特別企画:レイヤ2トンネリング(前編)
貫通力だけでない
リモートブリッジoverIPを理解する
インターネットイニシアティブ
2004/7/14
企業内におけるネットワークの依存性が高まるにつれ、接続される拠点数も大幅に増加し、また、ユーザーの利便を考えることによりリモートユーザーVPNやSSL-VPNなどのリモートアクセス手段は多様性を増しています。また、いまや企業インフラとして認知されつつあるチャットや、IP電話など、アプリケーションが要求するネットワークインフラも高まる傾向にあり、今後企業内のネットワークはさらに複雑になっていくことと想定されます。
しかし、これらの利便性を高めるという要望に応えることとセキュリティを維持するということは往々にして相反することになります。多様化されたリモートアクセス手段でのアクセス権限の維持や、複雑なトポロジのネットワーク上での多様なプロトコルのアクセス管理を行ってゆくことは非常に困難です。
こういった状況に対応し、セキュリティポリシー運用コストを下げる手法として、「リモートブリッジoverIP」を使ったネットワークの運用方法を紹介します。
この記事では現状のネットワーク運用の問題点の認識と、リモートブリッジoverIPでそれらの問題がどのように解決されるのか、また、リモートブリッジoverIPの実現方法と実際の利用例を解説してゆきます。
理想的なネットワーク構造 |
セキュリティポリシーの維持という観点からすると理想的なネットワークというのはどのようなネットワークでしょうか?
一般的にセキュリティポリシーの運用はルータ、ファイアウォールなどによる通信内容の制御で実現されます。ルータやファイアウォールでは通信の制御をフィルタルールで実装しているので、いい換えればネットワーク上のセキュリティポリシーはフィルタルールによって実現しているといえるでしょう。
フィルタルールはIPアドレスを基本として管理され、ネットワークセグメント単位をグループとして扱えるのが一般的です。
一方、セキュリティポリシーは通常、部署などの組織での論理的なグループごとにポリシーを設定します。
従ってセキュリティポリシー上のグループとフィルタルール上のグループ(ネットワークセグメント)が同一であれば、シンプルなフィルタルールを実現することができ、逆にセキュリティポリシー上のグループとネットワークのトポロジが乖離すればするほど複雑なフィルタルールで運用する必要が出てきます。当然のことながら複雑なフィルタルールよりシンプルなフィルタルールの方が維持するコストは安いため、容易にセキュリティの維持が行えます。
このため、セキュリティポリシーの維持という観点から考えた理想的なネットワークは、セキュリティ上のポリシーが同一なクライアント同士で構成されるネットワークセグメントを単位としたネットワークといえます。
図1 セキュリティポリシー運用上、理想的なネットワーク構造 |
しかし、現実のネットワークを見ると、必ずしもこのような状況ではなく、いくつかの制約からネットワークトポロジが決定されています。このため、現実のネットワークでは複雑なフィルタルールを運用が必要となり、このことがネットワーク運用のコストを押し上げ、ネットワークの柔軟な運用を阻害する要因になっています。
以下で、現実のネットワークを理想のネットワークから離れさせる要因にどんなものがあるか整理してみましょう。
物理的な制約 |
例えば、以下のようなネットワーク構成はごく一般的なことでしょう。
|
大抵のネットワークは計画段階では理想のネットワークになるよう設計されていると思います。しかし、ネットワークを維持していく際に、オフィスレイアウトの変更、ネットワーク機器の性能上の問題や予算上の制約などのさまざまな理由で、理想と現実の乖離はやむを得ないことでしょう。
図2 現実のネットワーク構造 |
この制約を回避する方法としてVLANは非常に有効な方法です。対応する機材も安価になり導入も容易な技術となってきたVLANを使えば、物理的な配線のトポロジとは別にネットワークのトポロジを自由に構成することができるため、現実のネットワークをセキュリティポリシー運用上理想的なネットワーク構造に限りなく近づけることも可能でしょう。
しかし、便利なVLANですが、VLAN自体にいくつかの制約があります。
|
というわけで、管理するネットワークが同一のオフィス内に閉じていて、既設のネットワーク機材がすでにVLAN対応であればすぐにでもVLANの恩恵を受けることができますが、予算の都合で社内のバックボーンネットワークのスイッチを入れ替えるわけにはいかなかったり、もろもろの事情からどうしても物理的な構成を変えることができなかったりすることは往々にしてよくあることです。
1/3 |
次のページへ |
Index | |
特別企画:レイヤ2トンネリング(前編) | |
物理的なネットワーク構造と物理的な制約 | |
「例外的な」ポリシーの問題とリモートブリッジoverIP | |
仮想セグメントのメリット |
関連記事 | ||||
|
「Master of IP Network総合インデックス」 |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
|
|