ネットワークとは物流ネットワーク、交通ネットワークや人脈のような複数の意味がありますが、ここでは「コンピュータネットワーク」のことを指します。コンピュータネットワークは、複数のコンピュータを接続してデータを交信する技術、あるいは接続されたシステム全体の仕組みのことを言います。
★本ページの内容:
1. ネットワークとは
コンピュータネットワーク(以下、ネットワーク)についての書籍やウェブサイトは数え切れないほどあります。ここでは「ユーザ企業のIT部門におけるネットワーク担当が抑えるべきポイント」を説明します。ネットワークは、複数のコンピュータを接続してデータを交信する技術、あるいは接続されたシステム全体の仕組みのことを言います。前者はベンダーのエンジニアの仕事ですので、ここで詳細は割愛します。後者こそユーザー企業のIT担当の業務遂行に必要な知識であり、本項の説明の対象となります。まず、通信が成立するために定義することが必要な項目は以下のとおりです。
| No. | 定義すべき項目 | 内容の例 | 開発 |
| 1 | 情報をどのようにデータ化するか | ビット、バイト | 情報工学 |
| 2 | どのようにデータを通信するのか (通信プロトコル)の共通化 | パケット、ヘッダーとトレーラー | 電気通信工学 |
| 3 | 複数の通信プロトコル間で交換されるデータの 定義および表現手法の共通化 | OSI参照モデル | 国際標準化機構(ISO) |
| 4 | 通信を送受信するハードウェア | パソコン、ケーブル、スイッチ、ルーター、回線 | ベンダー |
| 5 | 企業に必要な要件 | パソコン、サーバーや複合機の数、オフィスレイアウト(機器の配置図)、LAN、WAN、インターネット回線 | ユーザー企業 |
| 6 | 当該企業に必要なネットワーク設計 | 仕様要件(セキュリティ含む) | ベンダー ネットワークエンジニア |
| 7 | 当該企業に必要なネットワークの導入 | 機器調達 機器設置・回線敷設 | ユーザー企業 ベンダー |
| 8 | 当該企業におけるネットワークの運用管理 | 社内の安定的なネットワークサービスの提供 | ユーザー企業 |
ここでは、上記の(4)から(8)を説明します。(1)から(3)については、「7.4.3 ネットワーク技術の豆知識(通信)」にて参考レベルで紹介します。まず、IT担当が最低限把握しておくべきアイテムは以下のとおりです。企業の要件(パソコン、サーバー、複合機)に照らし合わせてこれらアイテムの質(仕様・セキュリティ)と量を適切に決定・整理して、オーバースペックや過小性能にならないように機器調達すれば、ネットワークの構築・導入が可能です。
| No. | 分類 | アイテム | 内容 |
| 1 | ハードウェア | 回線 | インターネット WAN LAN |
| 2 | 同上 | ONU | インターネット回線および WAN回線の終端装置 |
| 3 | 同上 | ルーター | ネットワーク管理専用のコンピュータ |
| 4 | 同上 | スイッチ | パフォーマンスが高いハブ機能 L2スイッチとL3スイッチがメインである |
| 5 | 同上 | LANケーブル | 1Gbps以上推奨 |
| 6 | 同上 | アクセスポイント | 無線LAN(アンテナ) |
| 7 | 管理 | クライアントサーバーシステム | どの機器からどの機器へ繋ぐかという経路情報 |
| 8 | 同上 | IPアドレス | ネットワーク上の機器の住所 |
| 9 | 同上 | ドメイン名 | 人間の理解のために IPアドレスに付けた「ニックネーム」 |
| 10 | システム | DNS | IPアドレスとドメイン名の変換をする機能 |
| 11 | 同上 | DHCP | IPアドレスを自動割り当てする便利な機能 |
| 12 | 同上 | AD | 認証認可 ネットワーク管理に必須ではない |
| 13 | 同上 | RADIUS | ADをベースとした無線LANの認証認可 必須ではない → IDとパスワードで利用可。 |
IT担当にまず覚えて理解して頂きたいのは、あるべき姿としての「論理ネットワーク構成」(下図)です。
次に大事なのは、ネットワークの基本であるクライアントサーバーシステムです。そのイメージ図を以下に再掲します。
続いて、ビジネスシーンで利用する一般的なネットワークの構成図は以下のとおりです。
| No. | ネットワーク | 英語表記 | 備考 |
| 1 | LAN(緑色) | Local Area Network | 社内ネットワーク Wi-Fi(無線LAN)含む |
| 2 | WAN(赤色) | Wide Area Network | 拠点間ネットワーク |
