アドレスが重複する社内通信
2つの内部ネットワークでIPアドレスが重複している(または一部重複している)場合、Security Gatewayが有効になります。
-
重複する内部ネットワーク間の通信。
-
重複する社内ネットワークと社外との通信。
-
重複する内部ネットワークごとに異なるセキュリティポリシーの実施。
ネットワーク構成例
トポロジの例:
例えば、ネットワーク2Aとネットワーク2Bが同じアドレス空間(192.168.1.0/24)を共有しているとする。
したがって、標準的なNATを使って2つのネットワーク間の通信を可能にすることはできない。
その代わりに、インタフェースごとにオーバーラッピングNATを実行する必要がある。
-
ネットワーク2Aのユーザがネットワーク2Bのユーザと通信するには、192.168.30.0/24ネットワークを宛先として使用する必要があります。
-
ネットワーク2Aのユーザと通信したいネットワーク2Bのユーザは、192.168.20.0/24ネットワークを宛先として使用する必要があります。
セキュリティゲートウェイ(4)は、このようにして個々のインタフェースごとにIPアドレスを変換する:
|
インタフェース |
インタフェースでのIPアドレス変換 |
|---|---|
|
4A |
|
|
4B |
|
|
4C |
このインタフェースには重複NATは設定されていません。 代わりに、通常の方法でNAT Hideを使用して(インタフェース単位ではありません)、インタフェースのIPアドレス(192.168.4.1)の背後にソースアドレスを隠します。 |
コミュニケーション例
例1 - 内部ネットワーク間の通信
ネットワーク2AのIPアドレス192.168.1.10のユーザ1Aが、ネットワーク2BのIPアドレス192.168.1.10(同じIPアドレス)のユーザ1Bに接続したい場合、ユーザ1AはIPアドレス192.168.30.10への接続を開始します。
例2 - 内部ネットワークとインターネット間の通信
ネットワーク2AのIPアドレス192.168.1.10のユーザ1Aは、インターネット(3)のIPアドレス192.0.2.10に接続する。
ルーティングの考慮事項
ネットワーク2Aからネットワーク2B(上の例)へのルーティングを許可するには、セキュリティゲートウェイに必要なルートを設定する必要があります:
|
宛先ネットワークアドレス |
デフォルトゲートウェイ |
|---|---|
|
192.168.20.0 / 24 |
192.168.2.2 |
|
192.168.30.0 / 24 |
192.168.3.2 |
設定方法についてはR81.20 Gaia Administration Guide> 章"ネットワーク管理">セクション"IPv4スタティックルート"。
オブジェクトデータベースの設定
オーバーラップNAT機能を有効にするにはDatabase Tool (GuiDBEdit Tool)または、dbedit コマンド(skI3301 参照)。
この例のネットワークでは、インタフェース4Aとインタフェース4Bのインタフェースごとの値は次のとおりである:
|
パラメータ |
値 |
|---|---|
|
enable_overlapping_nat |
true |
|
overlap_nat_dst_ipaddr |
重複しているIPアドレス(NAT前)。 この例では、両方のインタフェースに192.168.1.0を指定しています。 |
|
overlap_nat_src_ipaddr |
NAT後のIPアドレスです。 この例では:
|
|
オーバーラップネットマスク |
重複するIPアドレスのネットマスク。 この例では255.255.255.0。 |