【理解の一歩目】ネットワークセグメンテーション -ネットワーク-
ネットワークセグメント
IPアドレスはネットワークにつながるコンピューターやデバイスを特定する番号で、インターネットに接続する機器にはグローバルIPアドレスが必要です。
プライベートIPアドレスが割り振られている機器から直接インターネットには接続できないため、接続にはグローバルIPアドレスを持つネットワーク機器(ルーター等)がNAT(NAPT)によるIPアドレス変換を行ってインターネットに接続しています。
- 【理解の一歩目】NAT(NAPT)とポートフォワーディング
このように、物理的には繋がっているネットワークを、特定グループのデバイスのみが通信できるために区分けされた範囲のことをネットワークセグメント、ネットワークをセグメントに分けることをネットワークセグメンテーションと言います。
例えば下の図のように、糸電話1が繋がっているAからDさんと、糸電話2が繋がっているEさん、Fさんはお互いに情報を伝え合うことができますが、AさんからEさんへは、直接情報の伝達ができません。
この例では糸電話1と糸電話2がネットワークセグメンテーションされているため、AさんからEさんへの情報のやりとりは中間のネットワーク機器(L3スイッチ等)に伝言を頼んで伝えるようになります。
セグメントを分ける理由
セキュリティの向上
ネットワークセグメントを使用すると、攻撃者がネットワーク内で自由に移動する能力が制限されます。特定のセグメントが侵害されても、その影響はそのセグメントに限定される可能性があります。
パフォーマンスの向上
セグメント化により、ネットワークの一部で発生するトラフィックが他のセグメントに影響を与えることなく、ネットワークの全体的なパフォーマンスを向上させることができます。
障害の局所化
障害が発生した場合には、その影響を特定のセグメントに限定し、ネットワークの残りの部分には影響を及ぼさないようにすることができます。
管理の簡素化
セグメントごとにポリシーを適用することで、ネットワーク管理をより簡単に行うことができます。
セグメントを分ける方法
VLAN(Virtual Local Area Network)
VLANは物理的な位置に関係なく、ネットワーク内のデバイスを仮想的にグループ化します。
これにより、異なる部門やユーザーグループが同じ物理ネットワーク上で接続されていても、それぞれ隔離された通信を行えるようになります。
サブネッティング
サブネットは、大きなネットワークをより小さな論理的なネットワークに分割するプロセスです。
これはIPアドレスの効率的な使用に役立つだけでなく、ネットワークのセキュリティと管理を向上させることができます。
ファイアウォールとルーティング
ファイアウォールを使用してネットワークセグメント間のトラフィックを制御し、不要または危険なトラフィックのネットワークへの入出を防ぎます。
ルーターは、異なるネットワークセグメント間でのトラフィックのルーティングに使用され、どのトラフィックがどのセグメントに送信されるべきかを決定します。
まとめ
一般家庭のネットワークをセグメンテーションしている方はまだ少ないと思いますが、ネットワークセグメンテーションはセキュリティやパフォーマンス、管理の面で多くの利点があります。
- 【自宅LAN】セキュリティレベルに応じた自宅ネットワークの分離 – UniFi Dream Router –
- 【自宅LAN】トラフィックルールでアクセス制限・許可の追加 – UniFi Dream Router –
また、セグメンテーションの方法と原理を理解していないと、セグメントを跨いだ(別のセグメントに対する)通信が必要になった際に思うように動作しない可能性もあります。
ここでは詳細な原理や動作方法までは記載していませんが、今後の学習に必要な基礎知識として、まずはネットワークセグメントの概要とセグメント間の通信には設定が必要なことを知っておいて下さい。