| 3 | インターネット回線 (青色) | Internet Line | データセンターとISP間を接続する ネットワーク ISP=インターネットサービスプロバイダー |
| 4 | ONU | Optical Network Unit | 光回線の終端装置 |
| 5 | ルーター | Router | 2つ以上の異なるネットワークを相互に 接続する通信機器 |
| 6 | Wi-Fi アクセスポイント | Wi-Fi Access Point | 無線でネットワークに接続するための 通信機器 |
| 7 | LANスイッチ スイッチングハブ | LAN Switch Switching Hub | 複数の端末やLANを接続する中継装置 単に「スイッチ」と呼ばれることが多い |
1.1 LAN
ローカルエリアネットワーク(Local Area Network, LAN)とは、社内ネットワークの総称です。その構成部品であるLANケーブルやLANコネクターのイメージ図は以下のとおりです。
LANケーブルのカテゴリ(種類)は下表のとおりです。カテゴリの数値が高いほど、通信速度が速くなります。
| No. | カテゴリ | 最大通信速度 | 伝送帯域(MHz) |
| 1 | 5e | 1Gbps | 100 |
| 2 | 6 | 同上 | 250 |
| 3 | 6A | 10Gbps | 500 |
| 4 | 7 | 同上 | 600 |
| 5 | 7A | 同上 | 1000 |
| 6 | 8 | 40Gbps | 2000 |
社内ネットワーク(LAN)の一般的な構成図は、下記のとおりです(スイッチ含む)。
LANケーブルには、UTPケーブル(ストレートケーブル)とSTPケーブル(クロスケーブル)があります。前者は一般的に流通しているパソコンとスイッチ間の接続用LANケーブルで、後者はパソコンとパソコンを繋いで通信を行うためのケーブルであります。小規模LANの場合、市販のLANケーブルを敷設することもできますが、中規模以上の場合、業者が長いケーブル、プラグと工具を持参して、必要なサイズのLANケーブルをその場で作ります。
なお、LANスイッチの詳細は以下の「2.2 ネットワーク機器」にて説明しています。
1.2 無線LAN
無線LANとは、無線(電波)通信を利用して構築されるLANです(WLANとも呼ばれます)。無線LANのアクセスポイントとノートブックパソコン、タブレットPCやスマートフォンに内蔵されている無線LANアダプタ間で通信を行う仕組みです。
無線LANの通信方式は多数ありますが、その中で広く利用されているのがWi-Fi(ワイファイ、Wireless Fidelityの略称)です。Wi-Fiというのは、IEEE 802.11規格に準拠しており、相互接続が可能になっていると認められた機器に付けられる商標です。現在、「Wi-Fi」は「無線LAN」とイコールと認識されることが多く、ここでも同じ認識で説明を続けます。
社内で利用されているWi-Fiの一般的な構成図は下記のとおりです(赤色記載部分)。Wi-Fiのアクセスポイント とは、LANスイッチにLANケーブルを接続するネットワーク機器であり、無線LANアダプタとの送受信を行う機能を有しています。
なお、Wi-Fiの通信規格であるIEEE 802.11には、2.4GHzと5GHzの2つの周波数帯があります。Wi-Fiにおける通信速度や使用可能な周波数帯の関係は以下のとおりです。
| No. | Wi-Fi 規格 | 最大通信速度 | 周波数帯 |
|---|---|---|---|
| 1 | IEEE 802.11a | 54Mbps | 5GHz |
| 2 | IEEE 802.11b | 11Mbps | 2.4GHz |
| 3 | IEEE 802.11g | 54Mbps | 2.4GHz |
| 4 | IEEE 802.11n | 300Mbps | 2.4GHz/5GHz |
| 5 | IEEE 802.11ac | 6.9Gbps | 5GHz |
続いて、2.4GHzと5GHzの2つの周波数帯のメリット・デメリットは以下のとおりです。
| No. | 周波数帯 | メリット | デメリット |
|---|---|---|---|
| 1 | 2.4GHz | 周波数が低いため電波が遠方まで届きやすい 注意:電子レンジなどの家電も2.4GHzを利用している | アクセスポイントと他の機器の電波が干渉し合い、Wi-Fi(無線LAN)の電波が弱まる(※) |
| 2 | 5GHz | Wi-Fi専用の電波 | 柱や壁などの障害物があると電波が弱まりやすい |
(※)電波が弱まる = ネット通信の速度低下や切断が起きる可能性があります。
現在の無線LAN対応機器であるアクセスポイントや無線LANルーターは、2.4GHzと5GHzの周波数帯を同時対応しているため、迷うことはありません。
