大島 耕二氏 ネットマークス ネットワークセキュリティ事業部 セキュリティ技術室長
鈴木 利秋氏 ネットマークス エンタープライズソリューション事業部 コンサルティング&プロジェクト マネージメントグループマネージャー

静的ルーティングの設定が煩雑

 A社は4系統のプライベート・アドレスを本社の共通ネットワーク,F事業部,G事業部,H事業部にそれぞれ割り振っていた。具体的には,クラスBの「172.16.X.X~172.19.X.X」である。また,各拠点については,所属する事業部のプライベート・アドレスの上位24ビットを使って,サブネットを割り当てていた。

 A社は,ある事業部に所属する部門が本社内や拠点に多数分散していても,単に部門が誕生した順番にサブネットを割り当てていた。その結果,A社のネットワークはマスキングしづらい構成になっていった。

 とは言えA社は,本社の基幹ルーターにすべてのサブネットをスター型に接続し,動的ルーティングで集中管理していたので,不自由さは感じていなかった。ところが,新しいネットワークでは各VPN機器で静的ルーティングを使う。このため,アドレス体系の複雑さがルーティング・テーブルの設定作業を難しくする恐れがあった。

図2 A社は社内ネットワークをインターネットVPNに切り替えたのに伴い,拠点側のアドレス体系を変更した
従来はクラスBの4系統のプライベート・アドレスを,本社や各拠点の事業部ごとに共有していた。しかし,新ネットワークでは従来とは異なり,拠点では動的ルーティングを利用できないため,複雑なアドレス体系のままでは拠点の追加や削除,部門の移動などに伴うルーティング・テーブルの設定変更作業に手間がかかる。そこで,本社と拠点でアドレス体系を分けることにした。

拠点に共通のサブネットを新設

 そこでA社は,拠点側のアドレス体系を見直すことにした(図2[拡大表示])。すべての拠点に共通のプライベート・アドレスとして「172.20.0.0」を追加し,拠点ごとに「172.20.1.0/24」,「172.20.2.0/24」,「172.20.3.0/24」という具合に24ビットのサブネットを割り振ったのだ。

 一方でA社は,各拠点のVPN機器に関しては,「デフォルト・ルートは本社側のVPN機器」という設定をするだけで済んだ。いったんこのように設定してしまえば,あとは拠点数や部門数に変更があっても,ルーティング・テーブルは変更しなくていい。

 しかも,各拠点にあるパソコンはDHCPを利用していた。このため,アドレス体系を変更してもエンドユーザーに負担をかけずに済んだ。

 また,本社に設置したVPN機器の設定もシンプルだ。あて先のサブネットが「172.20.X.0/24」(X=1~254)となるIPパケットがインターネットVPN経由で届いた場合は,当該拠点に転送するように設定し,それ以外は基幹ルーターに転送するように設定するだけでよかった。

 拠点側のアドレス体系を変更したことで,A社はルーティング・テーブルの設定作業を大幅に削減できた。今後の部門の増減時も,設定変更が少なくて済む構成になった。