これまでのおさらい

本連載は今回で第6回を迎えます。そこで、今までの内容を少しおさらいしましょう。

第3回では、事業所間でVPN接続を導入する状況として、次のようなケースを紹介しました。

「ゼロから始める株式会社」(仮称)は、本社と支社の2拠点からなる中小企業です。本社と支社は物理的に離れています。それぞれの拠点では、独立してLAN環境を構築しており、インターネットへの接続も別々に設定しています。本社と支社の間に専用線などのネットワークはなく、電子ファイルのやり取りは、電子メールやクラウドサービスを使って行っています。

セキュリティ対策が必要という認識はありながらも、具体的な対策を取っていなかったところ、事業所間でVPN接続を構築することはそれほど難しくないとの記事を見かけて導入を考えた。

このようなケースでは、以下のような作業や設定を行うことで、VPN接続を確立することができます。

  1. 使用する認証アルゴリズム、暗号アルゴリズムなどを決定し、双方で情報共有する

  2. 本社と支社の双方のルータをインターネットに接続する

  3. 双方のルータに、固定のグローバルIPアドレス、または、ネットボランチDNSを使ったホスト名を設定する

  4. ルータのWeb管理画面である「WebGUI」にログインし、拠点間接続の設定画面から、認証アルゴリズム、暗号アルゴリズム、接続先情報などを設定する

双方のルータで設定が適切に行えれば、VPN接続を確立することは非常にスムーズです。双方のルータがRTX1210であればなおさらでしょう。RTX1210に対する主な設定作業は、Web管理画面の「WebGUI」を使います。そのため比較的わかりやすく、仮に正常に接続できなかった場合でも、ログを確認しながら原因分析を行えるコマンドも十分に用意されています。

事業所間VPNの利用ケース

事業所間VPN接続は、物理的に離れている本社と支社のLAN同士を、あたかも専用線のように接続することで、1つのLANのように扱うことができるというものです。双方のLANには、PC以外に、サーバーやプリンタ、NASなどが接続されていますので、次のような利用ケースが考えられます。

  1. 支社から本社のファイルサーバにある電子ファイルを安全に取り出すことができます。電子メールに添付してのファイルのやり取りは、誤配信や盗聴のリスクもあります。また、クラウドサービスを利用したファイルのやり取りでは、漏洩や紛失のリスクがないわけではありません。それらのリクスを回避することができます。

  2. グループウェアシステムや会計システムなど、本社側に構築されているオンプレミスに構築されている業務システムにアクセスすることができます。業務効率を改善することができるでしょう。

  3. 支社から本社のプリンタに出力することができます。

  4. 本社と支社でIP電話やテレビ会議システムを構築することができます。

  5. 企業同士のLANをVPN接続すれば、企業を超えたプロジェクトに利用することもできます。ただし、それぞれのLANは自社の社内ネットワークから隔離する必要がある点に注意が必要です。

事業所間VPNは、認証アルゴリズムや暗号アルゴリズムによって、VPNトンネルを確立するので、データ通信上のセキュリティリスクを回避できます。

また、物理的に離れている拠点間に専用線を敷設すると、導入コストも維持コストも上昇してしまいますが、VPNはインターネットを経由するので、それらのコストを抑えることができます。

なお、事業所間VPNはあたかも専用線のようだとはいえ、使用する回線にインターネットを使います。そのため、通信速度がインターネットの混雑状況に左右されることもありえます。

そのような場合、RTX1210には、回線品質を確保するためのQoS機能があるので、「優先制御」「帯域制御」をコマンドで設定して、通信を安定化させることもできます。

または、インターネットに接続しているFTTH回線を冗長化して、トラフィックを分散させる構成を作ることもできます。

ネットワーク構成の拡張

さて、これまで、本社と支社といった2拠点をVPN接続する場合に特化して説明を行ってきました。

しかし、事業環境の変化に伴い外出先から社内LANに接続したいといった社員からの要求が出てきたり、事業の拡大によって拠点が増加したりすることもあるでしょう。

そのような場合でもVPNを構築することができます。例えば、次のようなものです。

  1. リモートアクセスVPN 外出先のPCやスマートフォンなどから、インターネット回線を経由して、社内LANに接続するような場合です。営業社員が出先から社内LANにアクセスしたり、在宅勤務で自宅から社内LANにアクセスしたり、といったケースが考えられます。

  2. 3拠点間VPN(メッシュ型) 支社が増え、拠点が3つになるような場合です。3拠点ではそれぞれインターネットを利用し、3拠点間それぞれをVPNで接続するといったものです。三角形をイメージすればよいでしょう。拠点が増えるに従って、VPNトンネルの数が増えるので、経路情報の管理が複雑になります。

  3. センター・拠点間VPN(スター型) これも、支社が増え、拠点が3つになるような場合です。 ただし、VPN接続するのは、本社と支社のみで、支社同士は接続しないといった構成です。VPNトンネルの数は抑えることができますが、本社(センター)に負荷が集中します。

次回は、上記のようなネットワーク構成の拡張に伴い、数多くの拠点を繋ぐVPNの構築方法について解説していきます。