前提条件
1.以下の機器で構成されます。
■Windowsサーバ×1台
■ハブ/ルータ×1台
■BOX×複数台
◆WindowsPC×1台
◆通信機能付き機器(以下H/W)×複数種類複数台
◆ハブ/ルータ×1台
2.PCは、H/Wと通信(TCP/IP、SNMP)します。別のBOX内のPC、H/Wとは通信しません。
3.PCは、サーバにHTTPで通信します。H/Wはサーバに通信しません。
4.H/Wにはプライベートアドレスしか設定できません。
5.インターネットには接続しません。
実現したいのはこの2点です。
A.アドレスの設定作業を簡略化するため、BOX内の機器に同じアドレスを設定したい。
BOX1のPC->192.168.10.1
BOX1のH/W A->192.168.10.2
BOX1のH/W B->192.168.10.3
BOX2のPC->192.168.10.1
BOX2のH/W A->192.168.10.2
BOX2のH/W B->192.168.10.3
B.サーバからすべてのBOX内のPCに、一度に同じ命令を送りたい(SNMP TRAPなど)。
ルータを使えばAは実現できそうな気がするんですが、ネットワークに疎いのでいまいち確信が持てません。
Aが実現できれば、Bは実現できなくても構いません。
ご質問のないようだと個々のboxのゲートウェイも同じアドレスにしたいと、取れますので、
サーバとboxとの境界それぞれに、static NATをサポートしているルータがいります。
この場合だと、box1とbox2ということであれば、2台。(一台では普通無理だと思います)
サーバ方向からPCを見た場合に対して、PC個々に別々のnatのアドレスが要ります。
(ですので、サーバからはpc1とpc2は別アドレスになるように)
※あとあと、数回やりとりしそうなので、コメントonにしてもらえるとありがたいです。
> BOX1内からPC1をみると192.168.0.1
> BOX2内からPC2をみると192.168.0.1
は、192.168.10.1の間違いですよね?
※ただ、普通の管理内で、おなじネットワークセグメントのエリアをつくる構成は作らないです。
トラブルの元になりますので。
>> BOX1内からPC1をみると192.168.0.1
>> BOX2内からPC2をみると192.168.0.1
>は、192.168.10.1の間違いですよね?
そうです。質問内容を見ないで書いたので間違えました。
>トラブルの元になりますので。
なるほど。たしかにそれは考えたほうがいいかもしれませんね。
単純にBOXを複数台設置することを考えると、アドレスをそれぞれの機器に振るのが面倒なのでこういう構成にしようと思っただけです。なので、デメリットのほうが多いとわかれば変更も考えます。
一般消費者向けのブロードバンドルータは、インターネット回線の
モデム(ONU/MC等)に接続するWANポートと、パソコン等を接続する
LANポート(※)に分かれていることが多いと思います。
※4ポートくらいのスイッチングハブになっているものが多い
またWANポートはプロバイダから(グローバル)IPの自動割当てを受けて、
LANポートには 192.168.x.x とかのプライベートIPアドレスを割り当てて、
ルータがアドレス・ポート変換(IPマスカレード)を行い、プライベート
IPアドレスを持つ複数のパソコンが、同時にインターネットと通信
できるようになっていることが多いと思います。
一方業務用のルータの場合は各ポートに lan1 ,lan2, lan3 ... とか、
Ethernet0, Ethernet1 ... みたいな名前が付いていて、どれがWAN用、
LAN用ということはなくて使う人が決めるものもあります。
> ルータのUDPポート161番や162番に届いたパケットをPCに転送するとか。
すみません。Linux機で stone とかを使ってやったことはあるんですけど
ルータでやったことはないです。。。
YAMAHAのルータだったらこんな設定でいけそうな気がしますが、
試してはいません。。。
# BOX1を想定
ip lan1 address 192.168.10.254
ip lan2 address 172.20.1.1
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 172.20.1.1
nat descriptor masquerade static 1 1 192.168.10.1 udp 161
また devichan さんのおっしゃる static NAT を使うと、ルータのサーバ側の
アドレスに届いたパケットを全部PCに転送するような形になるので
SNMPに限らずなんでもできるようになるとは思います。
そんなに面倒なことはないと思いますよ。
>なので、デメリットのほうが多いとわかれば変更も考えます。
デメリットの方が多いってことはないと思います。
(民製品を想定するなら)
設定でいえば
・ルータの設定にstatic NAT設定が必要になるだけ。
>>>1セグメントであれば、HUBのみであり、設定不要。
>>>>1セグメントであり、かつ、フィルタが必要であれば、
(FW付き:今発売されているのはついてます)ルータが必要。
機器数でいえば、
・セグメント毎にルータが必要。
===セグメントが複数ある場合は、ルータはセグメント数分必要。(HUBでは無理)
私自身であれば、自分の管理範囲内(LAN)であり、機器をきちんと管理していくのであれば、
たんなるルータもしくは、HUBを間にはさんでルーティングかけている方が、私としては、その方が管理しやすいと感じます。
(ルーティングとかNATとかフィルタできるHUBは、業務用になってしまいますね。。。1台安くても10万はします。ルータであれば民製ので対応可能です)
※また、機器は少ないようですし、私だったら1セグメントにしてしまいます。
(セグメントわけする意味が見つかりませんし、その方が費用掛かりませんから)
か、セグメント分けして色んなメーカーのルータを個々のセグメント境界に設置して、そのルータをいじりたおして遊んでしまうかもしれません。
-------------------------------------------
[bayanさんの構成・設定を例にして]
ルータをNAT設定にして、サーバ側からPC側へパッケットが届くようにするには、static NATでしか届きません。
(この場合、サーバ発信のパケットの場合です。
UDP/IPは、セッションを張りません
ので、片方向通信といったほうが、いいのでしょうか
・・・わかりにくかったら言ってください、
逆セッションも考慮しなければなりません
TCP/IPはセッションを張ります、
ですので、PC側からサーバ側への通信において、
サーバ側からPCへは逆セッションで張にきます。
この場合の逆セッションはNATでも通過します。
[参考:業務用のL7レベルの定義ができるFW装置の大半は、
UDPも疑似TCPとして、パケット管理しています。
ですので、逆セッション定義の必要はないのです。]
)
民製のルータであれば、DMZサーバ公開機能付き??(メーカーによって呼び名が違うかも)というのがそれに該当します。
(ただ、1アドレスのみの可能性があります。)
※昔昔のルータとかはFW付きではありませんでした、
FWの代用にフィルタ設定とかで対応できるのですが
逆セッション用に定義が必要でした。(TCP・UDPは関係ありません。すべての通信を片方向の通信とみなければいけなかったのです)
ふぅ・・・一休み・・・・
返事が遅れて申し訳ありません。
お二人の意見を参考に、ネットワーク構成を考えてみるつもりです。
今のところ、1セグメントにする方向で考えてみるつもりです。BOXからサーバはいいとしても、その逆はなにかと難しそうなので、自分の知識だとトラブルのもとになりそうな気がするので。
いろいろ詳しい解説をありがとうございました。
がんばってください。
時間があるときにでも(できれば)ルータ等を使ってセグメント分けにも挑戦してみてください。