web-dev-qa-db-ja.com

ドメインコンピュータが互いに通信することを許可しない

私たちのドメインは約60台のコンピューターで構成されています。私は、Windows 10ワークステーションが互いに通信できないようにすることを任されています。私のマネージャーは、コンピューターがネットワークプリンター、ファイルサーバー、DCとのみ通信し、インターネットにアクセスできるように、静的ルートを作成するように依頼しました。

これらのコンピューターはすべて同じネットワーク上にあるため、静的ルートによってこれらのコンピューターがお互いを認識できなくなるとは思いません。ドメイン上のコンピューターがネットワークリソースを使用できるが、互いに直接通信できないようにするための最良の方法は何ですか?

9
taiwie

それをサポートするスイッチがある場合、ケーブル接続の「保護ポート」またはWi-Fi上のアクセスポイントの「クライアント分離」は、同じレイヤー2ネットワーク内のホスト間のトラフィックを排除するのに役立ちます。

たとえば、これは Ciscoスイッチ 手動によるものです。

保護ポートには次の機能があります。保護ポートは、トラフィック(ユニキャスト、マルチキャスト、またはブロードキャスト)を、保護ポートでもある他のポートに転送しません。レイヤ2の保護ポート間でデータトラフィックを転送することはできません。 PIMパケットなどの制御トラフィックのみが転送されます。これらのパケットはCPUによって処理され、ソフトウェアで転送されるためです。保護されたポート間を通過するすべてのデータトラフィックは、レイヤー3デバイスを介して転送される必要があります。

したがって、それらの間でデータを転送するつもりがない場合は、それらが「保護」された後でアクションを実行する必要はありません。

保護ポートと非保護ポート間の転送動作は、通常どおりに進行します。

クライアントを保護したり、DHCPサーバー、ゲートウェイなどを保護されていないポートに配置したりできます。

2017年7月27日更新
@ sirexが指摘したように、スタックされていない複数のスイッチがある場合、それらは実質的に単一のスイッチではなく、保護されたポート それらの間のトラフィックを停止しません

注:一部のスイッチ(プライベートVLAN Catalystスイッチサポートマトリックスで指定)は、現在、PVLANエッジ機能のみをサポートしています。「保護ポート」という用語は、この機能も指します。PVLANエッジポートには、同じスイッチ上の他の保護されたポートとの通信を妨げる制限ただし、別々のスイッチ上の保護されたポートは相互に通信できます。

その場合は、 分離されたプライベートVLAN ポートが必要になります。

状況によっては、デバイスを異なるIPサブネットに配置せずに、スイッチ上のエンドデバイス間のレイヤー2(L2)接続を防止する必要があります。この設定により、IPアドレスの浪費を防ぎます。プライベートVLAN(PVLAN)は、同じIPサブネット内のデバイスのレイヤー2での分離を可能にします。スイッチの一部のポートを制限して、デフォルトゲートウェイ、バックアップサーバー、またはCisco LocalDirectorが接続されている特定のポートのみに到達するようにできます。

PVLANが複数のスイッチにまたがっている場合、VLANスイッチ間のトランクは標準VLANポートである必要があります。

トランクを使用して、スイッチ間でPVLANを拡張できます。トランクポートは、通常のVLANからのトラフィックだけでなく、プライマリVLAN、独立VLAN、コミュニティVLANからのトラフィックも伝送します。トランキングを受ける両方のスイッチがPVLANをサポートする場合は、標準のトランクポートを使用することをお勧めします。

シスコを使用している場合は、 このマトリックス を使用して、スイッチが必要なオプションをサポートしているかどうかを確認できます。

16
sdkks

クライアントごとに1つのサブネットを作成するような恐ろしいことをした場合、これを行うことができます。これは管理上の悪夢になります。

これには、適切なポリシーを備えたWindowsファイアウォールが役立ちます。ドメイン分離のようなこともできますが、さらに制限が厳しくなります。サーバーを1つのOUに、ワークステーションを別のOUに配置して、OUごとにルールを適用できます。これを簡単にするために、プリンター(およびサーバー)がワークステーションと同じサブネット上にないことを確認する必要もあります。

https://technet.Microsoft.com/en-us/library/cc730709(v = ws.10).aspx

ネットワークプリンターについて-直接印刷を許可せず、プリンターをプリントサーバーから共有キューとしてホストした場合、これをさらに簡単にすることができます。これは長い間、いくつかの理由から良い考えでした。

これの実際のビジネス目標は何ですか?マルウェアの発生を防ぐのに役立ちますか?全体像/仕上げ線を念頭に置いておくと、要件を定義するのに役立ちます。そのため、常にそれを質問の一部にする必要があります。

11
mfinni