SOHO(10人程度)よりは大きいけれど、大規模とは...利用者が100人程度で、拠点(本社、支店、工場、等)が2,3ヶ所のネットワークをいかに構成するかを記します。はじめに、ネットワーク構築に最低限必要な知識の説明をします。
インターネットでは接続している全てのパソコンやルータの一台一台に対してユニーク(重複しない)な、32bitの番号を付けます。この番号の事をIPアドレスと言います。
通常IPアドレスは上記のように32bitを8bitごとにくぎり@、各 8bitを10進数に変換しB、間に「.」を付けてC表します.
NICは世界中のIPアドレスやドメイン名を管理している組織です。 日本国内分はJPNICが管理しています。
インターネットに接続できる正式なIPアドレスを「グローバルアドレス」と言います。それに対し、インターネットには直接的に接続しないで組織内だけで使用するIPアドレスを「プライベートアドレス」と言います。
グローバルアドレスの取得は、接続するプロバイダーから割り当ててもらいます。ドメイン名の取得も含め、プロバイダーに相談しましょう。また、接続しているプロバイダーを変えるとグローバルアドレスも変わります。注意しましょう。※グローバルアドレスはインターネットに常時接続をする場合に必要で、ダイアルアップによる端末型接続の場合はほとんどの場合必要ありません。
プライベートアドレスには
の3種類が正式(RFC1597)に用意してます。どれを使うかは組織の大きさによって決めます。拠点(本社、支店、工場とか)の数と各拠点に接続されるパソコン類の数をある程度将来も想定した上でネットワーク設計をして決めましょう。
※インターネットに接続してないからと適当にIPアドレスを付けるのは止めましょう。後々面倒な事になりかねないし、もし誤ってインターネット側にデータを流しても正式なプライベートアドレスを使用していればルータが判断してトラブルを回避してくれます。
インターネットの世界で言う「ホスト」とはパソコンやルータなどIPアドレスを付けて使用する機器の事を指します。HUBなどはネットワークに接続しますがIPアドレスを付けないのでホストではありません。
1つのLAN上で構成されたグループの事を「セグメント」と言います。図では本社のLANをセグメント1とし支店をセグメント2としルータにて接続しています。さらにこの図の場合、ルータ間をNTTの専用線で接続しています。この部分も1つのセグメントとなります。
ネットワーク設計をするとき、上記のセグメントとホストの考え方は重要です。実はIPアドレスには「どのセグメント」の「どのホスト」と言った意味合いが含まれています。セグメント番号をネットワークアドレス、ホスト番号をホストアドレスと言います。32bitのIPアドレスは2つに区切られ前半をネットワークアドレス、後半をホストアドレスの意味を持ちます。どの位置で区切るかを表すのがサブネットマスクです。図の例では、プライベートアドレスCを、24bitマスクで区切っています。この例の場合、プライベートアドレスCは192.168が固定のため、セグメントを0〜255、1つのセグメントに対しホストを1〜254だけ設定が可能となります。何bitでマスクするかは自由です。組織の大きさによりネットワーク設計しましょう。
ゲートウェイとは、セグメントの出口の事でルータを意味し、そのセグメント側のIPアドレスを設定します。セグメントによっては複数のルータが存在する場合があります。通常ルータ同士はRIPなどの方法で情報交換を行ない、データをどっちに流すか制御しています。この事により、通常パソコンのゲートウェイの設定は1つでOKです。
上記の説明を元に簡単なネットワーク設計をしてみます。
セグメント ネットワークアドレス ホストアドレス 機器名 IPアドレス / サブネットマスク 1 パソコン@ 192.168.1.1 / 24 2 パソコンA 192.168.1.2 / 24 本 社 192.168.1.0 3 パソコンB 192.168.1.3 / 24 4 パソコンC 192.168.1.4 / 24 5 プリンター 192.168.1.5 / 24 254 ルータA(本社側) 192.168.1.254 / 24 253 ルータB(本社側) 192.168.1.253 / 25 1 パソコン@ 192.168.2.1 / 24 支店1 192.168.2.0 2 パソコンA 192.168.2.2 / 24 254 ルータA'(支店側) 192.168.2.254 / 24 1 パソコン@ 192.168.3.1 / 24 支店2 192.168.3.0 2 パソコンA 192.168.3.2 / 24 254 ルータB'(支店側) 192.168.3.254 / 24 専用線1 192.168.12.0 253 ルータA(専用線側) 192.168.12.253 / 24 254 ルータA'(専用線側) 192.168.12.254 / 24 専用線2 192.168.13.0 253 ルータB(専用線側) 192.168.13.253 / 24 254 ルータB'(専用線側) 192.168.13.254 / 24
※ ルータはセグメントとセグメントを繋ぐため2つのIPアドレスを持ちます。
ネットワークの構築時、回線をどうする?か問題です。1.ISDN
電話と同じで使った分だけ料金がかかります。サービスはNTTで全国どこでも簡単に設置できます。2.専用線
利用頻度が少ないときはこれ。(利用料が¥50,000を越えたら考え時)回線を月極で借りるので、どれだけ使っても料金は一定です。NTT、JT、DDI他たくさんのサービス会社が有り、料金やサービス内容に違いが有ります。3.フレームリレー
県内(近距離)に拠点が2,3ヶ所(最近、安い専用線サービスがあります。)はこれ。サービス会社の回線網を月極で借ります。専用線との違いは、網内を複数の会社のデータが流れるため、混雑時、回線速度が遅くなる事が有ります。
県外(遠距離)に拠点がたくさんあるとこれ。
※これは中、小規模で、回線速度を128k以下を想定しています。もちろん各線を混在する事も可能です。
専用線、ISDNは対抗でルータが必要なため、上の例の本社のように複数のルータを設置する事になりますが、フレームリレーの場合はフレームリレー網を使うため拠点にルータは1つで済みます。網内はIPアドレスではなく、DLCIと言う番号で管理されます。
社内ネットワークをインターネットへ接続する方法は、基本的には同じ技術で実現できます。ただ問題なのは、セキュリティーをどう考え、何を公開し、何をまもるか?ではないでしょうか。1.当然インターネット側はグローバルアドレスになります。プライベートアドレスとグローバルアドレスをどこで区切るか?
2.ホームページやe‐mail用のサーバをどこの設置するか?
3.社内に守るべき情報がどの程度あるか?(ファイアウォールが必要か?)
上図1の例はルータCによりプライベートアドレスとグローバルアドレスをIPマスカレイドなどの機能により切り分け、セキュリティー的にはルータCのパケットフィルタリング機能を使うような場合です。DNS,WWWはプロバイダーに移管しMailサーバのみ社内に置くような想定です。
上図2は図1よりもファイアウォールを置くことでよりセキュリティーを強化したかたちです。プライベートアドレスとグローバルアドレスの切り分けはファイアウォールのProxyで行ないます。DNS,WWW,Mailサーバは社内のバリアセグメント内に設置しています。
セキュリティーをどう考えるのかは非常に難しいことです。私自身もハッカーにWWWを壊された経験が有ります。ただ必要以上に怖がってもしかたありません。社内に守らないと行けない情報がどの程度あるかを、十分に考え設備するしかないと思います。
1.どんな高価なファイアウォールでも破られる。(価格は破られにくさ!!)
2.本当に重要な情報はネット上の置かない。
3.壊された場合に備え、バックアップ(ソフト、ハード)を用意する。
