■冬休みなのでWLANをNATの向こうに追い出した。
nwdiagで以下のような実験環境を作成。
言葉で説明すると分かりにくいかも知れません。。。
{Active|Backup}-deb-DMZと{Active|Backup}-deb-VLANはNICで分けて
2台を4台分に見せている。
{Active|Backup}-deb-WLAN用のNICを準備して、
WLAN-FW-NATを通るテストが出来るようにしたが、
ホントに何も出来ないので、実際には6台分として見える図になるはずだが省略した。
水色は仮想DMZで「{Active|Backup}-deb-DMZ」側はDMZテストをするときだけ使う。
よって、実際にはこのNICはほとんど使われない。
赤色の仮想VLAN-Trustと橙色のVLAN-Untrustに分かれているが、
実際にアクセス制御をしているのはFW-NAT。
VLAN-SwitchはポートVLANにしたが、ノンインテリジェントな8ポートスイッチが
余っているので、VLAN-Trust側は3台、VLAN-Untrust側は4台までなら増えても問題ない。
それ以上増えるなら、タグVLANに変えるかも知れない。
FW-NATが今までのWLAN-FW-NATの居た場所だが、今回はVLAN-Untrust側に移行、
WLAN-FW-NATでWAN側と同等に信頼出来ないセグメントとした。
WLAN-FW-NAT側がサービスを提供する場合は、アドレス変換(SNAT/DNAT)機能で
DMZと同様に設定する。
今まではVMwarePlayerで水色と赤色、橙色の範囲の評価環境としていた。
青色環境部分を単純な仮想の内部NICにしようか、
VyattaでWLAN-FW-NAT相当の評価環境を構築するか考え中。
ほとんど何も出来ない環境を構築してもあまり面白くないので。。。
$ less mynw.diag
nwdiag {
FW-deb-VPNS [shape = cloud];
FW-deb-VPNS -- FW-deb-VPNC;
group {
// VLAN-Trust
color = "#FF7777";
Active-deb-VLAN;
Backup-deb-VLAN;
VLAN-Switch;
FW-NAT;
}
group {
// DMZ-Standby-Group
color = "#77FFFF";
FW-deb-VPNC;
Active-deb-DMZ;
Backup-deb-DMZ;
}
group {
// VLAN-Untrust
WinXP1;
WinXP2;
WLAN-FW-NAT;
}
group {
// WLAN-NAT
color = "#7777FF";
WinXP1-W;
WinXP2-W;
ipod-touch-W;
android-W;
}
network DMZ-NAT {
address = "192.168.X.0/24"
FW-deb-VPNC [address = " .n "];
Active-deb-DMZ [address = " .n-1"];
Backup-deb-DMZ [address = " .n-2"];
FW-NAT [address = " .n-3"];
}
network VLAN {
address = "172.X.X.0/24"
WinXP1 [address = " .n-6"];
WinXP2 [address = " .n-5"];
WLAN-FW-NAT [address = " .n-4"];
Active-deb-VLAN [address = " .n-3"];
Backup-deb-VLAN [address = " .n-2"];
VLAN-Switch [address = " .n-1"];
FW-NAT [address = " .n "];
}
network WLAN-NAT {
address = "10.X.X.0/24"
WinXP1-W [address = " .n-4"];
WinXP2-W [address = " .n-3"];
ipod-touch-W [address = " .n-2"];
android-W [address = " .n-1"];
WLAN-FW-NAT [address = " .n "];
}
network vmnet1-HOST1 {
address = "172.X.Y.0/24"
Active-VMHOST [address = " .1 "];
VMActive-Debian [address = " .n,n+1"];
}
network vmnet8-NAT1 {
address = "192.168.Y.0/24"
Active-VMNAT [address = " .1 "];
VMActive-Debian [address = ".n,.n+1"];
}
network vmnet1-HOST2 {
address = "192.168.Z.0/24"
Backup-VMHOST [address = " .1 "];
VMBackup-Debian [address = ".n,n+1"];
}
network vmnet8-NAT2 {
address = "172.X.Z.0/24"
Backup-VMNAT [address = " .1 "];
VMBackup-Debian [address = ".n,.n+1"];
}
}
