質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.80%

VLANとVPNを用いた拠点間通信についてご質問です。

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 5,702

score 12

VLANとVPNを用いた拠点間通信についてご質問です。

構成図

私は中小で開発部に所属しており、社員の中でパソコンに詳しいからと会社のネットワークを任されております。ネットワークに関しては家庭用に毛が生えた程度です。
もちろんネットワークの知識をもっと知りたいと思っております。宜しくお願い致します。

VLANとVPNを用いた拠点間通信についてご質問です。
・4拠点あります。
・VPN機能付き、またIEEE 802.1Q対応のルーターを同じもの4つを4拠点にルーターとして設置。
・L2のCatalystスイッチ24ポートを各拠点に設置。
・4つの固定IPを取得し、4つのルーターに設定。
・インターネット接続方法はPPPoE認証接続。
・ルーターがL2のCatalystスイッチに接続するポートは4拠点ともトランクポート図の赤丸です。それぞれのVLANIDのすべて含みます。
・VLANIDはこうしようと思っています。
VLANID10(営業部)
VLANID20(開発部)
VLANID30(経理部)
・また全社員アクセス可能なノード(NASかファイルサーバーかパソコンの共有フォルダを札幌本社の24ポートに接続。ポート24はトランクポート(ですよね?))

この質問に関連してhttps://teratail.com/questions/214876を先に質問させていただいております。
この質問でご回答いただき、アクセス制御に関してはルーターのフィルタリングが肝だと認識しております。

質問の内容がプロの方から見てとんちんかんかもしれませんが、上記の構成のようにした場合、何と言いますか…ほんと申し訳ありません。この場合も肝は4つのルーターのIPパケットフィルタリング次第でどうにでもアクセス制御できるということでしょうか?「どうにでも?」この言葉、ほんとにすいません。

・例、静岡の経理PCから仙台の経理PCへのアクセスは可能にさせたい。
・例、静岡の経理PCから新潟の営業PCへのアクセスはさせたくない。
・部署が増えた場合、各拠点のスイッチの設定は、各拠点の社員の協力を得る。例えば、静岡に部署が増えた、または全VLANアクセス権限が必要な偉い人が入社した場合です。静岡のある方のPC(teraterm入り)をコンソールケーブルでCatalystに接続し、札幌の私がリモートデスクトップで設定を行う。

設定ミス、故障等は考えないようにして、技術的に上記の構成で何とでもなるかどうかが知りたいです。
ほんとすいません。

「この程度の知識で管理者(札幌の私)は…」とかほんとすいません、グサッときます悲笑。

素人ながらいろいろ調べて、上記の図の構成がシンプルなのかな勝手に思いました。

みなさまどうか宜しくお願い致します。

※追加
【条件】
・部署ごとの通信をVLANで区切る。それは管理者がアクセスポートをポートVLANとして設定するだけで通信を制限したい。
・ポートのVLANを書類申請式にして上長の許可ありきで管理者はポートに対しての設定を行う。
・新しい部署またはプロジェクトグループのVLANが必要となった時も申請を出してもらい管理者がリモートデスクトップでスイッチに設定を行う。
・全社員がアクセスできる端末をBuffaloのterastationとする。Windowsのアカウントとは別にterastationにブラウザで入ってへterastationのユーザーを作り、
NASのフォルダへのアクセスは現時点では申請式にして、その申請を元にリモートデスクトップでNASのアカウントを打ち込んでアクセスさせる。
(フリーソフトでのパスワード解析等はいまは無視する)
・現時点ではADを導入しない。(ほんとはしたい…。)
・「ネットワークへのログイン」という意味というか考え方がわかりませんでした。
ログインとはOSにするもので、LANケーブルを挿せばネットにつながる、という認識でした。ここら辺をもう少し勉強してみます。
恐れ入りますがこの質問に対して「ネットワークへのログイン」は必要不可欠でしょうか?お願い致します。
いずれは、例えばこれは可能性でしかないですが、社員以外の人間がパソコンを持ってきて、LANケーブルをつなげたとき、無線のSSIDとパスワードをどうにかして知られたときに、
「登録されていないパソコン、ユーザーはネットを使えないようにする」ということはしたいです。あくまでもいつかですが…。
・各端末の通信制御を、スイッチのポートのVLANIDの設定、ルーターのフィルタリングのみで可能かどうか。

【質問2】
・この質問で構成図を使いVPNやL2スイッチなどで限定していますが、そもそも「支店を持つ会社があたかも同じビル内いるようにネットワークを組む場合はみなさんはどのような技術、設定を行うのでしょうか?」
「シンプルに拠点間通信を行う場合は、普通(?)はどうするのでしょうか?」

関連した質問はこちらでございます。https://teratail.com/questions/215485「支店を持つ会社の拠点間通信について。」

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • say4hatii8

    2019/10/04 13:34

    上記の構成にすることで、あたかも96ポートのスイッチができ、あたかも4つのVPNルーターが1つのルーターになるのだと思っていました。この段階でルーターにIPパケットフィルタがなければ、すべてのパソコンが通信可能。フィルタ設定で、経理、営業、開発の行き来ができなくなる、または管理者の設定(私なのですが‥すいません)次第で許可不許可ができるものだと思っていました。いづれADサーバーやファイルサーバーを入れたときは、アカウントによって、フォルダへのアクセス制御ができればなぁと思っていました。
    社内の中でパソコンのことやITのことを調べたがるのは自分だけだったので任されていますが、いやー私、井の中の蛙でした。すいません。

    キャンセル

  • t_obara

    2019/10/04 15:06

    > over さん
    私は、「部署が増えた場合、、、。例えば、静岡に部署が増えた、または全VLANアクセス権限が必要な偉い人が入社した場合」の記載を読み、そう考えました。

    キャンセル

  • over

    2019/10/04 17:39

    > t_obara
    「または全VLANアクセス権限」とあるとおり、ネットワーク単位での制御と読めます。その場合はTCP/IPレベルでの制御が必要になるとの理解です。共有電子コンテンツへのアクセス制御であれば、t_obara様の言われるとおり、ADを導入した方が良いとは思います。

    キャンセル

回答 1

checkベストアンサー

0

例えば新潟の人が仙台に出張して作業をする場合に、社内のNWにログインすると、そのログイン情報から権限を割り当ててアクセス権を得る場合には、NWレベルでの処理は不可能になります。ActiveDirectoryでなくても設定などは面倒だけど実現できなくはないものもあります。

パケットレベルでもできるかどうか知りたいです。

そもそも、VLAN間でルーティングは必要なのですか?

https://www.infraexpert.com/study/vlanz8.html
こちらをご覧いただければ良いのですが、VLANはそれぞれ別のネットワークになるので、その間の通信をする場合はルーティングが必要になります。
単にルーティングを設定しなければ相互に参照はできません。ただ、例えばメールだけは見れるようにといった場合には対応できませんが。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/10/04 00:12

    ご回答ありがとうございます。つくづく知識不足だと思いました。「社内のNWにログイン」これすら何を意味するのかがわかりません。すいません。スイッチのポートの開閉のみでネットワーク使用を管理しようとしていました。←これも私の使っている言葉が間違っているかもしれません。
    ネットワークを勉強するにあたりt_obaraさんのおすすめの本、教材はございますか?
    差し支えなければ教えていただければと思います。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.80%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る