初めての店舗開業を成功させよう>>

ゲストがインターネットを利用できるよう、ただし社内ネットにはアクセスできないようにしたいと考えています。
いずれは、出向者がインターネットとネットワークプリンタのみを使えるようにしたり、部署ごとにセグメントを分ける事も視野に入れています。

無線LANアクセスポイントはBUFFALOの「WAPM-APG300N」を使用しています。
ルーターはヤマハRT57i ですが、RTX810等に置き換えを予定しています。
クライアントPCは有線・無線LAN混在で、10台程度あります。
サーバーはWindows SBS2011Stdでドメイン環境にしてあります。

RTX810にはLANポート分割機能があるようですが、来客者も使う無線LANはネットワークの末端にあり、物理的にポートを分け、新たなケーブルを引き回す事が難しい状況です。広い工場内の為、ハブを複数経由しており、物理的な距離も長い状況です。

そこで、WAPM-APG300NはタグVLANを構築可能となっていたので、この機種の機能が使えないだろうかと考えました。無線LAN一台で、社員と来客者が別々のSSIDとVLANIDを使用できるようです。
ただし、条件として「VLAN対応L2スイッチ」が必要とありました。

お聞きしたいのは、ルーターから無線LANまでの間にあるすべてのハブがVLAN対応L2スイッチングハブでなければならないのか?という点です。

ルーター自体はVLANに対応しているので、社内ネットにはアクセスせず、インターネットにつなげるだけならば、可能でしょうか?

それとも、ルーターと無線LANの間にる複数のハブすべてを置き換えないと実現は難しいでしょうか。

よろしくお願いします。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

>簡単に言うと、タグVLAN・マルチSSID対応無線LAN機とVLAN対応ルーター(RTX810)を繋げ、VLANを構築する場合、間に挟むハブはすべてVLAN対応のL2スイッチである必要があるか?


「来客に無線LANでインターネットへ接続を可能にする」と言うことは不特定のノートパソコンを接続することになりますのでパスワードなしで接続を許可することになりかねません。
そのためには社内LANとは物理的に切り離さないとセキュリティを保てなくなります。
セグメントを分ければ良いと言うのは社内のメンバーのみが接続する範囲での考え方です。
得意先、仕入先については信頼関係が有ると言っても利害関係のある相手ですから同一LANへ接続させるのは禁物です。

>既存のシステムでどこまでできるか、どれくらいの投資が必要か、費用対効果はどうか、等、上への説明の為に様々な可能性を模索中に出てきた疑問でした。
ですから、出入りの専門業者にプランを立てさせて費用の積算をさせるのが順当です。
プランが実現できないときはプランの立案費用が発生しますので依頼する前に取決めしてトラブルにならないよう注意してください。
    • good
    • 0
この回答へのお礼

来客用のフリースポットに関しては頂いたアドバイスをもとに上司に進言してみます。

今回の事がきっかけでVLANについてさらに知識を深めたいと感じました。
改めて、技術的な事に限って質問をおこしたいと思います。

ありがとうございました。

お礼日時:2013/12/25 12:38

会社のシステムについて質問する場所ではないように思います。


出入りの専門業者へ社内のセキュリティポリシーを伝えて立案させてください。
あなたの知識不足を補うためにガセネタを吹き込まれると会社の危機に繋がります。
確りしたネットワークを構築しないと重要な情報が漏洩します。
特に来客に対して無線LANの接続サービスを行うことは非常に危険です。
物理的にネットワークを切り離すべきと思われます。

この回答への補足

ネットワークの知識を深めているところですので、今回の質問自体に興味があります。

簡単に言うと、タグVLAN・マルチSSID対応無線LAN機とVLAN対応ルーター(RTX810)を繋げ、VLANを構築する場合、間に挟むハブはすべてVLAN対応のL2スイッチである必要があるか?それとも、普通のノン・インテリジェントスイッチングハブで問題ないか?

