QA@IT
«回答へ戻る

34
 L3SWについては、買って頂けるなら今後を見据えて導入して頂くのもアリだと思います。
 しかし、質問に記載されているように3APしか存在しない構成であれば、オーバーな気がします。
 
-余談ですが、ルータが異なるネットワーク同士をルーティングしない限り、「無線を接続しても社内に入る恐れ」はないですが、同じSWに接続しているとARPスプーフィングなどの攻撃の恐れがありますので、そういったセキュリティについてもご留意くださいね。無線の場合は特に。
+
+---編集追記---
+コメントにも記載していますが、別のネットワーク(192.168.XXX.XXX/24、172.16.YYY.YYY/24とか)同士であればお互いのネットワークに到達できるようにルーティングされない限り、互いに通信ができないので、@kimurockさんの懸念点である「無線を接続しても社内に入る恐れ」は払拭されると思います。
+
+そして編集前の書き方が非常に悪く、混乱させてしまって申し訳なかったのですが、「ARPスプーフィング」などの話はまったくの余談で、ご質問の内容以外に、そういったセキュリティについても注意してもらえたらなという意図でした。
+(文脈がひどかったですね。すみません)

@stripeさんの仰る通りで、パケットフィルタで互いのセグメント間のパケットを破棄すれば、@kimurockさんのご質問は達成できるかと。
また「セグメントを分ける」という点も、@kimurockさんの思案されているように192.168.XXX.XXX/24、172.16.YYY.YYY/24とネットワークを分割すれば達成されているのでは?と思います。

もちろん、VLANで区切るのも管理の上では有効な手立てです。またSWにてVLANを行うことで、ブロードキャストドメインを分割したり、セグメント増にも柔軟に対応できますし。ご質問の通り、ルータが対応していないとだめですが・・・

もしルータのLANポートに余りがあるのなら、そこにゲスト用APを繋ぎ、物理的に分けてからルータで@stripeさんのご回答のようにパケットフィルタを書いてみてはどうでしょうか。
そうすれば物理的な事故(L2SWのメンテ中に間違えてLANを抜くとか)も防げますし、お金もあまりかかりません。ゲスト用のNWを拡張する要件があれば、そちらにL2SWを追加してもいいですし。

L3SWについては、買って頂けるなら今後を見据えて導入して頂くのもアリだと思います。
しかし、質問に記載されているように3APしか存在しない構成であれば、オーバーな気がします。

---編集追記---
コメントにも記載していますが、別のネットワーク(192.168.XXX.XXX/24、172.16.YYY.YYY/24とか)同士であればお互いのネットワークに到達できるようにルーティングされない限り、互いに通信ができないので、@kimurockさんの懸念点である「無線を接続しても社内に入る恐れ」は払拭されると思います。

そして編集前の書き方が非常に悪く、混乱させてしまって申し訳なかったのですが、「ARPスプーフィング」などの話はまったくの余談で、ご質問の内容以外に、そういったセキュリティについても注意してもらえたらなという意図でした。
(文脈がひどかったですね。すみません)

@stripeさんの仰る通りで、パケットフィルタで互いのセグメント間のパケットを破棄すれば、@kimurockさんのご質問は達成できるかと。
また「セグメントを分ける」という点も、@kimurockさんの思案されているように192.168.XXX.XXX/24、172.16.YYY.YYY/24とネットワークを分割すれば達成されているのでは?と思います。

もちろん、VLANで区切るのも管理の上では有効な手立てです。またSWにてVLANを行うことで、ブロードキャストドメインを分割したり、セグメント増にも柔軟に対応できますし。ご質問の通り、ルータが対応していないとだめですが・・・

もしルータのLANポートに余りがあるのなら、そこにゲスト用APを繋ぎ、物理的に分けてからルータで@stripeさんのご回答のようにパケットフィルタを書いてみてはどうでしょうか。
そうすれば物理的な事故(L2SWのメンテ中に間違えてLANを抜くとか)も防げますし、お金もあまりかかりません。ゲスト用のNWを拡張する要件があれば、そちらにL2SWを追加してもいいですし。

