ルーターとFWについて

最近のネットワーク機器にはルーターの機能を有したFWやL3スイッチなどがございます。
どの機器をどのようにして使うべきかについて、3点質問をさせてください。

1.ルーターとルーター機能のあるFWを併用する（ルーターでインターネットの出入り口を受けて、FWに転送する）メリットはございますでしょうか。

2.１つのルーターにWANポートが2つあった場合、２つの回線（グローバルIP）を持たせることは可能でしょうか。

3.拠点間との接続にIP－WANを設定している場合、VPNとインターネット回線を１つのルーターで併用することは技術上は可能でしょうか。（機能が備わっていたとして）また、その場合注意すべき点（パフォーマンス低下、1台壊れるとなにもつなげなくなる）が他にございましたら、教えて頂ければと思います。

アドバイスの程、宜しくお願い致します。

No.2 回答者： pakuti 回答日時： 2013/04/30 14:00

どこまで、どう言う想定なのかが不明なので一概には言えませんが・・・

1.
セキュリティと言う事ではアクセス制限を行わないルーターであれば、あまり意味が無いかと

私が管理しているネットワークの中に
BGPが必須と言うものがあり、FWでBGP機能を持たせると高価なものになるため
BGP対応の安価なルーターでBGPを動作させ、FWで境界線を作っている環境があります。

また別環境では配下に複数のネットワークが存在し
FireWallも複数存在しているため、最上段は高速なL3スイッチでルーティング処理のみを行わせ
それぞれのFireWallがアクセスコントロールを行っています。

2.
技術的には可能です。
２つの回線IPをどのような目的で使用するかにもよりますが、あまり意味が無いかも？
単純にDMZが複数存在する場合等であればOKですが。。
障害対応であれば、ISPのみの対応となるのでいまひとつです。
別回線を引くのであれば、機器も別物にする等の対応が必要かと。
また、回線でIPが変わると思いますので公開DMZの場合、ISPからのルーティングが問題になります。
この場合、1．での話のようにBGP等で運用する必要が出てくるかと思われます

3.
どこの企業でも普通に行っています。
注意点はスループットと、クライアントのDNSを本社のADにするとVPNが切れた場合に
インターネットへのアクセスも行えなくなる　とかでしょうか？
状況にもよりますが、拠点間は専用のIP-VPNで接続し外部への出入り口は別に設け
1か所で管理する方法がお勧めです。

No.1 回答者： maesen 回答日時： 2013/04/30 10:33

1.について

DMZを構成する場合などはメリットはあると思います
機器にセキュリティホールがあった場合に被害の範囲を狭めることが出来る場合があります。

2.について

ルータの機能としてはもちろん可能。
実際にはプロバイダ契約などの絡みがある。

1回線で複数のグローバルIPも可能になる。
ルータの機能として可能で契約によるというのも同じ。

3.について

IP-WANというのはIP-VPNのことでしょうか？

＞VPNとインターネット回線を１つのルーターで併用することは技術上は可能でしょうか

一般的なことなのでもちろん可能です。


余計なことかもしれませんが、

＞最近のネットワーク機器にはルーターの機能を有したFWやL3スイッチなどがございます。

最近というのがどのくらいをイメージしているのか不明ですが、これらの機器はそれほど新しいものでは無いと思います。
高機能な物の価格が下がったということはあると思いますが。

質問されていることは、出来るかと聞かれれば出来るという回答になると思いますが、それらの機器を導入するコストが見合うかというのは問題が別ということになると思います。