という事です。目的がはっきりしていないと回答しづらい部分もあるかと思いますが、「こういう用途ならOK」「これこれの事をしようとするなら無理」等、教えて頂ければと思います。

後学の為によろしくお願いします。

補足日時:2013/12/24 18:31
    • good
    • 0
この回答へのお礼

既存のシステムでどこまでできるか、どれくらいの投資が必要か、費用対効果はどうか、等、上への説明の為に様々な可能性を模索中に出てきた疑問でした。

>特に来客に対して無線LANの接続サービスを行うことは非常に危険です。
物理的にネットワークを切り離すべきと思われます。

仰る通りです。上司と話してみます。

ありがとうございました。

お礼日時:2013/12/24 18:20

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QAとBの2つに分けたLANを構築したい

ワークグループで作られたLANです。
AとBは、基本的にデータのやりとりをさせたくないです。
そこで、以下のようにTCP/IPを設定しました。

ワークグループA
IPアドレスを192.168.1.127~254
サブネットマスクを255.255.255.0

ワークグループB
IPアドレスを192.168.1.0~128にし
サブネットマスクを255.255.255.128

デフォルトゲートウェイは192.168.1.1

しかしながら、どちらもインターネットができて、良いのですが、AとBがお互いに見えるのです。

どうすればいいのかご教授願います。
LAN初心者です。
よろしくお願いします。

Aベストアンサー

そのIPアドレスなら、家庭用のブロードバンドルーター辺りに接続していると想像する。

ならば、ブロードバンドルーターのVLAN機能を使ってAとBを別々のVLANグループに分けてしまえば、質問者殿が考えている事が出来ると思う。

VLAN機能はルーターのHUBのポートに割り当てることが多いので、AのグループのPCはポート1にHUBをかましてそのHUB配下に全て接続する。
Bのグループも同様にポート2で。
PCの台数が4台以内なら、HUBを別途かまさずにVLANアドレスを個々に指定して直接ルーターのHUBに繋げばOKかと。

Qルーターと無線アクセスポイントを別セグメントにしてますがダメでしょうか。

フリースポット無線LAN構築時の、IPアドレスの振り方の質問です。

ルーターと無線LANアクセスポイントのセグメントをいつも別にしていました。理由は、

【理由1】
ルーターのDHCPで振られたIPアドレスでは無線LANアクセスポイントの設定画面に入れないので、セキュリティ上、少しはいいと思った。
(アクセスポイント設定するときは、セグメントをあわせて接続してます。その時はインターネットはつながりません。)

【理由2】
無線LANアクセスポイントの台数が多いので(32台)、こうするとルーターのセグメントを有効に使える。

と、思ったからです。
(IP自動取得でパソコン無線接続するとルーターのDHCPからIPアドレスが割り振られました。)

しかしながら、別業者がこのネットワークを使用してソフトウェアを動かすとのことでその業者に情報を送った所、このようなIPアドレス割り振りはおかしいとのクレームがつきました。
やはり、ルーターと無線アクセスポイントは同一セグメントでないといけないのでしょうか。
私も素人の浅知恵でやってみたらうまく動くようなので、「これは使える!」といままで使用してしまいましたが、何か根本的な誤りがあるのかと、とても不安です。
ご存知の方、教えいただければ幸いです。

【ネットワーク構成】

ルーター(NTTモデムNV3) 192.168.11.1(DHCP有効)

無線アクセスポイント(BUFFALO WAPS-HP-AM54G54)32台
アクセスポイント1  192.168.1.110
アクセスポイント2  192.168.1.111
   (省略)     (省略)
アクセスポイント32  192.168.1.141

ちなみにハブにもIPついてます。(アクセスポイントへの給電機能が欲しかったので、IPアドレスのみ設定しました。)

ハブ1 BSL-PS-2108MR 192.168.1.101
ハブ2 BSL-PS-2108MR 192.168.1.102
   (省略)     (省略)
ハブ6 BSL-PS-2108MR 192.168.1.106

よろしくお願いいたします。

フリースポット無線LAN構築時の、IPアドレスの振り方の質問です。

ルーターと無線LANアクセスポイントのセグメントをいつも別にしていました。理由は、

【理由1】
ルーターのDHCPで振られたIPアドレスでは無線LANアクセスポイントの設定画面に入れないので、セキュリティ上、少しはいいと思った。
(アクセスポイント設定するときは、セグメントをあわせて接続してます。その時はインターネットはつながりません。)

【理由2】
無線LANアクセスポイントの台数が多いので(32台)、こうするとルータ...続きを読む

Aベストアンサー

> 無線LANノートパソコン等
> 192.168.11.2~順次割り振られる?

