状態で、サーバー IBM System i のアドレス 192.168.1.201 に対して ping コマンドを発行すると
C:\>ping 192.168.1.201

Pinging 192.168.1.201 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.1.201:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

以上のように、timed out となってしまいます。

また、補足情報ですが、会社側のルーターの設定で、ルーターのデフォルト・ゲートウェイが、私の自宅と同じ、192.168.1.1 であり、これが原因ではないかと思い、192.168.1.150 に変更しました。
しかし、結果は、何も変わりませんでした。
他の同僚については、問題なく繋がっています。

以上です。
長文になってしまいましたが、何卒、宜しくお願い致します。

PC 特に、通信関係に関しては、素人同然のものです。

会社のサーバーに自宅からアクセスしようと、VPN 接続を試みています。
VPN そのものは接続を確認できたのですが、VPN から先、つまり、会社のサーバー (IBM System i) に到達できません。
( 当然ですが ping も通りません )
会社の他の同僚は、問題なく使用できているのですが、私のところだけつながりません。

念のためですが、VPN そのものは接続できています。
その先にあるサーバーにアクセスできないのです。
言わずもがなですが、自宅の PC で、通常...続きを読む

Aベストアンサー

自宅とVPN接続先(会社)サブネットが同じ 192.168.1.0/24 なのでこのような結果になってしまいますね。

対応としては、
(1)自宅のネットワークを 192.168.1.0/24 以外にする
(2)VPN接続後にルーティング情報を追加する
になると思います。

(1)が可能であればこちらの方がいいですね。

(2)は 192.168.1.201 のサーバのみに接続出来ればいいのであれば以下のコマンドをVPN接続が確立した後に実行します。

route add 192.168.1.201 mask 255.255.255.255 192.168.1.8 metric 1 if xxx

xxxは route print コマンドで出てくるVPN接続のインターフェースIDです。
(if以降は無くてもいいかもです)
192.168.1.8の部分も接続時に可変となる可能性がありますのでその都度「PPP adapter XXXXX:」側のIPアドレスに合わせます。

これで 192.168.1.201 だけならば接続出来ると思います。
複数のサーバに接続が必要ならばその分このコマンドを実行する必要があります。

毎回毎回VPN接続時に入力が必要なので可能なら(1)ですね。

自宅とVPN接続先(会社)サブネットが同じ 192.168.1.0/24 なのでこのような結果になってしまいますね。

対応としては、
(1)自宅のネットワークを 192.168.1.0/24 以外にする
(2)VPN接続後にルーティング情報を追加する
になると思います。

(1)が可能であればこちらの方がいいですね。

(2)は 192.168.1.201 のサーバのみに接続出来ればいいのであれば以下のコマンドをVPN接続が確立した後に実行します。

route add 192.168.1.201 mask 255.255.255.255 192.168.1.8 metric 1 if xxx

xxxは route print コマン...続きを読む

QAとBの2つに分けたLANを構築したい

ワークグループで作られたLANです。
AとBは、基本的にデータのやりとりをさせたくないです。
そこで、以下のようにTCP/IPを設定しました。

ワークグループA
IPアドレスを192.168.1.127~254
サブネットマスクを255.255.255.0

ワークグループB
IPアドレスを192.168.1.0~128にし
サブネットマスクを255.255.255.128

デフォルトゲートウェイは192.168.1.1

しかしながら、どちらもインターネットができて、良いのですが、AとBがお互いに見えるのです。

どうすればいいのかご教授願います。
LAN初心者です。
よろしくお願いします。

Aベストアンサー

そのIPアドレスなら、家庭用のブロードバンドルーター辺りに接続していると想像する。

ならば、ブロードバンドルーターのVLAN機能を使ってAとBを別々のVLANグループに分けてしまえば、質問者殿が考えている事が出来ると思う。

VLAN機能はルーターのHUBのポートに割り当てることが多いので、AのグループのPCはポート1にHUBをかましてそのHUB配下に全て接続する。
Bのグループも同様にポート2で。
PCの台数が4台以内なら、HUBを別途かまさずにVLANアドレスを個々に指定して直接ルーターのHUBに繋げばOKかと。

Q仕切り価格の意味を教えて下さい。

経理の方と話をしていると「仕切り価格」という言葉が出ました。

調べても上手く理解出来ません。
頭の悪い私にでも分かるように具体例を挙げて教えて頂けると大変助かります。


よろしくお願い申し上げます。

Aベストアンサー

売るときの値段です。

定価10,000円だとしたら、
大量に仕入れてくれるA社には仕切り60%、6,000円で販売、
そこそこ仕入れてくれるB社には仕切り80%、8,000円で販売、
一般の方には、仕切り無し、つまりは定価の10,000円で販売。

ということになります。

もちろん仕切りが仕入れ値を割ってはいけません、損しますから。
そんな感じでゆるく考えてください。

QL2TP/IPSecのルータのポート開放

L2TP/IPSecのルータのポート開放なんですが

ルータのポートフォワーディングで
1701 (udp) ・・・・l2tp
4500 (udp)・・・・ipsec-nat-t
500 (udp)・・・isakmp

の3つを宅内サーバに向けて開放していますが、つながりません。
ポート開放の番号や数が違うんでしょうか?

同じようにサーバ側のパケットフィルタリングでも上記3つを開放しています。

Aベストアンサー

 お尋ねの件ですが、1701ポートNoをトンネルトランスポートされるようにしていますか?
 4500番はNATトラバーサル用ポート番号、500番はIPSEC認証キー用番号ですが、ポート開放以外にルーターのIPフィルタのパス登録コマンド、out登録コマンドにて通信透過されるようにしていますか?
 上記のチェックでも駄目な場合、DMZホスト設定でルーターの着信データを全てサーバへ向けてみては如何でしょうか?
 DMZの場合、全てのデータ着信はサーバへ向きますので、セキュリティ設定はサーバ側にて破棄登録等実施された方が良いかもしれません。


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング

おすすめ情報