- PR -

VPNによる他拠点との接続のあるネットワーク構成について

1
投稿者投稿内容
ころすけ
会議室デビュー日: 2007/06/20
投稿数: 3
投稿日時: 2007-06-20 16:17
初めての投稿です。宜しくお願い致します。

早速ですが、現在検討中のネットワーク構成で
問題なく接続出来るかどうか教えて下さい。

<検討中の構成>

同じフロアにA社とB社が存在します(親会社と子会社の関係です)
ひとつの出口(Fortigate200A)を共有し、
A社は、他拠点とインターネットを利用しVPN接続します。
B社は、A社とは全く通信する必要はなく(もちろんVPNにも不参加です)
インターネットとDMZのみ利用します。(サーバ共有等もありません)

■A社のプライベートアドレス(192.168.2.0/24)
■B社のプライベートアドレス(192.168.1.0/24)

<使用機器>
Fortigate200A(ルータ)
NetScreen5XT(VPNルータ)
CenterCom8724SL(L3スイッチ)
MN23240K(タグ対応L2スイッチ)
※A社のVPNに参加してる他拠点も
全てタグVLANに対応した機器を使用しています

<疑問点?>
ネットワークアドレスの重複がなければ問題ないと思うのですが
今回、A社のVPN接続する他拠点に
B社で使用している【192.168.1.0/24】というネットワークが
存在することがわかりました。

ネットワークアドレスを変更することを避けたいと思っており
ネットワーク機器の設定だけでどうにか出来ないか・・・
と、考えております。

上記構成が可能かどうか教えて下さい。
また、お手数ですが
可能な場合、どこの機器にどのような設定をすれば良いか
ご教授頂けると幸いです。


BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-06-20 16:58
こんにちは。

技術的には可能ですが、個人的には推奨できません。

いくら系列企業でもそれぞれが独立したネットワークとして使用したいのなら、
基本的にインターネットアクセス部分は分離して、それぞれの企業で管理する
方法を推奨します。

それぞれが自由にネットワーク環境を構築できる状況が運用管理上望ましいと
思われます。

# 私なら親会社のネットワーク管理者に設定変更を依頼する気になれませんし、
# 逆の立場でも自社のネットワークに影響を及ぼしそうな設定変更を受けたく
# ないです。

編集:以下を追記

なお、子会社側(B社)に新たにBフレッツ等のインターネットアクセス環境を
新たに構築するのはさほど難しいことではありませんし、費用も数十万程度で
可能だと思われます。


[ メッセージ編集済み 編集者: BackDoor 編集日時 2007-06-20 17:14 ]
ころすけ
会議室デビュー日: 2007/06/20
投稿数: 3
投稿日時: 2007-06-20 17:44
BackDoorさん、早速ご回答頂きましてありがとうございました。

BackDoorさんの仰るとおり、
私も全く別の回線、別のネットワークにすべきだと思いました。
しかし、その声は受け入れてもらえず
結局、子会社(B社)の回線を利用し
親会社(A社)のネットワークに変更がかからないように
子会社(B社)のアドレスを変更して対応するようにと
指示が来てしまいました。
お恥ずかしい話ですみません。。。

B社内で利用しているサーバ等の
アドレスも変更しなければならないので
出来る限りアドレス変更なしで構築出来れば良いなと思い投稿させて頂きました。

”技術的には可能”との回答を頂きまして
ほっと一安心致しました。

もし宜しければ、具体的にどの部分の設定をしたら良いか
教えて頂けるとありがたいです。

図々しくて申し訳ございませんが
よろしくお願い致します。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-06-21 09:38
ほぼ想像してた状況です。

引用:
ころすけさんの書き込み (2007-06-20 17:44) より:

結局、子会社(B社)の回線を利用し
親会社(A社)のネットワークに変更がかからないように
子会社(B社)のアドレスを変更して対応するようにと
指示が来てしまいました。

B社内で利用しているサーバ等の
アドレスも変更しなければならないので
出来る限りアドレス変更なしで構築出来れば良いなと思い投稿させて頂きました。

こういうのって「軒先貸して母屋を取られる」状況だと思われます。
指示者(経営者?)の頭の中には「既設の機器の設定変更だけで対応したい(余計
な設備投資をしたくない)」という思いが強いのでしょう。

引用:

”技術的には可能”との回答を頂きまして
ほっと一安心致しました。

もし宜しければ、具体的にどの部分の設定をしたら良いか
教えて頂けるとありがたいです。

誤解して欲しくないのですが、「技術的に可能≠運用に耐える構成」です。
その場しのぎなら、A、B両社のブロードキャストドメインを分割してL3スイッチ
中心にした構成で可能です。
# A、B社で重複するIPアドレスの存在は無くすべきなので、B社全体またはA社の
# 一部のIPアドレスは変更する必要が生じます。
# 最上位階層に来るL3スイッチは2社のネットワークを分離する役割を受け持つ
# ので、高性能機が望ましいです(ギガクラスのスループットは確保したい)。
→ 無理すれば既設機器だけで可能かも知れませんが、L3スイッチ辺りは追加が
  必要になる可能性があります。
  いくら投資無しでも遅くて使えないようじゃ意味がないでしょう。
  当初質問に掲載された機器の所有状況、メールサーバ等のInternet公開サーバ
  の状況が不明なのでネットワーク図までは書けません。

それ以外の方法としては、A、B両社のネットワークを物理的に1つにまとめてしまって
その中で認証VLAN環境を立てて別々のネットワークに見せる方法も考えられます。
→ こちらには認証VLANの導入が必要で、前の回答のネットワーク分離以上に費用が
  嵩みます。

いずれにしても、既設機器だけでは難しいこと(投資が必要であること)を説明する
必要があります。
少々大変ですが、このときにネットワーク分離する方法の費用概算も提示すべきかと
思います。
# 2社のネットワークが独立した際のメリットを強調することも忘れないように。
ころすけ
会議室デビュー日: 2007/06/20
投稿数: 3
投稿日時: 2007-06-22 10:32
BackDoorさん、詳細なご説明ありがとうございました。

使用機器についてですが、ルータ以外は
既にA社(親会社)で用意していました。
用意しちゃったんだから文句言うな。・・・そんな感じでした。
ホントお恥ずかしい限りです。
サーバ関係は、DMZゾーンに
メール、グループウェア、DNSをそれぞれ置いています。

私は、ルータのDMZゾーンにVPNルータを置き
その下にA社(親会社)のクライアントPCを置いて
ルータのLAN側にB社(子会社)のクライアントPCを
置いてしまえば出来るのかなぁ・・・と考えていました。
そうすればアドレスを変更しなくても運用出来るかなと。
これも安易な考えでお恥ずかしいですが。。。

とりあえず、現在用意してある機器を利用して
設定しなければならないので
L3スイッチの説明書をひっくり返して読み
どうにか接続を試みたいと思います。

その後、正常な?ネットワーク構成を
提案していこうと思います。

ありがとうございました。




1

スキルアップ/キャリアアップ(JOB@IT)