L3SWについては、買って頂けるなら今後を見据えて導入して頂くのもアリだと思います。
しかし、質問に記載されているように3APしか存在しない構成であれば、オーバーな気がします。


---編集追記---
コメントにも記載していますが、別のネットワーク(192.168.XXX.XXX/24、172.16.YYY.YYY/24とか)同士であればお互いのネットワークに到達できるようにルーティングされない限り、互いに通信ができないので、@kimurockさんの懸念点である「無線を接続しても社内に入る恐れ」は払拭されると思います。

そして編集前の書き方が非常に悪く、混乱させてしまって申し訳なかったのですが、「ARPスプーフィング」などの話はまったくの余談で、ご質問の内容以外に、そういったセキュリティについても注意してもらえたらなという意図でした。
(文脈がひどかったですね。すみません)

回答を投稿

@stripeさんの仰る通りで、パケットフィルタで互いのセグメント間のパケットを破棄すれば、@kimurockさんのご質問は達成できるかと。
また「セグメントを分ける」という点も、@kimurockさんの思案されているように192.168.XXX.XXX/24、172.16.YYY.YYY/24とネットワークを分割すれば達成されているのでは?と思います。

もちろん、VLANで区切るのも管理の上では有効な手立てです。またSWにてVLANを行うことで、ブロードキャストドメインを分割したり、セグメント増にも柔軟に対応できますし。ご質問の通り、ルータが対応していないとだめですが・・・

もしルータのLANポートに余りがあるのなら、そこにゲスト用APを繋ぎ、物理的に分けてからルータで@stripeさんのご回答のようにパケットフィルタを書いてみてはどうでしょうか。
そうすれば物理的な事故(L2SWのメンテ中に間違えてLANを抜くとか)も防げますし、お金もあまりかかりません。ゲスト用のNWを拡張する要件があれば、そちらにL2SWを追加してもいいですし。

L3SWについては、買って頂けるなら今後を見据えて導入して頂くのもアリだと思います。
しかし、質問に記載されているように3APしか存在しない構成であれば、オーバーな気がします。

余談ですが、ルータが異なるネットワーク同士をルーティングしない限り、「無線を接続しても社内に入る恐れ」はないですが、同じSWに接続しているとARPスプーフィングなどの攻撃の恐れがありますので、そういったセキュリティについてもご留意くださいね。無線の場合は特に。

@stripeさんの仰る通りで、パケットフィルタで互いのセグメント間のパケットを破棄すれば、@kimurockさんのご質問は達成できるかと。
また「セグメントを分ける」という点も、@kimurockさんの思案されているように192.168.XXX.XXX/24、172.16.YYY.YYY/24とネットワークを分割すれば達成されているのでは?と思います。

もちろん、VLANで区切るのも管理の上では有効な手立てです。またSWにてVLANを行うことで、ブロードキャストドメインを分割したり、セグメント増にも柔軟に対応できますし。ご質問の通り、ルータが対応していないとだめですが・・・

もしルータのLANポートに余りがあるのなら、そこにゲスト用APを繋ぎ、物理的に分けてからルータで@stripeさんのご回答のようにパケットフィルタを書いてみてはどうでしょうか。
そうすれば物理的な事故(L2SWのメンテ中に間違えてLANを抜くとか)も防げますし、お金もあまりかかりません。ゲスト用のNWを拡張する要件があれば、そちらにL2SWを追加してもいいですし。

L3SWについては、買って頂けるなら今後を見据えて導入して頂くのもアリだと思います。
しかし、質問に記載されているように3APしか存在しない構成であれば、オーバーな気がします。

余談ですが、ルータが異なるネットワーク同士をルーティングしない限り、「無線を接続しても社内に入る恐れ」はないですが、同じSWに接続しているとARPスプーフィングなどの攻撃の恐れがありますので、そういったセキュリティについてもご留意くださいね。無線の場合は特に。