社内のネットワーク環境に自分の開発環境を作ってみる(2)
2022 年 12 月 12 日 by fukuこんにちは。fukuです。
今回は、前回作成した開発用ネットワークにプロジェクトで構築したネットワーク環境を追加してみます。
出来るだけプロジェクト環境は本番と同じネットワーク構成にして導入してみたいと思います。
準備
現在のネットワーク構成は以下となっています。
今回はプロジェクトAのFWを2台接続する予定なのでFWの管理層を RT-A に接続すると以下の構成となります。
ネットワーク機器が増える場合は、管理層のポート数が足りなくなるので
HUBなどを増設するのも検討が必要ですね。
環境を構築するため、以下のものを用意します。
プロジェクトA用のネットワークのアドレスを1つ(10.20.1.1)
以下、名称について
- 自分の作業用PC(以降、作業PC)
- 開発用ルータA(以降、RT-A)
- 開発用PC1(以降、PC-1)
構築
RT-A のコンフィグは以下になります。
ip route default gateway 192.168.1.1
vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan2
lan type lan1 port-based-option=divide-network
ip vlan1 address 192.168.1.20/24 ※社内ネットワーク
ip vlan1 nat descriptor 1000
ip vlan2 address 172.21.1.1/24 ※開発用ネットワーク
nat descriptor type 1000 nat
nat descriptor address outer 1000 192.168.1.110
nat descriptor address inner 1000 172.21.1.10
nat descriptor static 1000 1 192.168.1.110=172.21.1.10 1
●設定追加
接続ポートへプロジェクトAの管理層のIPアドレスを割り当てます。
ip vlan3 address 10.20.1.1/24
vlan port mapping lan1.8 vlan3
save ※保存
●結線
RT-A にプロジェクトAのFW1/2を接続します。
動作確認として、以下の内容を確認
・RT-A からFW1/2へPing応答があること
・FW1/2から RT-A へPing応答があること
上記の設定にて、物理配線と RT-A とプロジェクトAのFW1/2 間の疎通を確認できました。
あとは、作業PC と PC-1 からプロジェクトAのFW1/2へ疎通ができるようにするだけです。
NWの設定追加
■RT-A へのNAT追加
別セグメントからアクセスがある場合、管理層からの戻りルーティングが
必要となり都度追加作業が必要となるので RT-A の管理層でNATを追加します。
設定追加を行う
nat descriptor type 2000 masquerade
nat descriptor address outer 2000 primary
ip vlan3 nat descriptor 2000
save ※保存
■作業PC へのルーティング追加
作業PC は管理層へのルーティングがないので個別に追加する
# route add 10.20.1.0/24 192.168.1.20
動作確認を行う
作業PC からプロジェクトFW1/2へPing送信し、応答があること
PC-1 からプロジェクトFW1/2へPing送信し、応答があること
以上でプロジェクトAのネットワーク環境を開発環境に追加することができました。
社内ネットワークの環境であれば、ルーティングを追加するだけでプロジェクト環境へアクセスすることも可能です。
