大島 耕二氏 ネットマークス ネットワークセキュリティ事業部 セキュリティ技術室長
鈴木 利秋氏 ネットマークス エンタープライズソリューション事業部 コンサルティング&プロジェクト マネージメントグループマネージャー
インターネットVPN(仮想閉域網)の魅力は,低コストで高速な企業ネットワークを構築できること。しかし,導入方針を誤れば,予想外に費用がかさみ,本来の特性を失いかねない。導入時や運用のコストを下げるコツは,管理の容易さと拡張性を意識して網を設計し,機器を選択することである。
中小企業だけでなく大手企業でも,通信トラフィックが限られる営業所や取引先と接続する手段として,インターネットVPNの普及が進んでいる。こうした拠点は,人員が少ないのが一般的。このため各拠点は,専任のシステム担当者を置かない,冗長化にコストをかけられない――などの前提条件に基づいて,運用しやすいネットワークを設計する必要がある。
スター型の短所を克服
暗号化はスループットに注意
インターネットVPNの運用コストを下げるかぎを握るのが,網構成。本社-拠点間の通信が中心ならば,スター型を採用することで,管理や拡張が容易なネットワークを構築できる。採用する暗号や認証の方式も,運用コストやスループットに影響するので,注意が必要だ。
家具の輸入販売を手掛けるA社は,本社と4カ所ある支社をフレーム・リレーで接続していたが,通信コスト削減を狙ってインターネットVPNに切り替える方針を固めた。費用対効果が確認できれば,導入先を地方の営業所や取引先にも広げるつもりだ。
|
| 図1 A社はインターネットVPNの網構成にスター型を選択 メッシュ型との比較ではデメリットが目立つスター型。ただし,A社の通信トラフィックは,支社から本社へのアクセスが大半。本社側の機器・回線を冗長化すれば,耐障害性も問題ないと判断し,スター型を選択した。 |
最初はメッシュ型が有力だったが
さっそく網のトポロジ設計に着手し,(1)拠点同士をすべて結ぶメッシュ型,(2)各支社を本社とだけ結ぶスター型――の2方式を検討した(図1[拡大表示])。検討の当初にメリットが大きいと判断したのはメッシュ型の網構成だった。スター型に対して,(1)2地点間を直接接続するため,別の通信経路に無駄なトラフィックが発生しない,(2)本社のインターネット回線や機器に障害が発生しても,他の拠点間の通信に影響しない――というメリットがあるからだ。
しかし,検討を進めるうちに,メッシュ型の難点が見えてきた。一つは拠点を1カ所追加するだけで,全拠点のVPN装置の設定を変更しなければならないこと。また,A社が採用を検討したVPN装置は,設定できるVPNトンネルの数に制限があった。営業所や取引先に接続先を広げると,上位機種に更新する必要に迫られる。
本社側の設定変更で済むスター型
一方,スター型ならば,拠点を追加する際に本社のVPN装置の設定を変えるだけで済む。VPNトンネルの設定数も,本社の装置が増やせればよい。
スター型の欠点がほぼ解消できるメドが立ったことも,A社の決断を促した。まず,支社間の通信が多いと本社側の通信トラフィックが増える問題は,A社の場合はほぼ心配ないことが判明した。通信状況を調べると,本社-支社間に対して,支社同士のトラフィックがわずかだったからである。また本社側の障害ですべての通信が止まる問題は,本社側の回線やVPN装置などを2重化する冗長構成で対処することにした。
