特別企画:レイヤ2トンネリング(後編)
レイヤ2を用いた仮想ネットワークの
メリットとデメリット
佐藤純也
インターネットイニシアティブ
2004/7/23
 |
小規模拠点管理の適用例 |
一般的には非常に有効なVPNによる拠点間リモートアクセスですが、接続拠点ごとにネットワークセグメントが分割されるという問題もあります。
このことはVPNで接続されたネットワークセグメントの管理コストを増大させる要因となります。拠点のネットワークセグメント別にフィルタルールを適応してゆくのは非常に手間の掛かることですし、そもそもネットワークセグメント間のフィルタルールを正しく設計すること自体が非常に難しいという問題もあります。
特に問題が顕著な例としては、小規模な拠点のネットワークの管理です。拠点としてネットワークへのアクセスは必要なのだが、4、5名しか常駐していない小規模な拠点をネットワークセグメントとして管理するのは、あまりスマートな方法とはいえませんし、そもそもこのような小規模な拠点が数多く存在する環境では管理の対象となるネットワークセグメントが多くなり過ぎてしまいます。
リモートブリッジoverIPを利用すれば、同じような複数の小規模拠点をまとめて管理することができます。同じセキュリティポリシーを小規模な拠点ごとにネットワークセグメントで設定し、それらに対し同一のフィルタルールを適応することで、管理コストを低く抑えることができるでしょう。
 |
| 図10 小規模拠点管理の適用例 |
また、小規模拠点の極端な例としては、工事現場など社員以外の人が立ち入る可能性がある場所などでは、前に挙げたリモートブリッジoverIPとクライアント認証を組み合わせることによって、社員とそれ以外の人のネットワーク環境を分けて提供するシステムを構築することも可能です。
例えば、社員は社内のネットワークリソースへアクセスできるが、そのほかの人はインターネットへの接続環境だけを提供するなどということも可能になります。
|
アプライアンス機器メンテナンスへの適応例 |
ルータやファイアウォールなどのアプライアンス機器には、工場出荷時のIPアドレスに192.168.0.1といったプライベートアドレスが設定されているものが多いです。
客先に設置したアプライアンス機器がトラブルや、ファームウェアのアップデートなど機能上の仕様によって工場出荷時のIPアドレス192.168.0.1が設定されてしまうという事態に陥った場合、通常であれば機器を設置した客先まで行って、物理的に接続する以外は方法がありません。
リモートブリッジoverIPを利用すれば、192.168.0.1といったプライベートなネットワークセグメントもインターネットを経由して利用することも可能です。これにより機器のメンテナンスコストを大幅に下げることも可能でしょう。
これとは逆の適応例として、社内のプライベートなネットワークセグメントにグローバルなセグメントを導入することも可能です。
商品のデモなどでプライベートセグメントしか利用できない社内の会議室にグローバルセグメントが必要になる場合など、リモートブリッジoverIPは有効でしょう。
|
これまで解説してきたようにリモートブリッジoverIPは既設のIPネットワークの構造に依存しない柔軟なネットワークの提供と、セキュリティの維持をバランスよく提供する可能性を秘めた技術です。 さらにリモートブリッジoverIPは既存の設備との親和性も高いため、低いコストで高いパフォーマンスを出す可能性をも秘めています。 IIJもこのモデルに関心を持っており、社内での実証実験を行っています。皆さんが管理されているネットワークでも利用してみてはいかがでしょうか? |
 前ページへ |
3/3 |
ご愛読ありがとうございました |
| Index | |
| 特別企画:レイヤ2トンネリング(後編) | |
| リモートブリッジoverIPのデメリット/レイヤ2トンネルとブリッジ | |
| リモートブリッジoverIPを経由した通信のアクセス制御/無線LAN管理への適用例 | |
 |
小規模拠点管理の適用例/アプライアンス機器メンテナンスへの適応例 |
| 関連記事 | ||||
|
||||
 |
「Master of IP Network総合インデックス」 |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
 |
|
|
|
|
注目のテーマ
Master of IP Network 記事ランキング
転職/派遣情報を探す
