中規模ネットワークの構築 - その他の論理設計

40,50人〜数千人が利用する中規模ネットワークを構築する時のその他の論理設計について説明します。

マルチキャストルーティング

 多数の人に同じ動画を配信する場合等はマルチキャストルーティングの設計を行います。

 マルチキャストルーティングには大きく分けてPIM-DMとPIM-SMがありますが、PIM-DMを選択する場合、通信量は多くなりますが、設定としては有効にするだけです。

 PIM-SMを選択する場合、少なくともRPを決定する必要がありますが、通信量を削減可能です。RPは「マルチキャスト通信」で説明した通り、配信するサーバーに一番近いルーティングポイントとなるIPアドレスにします。

 このため、集中ルーティング型ではコアスイッチのIPアドレスをRPとします。

中規模ネットワークの構築 - その他の論理設計1

 分散ルーティング型ではエッジスイッチのIPアドレスをRPとします。

中規模ネットワークの構築 - その他の論理設計2

 RPを決めた後は、各ルーターにRPのIPアドレスを設定するのか、BSRから配信するのかを決めます。

 構内はギガビットイーサネットで構築されていても、事業所間は100Mbps等、事業所間の回線は事業所内より遅い場合が多いと思います。このため、規模が小さなネットワークで事業所を跨ぐ配信や動画の配信が少ない場合等は簡単なPIM-DMでもいいと思いますが、事業所を跨いで配信する場合や動画の配信が多い場合、又は将来的にそのような可能性がある場合はPIM-SMをお奨めします。最近の主流はPIM-SMです。

無線LAN

 無線LANの設計では、隣接する無線親機通しで無線範囲が大きくは重ならず、少しずつ重なるように配置する事が非常に重要です。

中規模ネットワークの構築 - その他の論理設計3

 簡単に設計する場合は、事前に1台のアクセスポイントにパソコンを無線LANで接続し、パソコンを持って移動してどの位離れると強度が弱くなるか測定してアクセスポイントを10m間隔等、どの位離して設置するのか目安を決めます。その後、建物の図面上に決めた間隔で設置可能な場所にアクセスポイントを配置します。遮蔽物が多い場所はアクセスポイントを余分に設置する事も検討が必要です。

 実際に配置した後、無線範囲を変更出来るアクセスポイントであれば電波出力を調整します。

中規模ネットワークの構築 - その他の論理設計4

 無線LANが届かない場所があれば、アクセスポイントを追加する事も視野に入れて予備のアクセスポイントを用意する事も検討が必要です。

 WPA、WPA2の選択も必要ですが、最近のパソコンは殆どWPA2が動作します。古いパソコンがある場合はWPAの検討も必要です。

 又、EAP-PEAP、EAP-TLS、EAP-TTLSの選択も必要ですが、IDとパスワードで認証する場合はEAP-PEAP、パソコンの認証まで行う場合はEAP-TLSを選択します。

 証明書はベリサイン等から発行を受けなくても自身で認証局を作成して発行すれば安価に構築出来ます。その場合、RADIUSサーバーを通常は認証局とし、パソコンに自身の証明書だけでなく、作成したRADIUSサーバーの認証局としての証明書を登録する必要があります。

 尚、無線LANを設置した後、電波強度等を測定する事をサイトサーベイと言います。サイトサーベイを行う事で電波が届いてない場所がないか、重なっている場所はどの部分か等が分かります。アクセスポイントが少ない場合はパソコンを持ち歩いて電波が届かない場所がないか確認するだけで済みますが、規模が大きくなるとサイトサーベイもツールがないと難しくなります。

 東陽テクニカで販売しているフルーク・ネットワークス製の「AirMagnet」では、移動した範囲の電波状況をフロアマップに可視化して表示してくれるため、どこに電波が届いていないか、又はオーバーラップしているか簡単に把握出来ます。又、「バッファロー」のようにAirMagnetを利用してサイトサーベイ調査をサービスとして行っている会社もあります。

 通常は簡単な設計をして設置後に電波出力を調整したり予備のアクセスポイントを増設したりする事で済むと思いますが、無線LANが重要な場合はサイトサーベイをして無線が届かなかったり不安定になる、又はローミングが出来ない事がないようにサイトサーベイを行う事も必要になります。

