ICTの右耳

ICTに関するお役立ち情報をボソボソと発信していきます

HOMEICT戦略 ≫ クラウド・モバイル対応Network (2017.5.14)

目次

  • 企業ネットワークのクラウド・モバイル対応
  • 冗長化とルーティング
  • 無線アクセスポイントの配備
  • バックアップデータのBCP対策

クラウド・モバイル対応Network

10数年前に社内ネットワークをIP-VPNとInternet-VPNの冗長構成にした時、まだSaaSの利用はなく、インターネット・アクセスは E-MailとWWWブラウズ程度だった。その後各種業務システムは、次々とパブリッククラウド/プライベートクラウドサービスへの移行が進み、 ビデオ会議やeラーニングの利用も活発になり、トラフィックは飛躍的に増加している。ペーパーレスを目的にタブレットを導入し、 携帯電話はフィーチャーフォンからスマートフォンへと代わり、各種業務システムの利用ニーズも高まっている。


クラウド化対応として、社内ネットワーク・トラフィックの軽減を図り、効果的なルーティングへ見直す。モバイル化対応としては、 オフィス内に無線アクセスポイントを配備し、業務の効率化・利便性向上を図る。また、グローバル対応として、海外子会社との接続を より安定したセキュアなネットワークに強化する。


Corporate Network Overview (After)



企業ネットワークのクラウド・モバイル対応

社内ネットワーク・トラフィックの軽減

クラウド化進展に伴う社内ネットワーク・トラフィックの増加に対応して、ネットワーク構成を見直しルーティング(通信経路制御)を最適化する。 閉域型VPN網とインターネットVPN網の冗長化ネットワークのルーティング基準を見直し、拠点間通信やインターネット向け通信などのルーティングを最適化する。 トラフィックの多い映像データがメインのビデオ会議トラフィックを、社内ネットワークを迂回させてトラフィックを軽減、バーストトラフィックを回避する。


オフィス内無線アクセスポイントの配備

各拠点のオフィス内に、インターネットへ直接アクセス出来る無線アクセスポイントを配備する事により、 スマートホン・タブレット・モバイルノートPCなどのモバイルデバイスの普及に伴うセルラー通信量を抑止し、社内でのワイヤレス活用による利便性向上を図る。


拠点ファイルサーバデータのBCP対策

オンプレミスの業務系各種サーバデータ(本社と研究所・生産工場)は、拠点間でのデータ交換によりバックアップデータのサイト分散を実現しているが、 各拠点に配置しているファイルサーバは、冗長化とサイト内でのデータバックアップしか出来ていなかった。これもサイト分散対応することにより、BCP対策を施す。


Corporate Network Overview (Before)


冗長化とルーティング

フレームリレー網からIP-VPN網へと変化した社内ネットワークを、IP-VPN網とインターネットVPN網の冗長化構成に増強した当時、まだインターネットVPNの 品質には不安の残る部分があった。このような背景から、トラフィックを基幹系/情報系といった呼称で分類し、宛先ホストのアドレスによりIP-VPN網と インターネットVPN網に経路を振り分けていた。

勿論、各々の網のGWとなるルータは、VRRP(Virtual Router Redundancy Protocol)を用いてマスタ/バックアップの冗長化構成を取っていた。


その後高速化を目的としてIP-VPNを閉域型VPN(足回りがベストエフォート回線)に切り替えたが、ネットワークを利用する環境は、 パブリック/プライベートのクラウドサービスへのシフト、ビデオ会議やeラーニングなどの動画データのビジネスシーンへの浸透など、大容量のトラフィックが インターネット上のDCなどと頻繁にやり取りされるようになった。また、インターネットアクセス回線の品質も、格段に安定・向上している。

もはや基幹系/情報系といったカテゴライズはナンセンスで、オンプレミス・サーバとのイントラネット内通信と、クラウドサービスなどのインターネット向け通信に 分類する事にした。イントラネット内通信は、各拠点にファイルサーバも配置している事から、拠点間の通信も発生する。

