企業のネットワークを構築する際に、最初に考えなくてはならないことが「社内ネットワークの設計」です。
ここは意外と意識されていないことが多く、IPアドレスなどはデフォルト値をそのまま使っているケースも多いです。
1社1拠点で運用している限りはあまり意識しなくても問題は起きにくいのですが、拠点間運用を始めたり、外部との接続が必要になってくると問題になってくるケースが出てきます。
一度運用が始まってしまうとなかなか変えにくい部分なので、「なぜここを考慮したほうが良いのか」という点を踏まえて設計してみたいと思います。
今回のネットワーク設計変更でいちばん実現したかったのが
「社内のネットワークから 192.168.1.0/24 をなくす」
というテーマでした。
のっけから専門的な記載をしていますが、この部分はとても大切なところだと思うので少し細かく説明します。
市販されているルータを使ってインターネットに接続するとき、内部アドレス(ローカルアドレスとも呼ばれる)を設定する項目があります。
一般的には
・192.168.100.0/24 (YAMAHAルータの初期値:192.168.100.1から192.168.100.254)
・192.168.10.0/24 (NECルータの初期値:192.168.10.1から192.168.10.254)
・192.168.12.0/24 (Buffaloルータの初期値:192.168.12.1から192.168.12.254)
あたりがあらかじめ設定されています。
ここで「/24」というのはピリオドで区切られた最後のカタマリの数字が1から254を指す置き換え表現だと思ってください。
※厳密には0から255なのですが、0と255は特殊な用途で使われて表には出てこないのでここでは1から254としています。
インターネットに接続するためには、それぞれの機器にIPアドレスを割り振る必要があります。電話における電話番号のようなものです。
お互いの機器が正しく通信するためには、それぞれの機器でIPアドレスが重複しないように割り当てなければなりません。
電話番号のようにあるところから重複していないことが確実な番号が割り当てられれば良いのですが、バラバラな番号を割り当てられても不便ですし、インターネットに接続する機器が爆発的に増えている現状では数が足りなくなってきました。このため単純に販売する1つのハードウエアごとに番号をあらかじめ割り当てるのは難しいのです。
そのため、一般的にインタネットに接続するためには、ルータと呼ばれる機械を使ってこの問題を解決しています。(厳密にはルータが提供するNATまたはIPマスカレードという機能を使って)
ルータはプロバイダから割り当てられた1つ(以上)のIPアドレス(これをグローバルIPアドレスと呼びます)と、複数からなるローカルアドレスというものを変換しています。
社内間では内線番号が通知されますが、社外にかけるときは相手に内線番号ではなく外線番号が通知される交換機と同じようなことをしています。
ローカルアドレスとは電話の内線番号みたいなものです。内線番号なのでローカルアドレスは次のものから好きなものを選んでつけることができます。
・10.0.0.0から10.255.255.255.255
・172.16.0.0から172.31.255.255
・192.168.0.0から192.168.255.255
つまり、10.5.12.0/24 とか、172.30.18.0/24 とか好きなものを選べます。
このあたりは深く追及するといろいろあるのですが、とりあえず「.」で区切られた最初の3つがひとカタマリで、最後の1つのカタマリが1から254まで割り当てることができるくらいに考えてください。200名位までの中小企業であれば、この考えで構築するのがシンプルですし、慣れて来る頃にはネットワーク体系の付与の仕方が徐々にわかるようになります。
つまるところ、上記の中から、最初の3つのカタマリをひとつのグループとして、最後のひとカタマリをそれぞれの機器で重複しないように割り当てるということになります。
そういうことなので、YAMAHAは 192.168.100 を、NECは192.168.10 を、Buffaloは192.168.12 を選んでいます。
で、ここで「所詮内線なのだから何を選んでもよいじゃないか、初期値でも何か問題あるのかな?」と思うことは自然です。
大半のケースでは初期値を使っても問題になることはありません。
大規模なネットワークを作ったり、VPNで複数個所とつなぐような場合は相手先と重複するものが存在してしまうと何かと不都合なので、ローカルアドレスはできる限り重複しにくいものを計画的に付与したほうが良いのです。
