- ベストアンサー
社内LANをつくるため勉強したいけど
社内のLANをつくるために勉強したいです。 専門知識は全く無いところから見よう見真似でLANを作ってきましたが、そろそろ限界を感じています。 体系的にネットワークの勉強をしたいと思い、書籍を買ってきて読んだり、webを見たりしています。 今はピアツーピアでつながっていますが、近々拡張します。 拡張すると、セキュリティ上の理由からLANを分割したい要求が出てきます。 具体的には、社員(10台)、経理(1台)、派遣社員(15台)の3つに分けたいです。 サーバは管理しきれないので、まだ導入は考えていません。 (プリンタにプリントサーバがついていますし、ルータにはDHCP機能がありますが…) 経理やインターネットへの接続を制限するのが当面の目標です。 書籍で読み、ローカルルータを使いサブネット化、ルーティング設定をすれば良いかなと目星をつけましたが、もっと具体的にどうするかを知りたいです。 どうせならネットワークをきちんと勉強し、身につけたいです。 ネットワークの構築やセキュリティ対策の必要がある場合に、勉強方法としてお勧めがあれば教えてください。 いろいろ資格もあるようですが、体系的にコンピュータについて学んだことが無く、見よう見真似でやってきた場合、どう取り組むべきですか? ネットワークやシステムの管理を私がしてますが、本来の業務もあり、時間の余裕が少ないです。 また、安いパソコンを数台購入し、自宅で実験用のネットワークを組んでみようと思っていますが、どうですか? 費用がかかるのが痛いですが、本を読むだけでは分からないことを実験したいです。 会社のネットワークを実験台にするわけにもいかず… 自分に対する投資と考えましたが、一般的にはどう実験しているのでしょう? 同じような立場の方や、経験者の方のアドバイスがいただけると助かります。 おねがいいたします。
- IINKAI
- お礼率87% (7/8)
- その他(インターネット接続・通信)
- 回答数6
- ありがとう数7
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
>レイヤ2のVLANだと、それぞれのVLAN間で通信したくなったときには、 >何らかの手段があるのでしょうか? > これを実現するのがマルチプルVLANですが...? ただ、アライドのSWを例にするとマルチプルVLANにも オーバーラップポートを自由に設定できるタイプ(高価)と 各PCを接続するのはクライアントVLAN固定のものがあります。 #4の回答の参考URLにある「Any Port,Selectable Port,Preset Port」というのがそれですね。 Preset Portの製品でクライアントVLANに接続されていれば、 そこから他のVLANと通信はできません。 将来的に他のVLANと通信することを想定しているのであれば、 Any Port,Selectable Portのどちらかの製品を選択されるのがいいでしょう。 >レイヤ3スイッチを使うと、細かな設定ができるのだなと分かりましたが... > ようはルータです。 IPレベルで制御が出来るので、例えばIPアドレスによるフィルタリングやNATなんかが実現できます。 また、レイヤ3のスイッチは実際にはレイヤ4の情報も扱える製品が多いです。 ですので、http,ftpといったTCP/UDPの情報でフィルタリングしたり、 優先度をつけたり(QoS)することもできます。 #安価なレイヤ3スイッチではフィルタリングで性能が落ちる製品もあるらしいですが。 ただ、ネットワーク数が10程度のLANではレイヤ2のVLANで十分でしょう。 インターネット環境は別にファイアウォールを導入されるのですよね? ファイアウォールをレイヤ3のスイッチで実現はしない方がいいでしょう。 #やっている人はみたことがありませんが...^ ^) そうなるとなおさらLANはレイヤ2スイッチのVLANでいいのでは? >また、企業向けで高機能だから当然かもしれませんが、 >ホームLANレベルでやってきた私から見ると、高価だなと感じてしまうのですが、 >これくらい費用がかかるのは当たり前だと思うべきですか? > ホームLANでレイヤ3スイッチは選択しないでしょうね。 メリットも見つからないですし。 それでも発売当初より一桁くらい安くなっているのではないでしょうか。(ちょっとオーバーかな) LAN機器が高いというのは昔の話で、規模や用途によって安価に構築できます。 今回のレイヤ2の選択もそうなりますね。 企業が高い機器を購入する理由はギガビットの対応等拡張性も考慮するからでしょう。 一度導入したら数年は変更できないでしょうし、 その時点での最上位モデルを選択することが多いでしょうね。
