pdoc 0.1 documentation

宅内環境設計

«  宅内環境   ::   Contents   ::   管理運用  »

宅内環境設計

宅内のシステム環境に関するデザイン雑感

WAN接続

以下のPPPoE接続を持つ

  • ISP1 固定IP1
  • ISP2 非固定IP1
  • フレッツスクエア

以下のL2TP接続を持つ

  • OCN IPv6 固定Prefix接続
  • OCN IPv6 非固定Prefix接続

以下の方式によって、WAN接続機器配下のノードがグローバルIPv6/フレッツIPv6の両方にアクセス可能とする

  • 宛先が”2001:c90::/32”である場合、送信元のPrefixを”2001:c90::/32”にNATする

DMZ接続

IPv4

以下のIPv4 Subnetを使用し、アドレスは各ノード静的設定を原則とする

  • X.X.X.X/24

IPv6

“OCN IPv6 固定Prefix接続”にて取得した、以下のIPv6 Prefixを使用し、アドレスは各ノード静的設定を原則とする

  • 2001:YYYY:YYYY:YYYY::/64

LAN接続

IPv4

以下のIPv4 Subnetを使用し、アドレスはDHCPによる配布を原則とする

  • X.X.X.X/24

IPv6

“OCN IPv6 非固定Prefix接続”にて取得した、以下のIPv6 Prefixを使用し、アドレスはDHCPv6/RAによる配布を原則とする

  • 2001:YYYY:YYYY:YYYY::/64

無線環境

以下の端末で無線によるLAN接続を使用可能とする

  • PC
  • ゲーム機(Wii, XBOX, PS3, DS...)

DS等の無線セキュリティがWEPまでしか使用できない端末はGuestLAN接続とし、LAN接続ノードにアクセス不可とする

UPnP対応

Skype、ゲーム機の利用に際して、UPnPによる動的ポート開放を使用可能とする

GuestLAN接続

来客用、暗号強度低のエリア

本Subnet/Prefixはグローバルアクセスのみが許可され、他のSubnet/Prefixへのアクセスは原則禁止とする

IPv4

以下のIPv4 Subnetを使用し、アドレスはDHCPによる配布を原則とする

  • X.X.X.X/24

また、本SubnetからのNAPT変換時は、FullCone NATを使用するものとする

Note

Nintendo DSによるwifi通信においては、UDPパケットによるポート開放通知作業が実施される。 この時、送信元ポートをランダムに変更するSymmetric NAT等を使用している場合、wifi経由のP2P接続が阻害される可能性があるため、 NAT配下の装置が使用した送信元ポート番号をそのまま使用する設定(または実装)を選択すべきである。 ただし、送信元ポートがNATテーブルと重複した場合、ポート番号スライド等によってポート番号が変化してP2P接続が阻害される可能性が残るため、 このパターンにおいては、複数回の接続試行によって接続時エラーを回避する必要がある。

IPv6

グローバル接続可能なPrefixが不足しているため、以下のIPv6 Prefixを使用し、アドレスはDHCPv6/RAによる配布を原則とする

  • 2001:YYYY:YYYY:YYYY::/64

無線環境

以下の暗号伝送方式で無線によるGuestLAN接続を使用可能とする

  • WEP 128bit

無線利用者は、可能な限りLAN接続を使用すること

VPN接続

L2TP/IPsec

PPTPの解析により、以後主流とする

LAN接続のSubnet/Prefixのうち、以下の範囲を使用し、アドレスはPPP設定に準ずる

  • X.X.X.X/27
  • 2001:YYYY:YYYY:YYYY::/64

PPTP

Handshakeのパケットをキャプチャされると、ブルートフォースで現実時間内にパスワード解析可能になったとはいえ、便利ではあるので一応使えるようにする

LAN接続のSubnet/Prefixのうち、以下の範囲を使用し、アドレスはPPP設定に準ずる

  • X.X.X.X/27
  • 2001:YYYY:YYYY:YYYY::/64

SSL

あまり予定は無いけどサポートしておきたいね、という話

LAN接続のSubnet/Prefixのうち、以下の範囲を使用し、アドレスはPPP設定に準ずる

  • X.X.X.X/27
  • 2001:YYYY:YYYY:YYYY::/64

各接続装置要件

ルータ

  • PPPoEセッションが3本以上確立可能
  • L2TPセッションが2本以上確立可能
  • IPv6 NATが設定可能

SW

AP

以下の選択肢のうち、いずれかを選択する

  • LAN接続/GuestLAN接続用にAPを1個ずつ設置
  • LAN接続/GuestLAN接続用にマルチAPかつAP単位でVLANが設定可能なAPを1個設置

機材選定

公開サービス

Web

DNS

«  宅内環境   ::   Contents   ::   管理運用  »