質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.59%

支店を持つ会社の拠点間通信について。

解決済

回答 1

投稿

  • 評価
  • クリップ 1
  • VIEW 870

score 12

https://teratail.com/questions/215129に関連した質問です。この質問の限定を外し、オープンクエスチョンとしての質問です。
例:本社と支店が3つあります。
この状態でシンプルに拠点間通信と、端末間の通信を制御する場合、普通は何を導入して、何を使い、どのようにして行うのでしょうか?

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

0

物理的な機材やVPN設定部分については、おそらく想定されているような構成と同じように組むと思います。

ただし、実務上は必要になるケースはほとんどないと思いますので部署間をVLANで区切るようなことはせず、ファイルサーバ/NASは導入せずにクラウド型ストレージを契約してActiveDirectoryでユーザー別にディレクトリやフォルダをアクセス制御することになると思います。
(ネットワーク機材と回線は「通信させる仕事を担当するための土管」というふうにシンプルに考えて、アクセス制御は原則やらないポリシーにします。)

あとは必要に応じて、以下のようなことをやると思います。
・インターネット回線は光(ダークファイバの芯線貸し)にして光を受信できる光終端装置を導入。
・MACアドレスフィルタリングを使って、拠点単位で通信接続可能なPC端末を許可。
・ユーザー単位でアクセス制御可能な無線LANソリューションを導入。
・外出先から社内ネットワークに接続できるよう、ActiveDirectoryを使ったユーザー別アクセス制御が可能なソフトウェアVPNソリューションを導入。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/10/05 16:16

    ご回答ありがとうございます!
    ActiveDirectroryの有無が重要な分岐点となりそうですか?この場合、もしVLANで区切っていてもトラフィックの軽減くらいしかメリットがないでしょうか。
    「(ネットワーク機材と回線は「通信させる仕事を担当するための土管」というふうにシンプルに考えて、アクセス制御は原則やらないポリシーにします。) 」がとてもわかり易かったです。
    大変恐れ入りますが、ActiveDirectroryを導入できない(お金の問題)場合、入れたほうがいいと思いますが、プレゼンを通す通せない、または幹部を説得できる力がない云々は別として、
    結果、ActiveDirectroryがない場合はどのような拠点間通信とアクセス制御が考えられますでしょうか?

    キャンセル

  • 2019/10/05 17:14

    > ActiveDirectroryの有無が重要な分岐点となりそうですか?

    そうですね。ファイルサーバ/NASのファイル/ディレクトリのアクセス権管理については、できればActiveDirectoryを使うのがベターだと思います。

    > VLANで区切っていてもトラフィックの軽減くらいしかメリットがないでしょうか。

    はい。座席のレイアウト変更や席移動するときに設定変更の手間がかかるなどのデメリットのほうが多いと思います。

    VLANを区切る必要あるとすれば、情報システム部門の本当に重要なサーバが社内LAN内に存在していて、ファイアウォール設定をするときにIPアドレス範囲で指定できたほうが好ましい場合とか、社内に通信が漏れると危険な実験をするラボ環境とか、訪問されたお客様にインターネット回線を提供するために会議室だけVLANで隔離して事務所と通信させないようにするケースが考えられますね。

    > ActiveDirectroryがない場合はどのような拠点間通信とアクセス制御が考えられますでしょうか?

    ActiveDirectoryの機能を誤解されているかもしれないので全体部分を説明しますが、ルーティングとかの話であれば、回線は広域イーサにして、GREプロトコルでVPNトンネルを張って、拠点間ルーティングはOSPFで設計するのがベターかなと思います。

    社外からのアクセスを制限したい場合は、ファイアウォール製品をVPNルーターの「横」に接続してインターネット向け回線はVPN機器でななくファイアウォール側のほうに繋いで、広域イーサ内には拠点間の社内通信しか流さないように使います。

    もし、広域イーサ経由の社内の拠点間や部署間をアクセス制御したいような事情があったとしても、そのほとんどは各PCにインストールされたファイアウォールで自動的に弾けるものだと思います。

    ファイルサーバ/NASのファイル/ディレクトリのアクセス権管理については、ActiveDirectoryの代替手段としてLDAPを使うこともできますが、LDAPはActiveDirectoryと比べると扱いにくいのでオススメはできません。

    キャンセル

  • 2019/10/05 19:36

    ありがとうございます。
    VLANのラボやゲストなどは思い浮かばなかったです。ありがとうございます。
    OSPFやGREのところを調べます!
    社員の中で詳しいといういう理由で任されているのですが(この程度でほんと恥ずかしいんですけど)、私では対応できない感じがしてきました…。
    調べます!

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.59%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

閲覧数の多いネットワークの質問