VLAN間のフィルタリング

 VLAN間のフィルタリングはVLANに最も近いルーターで実施するのが賢明です。

 集中ルーティング型ではコアスイッチがルーティングを行うため、コアスイッチでフィルタリングを行います。

中規模ネットワークの構築 - その他の論理設計5

 分散ルーティング型ではエッジスイッチでフィルタリングを行います。

中規模ネットワークの構築 - その他の論理設計6

ファイアウォールのフィルタリング

 ファイアウォールのフィルタリングでは基本は全ての通信を遮断し、必要な通信のみ許可するようにします。

 以下に最低限使われると思うhttp(s)、メール、DNSについてイントラネット、DMZ、インターネット間でどのように通信が行われるかを示します。

・http(s)
 公開Webサーバーは下図の赤線のようにインターネットからのhttp、https等の通信を受け付けます。又、イントラネット内のパソコンからは青線のようにProxyサーバー経由、若しくは直接インターネットのWebサーバーを参照します。
中規模ネットワークの構築 - その他の論理設計7
・メール
 インターネットからのメールは下図の赤線のように外部メールサーバーを経由して内部メールサーバーに送られます。内部メールサーバーでスプール(保存)して、パソコンがpopやimap等で参照して受信出来るようになっています。
 イントラネットからインターネットへのメールは青線のようにパソコンから内部メールサーバー、外部メールサーバーを経由して送信されます。最近ではSPAM対策やウィルス対策を同時に施しているメールサーバーが多くなって来ています。
中規模ネットワークの構築 - その他の論理設計8
・DNS
 インターネットから公開Webサーバーや外部メールサーバーの名前解決が出来るように外部DNSサーバーは下図の赤線のようにインターネットからのDNS通信を受け付けます。又、パソコンでインターネット上のサーバーのDNS名前解決を行うため、優先DNSサーバー、若しくは代替DNSサーバーとして設定した内部DNSサーバーを経由し、内部DNSサーバーは外部DNSサーバーにフォワードする事でインターネット上のサーバーのDNS名前解決を行います。
中規模ネットワークの構築 - その他の論理設計9

 上記の通信がある場合、以下の通信許可が必要となります。

・イントラネット→インターネット
 Porxyサーバー経由、又はパソコンから直接インターネットのWebサーバーが参照出来るようにします。
中規模ネットワークの構築 - その他の論理設計b
・イントラネット→DMZ
 メールが外部メールサーバー経由でインターネットに送信出来る、及びDNSが外部DNSサーバー経由でインターネットの名前解決が出来るようにします。
中規模ネットワークの構築 - その他の論理設計c
 各パソコンからProxyを経由せずに公開Webサーバーにhttp(s)を許可しているのは、例えばInternet Explorerであれば、以下の赤枠部分にチェックを入れると自身のドメインに対する通信はProxyを経由しなくなります。内部の通信までProxyは不要なためです。
中規模ネットワークの構築 - その他の論理設計d
 このような場合は各パソコンからProxyサーバーを経由せずに公開Webサーバーに通信出来るよう許可する必要があります。
・インターネット→DMZ
 インターネットからメールを受信出来、公開Webサーバーへ通信を許可し、DNSが参照出来るようにします。
中規模ネットワークの構築 - その他の論理設計e
・DMZ→イントラネット
 インターネットから送信されてきたメールを内部のメールサーバーにスプール出来るよう外部メールサーバーから内部メールサーバーへの通信を許可します。
中規模ネットワークの構築 - その他の論理設計f
・DMZ→インターネット
 内部メールサーバーから送信されたメールが外部メールサーバーを経由してインターネットに送信出来、内部DNSサーバーからの問い合わせに対しての外部DNSサーバーのインターネット向けの再帰問い合わせが出来るようにします。
中規模ネットワークの構築 - その他の論理設計g

 これ以外にNTPや管理用の通信、又OSやソフトウェアのアップデート等の通信を必要に応じて許可しますが、インターネットからイントラネット内の通信は許可しないようにします。

 上記は一般的な方法と思いますが、サーバー側の設計に寄っては異なった方法でメールの送受信をしたりしています。又、これ以外にも多い場合は数百の通信を許可する必要がある等、かなり複雑な場合もあります。ファイアウォールの設計はネットワーク側だけでは出来ないため、サーバー側の担当者とどのような通信を許可するのか調整する必要があります。

 ルールの数が多い場合、以下のような表を作って打ち合わせを行うと認識を合わせやすくなります。

【ファイアウォールのフィルタリング表(例)】
送信元 送信先 サービス 許可/遮断
1 172.16.10.10、172.16.10.11 192.168.2.10、172.16.2.11 dns
(53/udp)
許可
2 172.16.10.12、172.16.10.13 192.168.2.12、192.168.2.13 smtp 許可
3 192.168.2.12、192.168.2.13 any(全て) smtp 許可

 上記は例のためプライベートアドレスだけで記載していますが、実際の環境ではグローバルアドレスも含まれます。

【スポンサーリンク】

 上記は広告ですが、自動でお奨めの商品やこのページに合った情報を提供してくれます。コーヒープレークになるような商品や情報が表示されている事を願っています。引き続き最後まで読んで頂けたらと思います。

