designetwork

ネットワークを軸としたIT技術メモ

自宅ネットワーク構成

f:id:daichi703n:20150806011100j:image

最初の記事ということで、自宅ネットワーク構成を書いておく。
自宅ラボとまではいかず、箱を増やすよりは仮想アプライアンスを試していく方針。
 

ネットワーク構成

(ちゃんとした構成図は別途作成中)
internet(nifty)
(outside)PPPoE
ASA5505
│(dmz)V50 192.168.50.0/24
│├DMZサーバ
│└DMZサーバ
│(inside)V100 192.168.1.0/24
├PC(Win7)
VPN Pool
├AP1131AG
│├(802.11g)自分用
││├iPhone6
││└Nexus7
│└(802.11a)ゲストWi-Fi
│ └ゲストiPhoneなど
├Netscreen5-GT
└SSG5
 │(trunk)V100
 └ESXi5.5(Standard)
  │V100
  └VyOS
   │V200
   ├Win8(VM)
   ├MacOS(VM)
   ├CentOS(VM)
   └CSR1000V
 

インターネット接続

インターネットにはフレッツをASAで受けている。
固定IPは契約していない。
 

リモート接続

外からLTE経由で接続するため、ASAにはIPsecの設定をしている。
IP直書きで接続するため、再起動などでIPが変わるとめんどくさい。
VPN接続端末のインターネットトラフィックIPsecではなくインターネットに向かうよう、スプリットトンネルも設定している。
 

無線

うちの無線の特徴は、二つのインタフェースを使い分けていることである。
共有キーでセキュリティを保つ普通の無線
ビーコンは出しているのでSSID自体は見える。

  • 802.11a ゲスト用(インターネットのみ)
共有キー設定なしで誰でも繋げられる。
802.11aインタフェースのinで以下のようなACLをかけることで、インターネット接続のみを許可する。
permit icmp any any
deny ip any 192.168.0.0 0.0.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 10.0.0.0 0.255.255.255
permit ip any any
切り分けのためにICMPは許可しておく。
 
本当はASAでVLAN分割してSecurityLevelで制御したいけど、ASA5505(Standard)だとVLANトランク不可…

VM環境

順次試験予定
クライアント環境を配置して、VPN経由でリモートデスクトップ接続している。
Win8iPhoneやNexus7で接続するとタッチ対応のため本物っぽくなる。
以下、試したいこと
  • VyOSでインターネット接続
  • DMZ構築
  • LAMP環境構築
  • CSRでVXLAN構築
色々やってみたいことはあるので、しっかりと形にしていきたい。