この記事はアクシス Advent Calendar 2020 7日目です。
実際に社内のネットワークを構築した際の勘所を紹介します。
はじめに
ベンチャー企業、中小企業にお勤めの社内SEの皆様、お疲れ様です。
規模が規模だけに、社内のネットワーク構成は外注せず、社員が担当することが多いことと思います。
私もそんな一人で、社内SEでもなければネットワークの専門知識も特にありません。
それでも調べたりメーカーへ問い合わせたりすれば、意外と使用するに耐えうる構成ができたりするものです。
今回は社内ネットワークの変遷を紹介しつつ、現状の構成について説明していきます。
社内ネットワークの歴史
絵はすべて論理構成です。
第一世代
すべての端末を1つのネットワークに集約
このときはオフィスの規模も小さく、ルータ1台、Wi-Fi AP1台のシンプルな構成でした。
ルータと8ポートの安価なL2スイッチを接続し、そこから床下にLANを配線し、いくつかの島にL2スイッチを伸ばしていました。
Wi-FiのSSIDはイントラとゲストで分けてこそいたものの、接続したら同一ネットワークという構成でした。
分ける意味があったのか・・・
第二世代
イントラとゲストのネットワークを分割
第一世代でイントラとゲストのネットワークが同一だったので、流石に分けましょうという話になり、下記構成となりました。
ルータの機能でVLANを分け、ネットワークの分離をしました。
また、このタイミングでオフィスの移転があり、現在の渋谷オフィスになりました。
移転の際に24ポートのL2スイッチを購入し、そこから各島に床下配線することになりました。
この構成のときの一大イベントは、Wi-Fi APを4台構成とし、コントローラを導入して一括管理し始めたことです。
オフィスのどこに居ても同一のSSIDで接続することができるようになり、瞬断はあるものの移動した際に最適なAPへアクセスするという構成を取れました。
第三世代
イントラのさらなる分割
開発陣とそれ以外でネットワークを分割し、開発陣のネットワークのみサーバへのSSH接続など、セキュリティホールになりがちな部分を許可するようにした。
ゲストのポリシは据え置き。
この構成になったときに実施した内容を箇条書きにします。
- インターネット回線の契約をNuro bizに切り替え、従来のPPPoE接続からIPoE接続に変更
- L3スイッチの導入(48ポート)
- VLANを更に細かく区切るようにした
- VPNをL2TP/IPsecからOpenVPNに変更
この構成にするにあたり、背景としてリモートワークの推進がありました。
リモートワーク者がVPNとビデオチャットの併用をすると、社内ネットワークがパンクし、不安定になるという現象が起こっていました。(各システムのポリシ上、アクセスできるIPアドレスを制限しており、社内のIPアドレスを名乗りたいため、クライアントですべてのトラフィックをVPN経由にしていました。)
それに対応するため、回線の増強を計画し、Nuro bizを契約しました。
それまで日中に悪いと下り10Mbpsだった回線が、安定して下り500Mbpsとなりました。
接続方式がPPPoEからIPoEになったことで、副次的にVPNでL2TP/IPsecを利用できないという問題が発生しました。(L2TPのプロトコルがPPPoEのため、IPoEで利用できない。)
これを解決するため、OpenVPNを利用することに。
紆余曲折あり、ルータのOpenVPN機能の利用を諦め、社内ネットワーク上にOpenVPNサーバが2台建つことになりました。
Nuro bizは光電話に対応していないため、NTTの回線は維持する必要があり、現在はオフィスに2回線引かれている状況です。
現在の構成で利用しているハードウェア
-
センター・ルータ1台
-
センター・スイッチ(L3スイッチ)1台
-
Wi-Fi コントローラ1台
-
Wi-Fi アクセスポイント4台
-
PoEスイッチ(Wi-Fi アクセスポイント給電用)4台
-
VPNサーバ2台
- LIVAZ-4/32(N3350)
- OS無し版を選択し、CentOS8で運用
上記を見て分かる通り、世間でよく使われているYAMAHAやCiscoは一台もありません。
Allied TelesisとNETGEARで構成されています。
ネットワーク設計
第一世代のような小規模な場合
物理的には社員数にもよりますが、自宅用のWi-Fiルータでも大丈夫です。
社員数が増えるとWi-Fiルータを増設するパターンで凌ぐパターンもあると思いますが、弊社の第二世代のような構成に移行するのが良いでしょう。
この構成の場合、自宅のネットワーク構成と大差ありません。
プライベートIPはクラスCで十分で、特に深いことを考えず業務端末を接続すれば良いです。
IP設計も特に気にする部分はないでしょう。
第二世代のような小規模だがセキュリティを気にする場合
社員数も増えて自宅用のWi-Fiルータでは賄えなくなってくる頃です。
YAMAHAやCisco、Allied Telesisなどのルータをセンター・ルータとして用意し、Wi-FiのAPも別で専用機を用意したほうが良いでしょう。現在の構成で利用しているハードウェアで紹介したような機器が選択肢になります。
ネットワークの設計も必要になってきます。
また、VLANやNAT、Firewall、VPNの知識が必要になってきます。
かんたんのため、VLANの設計のみ記します。
| IPアドレス範囲 | VLAN | 利用目的 |
|---|---|---|
| 192.168.1.0/24 | 1 | 社内イントラ |
| 192.168.2.0/24 | 2 | ゲスト |
第三世代のように、部署別にネットワークを分ける場合
50名前後の規模になってくると、部署によってネットワークを分けたいという要求も出てくるでしょう。
部署間のネットワークを分けると、責任範囲の切り分けも可能です。
このような場合、L3スイッチを活用すると良いです。
もし会社として他県に支店が増えた場合、ネットワーク設計も拠点間VPNのことを考えて被らないように設計する必要があります。
例えば以下のようにします。
| IPアドレス範囲 | 支店 |
|---|---|
| 10.1.0.0/16 | 本社(東京支店) |
| 10.2.0.0/16 | 福岡支店 |
| 10.3.0.0/16 | 名古屋支店 |
次に支店ごとのネットワークの分割の例です。
弊社では部署単位で分けるというよりは、システムへのアクセス権限でネットワークを分けています。
| IPアドレス範囲 | VLAN | 利用目的 |
|---|---|---|
| 10.1.12.0/24 | 12 | 回線用 |
| 10.1.20.0/24 | 20 | 複合機や社内サーバ用 |
| 10.1.100.0/24 | 100 | 開発部門 |
| 10.1.120.0/24 | 120 | 開発以外の部門 |
| 10.1.252.0/24 | 252 | ゲスト |
さいごに
本記事でルータの設定なども紹介しようかと思いましたが、そこにたどり着くまでの分量が多くなってしまったため、またの機会にしようと思います。
どうしても概念や抽象的な部分の説明が多くなってしまいますね。
社内ネットワークを真面目に構築しようとすると、専門的な知識も多く必要になります。
可能であればプロに任せてしまうのが良いと思いますが、そこにお金をかけられない場合、社内の人件費で賄おうと考える会社も多いでしょう。
そこの判断は各社によって異なると思います。もし社内ネットワークの構築を頼まれた場合、一つ勉強だと思い挑戦してみると、ネットワークに関する知識が深まり、社内ネットワークに関しても一番情報を持っている人物になれます。
社内ネットワークの構築によってネットワークの知識が深まれば、パブリッククラウドやオンプレミス問わず、ネットワークの設計をするときの助けにもなるはずです。
通常の業務外の経験を活かして普段の業務にも反映できると素晴らしいですよね。