■ 構築問題 第十問
おね〜さんと、
ほげたんのっ!!
3 Minutes Networking、
Step by Step !!
前回、ファイアウォールを導入して内部ネットワークを守る構成にしたわけだけど。
ファイアウォールは大事なもう1つの役割がある?
そう、その話だったわね。
ファイアウォールをフィルタするための機器として覚えちゃダメってね。
でもさぁ、おね〜さん。ファイアウォールは普通、フィルタをしてパケットを制限することにより内部ネットワークを守るものだよ〜。
うん、それはそうよ。間違ってない。
じゃあ、なんで?
あのね……、それを解説するために問題をやりましょう。
サーバを内部と外部に公開しなさい
[FigureSS10-01:第十問]
いわゆる、エンタプライズサーバを置いてね。
IPアドレスも設定するの?
うん、実は内部サーバの設置はダシで、そっちがキモ。
そなの?
■ 構築問題 第十問 解答
え〜っと、じゃあ、とりあえずIPアドレスは置いておいて、内部サーバを配置したよ。
[FigureSS10-02:ほげたんの解答]
あ〜、たしかにコレでもいいわね。
あれ? 違った?
ん? いえ、どちらかといえば、ほげたんの方がよりよい答えね。
私はこう考えてたの。
[FigureSS10-03:おね〜さん案]
たいして変わらない気がするけど?
そうでもないわ。内部Webサーバへのアクセスと、外部へのアクセスがすべて内部ルータ・ファイアウォール間に集中しちゃうもの。
[FigureSS10-04:おね〜さん案・トラフィック集中]
だから構成的には、ほげたんの方が正解。
構成的には?
ルータのインタフェース数の問題ね。4つあればいいけど。もしくはレイヤ3スイッチなら問題ないわ。
そうか〜、インタフェースの数か。考えてなかったな〜。
ま、今回は私の案でいきましょ。
じゃ。ほげたん、IPアドレスを書いて。
ん〜っと、……あれ? どうなるんだろ?
……とりあえず、内部だけでいい? あとファイアウォールってIPアドレスいるよね?
もちろん。内部だけでいいから書いてみて?
じゃ、こんなん。
[FigureSS10-05:IPアドレス設定・内部]
うん、いいわ。
じゃ、外部も書いてね。
う、ううぅ。外部? 外部?
え〜、こう、なるのかな?
[FigureSS10-06:IPアドレス設定・外部(案)]
ふ〜ん。ルータがNATするの?
う、うん。
違うわね。
え? そうなの?
うん。今回最大のポイントよ、いい、よく聞きなさい。
ファイアウォールの正体は『NATマシン』なの。
へ? あの、ふぃるたりんぐは……?
NATマシン。
ネットワーク構成図として、ファイアウォールはNATをするものと覚えなさい。つまり、こう。
[FigureSS10-07:IPアドレス設定・外部]
おね〜さん、CiscoのPIXの講習会で、Ciscoパートナーの企業の人で、講師やってた人から聞いたんだけどね。
もともと、CiscoのファイアウォールであるPIXって、NAT専用機だったらしいのよ。
NAT専用機? そんなのがあったの?
ルータでもNATができるけどNAT分の負荷を減らしたいじゃない? 特に大きな企業になればなるほど、NATの回数は増えるわけだし。
そこで、NAT専用機の出番ってわけね。
は〜、SSLアクセラレータみたいだね。
で、内部・外部の境界にNAT専用機を置くでしょ。位置的にはファイアウォールと全く同じ位置に。
そこから、セキュリティのことも考えていくと、そのNAT専用機がファイアウォールへと進化していった、と。
なるほど。確かにNATを行う位置と、ファイアウォールの位置って同じの場合が多いかなぁ。
そゆこと。まぁ、PIXももともとはCiscoの製品じゃなくて、買収した会社のものだってオチがあるけど、それはそれとして。
つまりよ、ほげたん。多くの人はファイアウォールでフィルタリングすることは知っているわけよ。常識として。
常識……、まぁ常識かも。
でも、ファイアウォールでNATをするとは、普通の参考書には載ってないの。
だから、強調するわけ。ファイアウォールはNATマシン。コレよ。
う〜ん、なるほど〜。確かにファイアウォールのことは書いてある。NATのことも書いてある。
でも、「ファイアウォールでNATする」ということを解説してあるのって少ないかも。
使ってる人から見れば、何言ってんの? って感じなんだけどね。
構築初心者から見ると、なかなかわからないわけよ。
うん、それは確かにそうかな?
家庭用ブロードバンドルータとか、CCNAの勉強とかしてると、ルータでNATってのが普通に思えちゃうかも。
そうでしょ。ご家庭やSOHOレベルならルータでNATもいいけど、企業ならファイアウォールでNAT。外部接続ルータに負荷をかけないためにもね。
わかったよ。ファイアウォールはフィルタ+NATだね。
そうよ、ほげたん。特にネットワーク構成図ではフィルタリングよりもNATの方が重要だったりするから、ね。
じゃ、最後に全体の構成図とNATテーブルを書くわね。
[FigureSS10-08:全体の構成図]
| 分類 | インタフェース | IPアドレス | インタフェース | IPアドレス |
|---|---|---|---|---|
| NAPT | WAN | 200.100.10.3 | LAN | 172.16.0.0/24 |
| LAN | 172.16.1.0/24 | |||
| LAN | 172.16.2.0/24 |
[TableSS10-01:NATテーブル]
そういえば、おね〜さん。外部との接続はunnumberedを使うんだね?
あ、そうね、言い忘れてたわ。ルータのLAN側インタフェースにグローバルIPアドレスを与える必要があるから、unnumberedを使うわ。そうしてファイアウォールの外側とか外部公開サーバにグローバルIPアドレスを与えるわけ。
へ〜。そういうもんなんだ。
そういうものよ。もちろんうなるほどグローバルIPアドレスがあれば話は別だけど。
まぁ、通常は外部接続ルータはunnumbered方式を使用するわね。
了解ッス。
だいたいね、テクニカルエンジニア(ネットワーク)の問題のネットワーク構成図はunnumberedやファイアウォールでNATする形で書いてあるわけよ。でも、ほとんどの問題集はそのことは置いておいて、問題の解説しかしてないの。
そうかも。普通は問題の「解説本」だからね。
でもね、おね〜さんこう思うのよ。こういう事を知ることがまず先じゃない、と。
たしかに問題には直接関係ないかもしれない。でも、「どうしてこの形なのか」を知っておくのが先決なんじゃないか、って。
だからこの講座、なわけでしょ?
うん。そういうこと。自分でネットワーク構成図が書けるようになる。ここから始めるのよ。
というところでまた次回。おね〜さんと、
ほげたんのっ!!
3 Minutes Networking、
Step by Step !! でした〜〜〜っ!!
まったね〜〜〜!!