端末のPCには192.168.11.0/24 のアドレスが割り当てられるのですね?
ようやく状況が飲み込めました。
# てっきり、端末PCに192.168.1.0/24 のアドレスを配布しているのかと思っていた
# ので、色々と確認させてもらいました。
## おそらくNo.3さんも同じだと思います。

で、私の意見としては、通常の通信で使用するIPアドレスと機器管理用のIPアドレスを別のサブネットにすることは、いびつな構成ではありますがそれをもって即問題あり、とは言えないというものです。
# 要件的にこのような形になることはままあります

確かにあまり一般的とはいえない構成ですので、業者さんも「おかしい」と言ったのかもしれませんが、それで問題があるのであれば具体的に何が問題なのか、きちんと聞き出してください。
もし無線LANのIP割り当て変更が必要なのであれば、余分な作業/費用がかかる話になるでしょうから、双方無視できないと思います。
単に「変だ」というだけだったら無視してよいと思います。

それからNO.1さんが指摘されたコンフリクトの問題ですが、これは無線LAN用電波の混信の問題ですので、IPアドレスの割り振りには関係ありません。アクセスポイントの設置場所と使用するチャンネルの設定の問題になります。

> 無線LANノートパソコン等
> 192.168.11.2~順次割り振られる?

端末のPCには192.168.11.0/24 のアドレスが割り当てられるのですね?
ようやく状況が飲み込めました。
# てっきり、端末PCに192.168.1.0/24 のアドレスを配布しているのかと思っていた
# ので、色々と確認させてもらいました。
## おそらくNo.3さんも同じだと思います。

で、私の意見としては、通常の通信で使用するIPアドレスと機器管理用のIPアドレスを別のサブネットにすることは、いびつな構成ではありますがそれをもって即問題あり...続きを読む

QVLANで2つのセグメントにわけたLANそれぞれからインターネットに接続したいのですがうまくいきません。

         WAN
         │
         │
   ┌───────────┐
   │ブロードバンドルータ │
   └───────────┘
       vlan9│ 192.168.9.1
         │
     ┌───────────────┐
     │L3Switch(8624EL)       │
     │PORT(1-12)    PORT(15-24)│
     └───────────────┘
192.168.9.80 │    192.168.19.80 │
(vlan9)    │    (vlan19)   │
       │           │
┌─────────┐  ┌─────────┐
│スイッチングハブ1│  │スイッチングハブ2│
│192.168.9.0/24  │  │192.168.19.0/24  │
└─────────┘  └─────────┘
     │              │
     │              │
┌──────┐      ┌───────┐
│PC-A    │      │PC-B     │
│192.168.9.90│      │192.168.19.90 │
└──────┘      └───────┘

※図がずれてわかりづらくて申し訳ございません。

上記のような構成でvlan9からもvlan19からもインターネットに接続したいと考えております。
(vlan間同士の通信は今はできてもできなくてもどちらでもよいです)
そこで、L3 Switchに対して下記のような設定を行いました。

# System configuration
set system name="inet"

# VLAN general configuration
create vlan="white" vid=9
create vlan="orange" vid=19

# VLAN port configuration
add vlan="9" port=1-12
add vlan="19" port=15-24

# IP configuration
enable ip
ena ip dnsrelay
add ip int=vlan19 ip=192.168.19.80
add ip int=vlan9 ip=192.168.9.80
add ip rou=0.0.0.0 mask=0.0.0.0 int=vlan9 next=192.168.9.1
add ip dns prim=192.168.9.1

結果的にはPC-Aからのみインターネット接続ができるようになり、PC-Bからはインターネットに接続できませんでした。どのようにすればPC-Bからもインターネットにアクセスできるようになるか教えていただければと思います。

参考までにPC-A及びPC-Bのネットワーク設定も載せておきます。
【PC-A】
IPアドレス:192.168.9.90
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:192.168.9.80
DNSサーバ:192.168.9.80

【PC-B】
IPアドレス:192.168.19.90
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:192.168.19.80
DNSサーバ:192.168.19.80

ただしPC-BのデフォルトゲートウェイとDNSサーバについては192.168.9.80も192.168.9.1も試しました。
長くなってしまいましたが、よろしくお願いします。

         WAN
         │
         │
   ┌───────────┐
   │ブロードバンドルータ │
   └───────────┘
       vlan9│ 192.168.9.1
         │
     ┌───────────────┐
     │L3Switch(8624EL)       │
     │PORT(1-12)    PORT(15-24)│
     └───────────────┘
192.168.9.80 │    192.168.19.80 │
(vlan9)    │    (vlan19)   │
       │           │
┌─────────┐  ┌...続きを読む

Aベストアンサー

ブロードバンドルータの設定に問題があるのでは?

192.168.9.0/24と192.168.19.0/24をルーティング(経路情報を設定)してください。
ルーティングの設定をしないと、192.168.9.0/24上にあるブロードバンドルータを通じてインターネットに接続できないと思われます。

Qルータは複数のLAN(ネットワーク)を設定できる。

私は、ルータというのは、WAN側とLAN側(異なるネットワーク)をNAT等の技術を使い接続する機器、という風に思っていたのですが、下記のページを読むと、一つのルータでいくつものネットワーク(異なるネットワークアドレスを設定)を作っているように思うのですが、そういったことも可能なのでしょうか?