その他の回答 (5)
- tententen
- ベストアンサー率0% (0/2)
一応、某通信会社でシステム管理者やってます。 私ならこうします、ってのをいくつか挙げますね。 (1)サーバーを立ててドメインを作る。 ドメインコントローラ、プロキシ(兼F/W)、ファイル、 くらいがあればいいですね。 (2)NW機器はスイッチが基本 No4の回答者に賛成。VLAN最高。 (3)ドメインへのログオンユーザーで権限を分ける。 です。サーバーはそんなに難しくも手間のかかるものでもありません。 ぜひ導入すべきだと思いますよ。 これでシンプルなLANであなたの要求はクリアされます。 いずれ・・・というのはまず実践しませんから。 いつ、何を、いくらで、どうするってのを最初に決めちゃうべきです。 予算と期間の兼ね合いもあるんですけどね。 ひとつだけ。 私も実験機の導入を私的に購入する必要はないと考えます。 自己投資ってのは自分を磨くためにするのであって、 あくまでも実験機は会社のためにあるのですから・・・ 実際、実験機なんて予備機を買うのは経営者に納得して もらえないかもしれないですけどね。 あと、勉強は実際にマシンさわるのが一番! 本片手にがんばって下さい。 また何かあれば答えさせていただきますよ!
お礼
ありがとうございます。 サーバは、さわっておぼえるしか無いと思うので、1台ためしに買ってやってみます。 ここで皆さんに背中を押された感じです。ありがとうございます。 が、どんなものを選べばいいのか見当がつきません。 今回のような目的で使う場合の、選定のヒントをもらえないでしょうか。 予算と期間に関しては、あるようで無いです。 だまって知らないフリをしていれば、26台がピアツーピアでつながっていて、ルータを介してインターネット接続したり、個々でファイル共有したりといった環境になってしまうと思います。 けれど、さすがに非効率的なのは客観的に見ても確かなので、きちんと説明すれば、それなりの予算が取れると思います。 また、ちょうど拡張しようとしているタイミングでもあるので、これがチャンスだと思っています。うまくいけば、6月中には手に入るはず。 実験機=予備機としては難しいとしても、実際に使用するマシンでテストするということにすれば大丈夫かなぁと…。
単にネットワークを分けたいのであればルータ等のレイヤ3ではなく レイヤ2スイッチのVLANで実現できますね。 処理能力的にもルータよりスイッチが断然早いし、 何より設定が簡単だと思いますよ。 やれネットワークアドレスだ やれゲートウェイだ等がいらなくなるので。 価格は...本来ルータの方が高価なはずですが、ADSLのおかげでEtherポートを複数持ったルータも かなり安く買えるようになりました。 VLAN対応スイッチが10万円程度でルータが5万円程度といった感じでしょうか。 で、VLANで構築する際に各部門で共通して使うサーバやプリンタがあるのであれば、 タグVLANやマルチプルVLAN対応のスイッチが必要です。 タグVLANはタグに対応した機器が必要なので、 タグを意識しないマルチプルVLAN対応のスイッチを買っておけば安心でしょう。 例えばアライド製なら「8216XL2」が一番安いかな。 http://www.allied-telesis.co.jp/products/product/switch/8216xl2/index.html 16ポートなのでその配下に安価なSW-HUBやHUBをつければいいでしょう。 アライドのページにあったVALNの説明をつけますので参考にしてください。 セキュリティ対策については何を守るのかポリシーをたてるのが先決ですね。 それを提示していただければアドバイスがつくかもしれませんよ。
お礼
ありがとうございます。 マルチプルVLANですね。早速見に行ってみます。 できるだけ簡単・シンプルでセキュアなネットワークを目指します。 セキュリティポリシーについては必要性をひしひしと感じています。 が、これもまた勉強中です。 今まで、ホームLANの感覚でやってきたので、企業でネットワークをつくるやり方を1から学ぶといった感じで、勉強することがいっぱいです。 まずはトライですね。
補足