今後の無線LAN(Wi-Fi)について
無線LAN(Wi-Fi)はLANケーブル配線の必要がないため、LANケーブルを敷設することが困難な環境や、営業部などレイアウトの変更が多いオフィスなどでは非常に便利です。
また、昨今では社員に自宅にてテレワークで業務を遂行させる企業が多くなり、オフィスでの業務が減りました。これにより、企業では社員の固定のデスクを無くしてオフィススペースを削減し、社員がオフィスに出社する必要がある場合に利用できるデスクやテーブルを用意する、いわゆるフリーアドレス方式を整備して対応するようになりました。
今後、無線LAN(W-Fi)の接続速度が各段に上がれば、将来はすべて無線LAN(Wi-Fi)でパソコンやネットワーク機器を接続するようになり、有線LANは無くなると思います。但し、無線LANには適切な情報セキュリティ設定や対策を必ず行う必要があります。
1.3 WAN
WAN(Wide Area Network, 広域通信網)とは、国内または海外の企業の複数の拠点のLANとLAN間を接続するネットワークのことです。WANの一般的な構成図は以下のとおりです。
ビル内を例にすると、「ONUとルーターにケーブルを接続するケーブリング(配線)」は以下のとおりになっています。
参考までに、光ケーブルの場合のPT盤とPD盤の関係は、電話回線の場合、以下のとおりMDFとIDFの関係になります。
| No. | 用語 | 英語表記 | 備考 |
| 1 | PT盤 | Premise Terminator Cabinet | NTTの光ファイバーをまとめて引き受けて改めて分配する設備 |
| 2 | PD盤 | Premise Distribuition Cabinet | PT盤で分配した光回線を、さらに分配するときに使う設備 |
| 3 | 光ローゼットコネクタ | Optical rosette connector | PT盤から光回線の接続口 |
| 4 | MDF | Main Distribution Frame | NTTの電話回線をまとめて引き受けて改めて分配する設備 |
| 5 | IDF | Intermediate Distribution Frame | MDFで分配した電話回線を、さらに分配するときに使う設備 |
WANには、電気通信事業者が商業的に提供する固定電話、ISDN、携帯電話、PHS、専用線、フレームリレー、ATM、IP-VPN、広域イーサネットなどの複数のネットワークサービスがあります。しかし、専用線やフレームリレーはセキュリティが高く、ネットワークを占有でき、かつ契約した帯域幅に対して通信速度を担保してくれるため非常に高価です。ここでは、中小企業が主に利用している二つのWANサービス、すなわちIP-VPNとインターネットVPNを紹介します。
- IP-VPN:
通信事業者が提供するネットワークを複数ユーザーで共有する仕組みです。これに暗号化技術(例:MPLS)を用いて、顧客のVPN(仮想の専用線)を実現しています。このイメージ図は以下のとおりです。
上記のIP-VPNは専用線に匹敵する品質が良いサービスであるため、これを積極的に利用している大企業も存在します。
2.インターネットVPN:
暗号化技術(例:IPsec)を用いて、インターネット上で 暗号化されたデータの通信を行います。このイメージ図は以下のとおりです。
両者のスタンダードなレベルのサービスに関する比較表は以下のとおりです(もちろん、複数のラインアップやオプションがあります)。
| No. | QCD+R | IP-VPN | インターネットVPN |
| 1 | 品質 | 閉域網 | 広域網 |
| 2 | コスト (初期費用あり) | 帯域幅:10Mbps保証 約2万円/月額 | 帯域幅:1Gbps ベストエフォート(※) 最大で1万円/月額 |
| 3 | デリバリー | 最大で75日 | 約1ヶ月 |
| 4 | リスク | セキュリティ:高 | セキュリティ:中 |
| 5 | 実績 | 某食品会社 | 某小売業企業 某製造業企業 |
(※)ベストエフォート = あらかじめ定められた通信速度を保証しないサービスの形態のこと。
1.4 インターネット回線
これは社内のパソコンからインターネット上のITサービス(企業のウェブサイト閲覧、グループウェア(電子メール、予定表やオンラインストレージ)やクラウドなど)を利用するための回線です。当然インターネットサービスプロバイダー(インターネット接続業者)との契約が必須です。このイメージ図は以下のとおりです。
企業で利用するインターネット回線の主流は、光回線(データの送信に光ファイバー利用)であり、通信速度が速いというのが最大の特徴です。
ここで重要なのは、自社施設からISP間のインターネット回線を光回線にしても、インターネット自身の通信はベストエフォートであるため、ネットワーク全体で見ると通信速度は担保できないのが現実だということです。