よろしくお願いします。

http://itpro.nikkeibp.co.jp/article/COLUMN/20060919/248444/?ST=nettech&P=2

Aベストアンサー

> ルータというのは、WAN側とLAN側(異なるネットワーク)をNAT等の技術を使い接続する機器、という風に思っていたのですが

ブロードバンドルータに限っていえばそれで間違いはないでしょう

> 一つのルータでいくつものネットワーク(異なるネットワークアドレスを設定)を作っているように思うのですが、そういったことも可能なのでしょうか?

まず、ルータは必ずしもポートが2つとは限りません
ブロードバンドルータのような安価なルータはLANとWAN用のポートしかないですが、
http://itpro.nikkeibp.co.jp/article/COLUMN/20060919/248444/?ST=nettech&P=2
のルータのように3つ以上インタフェースを持った機種はたくさんあります
(例えばCiscoの上位機種あたりを見ればわかるでしょう)
中小、大企業に入っているルータは普通にインタフェースが8ポートとか16ポート積めますし、後からモジュールを追加してインタフェースを増やせたりします

これら複数のネットワーク間に対してIPパケットを必要なところに送り届ける、それがルータの役割です
ルータが複数台つながっている状況では、静的にネットワークの位置を設定するか、動的にルータが情報をやり取りしてルーティングを決めてパケットを必要なネットワークに送ります

> ルータというのは、WAN側とLAN側(異なるネットワーク)をNAT等の技術を使い接続する機器、という風に思っていたのですが

ブロードバンドルータに限っていえばそれで間違いはないでしょう

> 一つのルータでいくつものネットワーク(異なるネットワークアドレスを設定)を作っているように思うのですが、そういったことも可能なのでしょうか?

まず、ルータは必ずしもポートが2つとは限りません
ブロードバンドルータのような安価なルータはLANとWAN用のポートしかないですが、
http://itpro.nikkeibp...続きを読む

Qipadで社内ネットワークに接続

ipadで社内ネットワークに接続し、ファイルを開き、プリントアウトしたいのですが、できるでしょうか。

社内ネットワークはWindows Essentialsです。
各PCは有線と無線でつながっています。
wifiルーターもあります。

ipadで開きたいファイルは、Wordファイルです。
ipadには、Wordを編集するアプリを入れました。

よろしくお願いします。

Aベストアンサー

> 社内LANへの入り方がわからないのです。
社内LANというかファイルサーバーへの接続ですよね。

iPad/iPhoneには標準でファイルをブラウズする機能がありません。
いわゆるファイラーアプリ(Windowsで言うところのエクスプローラー)を導入してください。
例えば・・・

iOS定番ファイラー5種の機能比較まとめ(GoodReader, Documents 5, iFiles, File Hub, FileExplorer)
http://reliphone.jp/5-filerapps/

無線LANが繋がらないのであれば、管理者にご相談を。

Qルーターにつながっている全ての器機のIPアドレスを調べる方法

DHCP機能で振り分けらた全ての器機のIPアドレスを調べる方法はありませんか??

コマンドプロンプトから調べれるコマンドのようなものがあれば教えて頂きたいのですが、、、。


ルータはNTT製品の NVIIIです。

Aベストアンサー

DHCPからの貸し出し先だけでよければおそらく
DHCPのサーバーに貸し出し中のリストをもっています。
ルータがDHCPサーバーでしたら説明書をよんでみて
ください。
dhcpdなど立てていたらvarのどこかにdhcpd.leases
があるとおもいます

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

Q家庭内LANの中で2つのネットワークを作れますか?

うちではフレッツ光回線に4台のPCを接続しています。

ブロードバンドルータ(192.168.1.1):RV-S340SE
PC1(192.168.1.11):デスクトップ。居間に設置。
PC2(192.168.1.12):ノート。和室に設置。
PC3(192.168.1.13):デスクトップ。書斎に設置。(仕事用)
PC4(192.168.1.14):ノート。書斎に設置。(会社、自宅と持ち歩き用)

PC1とPC2は共有フォルダでお互いの情報を見れて、
PC3とPC4も仕事用のデータを共有できるようになっているわけですが、

PC1,2とPC3,4の間ではデータを共有する必要がなく、むしろ居間から仕事のデータにアクセスして欲しくないため、
お互いの共有フォルダのショートカット等は作らないようにはしていますが、
ネットワークアイコンから探そうとすれば、仕事用PCの共有フォルダにアクセスできてしまいます。
友人等が来てPC1,2を自由に使ってもらったとしても、間違っても仕事用PCにアクセスすることがないようにしたいです。

どのPCもブロードバンドルータを通じてインターネットにつながってはいるが、PC1,2からPC3,4のコンピュータの存在も見えなくすることはできますか?

