このエントリーは#ssmjp Advent Calendar 2019の12/16に割り込みました(笑)
インターネットに携わったのはいまから約20年ちょっと前で、そこからイントラネット(LAN)設計や構築も経験して、運用もやってきていましたが、経験してきた中でおそらくいまでもさほど自分の中では変わっていない考えについてまとめてみました。
ただし、この考えは将来オンプレミス環境でしか通じないかもしれません。
ルーティングポリシー
- ノード間は基本どのノードもつながる(pingレベルで届く)ことが前提
- インターネットとイントラネット間はNATを利用して接続。
- デフォルトゲートウェイは必ずInternetへ出る方向に記載。2つ以上ある場合は必ずメインで利用する回線に近いほうへ設定。
- 明らかにInternetに接続しないところだけnullを設定。nullを設定する箇所はL3スイッチなどルーティング機能をもつところで記載。
- ノード間をつなげない場合はファイアウォール(FW)機能でブロック
- 行きと帰りのルートは同じ経路を通る。同じ経路を通らないところにはFWを置かない。
- ルーティングプロトコル(RIP,OSPF,BGPなど)は同じ宛先に管理上経路が2通り以上ある場合に初めて利用する。
上記ポリシーを実行した結果がもたらすもの
- ネットワーク構成図からルーティングがすぐに想像できる。
上記ポリシーを曲げて/曲げられて妥協した結果やらかした失敗
- 新たにネットワークを作ろうとして、本来書いておくべきルーティング設定がなかったためにルーティング管理が煩雑になった。
- 本番環境のリリースにおいて通信ができないトラブルを何回か起こした。
おわりに
セキュリティ上の理由でノード側にルーティングを書かないことで担保するというやり方をやってだいたいトラブルに陥ってきたので書いてみました。
あと、フィルタリングは責任分界点で記載するってのもありますが、又追々。
参考サイト
ルーティングを設定するうえで必要なIPv4のアドレス体系は以下を参照。
IANA IPv4 Address Space Registry