支店を持つ会社の拠点間通信について。

> ActiveDirectroryの有無が重要な分岐点となりそうですか？ そうですね。ファイルサーバ/NASのファイル/ディレクトリのアクセス権管理については、できればActiveDirectoryを使うのがベターだと思います。 > VLANで区切っていてもトラフィックの軽減くらいしかメリットがないでしょうか。 はい。座席のレイアウト変更や席移動するときに設定変更の手間がかかるなどのデメリットのほうが多いと思います。 VLANを区切る必要あるとすれば、情報システム部門の本当に重要なサーバが社内LAN内に存在していて、ファイアウォール設定をするときにIPアドレス範囲で指定できたほうが好ましい場合とか、社内に通信が漏れると危険な実験をするラボ環境とか、訪問されたお客様にインターネット回線を提供するために会議室だけVLANで隔離して事務所と通信させないようにするケースが考えられますね。 > ActiveDirectroryがない場合はどのような拠点間通信とアクセス制御が考えられますでしょうか？ ActiveDirectoryの機能を誤解されているかもしれないので全体部分を説明しますが、ルーティングとかの話であれば、回線は広域イーサにして、GREプロトコルでVPNトンネルを張って、拠点間ルーティングはOSPFで設計するのがベターかなと思います。 社外からのアクセスを制限したい場合は、ファイアウォール製品をVPNルーターの「横」に接続してインターネット向け回線はVPN機器でななくファイアウォール側のほうに繋いで、広域イーサ内には拠点間の社内通信しか流さないように使います。 もし、広域イーサ経由の社内の拠点間や部署間をアクセス制御したいような事情があったとしても、そのほとんどは各PCにインストールされたファイアウォールで自動的に弾けるものだと思います。 ファイルサーバ/NASのファイル/ディレクトリのアクセス権管理については、ActiveDirectoryの代替手段としてLDAPを使うこともできますが、LDAPはActiveDirectoryと比べると扱いにくいのでオススメはできません。

ありがとうございます。 VLANのラボやゲストなどは思い浮かばなかったです。ありがとうございます。 OSPFやGREのところを調べます！ 社員の中で詳しいといういう理由で任されているのですが(この程度でほんと恥ずかしいんですけど)、私では対応できない感じがしてきました…。 調べます！