見てきました。 マルチプルVLAN、素晴らしいです! まさにこれが欲しかった。作ってくれてありがとう!という感じですが、ひとつ疑問があります。 レイヤ2のVLANだと、それぞれのVLAN間で通信したくなったときには、何らかの手段があるのでしょうか? レイヤ3スイッチを使うと、細かな設定ができるのだなと分かりましたが、レイヤ2スイッチでVLANを作った場合には完全に分割されてしまうということなんでしょうか。 また、企業向けで高機能だから当然かもしれませんが、ホームLANレベルでやってきた私から見ると、高価だなと感じてしまうのですが、これくらい費用がかかるのは当たり前だと思うべきですか? (導入による効果を考えれば、決して高すぎるとは思いませんが) 「補足」と「お礼」の順番を間違えてしまったようですみません。
- tadanokuma
- ベストアンサー率36% (128/348)
同じ経験をしたものです。 >セキュリティ上の理由からLANを分割したい要求が出てきます 具体的には、社員(10台)、経理(1台)、派遣社員(15台)の3つに分けたいです。 ここでは、分割することは理解できますが、それぞれのセクションの機密事項以外に情報を流用・共有させるということは無いのでしょうか? WinNTやWin2000・WinXPのサーバー機能を導入されて、ユーザー認証を取ることでフォルダーやファイルのアクセスを許可する方法があります。思い切って、26台のうち載せ買え可能で、スペックの良いもの1台にOSから入れ替えることを検討されては? >経理やインターネットへの接続を制限するのが当面の目標です。 おそらく、ルーターから電話回線を利用されているのだと思いますし、ルーターからクライアントへはNAT変換を利用してインターネットへ接続していると推測しています。 インターネットへの接続を制限する方法はいくつかあるのですが、下の方も書いているようにマスカレードやプロキシの利用です。また、単純には接続できるクライアントにのみ定義を行い、それ以外にはDNSの定義を施さないのが良いでしょうし、ルーターの機能でフィルタリングすることもできるはずです。 まずは、ルーターのマニュアルを見て勉強されたほうが良いと感じました。 しかしながらそのマニュアルには、現在のあなたのスキルから思った設定の方法や噛み砕いた説明がなされていない可能性もあります。そういう場合には、”どういう意味なのか?”とか言った具体的な質問を投げかけられたら回答が得安いと思います。 書籍もためになりますが、このサイトではそれ以上に詳細に教えてもらえることは多くあります。 質問と回答をしている間に、スキルは付きます。 実験として社内のシステムの利用でなく、個人投資をお考えのようですが、会社で実験用に2台のパソコンを稟議されてはいかがでしょう?先々、必要ですよ。 それが無理なら、使用していない時間に会社のパソコンでやってみる。ダメなら戻すの繰り返し。 これでも気が引けるようでしたら、ご自宅で2台のパソコンを購入されるしかありませんね。私も、そのとき2台自作でパソコンを組み立てましたが、後日、会社で3台実験用に確保しました。 がんばってください。
お礼
ありがとうございます。 とりあえずやりたいことは、No.2の方のところで書いてみました。 > まずは、ルーターのマニュアルを見て勉強されたほうが良いと感じました。 ~中略~ > 質問と回答をしている間に、スキルは付きます。 はい。実際にルータ使いながら、分からないことをひとつずつ解決していこうかなと思っています。 このサイトは他の方の質問と回答を見ているだけでも得るものが多いです。 実験に使うパソコンは、会社で買うのはまだ難しいです。 徐々にそういった意識を上層部に持ってもらうべく働きかけてはいますが、私の管理運営業務(?)が正式なものでは無いので、要求を出しにくいです。 まずは、こういった業務が必要なんだと認識してもらうところからやり始めているのが実情です。 ネットワークの規模に対して運営管理のための予算やスキルが追いついていないアンバランスな状態になりつつあるのだと思います。 あとは、完全に自分が勉強するための投資と割り切った気持ちが大きいです。
- spice_piri
- ベストアンサー率26% (88/333)
