WindowsServer 2012 R2のサポート切れに伴い、WindowsServer 2022の新規サーバー構築するため、YAMAHA RTX1210を使用し閉域の検証環境を用意していました
しかし、メールソフトやアップデート等インターネット接続をしないと検証できない問題がでてきてしまったのでインターネット接続が必要になりました
インターネット回線は本番環境用の1本しかないので、本番環境を通らないとインターネット接続ができません
本番環境の業務LANとはもちろん通信させたくないので通信できないようにする必要があります
また、検証環境と本番環境のセグメントが被っているのでNAT変換も必要です
今回の設定で実施すること
検証環境
・本番環境ルーターへ接続するLANの設定(業務LANと分けるためLAN2に設定します)
・NAT変換
・ルーティング設定(インターネット接続用のデフォルト経路設定と、業務LANの経路設定)
本番環境
・検証用のVLANを作成
本設定を実施する前の構成
検証環境
・YAMAHA RTX1210を使用して閉域の社内ネットワークを構成
・LAN1(192.168.200.1/24)はネットワーク機器のアドレスとして使用
・VLAN1/1(192.168.0.1/24)は業務用LANその1として使用
・VLAN1/2(192.168.2.1/24)は業務用LANその2として使用
・VLAN1/1に接続しているPCのDNSは、同じセグメント内に構築したDNSサーバーを指定
※ ゲートウェイアドレスはそれぞれのセグメントの第4オクテットを1で設定しています
.png)
本番環境
・YAMAHA RTX1300を使用してネットワークを構成
・LAN2はインターネット接続に使用
・LAN1(192.168.100.1/24)はネットワーク機器のアドレスとして使用
・VLAN1/1(192.168.0.1/24)は業務用LANその1として使用
・VLAN1/2(192.168.2.1/24)は業務用LANその2として使用
・VLAN1/3(192.168.3.1/24)は業務用LANその3として使用
※ ゲートウェイアドレスはそれぞれのセグメントの第4オクテットを1で設定しています
.png)
設定完了後の構成
検証環境のVLAN1/1およびVLAN1/2のネットワークがインターネット接続できるようにします
流れとしては検証環境のLAN2から出て、本番環境のVLAN1/4を通ってインターネットに接続します
検証環境のLAN2から出ていくときに192.168.99.1/24のセグメントのIPアドレスにNAT変換します
設定手順
検証環境
LAN設定
LAN2の設定をします
RTX1210に接続し、[詳細設定]-[LAN]-[IPアドレス]を開きます
LAN2の設定をクリックします
プライマリーアドレスに192.168.99.1/24を設定します(DHCPは不要です)
確認画面をクリックして設定を登録します
NAT設定
[詳細設定]-[NAT]を開きます
新規をクリックする
以下のように設定する
NATディスクリプター番号:1(何でもよい)
変換方法:NAT
外側アドレス:範囲指定 192.168.99.99(ダミーのアドレス)
内側アドレス:範囲指定 192.168.2.99(ダミーのアドレス)
※ 外側と内側アドレスは動的NATの設定であり、静的NATのIPアドレス指定はこの次の項で実施するが、ここの欄を入力しておかないとエラーになるのでダミーのIPアドレスを入れる(yamahaのサイト参考:23.6 静的 NAT エントリの設定 (yamaha.co.jp))
静的NATの設定を実施する
インターネット接続をする検証環境機器のIPアドレスは以下の通り
192.168.0.2(業務LAN1クライアントPC)
192.168.0.250(業務LAN1サーバー)
192.168.2.250(業務LAN2サーバー)
これらを検証ルーターのLAN2から出るときに以下のように変換する
192.168.0.2(業務LAN1クライアントPC)⇒192.168.99.2
192.168.0.250(業務LAN1サーバー)⇒192.168.99.250
192.168.2.250(業務LAN2サーバー)⇒192.168.99.251
識別番号:任意の番号だが、わかりやすいよう1から順番につける
外側アドレス:LAN2から出ていく時の変換後アドレス
内側アドレス:LAN2から出ていく時の変換前アドレス
ネットマスク:指定しない(繰り返し回数かネットマスクかどちらか一方しか登録できないので今回は繰り返し回数を指定する)
繰り返し回数:1回(2以上にすると、連続したIPアドレスを指定できる。例えば識別番号1の繰り返し回数に2と入力すると192.168.99.3⇒192.168.0.3も登録される)
全て設定したら確認をクリックする
LAN2へNATを適用する
[詳細設定]-[NAT]-[インターフェースの一覧]からLAN2の設定をクリックする
適用するNATディスクリプターの一覧のタブが、順方向になっていることを確認し、先ほど設定したNATディスクリプターにチェックを入れて、先頭に追加をクリックする
確認をクリックする
ルーティング設定
[詳細設定]-[ルーティング]を開きます
静的ルーティングの一覧で新規をクリックします
以下の通り設定し、確認をクリックする
宛先ネットワーク:デフォルト経路
ゲートウェイ1:192.168.99.254(本番環境に後で作成するVLAN1/4のゲートウェイのIPアドレス)
他に設定すべきルーティングがないかを確認します
[詳細設定]-[ルーティング]でルーティング情報の詳細をクリックします
192.168.0.0/24、192.168.2.0/24、192.168.99.0/24、192.168.200.0/24の経路については検証ルーターでLANやVLAN設定をした際にすでに自動で作成されています
しかし、本番環境で使用されているネットワークである、192.168.3.0/24(業務LANその3)や192.168.100.0/24(本番環境ネットワーク機器用ネットワーク)は設定されていません
この2つの経路宛に通信があった場合、そのままだとデフォルト経路を通ってしまいますので、検証環境LAN内から通信が出ないようにルートを設定します(IPフィルターで設定しても構いませんが、こちらの方が根本的に通信を遮断できると思ったのでこの方法でいきます)
再度静的ルーティングの一覧を開き、新規をクリックします
ネットワークアドレスに下記を入力し、確認をクリックします
宛先ネットワーク:ネットワークアドレス 192.168.3.0/24
ゲートウェイ1:192.168.0.1(検証業務LANのゲートウェイを指定。192.168.2.1でもよい)
同様の手順で下記も登録します
宛先ネットワーク:ネットワークアドレス 192.168.100.0/24
ゲートウェイ1:192.168.0.1(検証業務LANのゲートウェイを指定。192.168.2.1でもよい)
本番環境
※ 本作業は再起動は発生しませんが、設定ミスをすると本番環境へ影響が出ます
※ 必ず自己判断の上、実施する場合も業務影響ない時間帯での実施をお願いします
VLAN作成
検証環境のLAN2から通信できるようVLANを作成します
本番環境のルーターRTX1300に接続します
[LANマップ]-[タグVLAN]を開きます
新規をクリックします
以下のように設定し、確定をクリックします
VLAN ID:何でもよいですが、今回は99とします
名前:わかりやすいように検証用とします
ルーターのIPアドレス:192.168.99.254(検証環境のIPアドレスと被らないように注意)
DHCPサーバー機能:使用しない
検証用から参加ポート選択をクリックします
対象のポートを選択した上で、確定をクリックする
※ 選択するポートは不要な通信を防ぐために最低限にしましょう
まとめ
上記設定で本番環境の業務LANには通信しない上で、検証環境のVLAN1/1とVLAN1/2からインターネット接続することができました
もともと検証環境や開発環境がある大きい企業でしたら本作業のようなものはそもそも必要ないと思いますが、そういった環境がなくインターネット回線も限られている場合には本記事がご参考になれば幸いです
コメント