補足

 外部メールサーバーと外部DNSサーバーはインターネットからの通信、インターネットへの通信共に行えるサーバーです。このため、実装を間違うと以下のように不正中継に使われてしまいます。

中規模ネットワークの構築 - その他の論理設計a

 不正中継出来るメールサーバーは多くの場合、SPAMメールに利用されて大量のメールを送信し、多くの人に迷惑をかけます。又、外部メールサーバー自体がSPAMメール送信サーバーと判断されて、メールが送信出来なくなる可能性があります。

 外部DNSサーバーの場合は、インターネットからの問い合わせに対してインターネットへ向けて名前解決するために再帰問い合わせするようにしておくと、大量の再帰問い合わせをインターネットに送信する等、攻撃の踏み台とされる可能性があります。

 このような事にならないよう、外部メールサーバーはインターネットから送信されたメールをインターネットにリレー出来ない、外部DNSサーバーはインターネットからのDNS問い合わせに対してインターネットに再帰問い合わせしないようにするのが一般的です。

NAT

 プライベートアドレスを使っている場合、イントラネットやDMZからインターネットに通信を行う際はソースNATを利用する必要があります。

 例えば、「ファイアウォールのフィルタリング」で示した以下の通信ではProxyサーバーにNAT用グローバルアドレスを割り当てソースNATを適用します。

中規模ネットワークの構築 - その他の論理設計b

 尚、グローバルアドレスの割り当てを少なくするため、ファイアウォールのグローバルアドレスを使う事も可能です。この場合はNAPTを利用して全ての通信がファイアウォールのグローバルアドレスに変換されるようにします。

 インターネットからDMZに通信を行う際はデスティネーションNATを利用します。

 例えば、「ファイアウォールのフィルタリング」で示した以下の通信では外部メールサーバー、公開Webサーバー、外部DNSサーバーそれぞれのNAT用グローバルアドレスを割り当てデスティネーションNATを適用します。

中規模ネットワークの構築 - その他の論理設計e

 尚、出来ればDMZに配置するサーバーのアドレスはグローバルアドレスを使った方が好ましいです。プライベートアドレスだとデスティネーションNATが必要なだけでなく、グローバルアドレスとプライベートアドレスを使い分けてフィルタリングの設定が必要な場合があり、ファイアウォールの設定も複雑になる可能性があります。又、DNSの登録でプライベートアドレスを利用するのか、グローバルアドレスを利用するのか等混乱しやすく、設計や運用に影響が出る場合があります。

 NATについても出来れば表を作成し、分かり易くします。

【NAT表(例)】
プレイベートアドレス グローバルアドレス 分類
1 172.16.10.10 192.168.2.10 ソースNAT
2 172.16.10.11 192.168.2.11 ソースNAT
3 192.168.2.12 172.16.1.12 デスティネーションNAT

 上記は例のためグローバルアドレス欄もプライベートアドレスで記載していますが、実際はグローバルアドレスになります。

IPS

 アノマリ型IPSはファイアウォールでデフォルトで持っている機能であればDDOS攻撃やポートスキャンを行う攻撃を防ぐ等、誤検知の少ない最低限の防御を有効にします。

 シグニチャ型IPSはパターンファイルをダウンロードする必要があり、月額費用や年額費用を払う必要があるため高額になり易く、誤検知等の対応で運用コストもかかりますが、セキュリティ面を重視する場合は導入を検討する必要があります。パターンファイルの更新度に寄りますが、脆弱性を付かれる、ウィルスファイルの送信等、アノマリ型では検知出来ない攻撃にも有効性を発揮出来ます。

 IPSはイントラネットやDMZからインターネットへの通信においても検査が出来ます。これにより内部からインターネットへの悪意ある通信を検知出来ますが、誤検知がかなり多くなってしまいます。このため、インターネットからDMZへの通信だけIPSを動作させると外部からの攻撃だけを検知出来るようになります。

中規模ネットワークの構築 - その他の論理設計h

ループ対策

 エッジスイッチのパソコンが接続されるインターフェースではループ対策を検討します。

 独自のループ検知機能がある場合はそれを有効にします。又、ストーム制御機能がある場合は「ループ対策」で説明した通り、最初は余裕を見た数字としておいて、測定で通信量を把握した後、本格的に適用します。

DHCPスヌーピング

 エッジスイッチではDHCPスヌーピングを検討します。

 パソコンが接続されるインターフェースはUntrustedインターフェースにし、サーバーファーム等に接続されるインターフェースはTrustedインターフェースにする事で不正に持ち込んだパソコンや間違ってIPアドレスを設定されたパソコンの通信を防ぎ、安易にDHCPサーバー機能を持った機器が接続された場合でも通信出来ないIPアドレスや重複したIPアドレスが割り当てられる事を防げます。

  • このエントリーをはてなブックマークに追加