我が家のネットワーク図をざっくりと描いてみた
初めて使ったんですが、draw.io すげえ便利ですね。これから使いこなしていきたいです。
そんなわけで、我が家のネットワークの論理構成図を超ざっくりと描いてみました。
(ちなみに物理配線は RackTables で管理しています)
draw.io で初めて書いた僕の処女作はこんな感じです。
特徴(本当は特長といいたい)という名のがんばったところ
- 生活線用のプロバイダー (動的 IP) と、サーバーアクセス用のプロバイダー(固定 IP)を使い分けている(実はこの構成には若干の罠がありました)
- FortiGate-60D の Internal Port は Switch モードから Interface モードに変更済み
- これにより、各 Internal ポートがそれぞれのネットワークのゲートウェイを担っている
- 各ネットワークには VLAN もあわせて設定
- 隔離レベルを上げたい GUEST ネットワークに関しては、FortiGate の VDOM (Virtual Domain) 機能により、仮想ルータを内部に作成して VDOM-root と VDOM-LINK という機能で繋ぐ
- GUEST からインターネットに出ていくときは、VDOM-root を通って WAN1 から出ていく
- GUEST ネットワークからは一部の仮想サーバーにアクセスするため、SV が使っている FortiGate のポートには VLAN200 も設定している
元々の設計ポリシーとしては、
用途別にネットワーク割ったほうが精神的によくね?
という至極単純なものからスタートしています。まー個人用途ですし、正直分けなくても全然問題ない規模なんですが、分けてあると何か大人な感じがしますよね。用途に応じてネットワーク割っちゃうよ、そんな大人になりたいです僕は。
それぞれのネットワークの用途はこんな感じです。
- LAN: 有線LAN、PC や PS4 など有線で接続する機器
- WLAN: 無線LAN、iPhone やタブレットなど無線で接続する機器
- SV: サーバー用、ハードと仮想は区別しない(するほど規模も台数もないです)
- GUEST: ゲスト用、隔離したいテスト用機材を置いたり
そして、それぞれのネットワークのポリシーをざっくりと以下のように書いています。
- LAN, WLAN -> WAN1 : Accept
- LAN, WLAN -> SV0: Accept
- SV -> WAN2: Accept
- LAN -> WLAN: 一部 Accept (FortiGate と WHR-1166DHP4 のみ)
これで、メインネットワークにある PC からは比較的自由に各ネットワークへ行け、逆方向のアクセスは入ってこないようにできます。
例えば、SV -> LAN や、WLAN -> LAN はアクセスできません。なんだか安心度が違いますね。
この構成でもう一つ必要なのはルーティングです。そのあたりについては備忘録も兼ねて別途まとめたいです。
Fortinet FortiGate-60E / FG-60E Next Generation (NGFW) Firewall Appliance Bundle with 1 Year 8x5 Forticare and FortiGuard by Fortinet
posted with amazlet at 17.09.24
Fortinet
売り上げランキング: 71,395
売り上げランキング: 71,395