🎄teratailクリスマスプレゼントキャンペーン2024🎄』開催中!

\teratail特別グッズやAmazonギフトカード最大2,000円分が当たる!/

詳細はこちら
VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

VLAN

VLAN(Virtual LAN)とは、ネットワーク技術の仮想化技術の一つ。仮想LANとも呼ばれています。物理的な接続形態とは独立して、スイッチ内で論理的にLANセグメントを分割することができます。企業LANの構築時によく利用されています。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

Q&A

解決済

1回答

13425閲覧

VLANとVPNを用いた拠点間通信についてご質問です。

say4hatii8

総合スコア28

VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

VLAN

VLAN(Virtual LAN)とは、ネットワーク技術の仮想化技術の一つ。仮想LANとも呼ばれています。物理的な接続形態とは独立して、スイッチ内で論理的にLANセグメントを分割することができます。企業LANの構築時によく利用されています。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

0グッド

0クリップ

投稿2019/10/03 06:06

編集2019/10/05 02:18

VLANとVPNを用いた拠点間通信についてご質問です。

構成図

私は中小で開発部に所属しており、社員の中でパソコンに詳しいからと会社のネットワークを任されております。ネットワークに関しては家庭用に毛が生えた程度です。
もちろんネットワークの知識をもっと知りたいと思っております。宜しくお願い致します。

VLANとVPNを用いた拠点間通信についてご質問です。
・4拠点あります。
・VPN機能付き、またIEEE 802.1Q対応のルーターを同じもの4つを4拠点にルーターとして設置。
・L2のCatalystスイッチ24ポートを各拠点に設置。
・4つの固定IPを取得し、4つのルーターに設定。
・インターネット接続方法はPPPoE認証接続。
・ルーターがL2のCatalystスイッチに接続するポートは4拠点ともトランクポート図の赤丸です。それぞれのVLANIDのすべて含みます。
・VLANIDはこうしようと思っています。
VLANID10(営業部)
VLANID20(開発部)
VLANID30(経理部)
・また全社員アクセス可能なノード(NASかファイルサーバーかパソコンの共有フォルダを札幌本社の24ポートに接続。ポート24はトランクポート(ですよね?))

この質問に関連してhttps://teratail.com/questions/214876を先に質問させていただいております。
この質問でご回答いただき、アクセス制御に関してはルーターのフィルタリングが肝だと認識しております。

質問の内容がプロの方から見てとんちんかんかもしれませんが、上記の構成のようにした場合、何と言いますか…ほんと申し訳ありません。この場合も肝は4つのルーターのIPパケットフィルタリング次第でどうにでもアクセス制御できるということでしょうか?「どうにでも?」この言葉、ほんとにすいません。

・例、静岡の経理PCから仙台の経理PCへのアクセスは可能にさせたい。
・例、静岡の経理PCから新潟の営業PCへのアクセスはさせたくない。
・部署が増えた場合、各拠点のスイッチの設定は、各拠点の社員の協力を得る。例えば、静岡に部署が増えた、または全VLANアクセス権限が必要な偉い人が入社した場合です。静岡のある方のPC(teraterm入り)をコンソールケーブルでCatalystに接続し、札幌の私がリモートデスクトップで設定を行う。

設定ミス、故障等は考えないようにして、技術的に上記の構成で何とでもなるかどうかが知りたいです。
ほんとすいません。

「この程度の知識で管理者(札幌の私)は…」とかほんとすいません、グサッときます悲笑。

素人ながらいろいろ調べて、上記の図の構成がシンプルなのかな勝手に思いました。
みなさまどうか宜しくお願い致します。

※追加
【条件】
・部署ごとの通信をVLANで区切る。それは管理者がアクセスポートをポートVLANとして設定するだけで通信を制限したい。
・ポートのVLANを書類申請式にして上長の許可ありきで管理者はポートに対しての設定を行う。
・新しい部署またはプロジェクトグループのVLANが必要となった時も申請を出してもらい管理者がリモートデスクトップでスイッチに設定を行う。
・全社員がアクセスできる端末をBuffaloのterastationとする。Windowsのアカウントとは別にterastationにブラウザで入ってへterastationのユーザーを作り、
NASのフォルダへのアクセスは現時点では申請式にして、その申請を元にリモートデスクトップでNASのアカウントを打ち込んでアクセスさせる。
(フリーソフトでのパスワード解析等はいまは無視する)
・現時点ではADを導入しない。(ほんとはしたい…。)
・「ネットワークへのログイン」という意味というか考え方がわかりませんでした。
ログインとはOSにするもので、LANケーブルを挿せばネットにつながる、という認識でした。ここら辺をもう少し勉強してみます。
恐れ入りますがこの質問に対して「ネットワークへのログイン」は必要不可欠でしょうか?お願い致します。
いずれは、例えばこれは可能性でしかないですが、社員以外の人間がパソコンを持ってきて、LANケーブルをつなげたとき、無線のSSIDとパスワードをどうにかして知られたときに、
「登録されていないパソコン、ユーザーはネットを使えないようにする」ということはしたいです。あくまでもいつかですが…。
・各端末の通信制御を、スイッチのポートのVLANIDの設定、ルーターのフィルタリングのみで可能かどうか。

