マルチレベルルーターのルール - TechRepublic

最初の投稿です！

農場のネットワークを拡張してきました。オフィスクライアント数台とサーバー数台だけのシンプルなダムスイッチから、今では20台の無線バックホール、ポンプステーション、オートメーション、PLC、リモートカメラなど、とてつもなく大きな道のりでした。

この夏、いくつか大きな変更を行いました。基本的には、すべてのサイトと拠点を接続する「バックホール」または「バックボーン」ネットワーク（10.0.0.0）を構築しました。「ルーター0」の10.0.0.1は、メインのファイアウォールであり、WWWへのゲートウェイです。このネットワークには、様々な拠点を接続する無線リンクが接続されています。このネットワークには、様々な拠点にサービスを提供する約20台のルーターが設置されています。これらのルーターを導入する際には、各拠点を反映するサブネットをルーターの背後に作成するように注意しました。

10.0.0.20 – メインオフィスルータ
10.20.1.0 – メインオフィス管理サブネット
10.20.2.0 – MOデータ
10.20.3.0 – MO電話
10.20.4.0 – MOカメラ
10.20.5.0 – MO PLC

この構造をすべての拠点に複製しました。例えば、穀物倉庫の拠点には次のような構造があります。

10.0.0.30 – 穀物エレベータールーター
10.30.1.0 – GE 管理
10.30.2.0 – GE データ
…など

ファイルサーバー、DNSサーバー、ドメインコントローラー、カメラNVR、MQTTブローカーなど、特定のルーターの背後にネットワークリソースが配置されています。現在、私は全てをオープンにしています（これは基本的に以前のセキュリティ設定と同じです）。ルーター0には、WWWの主要なセキュリティルールが設定されています。

今後、サーバーリソースへのアクセスを制限し、アクセスを一切許可する必要のあるユーザーをネットワークに追加したいと考えています。具体的には、ルーターの背後にある特定のサブネットが対象となります。例えば、以下のようになります。

WWW
ルーター 0 – 10.0.0.1
—
MO ルーター – 10.0.0.20
GE ルーター – 10.0.0.30
—
MO サーバー サブネット – 10.20.10.0
GE DATA – 10.30.2.0
GE GUEST – 10.30.7.0
—
GE DATA サブネットが MO サーバー サブネットにアクセスできるようにしますが、GE ゲスト サブネットが MO サーバー サブネットにアクセスしないようにします。

私が考えていた解決策の一つは、グローバルリソース（MOサーバーサブネット）をバックホールのサブネット（10.0.100.0）に移動することです。そして、10.0.0.0ネットワークに入る前に、リソースの発信元サブネットに基づいてこのサブネットへのアクセスを許可します。

これは可能ですか？どのような解決策をお勧めしますか？

現在のハードウェアは次のとおりです:
Ubiquiti セキュリティゲートウェイ – ルータ 0 と MO ルータ
Ubiquiti エッジルータ – GE ルータとさまざまなエンドポイント

私は一人でITに携わっているため、unifiとunmsのプラットフォームとハードウェアを担当しています。必要に応じて、ハードウェアの小規模な変更にも対応します。

ご視聴ありがとうございました！