■冬休みなのでWLANをNATの向こうに追い出した。 nwdiagで以下のような実験環境を作成。 言葉で説明すると分かりにくいかも知れません。。。 {Active|Backup}-deb-DMZと{Active|Backup}-deb-VLANはNICで分けて 2台を4台分に見せている。 {Active|Backup}-deb-WLAN用のNICを準備して、 WLAN-FW-NATを通るテストが出来るようにしたが、 ホントに何も出来ないので、実際には6台分として見える図になるはずだが省略した。 水色は仮想DMZで「{Active|Backup}-deb-DMZ」側はDMZテストをするときだけ使う。 よって、実際にはこのNICはほとんど使われない。 赤色の仮想VLAN-Trustと橙色のVLAN-Untrustに分かれているが、 実際にアクセス制御をしているのはFW-NAT。 VLAN-SwitchはポートVLANにしたが、ノンインテリジェントな8ポートスイッチが 余っているので、VLAN-Trust側は3台、VLAN-Untrust側は4台までなら増えても問題ない。 それ以上増えるなら、タグVLANに変えるかも知れない。 FW-NATが今までのWLAN-FW-NATの居た場所だが、今回はVLAN-Untrust側に移行、 WLAN-FW-NATでWAN側と同等に信頼出来ないセグメントとした。 WLAN-FW-NAT側がサービスを提供する場合は、アドレス変換(SNAT/DNAT)機能で DMZと同様に設定する。 今まではVMwarePlayerで水色と赤色、橙色の範囲の評価環境としていた。 青色環境部分を単純な仮想の内部NICにしようか、 VyattaでWLAN-FW-NAT相当の評価環境を構築するか考え中。 ほとんど何も出来ない環境を構築してもあまり面白くないので。。。 $ less mynw.diag nwdiag { FW-deb-VPNS [shape = cloud]; FW-deb-VPNS -- FW-deb-VPNC; group { // VLAN-Trust color = "#FF7777"; Active-deb-VLAN; Backup-deb-VLAN; VLAN-Switch; FW-NAT; } group { // DMZ-Standby-Group color = "#77FFFF"; FW-deb-VPNC; Active-deb-DMZ; Backup-deb-DMZ; } group { // VLAN-Untrust WinXP1; WinXP2; WLAN-FW-NAT; } group { // WLAN-NAT color = "#7777FF"; WinXP1-W; WinXP2-W; ipod-touch-W; android-W; } network DMZ-NAT { address = "192.168.X.0/24" FW-deb-VPNC [address = " .n "]; Active-deb-DMZ [address = " .n-1"]; Backup-deb-DMZ [address = " .n-2"]; FW-NAT [address = " .n-3"]; } network VLAN { address = "172.X.X.0/24" WinXP1 [address = " .n-6"]; WinXP2 [address = " .n-5"]; WLAN-FW-NAT [address = " .n-4"]; Active-deb-VLAN [address = " .n-3"]; Backup-deb-VLAN [address = " .n-2"]; VLAN-Switch [address = " .n-1"]; FW-NAT [address = " .n "]; } network WLAN-NAT { address = "10.X.X.0/24" WinXP1-W [address = " .n-4"]; WinXP2-W [address = " .n-3"]; ipod-touch-W [address = " .n-2"]; android-W [address = " .n-1"]; WLAN-FW-NAT [address = " .n "]; } network vmnet1-HOST1 { address = "172.X.Y.0/24" Active-VMHOST [address = " .1 "]; VMActive-Debian [address = " .n,n+1"]; } network vmnet8-NAT1 { address = "192.168.Y.0/24" Active-VMNAT [address = " .1 "]; VMActive-Debian [address = ".n,.n+1"]; } network vmnet1-HOST2 { address = "192.168.Z.0/24" Backup-VMHOST [address = " .1 "]; VMBackup-Debian [address = ".n,n+1"]; } network vmnet8-NAT2 { address = "172.X.Z.0/24" Backup-VMNAT [address = " .1 "]; VMBackup-Debian [address = ".n,.n+1"]; } }