なお、運用コスト(申請や工事費などの初期費用は別)はベストエフォートにおける光ファイバーのインターネット回線(1~2Gbps)は法人契約で 月額7,000円以下ですが、30~50Mbps帯域保証がある契約にすると月額約15万円になります。
2. ネットワークの基本について
ネットワークの基本は、「設計・構築・導入・運用」があります。設計はベンダーのSEが実施する業務ですが、事業会社のIT担当はネットワーク設計に必要な情報を整理して、ベンダーに提供する必要があります。その情報は、ネットワークを導入するオフィスで利用するネットワークのタイプ、IPアドレス、パソコン、サーバーおよびプリンターの数、ならびに必要なシステムおよびネットワークを導入するオフィスレイアウト(配置図)です。ここでは、IPアドレスの説明から始めます。
2.1 ネットワークの住所(IPアドレス)
ネットワークを構築するための設計に大変重要なのがIPアドレスの管理です。IPアドレスとは、インターネットやLANなどのネットワークに接続されたコンピュータおよびネットワーク機器に割り振られる識別番号のことであり、「グローバルIPアドレス」と「プライベートIPアドレス」があります。インターネット上で利用される機器の識別番号がグローバルIPアドレスであり、LAN上の機器に利用される識別番号がプライベートIPアドレスです。電話回線で言えば、グローバルIPアドレスが電話番号であり、プライベートIPアドレスが内線番号です。グローバルIPアドレス(赤文字)とプライベートIPアドレス(青文字)の利用イメージは以下の図のとおりです。
(※)NAPT(Network Address Port Translation)機能 = 1個のグローバルアドレスを複数のプライベートアドレス端末で併用し、同時にインターネットに接続できるようにする機能です。
IPアドレスには、昔からある「IPv4」と次世代接続方式の「IPv6」という二つの規格がありますが、ここでは「IPv4」について説明します。
グローバルIPアドレス
グローバルIPアドレスは、国際的な機関「ICANN」が管理しており、日本で利用するまでの流れは次のとおりです。
国際的な機関「ICANN」→ アジアを管理している「APNIC」→ 日本国内を管理している「JPRS」→ 各管理会社である「プロバイダ(回線事業者)」→ 個人や会社などの「ユーザー」
会社は直接プロバイダ(回線事業者)と直接契約して、「グローバルIPアドレス」の割り当てを受けて利用できるようになります。グローバルIPアドレス群は、以下のとおりです。
| No. | グローバルIPアドレス | IPアドレス範囲 |
| 1 | クラスA(大規模) | 1.0.0.0 ~ 9.255.255.255 11.0.0.0 ~ 126.255.255.255 |
| 2 | クラスB(中規模) | 128.0.0.0 ~ 172.15.255.255 172.32.0.0 ~ 191.255.255.255 |
| 3 | クラスC(小規模) | 192.0.0.0 ~ 192.167.255.255 192.169.0.0 ~ 223.255.255.255 |
プライベートIPアドレス
企業が社内で自由で利用できるプライベートIPアドレス群は、以下のとおりです。これらがとても大事です。
| No. | プライベートIPアドレス | IPアドレス範囲 |
| 1 | クラスA(大規模) | 10.0.0.0 ~ 10.255.255.255 |
| 2 | クラスB(中規模) | 172.16.0.0 ~ 172.31.255.255 |
| 3 | クラスC(小規模) | 192.168.0.0 ~ 192.168.255.255 |
プライベートIPアドレスはWindowsの場合、以下のようなネットワーク設定画面で設定されます。多くの方が見たことがあるのではないでしょうか。
上記の情報が基本で、内容は以下のとおりです。
- IPアドレス:パソコンに割り当てる住所です(ネットワーク構成図では192.168.1.251)。
- サブネットマスク:「192.168.1.251」というIPアドレスという住所の中でどの部分がネットワークに関する情報で、どの部分が機器(端末)かを示す情報です。一般的に「255.255.255.0」であり、「192.168.1」の部分がネットワーク情報であり、「.251」が端末(専門用語では「ホスト」)の情報です。
- デフォルトゲートウェイ:インターネットや他の機器と通信するための中継機器の住所(192.168.1.250)。
