- 締切済み
光プレミアムとハイパーファミリーでのVPN接続について
syato_tabbyと申します。 今度、NTT西日本の光プレミアムとNTT東日本のBフレッツハイパーファミリーを使って、インターネットVPN接続を行おうと思っております。 その場合ですが、光プレミアムではCTUなるものが宅内に設置されるとのことで、その配下にVPN用のルータを設置するようになると思われるのですが、どのルータを使えば東西の拠点間通信が可能になるでしょうか? 構成としては (西)------------------VPN--------------------(東) PC----Router-----CTU-----Internet-----Router-----PC になると思います。当然CUGサービスではないのでIPSecを使用 したいです。なお、拠点は複数あると仮定していただければと 思います。 皆様方からのご指導よろしくお願いします。
- syatotabby
- お礼率54% (6/11)
- ネットワーク
- 回答数6
- ありがとう数5
- みんなの回答 (6)
- 専門家の回答
みんなの回答
- zhuravlik8
- ベストアンサー率0% (0/0)
既設VPNへの拠点追加だったのですね。承知しました。 アドバイスというほどでもないですが、ルータのコールドスタンバイは必須とお考えください(かつて落雷でONU&ルータがお釈迦になりました)。あと、過去に http://jvn.jp/niscc/NISCC-004033/index.html こういう事例もありますので(すでにご存知でしたら申し訳ありません)、運用には十分ご注意ください。 ご参考までに、かつて「自営インターネットVPN」を運用していたときには、本社向け(基幹系)はフレッツ網、拠点からのインターネット抜けはNCC(電力系回線)orCATVとキャリア冗長をしていました。 東日本の方でしたら、先般のひかり電話故障はご記憶に新しいと思います。 今回の拠点追加・運用がうまくいくことをお祈りしています^^
- zhuravlik8
- ベストアンサー率0% (0/0)
>フルメッシュのような感じになります >拠点のデータを本店にアップさせたりする程度 上記二つの文章から、トポロジが分かりかねるのですが・・・ (本店-拠点間の通信もありつつ、拠点間の同士の通信もある、という解釈でよろしいでしょうか?) 仮に、2行目であり、送信するデータが数キロバイトおよびバッチ処理であれば、 本店サーバ-RAS-PSTN-各拠点ダイヤルアップルータ という構成はいかがでしょうか?回線交換ですので、遅延もほとんど気になりません(拠点が全国に散らばっている場合、電話代が大変ですが)。あと、使用されるルータですが、RTX1100はお勧めです。ただ、フルメッシュ構成ということであれば、当該機種のIPSecトンネリング数は、30対地ですのでその点をご考慮ください。
お礼
早速の回答ありがとうございます。 トポロジとしては、 >(本店-拠点間の通信もありつつ、拠点間の同士の通信もある、という解>釈でよろしいでしょうか?) 上記の通りで結構です。 なお、先に説明をすればよかったのですが、既存でインターネットVPNにて拠点間通信を行っております。(東エリアだけです) 新規に西エリアにも拠点を追加するそうで、回線を光プレミアムで検討 してほしいとのことでした。 ですので、今回のような質問をさせていただいた次第です。 申し訳ありません。 なお、RTX1100だとなんとなくできそうだということが分かりましたので、 トンネル数に気をつけて設計をしてみたいと思います。 他にアドバイス等がございましたらご指摘いただけると助かります。 よろしくお願いします。
- zhuravlik8
- ベストアンサー率0% (0/0)
補足です。 >拠点は複数あると仮定 トポロジは「フルメッシュ」or「センタ=エンド(ハブ・スポーク)のいずれでしょうか? センタ=エンドの場合は、センタ:固定IP、その他拠点:動的IPでも、 問題ありませんが、フルメッシュの場合には、いわゆる「"ヨコ・ヨコ"通信」がありますので、全拠点に固定IPが必須となります。 また、アプリは何をお使いになるのでしょうか? センタにSQLサーバやWinの「ファイル共有」サーバをご利用になる場合は、ショートパケットのやり取りが頻繁に行われるため、ルータにかかる負担はかなりのものになり、「なんとか使えるね」程度の効果しか出ないと思ってください。 あわせて、コスト面に魅かれて「自営VPN」を導入しましたが、 「レスポンスが悪い」「ルータが壊れた(みたい)」等々、 拠点側ユーザからの”クレームの嵐”で、運用ではかなり苦労しました。 TOCの観点から言えば、キャリアが提供する「マネージドインターネットVPN」にされてはいかがでしょうか?(レスポンスは改善されませんが・・・) 現在弊社では、 「センタ」WanJet-ルータ-(NCCイーサ)-IP-VPN-DA64-「各拠点」ルータ-WanJet で社内イントラを組んでいます。