【質問2】
・この質問で構成図を使いVPNやL2スイッチなどで限定していますが、そもそも「支店を持つ会社があたかも同じビル内いるようにネットワークを組む場合はみなさんはどのような技術、設定を行うのでしょうか?」
「シンプルに拠点間通信を行う場合は、普通(?)はどうするのでしょうか?」

関連した質問はこちらでございます。https://teratail.com/questions/215485「支店を持つ会社の拠点間通信について。」

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

t_obara

2019/10/03 06:22

アクセス制限をパケットレベルで行うのはやめた方が良いような。コストを抑えるために、余計なパケットを流したくないといった用途であれば別ですが、権限によるアクセス制限の場合、アプリケーション層で行うべきで、例えばActiveDirectoryなどを利用するのが良いのではないかと。
say4hatii8

2019/10/03 07:56

ありがとうございます。逆に「アクセス制限をパケットレベル」以外の知識がありませんでした。TCP/IPモデルの「層」の本質の理解が足りないのだと思いました。きっと眺めてわかった気でいたのだと思いました。 調べます!
say4hatii8

2019/10/03 08:19

ActiveDirectory、予算下りないんです。セキュリティと予算…すいません中小で。でもActiveDirectoryに何と言いますか、アクセス制御のような働きがあるのは知りませんでした。 調べます!とは言ってもやっぱりパケットレベルでもできるかどうか知りたいです。宜しくお願い致します。
over

2019/10/04 02:03

> t_obara 例題は以下とあります。 ・例、静岡の経理PCから仙台の経理PCへのアクセスは可能にさせたい。 ・例、静岡の経理PCから新潟の営業PCへのアクセスはさせたくない。 ここから、「権限によるアクセス制限の場合」とは読み取れないのですが、どこから読み解きましたか? 例題レベルであればTCP/IPレベルでの制限が必要かと思いますが。
say4hatii8

2019/10/04 04:34

上記の構成にすることで、あたかも96ポートのスイッチができ、あたかも4つのVPNルーターが1つのルーターになるのだと思っていました。この段階でルーターにIPパケットフィルタがなければ、すべてのパソコンが通信可能。フィルタ設定で、経理、営業、開発の行き来ができなくなる、または管理者の設定(私なのですが‥すいません)次第で許可不許可ができるものだと思っていました。いづれADサーバーやファイルサーバーを入れたときは、アカウントによって、フォルダへのアクセス制御ができればなぁと思っていました。 社内の中でパソコンのことやITのことを調べたがるのは自分だけだったので任されていますが、いやー私、井の中の蛙でした。すいません。
t_obara

2019/10/04 06:06

> over さん 私は、「部署が増えた場合、、、。例えば、静岡に部署が増えた、または全VLANアクセス権限が必要な偉い人が入社した場合」の記載を読み、そう考えました。
over

2019/10/04 08:39

> t_obara 「または全VLANアクセス権限」とあるとおり、ネットワーク単位での制御と読めます。その場合はTCP/IPレベルでの制御が必要になるとの理解です。共有電子コンテンツへのアクセス制御であれば、t_obara様の言われるとおり、ADを導入した方が良いとは思います。
guest

回答1

0

ベストアンサー

例えば新潟の人が仙台に出張して作業をする場合に、社内のNWにログインすると、そのログイン情報から権限を割り当ててアクセス権を得る場合には、NWレベルでの処理は不可能になります。ActiveDirectoryでなくても設定などは面倒だけど実現できなくはないものもあります。

パケットレベルでもできるかどうか知りたいです。

そもそも、VLAN間でルーティングは必要なのですか?

https://www.infraexpert.com/study/vlanz8.html
こちらをご覧いただければ良いのですが、VLANはそれぞれ別のネットワークになるので、その間の通信をする場合はルーティングが必要になります。
単にルーティングを設定しなければ相互に参照はできません。ただ、例えばメールだけは見れるようにといった場合には対応できませんが。

投稿2019/10/03 09:30

t_obara

総合スコア5488

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

say4hatii8

2019/10/03 15:12

ご回答ありがとうございます。つくづく知識不足だと思いました。「社内のNWにログイン」これすら何を意味するのかがわかりません。すいません。スイッチのポートの開閉のみでネットワーク使用を管理しようとしていました。←これも私の使っている言葉が間違っているかもしれません。 ネットワークを勉強するにあたりt_obaraさんのおすすめの本、教材はございますか? 差し支えなければ教えていただければと思います。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.36%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問