- DNS(Domain Name System):どこの機器と通信するか経路を案内する「道案内人」の住所。ネットワークで重要な機能をもつ機器なので、二つ用意するのが一般的です(優先(プライマリー)が192.168.1.230、代替(セカンダリー)が192.168.1.231です)。
これらの情報はサーバーや複合機など決まったIPアドレスを設定する必要がある住所であり、「固定IPアドレス」と呼ばれます。また、数が多いパソコンやタブレットPCには設定が自動的に割り振られる「動的IPアドレス」を利用します。その設定画面は次のとおりです。
動的IPアドレスと固定IPアドレスの代表的な違いは、以下のとおりです。
| 項目 | 動的IPアドレス | 固定IPアドレス |
|---|---|---|
| 対象 | パソコン タブレットPC スマートフォン | サーバーやNAS 複合機・ネットワークプリンター ルータ、アクセスポイントやL3スイッチ |
| IPアドレス | DHCP機能(※)にて自動でIPアドレスが割振りされる リース期間終了後、IPアドレスが変わる場合がある | IPアドレスを手動で設定する |
| 利用するには | DHCP機能が必要: →ルータ、スイッチやアクセスポイントでは標準搭載となっている 企業ではDHCPサーバを構築している場合が多い | IPアドレスやサブネットマスクなどの知識が必要 |
(※)DHCP(Dynamic Host Configuration Protocol)とは、各パソコンに1個のIPアドレスを自動割り当てする機能を保有する機器(サーバー、ルーターやスイッチ)を指します。
IPアドレスのセグメントとルーティングについて
ここでは、異なるIPアドレス群(セグメント)に設置している機器同士で通信するための経路選択(ルーティング)について説明します。クラスCのプライベートIPアドレスを例としてます。
| No. | プライベートIPアドレス | 内容 |
| 1 | クラスC(小規模) | ・IPアドレスの範囲:192.168.0.0 ~ 192.168.255.255 |
| 2 | 例として説明に利用するIPアドレス群 | ・IPアドレス群(例):「192.168.10.1」から「192.168.10.254」 ・このIPアドレス群を「セグメント」と呼びます。 ・物理的に接続機器は254台となります。 ・専門的に「192.168.10.0/24」と表記します。 ・192.168.10.0と192.168.10.255は利用できません。 |
| 3 | セグメントの利用・管理方法 | ・接続機器254台以上利用するケース ・用途別で管理するケース |
| 4 | 接続機器254台以上利用するケース 例:350台 | ・2セグメント採用する ・250台用として「192.168.10.0/24」を利用する ・100台用として「192.168.11.0/24」を利用する |
| 5 | 用途別で管理するケース | ・サーバーセグメント: 192.168.10.0/24 ・クライアントセグメント: 192.168.11.0/24 ・無線LAN用セグメント: 192.168.13.0/24 |
| 6 | セグメント間の通信方法(ルーティング) | ・ルーターでルーティング ・L3スイッチでルーティング |
| 7 | ルーターでルーティング | ・小規模ネットワーク ・低価格で実現 ・L2スイッチと組み合わせ必要 |
| 8 | L3スイッチでルーティング | ・オーソドックスな実現方法 |
(7)と(8)のイメージ図は以下のとおりです。
ルーターによるルーティング(7)によりセグメント間の通信が可能になります。そして、L3スイッチによるルーティング(8)により、VLAN機能(※)を用いたセグメント間(VLAN間)の通信が可能になります。
(※)VLAN(Virtual Local Area Network)機能 = 実際の配線とは違う形の論理的なネットワークをスイッチの機能で作るネットワークのことです。
そして、ルーターおよびL3スイッチにて異なるセグメント間で通信するためにルートを選択する「ルーティングテーブル」があります。上記「ルーティングのイメージ図」における二つのケースのルーティングテーブルの例を以下に紹介します。
(7)におけるルーターのルーティングテーブル
| No. | 宛先ネットワーク | ゲートウェイ |
| 1 | 192.168.10.0/24 | 192.168.10.5 |
| 2 | 192.168.11.0/24 | 192.168.11.5 |
(8)におけるL3スイッチのルーティングテーブル
Interface Vlan 10
ip address 192.168.10.5 255.255.255.0
Interface Vlan 11
ip address 192.168.11.5 255.255.255.0
Interface Vlan 12
