特別企画:レイヤ2トンネリング(後編)
レイヤ2を用いた仮想ネットワークの
メリットとデメリット

 

佐藤純也
インターネットイニシアティブ
2004/7/23


 小規模拠点管理の適用例

 一般的には非常に有効なVPNによる拠点間リモートアクセスですが、接続拠点ごとにネットワークセグメントが分割されるという問題もあります。

 このことはVPNで接続されたネットワークセグメントの管理コストを増大させる要因となります。拠点のネットワークセグメント別にフィルタルールを適応してゆくのは非常に手間の掛かることですし、そもそもネットワークセグメント間のフィルタルールを正しく設計すること自体が非常に難しいという問題もあります。

 特に問題が顕著な例としては、小規模な拠点のネットワークの管理です。拠点としてネットワークへのアクセスは必要なのだが、4、5名しか常駐していない小規模な拠点をネットワークセグメントとして管理するのは、あまりスマートな方法とはいえませんし、そもそもこのような小規模な拠点が数多く存在する環境では管理の対象となるネットワークセグメントが多くなり過ぎてしまいます。

 リモートブリッジoverIPを利用すれば、同じような複数の小規模拠点をまとめて管理することができます。同じセキュリティポリシーを小規模な拠点ごとにネットワークセグメントで設定し、それらに対し同一のフィルタルールを適応することで、管理コストを低く抑えることができるでしょう。

図10 小規模拠点管理の適用例

 また、小規模拠点の極端な例としては、工事現場など社員以外の人が立ち入る可能性がある場所などでは、前に挙げたリモートブリッジoverIPとクライアント認証を組み合わせることによって、社員とそれ以外の人のネットワーク環境を分けて提供するシステムを構築することも可能です。

 例えば、社員は社内のネットワークリソースへアクセスできるが、そのほかの人はインターネットへの接続環境だけを提供するなどということも可能になります。

 アプライアンス機器メンテナンスへの適応例

 ルータやファイアウォールなどのアプライアンス機器には、工場出荷時のIPアドレスに192.168.0.1といったプライベートアドレスが設定されているものが多いです。

 客先に設置したアプライアンス機器がトラブルや、ファームウェアのアップデートなど機能上の仕様によって工場出荷時のIPアドレス192.168.0.1が設定されてしまうという事態に陥った場合、通常であれば機器を設置した客先まで行って、物理的に接続する以外は方法がありません。

 リモートブリッジoverIPを利用すれば、192.168.0.1といったプライベートなネットワークセグメントもインターネットを経由して利用することも可能です。これにより機器のメンテナンスコストを大幅に下げることも可能でしょう。

 これとは逆の適応例として、社内のプライベートなネットワークセグメントにグローバルなセグメントを導入することも可能です。

 商品のデモなどでプライベートセグメントしか利用できない社内の会議室にグローバルセグメントが必要になる場合など、リモートブリッジoverIPは有効でしょう。

これまで解説してきたようにリモートブリッジoverIPは既設のIPネットワークの構造に依存しない柔軟なネットワークの提供と、セキュリティの維持をバランスよく提供する可能性を秘めた技術です。

さらにリモートブリッジoverIPは既存の設備との親和性も高いため、低いコストで高いパフォーマンスを出す可能性をも秘めています。

IIJもこのモデルに関心を持っており、社内での実証実験を行っています。皆さんが管理されているネットワークでも利用してみてはいかがでしょうか?


前ページへ

3/3

ご愛読ありがとうございました

Index
特別企画:レイヤ2トンネリング(後編)
   リモートブリッジoverIPのデメリット/レイヤ2トンネルとブリッジ
   リモートブリッジoverIPを経由した通信のアクセス制御/無線LAN管理への適用例
 小規模拠点管理の適用例/アプライアンス機器メンテナンスへの適応例

関連記事
 
特集:マネージド・サービスの選び方 話題が先行するマネージドサービス。ユーザーはますます、どこまでアウトソースするかを見極めることが重要になってくる
前編 「SSL-VPN」の登場でアウトソースが変わる
中編 IPセントレックスのメリットはどこまで創出できるのか?
インフラソリューションはこう選べ
連載 最適インフラビルダーからの提言
 ブームのVPNと広域イーサネットサービス。気になるコストの算出方法やネットワーク構成の注意点を解き明かす
第1回 専用線からVPNへの移行、選択に自信あり?
第2回 外出先からリモートアクセスVPN、どれが得
第3回 専用線二重化と同レベルの安心をVPNで得る
第4回 VPNのアクセス回線を二重化する
第5回 VPNでQoSの確保は難しいのか
特集:ネットワーク設計の定石 具体的にA社の社内ネットワークを基にしながら、LANの設計に必要な状況調査と利用計画の方法、設計と構築のポイントを説明する
前編 どのように社内LANを設計するのか
中編 自社にあったWANサービス、選定のポイントは
後編 WAN接続ポートでの帯域制御とは?

「Master of IP Network総合インデックス」


Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Master of IP Network 記事ランキング

本日 月間