- 締切済み
インターネットVPNとIP-VPN網の共存
社内ネットワークの再構築を検討中です。 お知恵を拝借できれば幸いです。※長文お許し下さい。 現在のネットワークはIP-VPN網(実質的にはサーバーが本社のみに存在するスター型)でインターネット接続も本社経由としています。 帯域制限のため、インターネット接続台数を制限していますが、トラフィック増加に対処するため、コストのかかるIP-VPN網の帯域よりもインターネットVPNを別回線として確保する方法を採用しようと思っています。 (基幹は端末接続のため、インターネットVPNとして切れやすいフレッツ網を使うのはリスクが大きすぎる) 現行の各拠点のルーターはIP-Secに未対応ということですので、拠点にインターネットVPN用のルーターの新規設置が必要になるようです。(ルーターは残存リース期間があるためできればそのまま使いたい) 現在の設定値として、 各拠点のPCは 固定IPを振ってあり、拠点毎のルーターをデフォルトGWとしています。DNSは本社インターネット用ルーターを指定しています。 インターネット接続にプロキシは指定しておりません。各拠点のルーターは特別な設定は行っていません。 現在のネットワーク設計をした会社が撤退してしまったため、別会社の提案を受けていますが、今ひとつ信頼性に掛けるため、作業内容を確認しようと思っています。 単純に考えると、 1)拠点PCのデフォルトGWをインターネット用ルーター(A)として、(A)上で社内アドレスをルーター(B)に向ける 2)拠点の既存ルーター(B)のルーティング情報を設定し、社内アドレス以外はルーター(A)に向ける の何れかを取ることになるのでしょうか? また、こうしたインターネットVPNの構成をとる場合、プロキシを社内に立てないと駄目という話を受けていますが、その意味が解せません。 コンテンツフィルタリングを行うとかでしたら判るのですが、本当に必要なのでしょうか?
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- daisukechan
- ベストアンサー率66% (2/3)
>単純に考えると、 >1)拠点PCのデフォルトGWをインターネット用ルータ>ー(A)として、(A)上で社内アドレスをルーター(B)に >向ける >2)拠点の既存ルーター(B)のルーティング情報を設 >定し、社内アドレス以外はルーター(A)に向ける >の何れかを取ることになるのでしょうか? 既存のルータを使いつつIPSec対応のルータの合計2台のダブルルータで運用する場合は上記のご質問のとおりになるかと思います。 >また、こうしたインターネットVPNの構成をとる場 >合、プロキシを社内に立てないと駄目という話を受け>ていますが、その意味が解せません。 拠点からIPSecルータ経由で本部からインターネットに出て行く構成をとった場合、 本部側のIPSecルータ(要するに拠点からの受け)がデフォルトルートをインターネットVPNを張るためのインターネット側へ1つと、 本部からインターネットに出るためのルータへのデフォルトルートと2つ持たなくてはいけないため、プロキシが必要なのではないでしょうか? 要するに本部側のインターネットVPN用のルータにデフォルトルートを二つ設定する必要があり、その構成ではインターネット通信が正常に出来ないからプロキシが必要だとおっしゃっているのではないでしょうか? ただ、拠点から直接インターネットに出て行く場合はもちろんプロキシはいりませんけどね。 長くなりましたが、こんなんでいかがですか?
- ooooooooooooo
- ベストアンサー率25% (94/367)
<よく読んでいませんので誤解があるかもしれません> このような場合のルータには「ポリシールーティング」などと呼ばれる機能が望まれます。 Source IPなどにより、デフォルトGWを任意に設定 これにより、Source IP=ルータWAN自身:VPN(IPSec)時のGWはインターネットデフォルト、Source IP=192.168.30.0/24(支店):支店内PC群時のGWはVPN(IPSec)トンネル・・・という風に指定します。 その機能が無い場合は、本社受けIP/32マスクでルート情報を設定して、デフォルトGWは、VPNトンネルを指定して逃げることもありますが、ルータがIP自動取得だとデフォルトGWはインターネット固定となってしまう機種もありますので要注意です。 尚、応答速度上の問題ではなければ、セッション維持機能のあるルータだと再接続/バックアップ回線接続替え時にもホスト通信のセッションは維持されたまま‘遅くなっただけ’で済むルータもあります。
お礼
アドバイス有難うございました。
お礼
アドバイス有難うございます。 プロキシの使い方としては良くわかりました。 つまり、本社側の外向けルーターは、全て内部アドレスからのデフォルトゲートウェイにできるということですね。 その場合、各拠点のPCに対し、使用プロキシとして登録する必要はあるということですね? よく判らないのは、その場合、本社から拠点プロキシへの通信はインターネットではなく、既存の回線であるIP-VPN網を通るとしたら、現在の構成となんら変わらなくなってしまうように思えるのですが、そんなことは無いのでしょうか?