ip address 192.168.12.5 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.1.5
ネットワークの基本説明はここまでです。次はネットワーク機器の説明に移ります。
★特記事項:IPv4の枯渇問題(2の32乗=約43億のIPアドレス)に対処する一つの方法として「IPv6」という規格が策定さました(IPv4の後継規格。IPv6のアドレス数は2の128乗 = 340兆円x1兆x一兆)。現在、IPv6を導入して運用している企業などはまだ少ないと言えますが、IoT(Internet of Things)の発展により、これから大いに利用されると予想されます。IPv6の表記例は「1110:0db8:bd05:01d2:288a:1fc0:0001:10ee」です。
2.2 ネットワーク機器
ここでは、ネットワークが正常に動作するために必要な機器を紹介します。
- ONU
ONUはネットワークプロバイダーの所有物です。インターネットやWAN回線を契約すると、回線とともにONUを設置してくれます。もちろん、当該回線を解約する時には、ONUを返却する必要があります。
2. ルーター
一般的にONU設置後にルーターを設置します。ネットワークプロバイダーにもよりますが、ベンダーが設置する場合と、設定済みのルーターをIT担当に送付してIT担当自らが設置する場合があります。 ルーターは通常ではWANとLANを接続するネットワーク機器であり、NAPT機能(※1)、ルーティング機能、VPN(※2)構築や外部からの通信を制限する機能を搭載しており、複数のインターフェースに対応しています。 市場で代表的な企業向け製品は、Cisco社のルーターやIIJ社のSeil製品です。
(※1) NAPT(Network Address Port Translation)機能 = 1個のグローバルアドレスを複数のプライベートアドレス端末で併用し、同時にインターネットに接続できるようにする機能です。
(※2) VPN(Virtual Private Network)機能 = 仮想的な専用回線のことを指します。VPNは、インターネット上に安全な経路を構築し、セキュア(保護された)なデータのやり取りを実現する技術です。
3. スイッチ(LANスイッチ、スイッチングハブ)
スイッチは複数の機器(サーバー、パソコン、複合機など)をネットワークに接続するために分岐させるネットワーク機器で、一昔前に利用されていたハブに代わるものです。一般的に利用されるのは、ルーティング機能を搭載していないL2スイッチとルーティングが可能なL3スイッチです。
ルーターとL3スイッチの違いについて疑問をもっている方が多いため、以下の表に整理しました。
| No. | 機能 | ルーター | L3スイッチ |
| 1 | ルーティング(LANを超えて通信する ) | 可 | 可 |
| 2 | NAT(NAPT)機能 | 可 | 不可 |
| 3 | VLAN機能 | 不可 | 可 |
| 4 | VPN構築や外部からの通信を制限する機能 | 可 | 不可 |
| 5 | インタフェース | LAN ATM シリアル | LAN |
| 6 | 設置場所 | LANとWANの間 | LAN内 |
| 7 | 価格 | 低 | 高 |
★重要:セグメント管理する場合、ルーティングをルーターとL3スイッチのどちらを用いるのは、ネットワークの規模および予算で判断すべきです。
4. VPN装置(VPNゲートウェイ)
VPN通信を行いたい各拠点に専用の「VPN装置」を設置し、インターネット上に仮想専用網を構築します。 VPN装置を経由することで、データ送信時には暗号化を行ったうえでデータをインターネット上に流し、受信時に復号します。
5. 光ファイバーケーブル(参考)
工場内など広い場所でLAN 配線する場合、クライアントとサーバー間が100mを超えたらノイズなどで通信の速度が落ちる可能性が高くなるため、光ファイバーケーブルにしてください。
また、SCコネクターがあるスイッチ同士で光ファイバーケーブルを接続する場合は問題ありませんが、SCコネクターがない場合はメディアコンバータ(LANケーブルの電子信号を光ファイバーケーブルの光信号に変換する装置)を利用します。利用例は以下の図のとおりです。
6. リピータハブ(参考)
リピータハブは、LANケーブル上で流れる電子信号を中継するネットワーク機器です。SEの間ではバカハブ、あるいは単にハブと呼ばれることがあります。リピータハブは、受信したデータを接続された全ての機器に送信します(ブロードキャスト)。結果、複数の端末が同時にデータを送信しようとすると衝突(コリジョン)が発生し、その原因となった端末は送信待機状態となります(複数の端末間で同時に通信できない状態)。よって、近年ではこの問題が発生しないスイッチングハブを導入するケースがほとんどになりました。しかし、リピータハブの導入が廃れたわけではありません。現在でもリピータハブを用いている古いネットワークが存在して、当該リピータハブが故障した場合に代替品として、利用されるケースがほとんどです。
