NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

LAN内にルータが複数台存在する場面って?(2)

 こんばんは。先程までごそごそ図を描いてました。LAN内に2つのルータが存在し、別用途のネットワークに接続する必要があるという場合の事例です。ここでは病院内LANとしました。仮にインターネットと系列病院のLANにIP-VPN経由で接続する場合を想定しましたが、片方がインターネットではなく、地域連携ネットワークでも構いません。LAN内のPCが全く性質の異なるネットワークに接続するという前提で読んで下さい。<(_ _)>

 この場合、「インターネットへの出口を一本化して、片方のLANからはIP-VPN経由でインターネットへ出て行くようにすればいいのではないか?」という御意見もあろうかと思いますが、今回は一旦置いといて下さいませ。(^^;;

 と、ISPによっては、提供しているIP-VPNからFWはあるものの、インターネットへの出口を提供しているケースもありますよね。まぁ、それはここでは置いておいて下さい。(^^;;

 

 で、昨日の記事受けてこんな形を想定しました。左側院内LANですが、各PCのDGW(デフォルトゲートウェイ)を10.20.30.254に設定されているものとします。

f:id:amagasaki820:20161008011442p:plain

 仮に10.20.30.254には10.20.40.0/24宛のパケットは10.20.30.253に転送するように設定されていたとします。

 この場合、10.20.30.1からのパケットは10.20.30.254 → 10.20.30.253 → 10.20.40.253 → 10.20.40.50のサーバへと転送されて行く形になります。

 さて、リプライパケットはどうなるでしょうか?10.20.40.50にはDGWが10.20.40.254に設定されていると仮定します。そうすると、10.20.40.50 → 10.20.40.254 → 10.20.40.253 → 10.20.30.253 → 10.20.30.1という経路を辿ることになります。往路と復路が違ってきますね…。

 

 今度はPCにスタティックルートを指定して設定した場合です。ルータに処理を任せると、経路が違ってきます。そこで、各PCに10.20.40.0/24へは10.20.30.253へルーティングするように設定しておきます。10.20.40.0/24内の機器も10.20.30.0/24へは10.20.40.253へルーティングするように設定しておきます。そうすることによって、遠回りせずに通信可能になります。まぁ、PCやサーバ等に設定を個々に追加するという面倒さはありますが。(^^;;

f:id:amagasaki820:20161008012225p:plain

   しかし、PCにスタティックルーティングを設定したくない場合もあります。その場合はルータ同士をL3接続する形を取れば解決します。3本足の出るルータ1台で解決しますが、IP-VPNサービスを提供いるキャリアやISPが「自社機器でないと管理出来ない」と言って来る可能性は高いです。それを見越した構成になっていることはあらかじめ御了承下さい。イントラ的には無問題ですし、インターネットにも問題なく出て行きます。ただし、10.20.30.254や10.20.40.254のルータでインターネットからのパケットをIP-VPN側のルータにはルーティングしないように注意する必要があります。

f:id:amagasaki820:20161008012647p:plain

 このままではインターネットから剥き出しなので、FWで通信を制限しておきたいというのが人情ですよね。そこで、どこにFWを持ってくるのがいいのかというお話になります。10.20.30.254や10.20.40.254の下に入れてしまうと、IP-VPN 経由の院内LAN間の通信にまでフィルタリングがかかることになります。「インターネットからの通信をフィルタリングする」となると、10.20.30.254や10.20.40.254よりもインターネット側に挿入することになろうかと思います。その場合は、ルータではなくFWでPPPoE接続を行うことになります。(ちょうどFWX120とRTX1210を連想していましたw)

f:id:amagasaki820:20161008013414p:plain

 別にルータは「2つの異なるネットワークを接続する」ということに限定する必要はなく、3つ以上の異なるネットワークを接続させることも可能な機種もあります。なので、LAN内に2つルータを設置するというのは、やむを得ない事情がある場合に限定した方がいいと思います。その場合もルータ側の処理ではなく、PCやサーバ側にスタティックルーティングを設定することで対応するのが望ましいです。

 ここで問題になってくるのがネットワークプリンタやNASなどですが、インターネットへの接続は不要だと割り切って(インターネット側から接続されるのはもっと問題ですから(^^;;)、DGWは IP-VPNに接続されているルータのIPアドレスを指定すべきでしょう。

 なので、最初の設計が重要だなと痛感しますね。(^^;;