もちろんユーザやアクセス権の操作で不要なアクセスを防ぐことはできますが、せっかくなら個人の環境でどこまでできるのか試したくなり、質問させていただきました。
ネットワーク構築に詳しい方、ご教授くださいますようお願いいたします。

192.168.1.1をデフォルトゲートウェイにしたまま、PC3(192.168.2.11)、PC4(192.168.2.12)とかにすれば
良いのかな?なんてふと思ったりしたのですが。。。

うちではフレッツ光回線に4台のPCを接続しています。

ブロードバンドルータ(192.168.1.1):RV-S340SE
PC1(192.168.1.11):デスクトップ。居間に設置。
PC2(192.168.1.12):ノート。和室に設置。
PC3(192.168.1.13):デスクトップ。書斎に設置。(仕事用)
PC4(192.168.1.14):ノート。書斎に設置。(会社、自宅と持ち歩き用)

PC1とPC2は共有フォルダでお互いの情報を見れて、
PC3とPC4も仕事用のデータを共有できるようになっているわけですが、

PC1,2とPC3,4の間ではデータを共有する必要がなく、むしろ居間から...続きを読む

Aベストアンサー

>何かコメントあったらよろしくお願いいたします。
ルーターが合計3台有れば私用と仕事用に完全分離できます。

私用  ←→ルーター1←┬→ルーター0←→インターネット
仕事用←→ルーター2←┘

ルーター0のLAN側 192.168.0.0/24
ルーター1のLAN側 192.168.1.0/24
ルーター2のLAN側 192.168.2.0/24
のようなネットワークとしてNAT変換で上流ルーターへアクセスできるようにすればインターネットへのアクセスは私用と仕事用を兼用できて私用と仕事用のLANは相互にアクセスをルーターで拒否できます。

QVLAN環境でのDHCP利用について

あるLANをVLANで2つのセグメントに分けています。
ひとつはインターネット接続可、もうひとつはインターネット接続不可です。
現在はPCにIPアドレスを指定することでインターネットに接続可能なPCと接続不可のPCを分けていますが、
DHCPでIPを自動割当にする場合、
これらのPCに正しくそれぞれのVLAN用のIPアドレスを割当てることは可能なのでしょうか?
どなたか是非教えてください。

Aベストアンサー

・一台のDHCPサーバは、リレーエージェントを使っていくつくらいまでのセグメントに対して
逆にそれはDHCPサービスのソフトウエアによって違うと思います。
が大抵どのDHCPサービスでもほとんど無制限に作れる
と思われます。

・また、専用線等を使って別のLANのセグメントにもIPを割り当てられるのでしょうか?
TCP/IPで通信できていれば問題ないです。

QWi-Fi の回線は分けて使った方がよいのでしょうか。(NTT光回線)

NTT光回線でネットを契約しました。Wi-Fiで携帯やパソコンをつないでネットを見ることが出来てとても便利です。

ところで、
ルーターの裏に記載されている「SSID」というのが3つあります。SSID-1、SSID-2、SSID‐3それぞれにパスワードもあります。
どれに接続してもネットは見れるのですが、、、3つあるのは何のためでしょうか【質問1】?
また、家族が各自の携帯やパソコンから同時にSSID‐1に接続したら不都合(混線?や速度低下など)があったりするのでしょうか【質問2】?。
極力接続先を分散した方がよいのでしょうか【質問3】?。
教えてください。よろしくお願いいたします。

Aベストアンサー

5Ghz帯未対応のクライアント機器が多数あるために2.4Ghz帯と5Ghz帯それぞれ別にSSIDを提供している場合があります。
また、一部のゲーム機は、脆弱性があるWEPしか対応していないものがあるために、WEP専用にSSIDを別と提供しているルータもあります
そのために、最大3つとかになる場合もあります。

やはり、5GHzの方がチャンネル的に干渉することがないために5Ghz帯を利用するのが望ましいです
2.4Ghz帯は、干渉しないチャンネルは、最大で3つぐらいしかとれない。
今現在だと公衆無線LANなども提供されていることもあり、無線LANのアクセスポイントが多数みつかるので、どれを使っても干渉することになります。

ルータなりの設定をみれば、SSIDがどれに対するものか分かる場合があります


人気Q&Aランキング

おすすめ情報