7. ロードバランサー(参考)
ユーザーからの、アクセスが多いアプリケーションサーバーの負荷を軽減するために、アクセスを他のアプリケーションサーバーへ分散する(振り分ける)装置です(専門用語ではL4スイッチ、L7スイッチと呼びます)。中小企業が社内でロードバランサーを導入しているケースは皆無です。
2.3 ネットワークに必要なシステム
2.3.1 DNS(Domain Name System)
DNSとは、インターネット上の「コンピュータ名(ホスト名)、電子メールのアドレスに使われるドメイン名やウェブサイトのアドレス(URL)」と「IPアドレス」との対応づけを管理するために使用されているシステムです。
一つの例として、「it-professor.jp」というドメイン名は、「202.233.67.111」というIPアドレスに対応していますが、この対応関係を管理するのがDNSの役割です。このやり取りは「名前解決」と呼ばれます。以下は「名前解決」についてウェブ閲覧をイメージした図です。
なお、社内のコンピュータ名や独自に構築したサーバーを利用する際、社員がIPアドレスで利用するのは困難で煩わしいため、内部DNSを構築します。この内部DNSと、インターネット上のDNS(外部DNS)とを連携する設定を行うことにより、パソコンから「ドメイン名」で検索し、インターネット上のサーバーと社内のサーバーにアクセスすることができるようになります。このイメージ図は以下のとおりです。
例えば自社のファイル共有サーバーのホスト名(例:File-Server)およびIPアドレス(例:192.168.10.10)を内部DNSに登録する場合は、正引き(File-Server → 192.168.10.10)と逆引き( 192.168.10.10 → File-Server ) の二通りの登録を行う必要があります。
2.3.2 DHCP(Dynamic Host Configuration Protocol)
DHCPとは、各ホスト(パソコン、タブレットPCやスマホなど)に1個のIPアドレスを自動割り当てする機能を有する機器(サーバー、ルーターやL3スイッチ)を指します。
一般的にIPアドレスでの通信を行う際には、個々のホストにIPアドレス、 サブネットマスク、デフォルトゲートウェイ、DNSサーバのアドレスを設定する必要があります。 このような設定をすべて手動で行いますが、ホストの台数が増えるに伴って手間が増えますし、間違いも起こりやすくなります。 これに対し、DHCPを利用すると、個々のホストはDHCPサーバに問い合わせをすることで、 各種設定に必要な情報を入手して、自動的に設定を行えるようになります。このイメージ図は以下のとおりです。
DHCPサーバーでIPアドレスを付与するケース
L3スイッチのDHCPでIPアドレスを付与するケース
ルーターのDCHPでIPアドレスを付与するケース
アクセスポイントのDCHPでIPアドレスを付与するケース
なお、DHCPサーバーは「IP アドレス」の付与がメイン機能ですが、複数のオプションがあります。そのメジャーな例は以下のとおりです。
・サブネットマスク
・デフォルトゲートウェイ
・DNSサーバー
2.3.3 RADIUS (Remote Authentication Dial-In User Service)
RADIUSサーバーは、パソコンが「リモート・アクセス」や「無線LAN」に接続するときの認証を実現できます。
例えば、無線LANの主な認証方式として「WPA2-PSK(WPA2 パーソナル)」と「WPA2 エンタープライズ(WPA2-EAP)」があります。前者は予め用意したパスワード(シークレット文字列)で認証する方式ですが、このパスワード漏洩防止のために当該パスワードを定期的に変更する必要があります。
この課題を解決するために、既存のWindowsサーバ上にRADIUSサーバを構築できます(WindowsサーバのActive Directory環境を利用していることが前提)。これにより、Active Directoryに登録しているユーザアカウントでWPA2 エンタープライズ認証を行うシステムを構築することができ、よりセキュリティの高い環境を実現することができます。 つまり、登録されていないユーザーからのアクセスは拒否されます。この仕組みのイメージは以下のとおりです。
また、障害発生時に原因の切り分けが容易になるように、基本的には一台のサーバーに一機能という構造が望ましいのですが、会社の規模によって一台のWindows サーバーにAD、DNS、DHCPおよびRADIUSの機能を導入するケースもあります。なお、RADIUSサーバーはVPN装置の認証にも利用可能です。そのイメージ図は以下のとおりです。