一般的にルータの初期値は 192.168.XXX という状態なので、10から始まる体系か172から始まる体系にしておくほうが他の人が選んだものと重複しにくいと考えられます。
私の勤める会社では一時的にお客様先とVPN接続をすることがあるのですが、お客様先で192.168.1.0/24 が使われていることがあったりすると、通信がうまくできないことがあり、とても面倒です。
お客様が何を選んでいるかを先に知ることはできないので、あらかじめ重複する確率が低いIPアドレス体系を選んでおいたほうが何かと無難です。
今回はルータが属するゲートウェイサブネット、サーバ群が属するサブネットA、社内のPCが属するサブネットBに分けました。
(ここでの説明では「サブネット」とはさいしょの3つのカタマリが同じグループ」と考えてください)
小規模だとネットワークを分けずに1本でもよいでしょうが、後々アドレスが足りなくなることもありますので(1から254までの合計254個しか使えない)、用途別に分けておいてもよいと思います。
今回の構成(例)
・本社のメインネットワークには 10.231.1.0/24
・本社のサーバ系ネットワークには 10.231.5.0/24
・本社のPC系ネットワークには 10.231.11.0/24
・支店のメインネットワークには 10.232.1.0/24
・支店のPC系ネットワークには 10.232.11.0/24
ここで注目すべきは2つ目の塊の数字です。
今回は本社に231、支店に232を割り当てています。
最初の塊が10から始まるものは2つ目の塊に0から255までの好きな数字を割り振ることができます。
ここでは本社と支店という物理的なエリアがわかるように数字を分けています。
231という数字にはあまり意味がありません。
10.1.0.0/24とか、10.20.30.0/24とかいう数字だと何となくほかの人も使いそうですので、あえて使われることがなさそうな後半の適当な番号を選んでいます。
また、3つ目の塊でそのネットワークに接続されている機器が大体何かをわかるようにしています。1なら通信の関連機器、5ならサーバ関連、11ならPCと。
10.231.11.100 というIPアドレスを見るだけで、本社にあるPCだということがわかります。
また、サーバ系とPC系のネットワークを分けておくと最初の設定はちょっとだけ面倒になりますが後々制限をかけたり緩めたりするのに便利です。
上記の構成をとろうとすると、本社で3つのサブネット、支店で2つのサブネットが必要になります。
※実際には、既存のネットワークを移行する期間もあり、私の勤める会社では移行期間限定で 192.168.1.0/24 のネットワークを残しています。
(当初の目的が達成されていないじゃん、という声も聞こえそうですが、動いているシステムを変更する際にはいろいろ調整があるので、将来を想定したネットワークを作り、徐々に変更するのも一つの方法です)
このためネットワークがやや複雑になっているのですが、ユーザーに影響を与えないための移行って案外面倒なのです。
なので、最初からよくよく考えられたネットワークを構築するということはとても重要なことなのです。
今回は、この移行期間のネットワーク部分は無視して説明を書こうと思います。
採用したハードウエアと割り振ったIPアドレス
本社メインネットワーク
Gateway Subnet (10.231.1.1 - 10.231.1.254)
・外部接続ルータ(YAMAHA RTX1210 LAN1 Primary) 10.231.1.1
・外部ー内部のファイアウォール(YAMAHA FWX120 LAN2) 10.231.1.11
サーバ群ネットワーク(10.231.5.1 - 10.231.5.254)
・外部接続ルータ(YAMAHA RTX1210 LAN1 Secondary) 10.231.5.1
・Active Directory サーバ 10.231.5.11
・ファイルサーバ 10.231.5.12
・セキュリティサーバ 10.231.5.13
本社PCネットワーク (10.231.11.1 - 10.231.11.254)
・内部ーゲートウエイファイアウォール(YAMAHA FWX120 LAN1) 10.231.11.1
・ローカルPC01 10.231.11.101
・ローカルPC02 10.231.11.102
みたいなレイアウトで構築していきます。
0 件のコメント:
コメントを投稿