働く環境が様変わりしようとしている。オフィスだけでなく,サテライト・オフィス,出張先のホテル,移動中のカフェ,自宅へと広がっている。そのためにはオフィスの外からオフィス内のLANにVPNを張って,ファイル・サーバーや業務サーバーにアクセスできる仕掛けを作る必要がある。
多くの場合,社員と限られたパートナ企業の社員が入れるオフィスの中に限定していたイントラネットを,オフィスの外に限定的に拡大したネットワークを構築しているに過ぎない。複数の会社をまたいだプロジェクトが増える中,多くのプロジェクト関係者がアクセスできるプロジェクト専用のネットワークが望まれている。
プロジェクトが発足すると,プロジェクトごとにネットワークが誕生する。プロジェクト従事者は随時出たり入ったりでき,最後にプロジェクトの終了とともに,そのネットワークは消滅する。そのような柔軟な“プロジェクト・ネットワーク”が求められているのだ。
こうしたプロジェクト・ネットワークは,これまでのようなレイヤー3で構築された各社のイントラネットを,ファイアウオールでつないだだけではうまく実現できない。レイヤー2のネットワーク技術に加え,仮想化技術を活用することで実現できる。
運用上,現実的なやり方とは言えない
2つの会社の社員3人がお互いのパソコンにアクセスして,共同でプロジェクトを遂行するケースを考えてみよう。従来のレイヤー3のネットワーク技術を使うとすれば,どう構築するだろうか。
プロジェクトに参画するメンバーは,A社のPグループのp君,Qグループのq君,B社のRグループのr君とする。PグループとQグループはA社のイントラネットではネットワーク接続されているが,ネットワーク・セグメントは違っているものとする(図1)。
この3人がお互いのパソコンにアクセスするためには,どうすればよいだろう。まず,A社とB社をVPNでつなぐ必要がある。ここでは価格を安くするために,インターネットVPN装置を使い,A社とB社を直接つなぐことにする。
ここで問題が生じる。A社とB社を単にインターネットVPNでつないでしまうと,この3人以外の人もすべてつながってしまう。そこで,A社とB社にそれぞれファイアウオールを設置する必要が出てくる。
それぞれのルーターに相手先のアドレスを登録することになるが,そこで2番目の問題が発生する。社内のネットワーク・アドレスをグローバル・アドレスで割り当てているところはまずない。だとすると,A社のネットワーク・アドレスとB社のネットワーク・アドレスが重複してしまう可能性があるのだ。
例えば,どちらの会社もクラスCのプライベート・アドレス「192.168.0.0/24」を使っている場合である。図1では,p君が属するネットワーク・アドレスとr君が属するネットワーク・アドレスは,どちらも「192.168.10.0/24」で同じである。
解決法の1つに,重ならないように調整する方法がある。ある巨大グループでは,グループ全体でクラスAのプライベート・アドレス「10.0.0.0/8」を使っている。同じグループ企業であれば各社にどのアドレスを割り当てるかを調整することは可能かもしれない。しかし,グループの異なる企業がプロジェクトに参画するためだけに,一度,社内に割り当てたアドレスを変更するということはあり得ない。
次の解決方法は,VPNのところでNAT(Network Address Translator)をかけることである。p君,q君,r君がそれぞれ双方向でアクセスするためにグローバル・アドレスを割り当て,グローバル・アドレスと彼らのプライベート・アドレスの対応表をVPNに登録する。しかし,この方法では,人数が増えたときに割り当てるグローバル・アドレスがなくなるという状況が起こり得る。
インターネットVPNではなく,専用回線を使ってプライベートVPNを構築して接続する方法はどうだろう。この場合は,先ほどのようにグローバル・アドレスを割り当てる必要はない。お互いのネットワーク・アドレスとは異なる別のネットワーク・アドレスを使ってNATを設定すれば,これまでの問題は解決する。ただ,この場合でも,参加する企業が増えるたびに,それぞれの企業でNATの対応表を更新する必要がある。これは運用上,現実的なやり方とは言えない。