但し、これらはWindowsサーバのActive Directory環境を利用していることが前提です。iOSやAndroidを利用している場合、ネットワーク接続に別のノウハウが必要になるため、手っ取り早く「WPA2-PSK(WPA2 パーソナル)」(シークレット文字列で認証する方式)を利用している企業が多いのも事実です。
2.3.4 AD (Active Directory)
上記のRADIUSで紹介したActive Directory(以下、AD)とは、Windows Serverの一つの機能です。自社で管理するネットワークに接続するユーザー、サーバーやクライアントPCなどの情報(ユーザー名、コンピュータ名およびこれらに関連付けるパスワード)やサーバーを利用するためのアクセス権限(変更、書込み、読取り、フルコントロール)などを一元管理することができる有用なシステムです。
ADで管理する自社の組織名を「ドメイン」と呼びます。ADの主な機能は次のとおりです。
- ドメイン内のユーザー認証とアクセス制御
- ドメイン内のソフトウェアや接続機器・メディアの管理
ユーザー名とそのパスワード、そのユーザーに付与する権限、会社のサーバー名やパソコン名をADに登録することにより、自社ネットワークの利用者および接続しているデバイスの管理が可能になります(認証認可システム)。逆にADに登録されていないユーザーやデバイスは、自社ネットワークに参加できないことになります。なお、ADサーバーはドメインを管理することから、「ドメインコントローラー」とも呼ばれます。
一般的にADで管理する組織名(グループ名、ディレクトリー名)は次のとおりです。
- ユーザー
- サーバー
- パソコン
そして、登録するデータは「登録名+パスワード」です。次に各サーバーやパソコンを自社ドメインに参加させる作業を実施します。これで、自社ネットワークに接続できるようになります。
なお、自社ADに登録していないユーザーやデバイスが自社ネットワークへの接続を試みた場合、ADはこれれが自社のものかどうか、登録名+パスワード情報に照らし合わせてドメイン参加の可否を判断します。
AD利用の流れは以下のとおりです。
★ADの事前作業:
1.ドメイン名決定・登録:(例) Kaisha.local
2. ディレクトリー名の決定・登録:
・ユーザー
・サーバー
・パソコン
・その他
3. AD上の各ディレクトリー内にデータ登録:
・ユーザーディレクトリー内:ユーザー名(例:A氏)+パスワード
・サーバーディレクトリー内:サーバー名(例:SV-DC01, SV-FS01)+パスワード
・パソコンディレクトリー内:パソコン名(例:Kaisha_PC01)+パスワード
・その他ディレクトリー内:複合機名(例:MFC01)+パスワード
4. サーバー、パソコンや複合機にKaishaドメイン参加作業実施
5. Kaishaドメイン管理運用開始
また、アクセス管理としてログオン時の認証やファイル共有サーバーに対する操作ログなど、Active Directory に関連したログの取得が可能です。Active Directoryは、部署ごとや役職ごとにアクセスできるサービスや閲覧可能なフォルダを制御する際に多く利用されます。人事異動や役職変更があった際も、該当ユーザーのドメインを変更するだけで設定が完了します。
その他、セキュリティ管理にも利用されています。具体的には、クライアントPCのセキュリティを確保し、情報漏えいを防ぎたいシステム管理者向けのグループポリシー(GPO)と呼ばれる機能です。予め用意されたポリシー(主にセキュリティやPCの機能制限など)を組織単位(Organizational Unit)に割り当てることにより、Active Directoryに登録されたユーザーアカウントやコンピューターアカウントの制御を行います。
GPOの例としては、ユーザーが会社のパソコンにログインして、電子メール、ワードやエクセルは利用できるが、「設定」や「タスクマネージャー」は利用不可にすることが挙げられます。ユーザーが 「設定」や「タスクマネージャー」 のアイコンをクリックすると、管理者のIDとパスワードが表示されます。ユーザーは管理者のIDとパスワードを知らされていないため、利用できません。どうしても当該機能を利用することが必要な場合は、IT担当に要請するしかありません。
ワンポイントメッセージ:ネットワークは、「IPアドレスを代表とするネットワークに関する情報整理」、「ネットワーク回線」、「ネットワーク機器」および「ネットワークに必要なシステム」で構成されています。
次項の”ネットワークの導入事例”は「こちら」をクリックしてご参照ください。