補足
返信が遅くなり大変申し訳ありません。素早い回答ありがとうございます。複数拠点の接続性については、相互接続が考えられますので、フルメッシュのような感じになります。 また、アプリケーションについては詳細はまだ把握しておりませんが、拠点のデータを本店にアップさせたりする程度のものだと思います。イメージとしては、必要な時に本店にアクセスすると言った感じになるかと思います。 なんとなくですが、東西のBフレッツでインターネットVPNができそうなことは理解できました。 その際に、ルータとしてはRTX1100とか他に何か推奨できるようなルータがあればご教授いただければと思います。
- 123admin
- ベストアンサー率52% (1165/2221)
言い訳です。 >CTUを「PPPoE接続」設定にすれば この説明は手抜きしました。 キーワード CTU PPPoE接続 VPN で検索すると結構出てきますが 参考 http://www.marronkun.net/cgi-bin/bbs/wforum.cgi?mode=allread&no=920&page=0 この様に出来る方と出来ない方が出てきます。 この差はスキルの差と考えています。 CTUに関しての設定などPPPoE接続設定以外も弄らないといけません。 技術参考資料 http://flets-w.com/siryou/gijyutsu_sankou.pdf pdfだから展開するのに時間が掛かるけど。 業務で使う場合には出来る限りシンプルな構成で行った方が余計なトラブルを回避できると思いましたので、従来タイプのBフレで回答しました。 CTU設定などは自鯖サイトの設定などが参考になるかもしれませんね。 参考 http://sakaguch.com/SetCTUandLAN.html
お礼
遅くなりましたが回答ありがとうございます。 頂いた参考資料や、コメントなどを参照して勉強してみたいと思います。 この件で何か良い資料などが他にもございましたらご提供 よろしくお願いします。
- zhuravlik8
- ベストアンサー率0% (0/0)
CTUを「PPPoE接続」設定にすれば、地域(西)網(v6)-ISP-地域(東)間でIPSec接続できると思います。 ただ、MTU値は東/西(光プレミアムのみ)で違いがあるので、カプセリングヘッダを考慮して、設定していただければと思います。
- 123admin
- ベストアンサー率52% (1165/2221)
まぁCTUが元凶なんですが・・・ サービスの"東西分離"に困惑するユーザー http://itpro.nikkeibp.co.jp/article/COLUMN/20070426/269668/ これは企業ユーザーの事です。 NTT西日本で光電話を使わないならBフレが存続しています。 裏メニュー的に残しているのですが、これは光プレミアムでの問題を把握していた証拠と個人的には確信しています。 VPN主体で考えるなら西日本の拠点はBフレにしておくのも手かもしれません。 東日本は従来のBフレは新規受付停止で廃止に躍起になっていますね。 まぁIPv6が今後のインターネットの解決策などと10年来言われていますがLANでさえIPv6は普及していません。 因みに光プレミアムでウイルス対策ソフトが標準で提供されたのは何も親切心ではありません。 多くの対策ソフトがIPv6の環境では正常動作しない事が事前に分かっていたからです。 じゃぁ東日本は?と思うでしょうが、これはハイパーが電話局側でIPv6からIPv4に変換する方式なのでルータやPCとしてはIPv4として処理できるから問題が潜在化できたのです。
お礼
回答ありがとうございました。 構成検討する上で非常に参考になりました。 なお、細部までのお気遣いまで頂きましたこと重ねてお礼申し上げます。 今後ともよろしくお願いします。