大島 耕二氏 ネットマークス ネットワークセキュリティ事業部 セキュリティ技術室長
鈴木 利秋氏 ネットマークス エンタープライズソリューション事業部 コンサルティング&プロジェクト マネージメントグループマネージャー
|
|
図1 A社はVPN装置をデフォルト設定のまま利用してWebアクセスに障害 本社-拠点間の接続性には問題がなかったが,インターネット上の一部のWebサーバーと通信できなくなった。VPN装置の最大フレーム長を表す「MTU値」の設定をデフォルトのまま利用したことが原因と判明した。 |
インターネットVPN(仮想閉域網)は,フレーム・リレーや専用線などの企業向けサービスと異なり,通信事業者のサポートを期待できない。通信品質も誰も保証してくれない。そのため導入時には,ユーザーが自ら事前に機器の設定を確認したり,ネットワークの品質を十分にテストして,問題点を洗い出す必要がある。
インターネットVPNのアクセス回線として,格安のADSLサービスなどブロードバンド回線を活用する企業が増えている。ただし,同じADSLサービスでも,回線を提供する事業者によって企業側の機器設定が異なる。また,通信速度を保証しないサービスを活用するため,既存のアプリケーションをそのまま移行すると問題が出るケースがある。
Webアクセスができない
フレッツ用の設定を見落とし
事前テストでは問題がなかったのに,本格移行した途端に思わぬトラブルに遭遇することがある。例えば,一部のWebサイトに接続できない障害を経験する企業が多い。原因の多くはVPN装置の設定。設定内容が,製品やブロードバンド・サービスで異なるため注意が必要だ。
食品製造会社のA社は通信費を削減するため,本社と4カ所の拠点を結ぶ社内網をインターネットVPNで再構築した。
インターネットへのアクセス回線には,本社が1.5Mビット/秒の専用線,拠点は下り(NTT局からユーザー方向)が最大1.5Mビット/秒のADSL回線を導入することにした。本社には全拠点のトラフィックが集中するため混雑が予想される。そこで,各拠点からのインターネット・アクセスは,本社を経由せずに直接接続した。
VPN装置のデフォルト設定が原因
A社はリスクを避け,休業日の週末に2拠点ずつインターネットVPNに切り替えることにした。まず,ある日曜日にa拠点とb拠点の接続をテストしてみた。
テスト方法は,(1)各拠点から本社にpingで接続性を確認,(2)テスト・メールを送受信,(3)拠点から本社のWebサーバーにアクセス――の3種類(図1[拡大表示])。特に問題は見つからず,翌月曜日からインターネットVPNに切り替えることにした。
ところが,翌朝にa拠点の社員から,「アクセスできないWebサイトがある」というクレームが届いた。Webアクセスは,前日のテストで確認していなかった。本社側からa拠点のVPN装置をリモートで調べたが,問題は見つからない。a拠点にはネットワーク担当者がいないため,急きょ本社のネットワーク担当者が原因究明のためa拠点に駆け付けた。
調査の結果,アクセスできないのはサイズが大きい画像を含むWebサイトと判明した。VPN装置ベンダーに相談したところ,VPN装置の設定が原因ではないかとの指摘を受けた。調べてみると,a拠点のVPN装置の設定がデフォルトのままとなっており,これが障害の原因だった。