>具体的には、社員(10台)、経理(1台)、派遣社員(15台)の3つに分けたいです。 ということは、現在、26台が同じLAN上に(途中、HUBが介してもOK)あるということですか? セキュリティ上、3つに分けるのであれば、LANの線を分断すればいいだけです。この3つのLANが会社で契約している1つのプロバイダのインターネットに接続される・・・となると、その中継機能(ルーティング)させるために、プロキシサーバ、または、IPマスカレードサーバをこの場合、3台用意する必要があります。 すべてを一気にはできないので、少しずつの攻略がよろしいかと。 制限をつけるということは、制限をつけるための機材と知識が要求されます。 ユーザ認証をして、この人はインターネットへ通すなどが必要な場合には、ドメインサーバを立てて、Proxyサーバに対しての設定も必要になってきます。 --- 一番簡単な方法は、現在のピア2ピア接続のまま、経理のPCをWindowsNT/2000にするだけでも、経理PCへのアクセス制限はできます。Win98/95/Meのようなちゃちい認証ではないからです。インターネットの制限は、ルータ側の設定でできるかもしれません。遊ぶ人が多いなら、口頭で「インターネットへの接続は不可」とすればいいだけです。守れない人は減給にすれば。
お礼
ありがとうございます。 > ということは、現在、26台が同じLAN上に(途中、HUBが介してもOK)あるということですか? 現在は10台ですが、拡張後は26台になります。 > セキュリティ上、3つに分けるのであれば、LANの線を分断すればいいだけです。この3つのLANが会社で契約している1つのプロバイダのインターネットに接続される・・・となると、その中継機能(ルーティング)させるために、プロキシサーバ、または、IPマスカレードサーバをこの場合、3台用意する必要があります。 1つのプロバイダのインターネットに接続されたいのです。(ルータを介してADSLで常時接続です) 社員グループ、経理グループ、契約社員グループをそれぞれA、B、Cとして、次のような環境を作りたいと考えています。 A・B・C全てのグループで共有したい情報がある。 AとBはインターネット接続を許可し、Cは不許可とする。 Bには高いセキュリティレベルが要求されていて、特にCからBは見えないようにしたい。 外部からの接続は不許可。 A---(ローカルルータ)--- | B---(ローカルルータ)----------ルータ----ADSLでインターネットへ | C---(ローカルルータ)--- ということでしょうか? こういうのはできませんか? A------ | B--(ローカルルータ)-----ルータ----ADSLでインターネットへ | C------ > すべてを一気にはできないので、少しずつの攻略がよろしいかと。 > 制限をつけるということは、制限をつけるための機材と知識が要求されます。 はい。少しずつ攻略するべくがんばります。 知識を手に入れるのが当面の課題です。 (知識が無いので必要な機材も選定できません ;_;) > 遊ぶ人が多いなら、口頭で「インターネットへの接続は不可」とすればいいだけです。守れない人は減給にすれば。 それができると爽快ですね。 モラルの問題は、今回のネットワーク構築とは別に頭痛のタネになっているのは確かです。
- kuuga_uf
- ベストアンサー率19% (20/104)
わたし自身はネットワーク関係には全く知識がありませんが・・・。 LANの分割を考えるならば、というよりもセキュリティの関係上サーバーは立てるべきです。 実験用のパソコンは一台だけ用意し、それをサーバーとしていろいろ設定すればよいのではないでしょうか。 基本的にはクライアントにIPアドレスを付加してやれば、あとはサーバーの支配下に置けるわけですし。 自分に投資するのは一向に構わないのですが、数台用意するほどのモノではないのでは?と思います。 なんの参考にもなりませんが・・・。
お礼
ありがとうございます。 セキュリティの関係上サーバを立てるというのは、具体的にどういう仕組みを利用するのでしょうか。 私がサーバを扱ったことも無いレベルなのと、専任の管理者がいないので、サーバ機を立てるのを躊躇しています。設置はできたとしても運用が大変なんじゃないかと思ってます。 当然、将来的には必須になるはずなので、徐々に勉強していますが、さすがに今すぐに立てるのは無理だなというのが現実です。 テスト用のサーバ機を導入して実験するというのはいいですね。 私が実験でやりたかったのは、ルーティングに関してだったのですが、サーバ機の扱いもやらなくては… という感じで、要求されていることに対して、私の知識・スキルが足りないのを何とかせねばという状態です。
お礼
お礼が遅れてすみませんでした。 今、各メーカーのVLAN対応のレイヤ2スイッチを見比べて選定中です。 アライドは、製品マニュアルがPDFで公開されているのが好印象ですね。 マニュアルを読んだことで、具体的なイメージが掴めました。 色々とアドバイスありがとうございました。