閉域網内はフルメッシュ・ルーティングされているのでイントラネット内通信は閉域網へ、インターネットネット向け通信はスター型ルーティングでも問題ないので インターネットVPN網へとルーティングする。


    現時点では、以下のようにトラフィックをルーティングするつもりだ。
  • 閉域型VPN網:AD認証、WSUS更新、アンチVirus、ファイルサーバアクセス/オンラインストレージバックアップ、稟議等WorkFlow、BI/DWH、 財務会計、販売/購買/在庫管理、生産/原価管理、人事給与/考課など
  • Internet-VPN網:グループウェア、SFA/CRM、旅費経費精算、就業管理、eラーニングほか一般的なWWWアクセス全般

現状は両系ともに本社を起点としたスター型ルーティング構成なので、本社から両系の網の全ての拠点について、 二週間程度・1時間ごとにネットワークの速度を計測した。  ネットワークの速度計測結果

    両系のレスポンスは概ね以下のような結果となった。
  • 閉域型VPN網(アクセス回線:ファイバーコネクト100M):約12~18Mbps ・・・フレッツ・ダーク回線なのだが。。。
  • Internet-VPN網(アクセス回線:フレッツ光Next200M):約40~66Mbps

ネットワークの改良前には、起点となる本社のポイントで、各拠点/インターネット向けの通信量を測定し、課題事項があればそれを考慮したうえで再設計したい。


トラフィックの多い映像データを含むビデオ会議トラフィックは、インターネットVPN網へルーティングし、VPNトンネルに入れずに直接インターネットへアクセスさせる。 導入しているビデオ会議システムがシンプルな機能でファイル添付機能もなく、単純に音声と映像のみのトラフィックなので、UTMを経由させる必要はないと判断した。


無線アクセスポイントの配備

モバイルデバイスの普及に伴いWi-Fi接続のニーズは高まる一方だ。しかし、スマートホンやタブレットに対しては、WindowsノートPCほどの セキュリティ対策を施していない。 セキュリティポリシーとして、社給のiOSモバイルデバイスは社内ネットワークに接続させていない。

こういった背景から、社内に設置する無線APはインターネットへの接続を提供するのみとし、社内ネットワークには接続出来ない。 WindowsパソコンでWi-Fiを利用する場合は、出先からの利用と同じくVPNクライアントソフトを用いて社内ネットワークに接続させる。


ビデオ会議トラフィック同様に、インターネットVPN網側ルータに接続された無線APセグメントからのトラフィックは、、VPNトンネルに入れずに 直接インターネットへアクセスさせる。

ビデオ会議の映像データやモバイルデバイスのWi-Fiスポットといった、比較的データ通信量の大きいトラフィックが集まるが、インターネットVPN網側は閉域型VPN網の 3~5倍程もの伝送速度を出しているので、当面は問題ないかと考えられる。


バックアップデータのBCP対策

各拠点に配備しているファイルサーバは、バックアップマシンを準備して冗長化対応しているが、全て同一拠点内に配備している。 近年頻発している地震などの自然災害を受けて、拠点のデータのBCP対策の必要性が認知された。

オンプレミス・サーバの配置されている 本社・研究所・生産工場では、それぞれのバックアップデータを他サイトと交換し、BCP対策としていた。 全拠点のファイルサーバのバックアップデータを、(例えば)本社に集めるとなると、それなりの容量・規模のマシンを準備する必要があるし、何よりも本社に集中する トラフィックが心配だ。


クラウドサービスの充実に伴い、最近では企業向けのオンライン・ストレージ・サービスもかなりお手頃な価格に落ち着いてきている。 扱うデータの中には機密情報が含まれるケースも想定されるので、オープンなパブリック・クラウド型のサービスを利用する訳にはいかない。

キャリアの提供する閉域網内のストレージ・サービスであればVPN網内なので、トラフィックデータのセキュリティも担保される。 閉域網の見直しと併せて、こちらのサービスも検討する事にした。


ICT戦略 サブメニュー

ページのトップへ戻る