多拠点ＶＰＮのＩＰアドレスの決め方

多拠点のVPN（スター型）の構築を考えています。拠点数は19拠点ですが、すべての拠点のパソコンはセンターを通ってネットに接続します。センターのノードと拠点にあるノードの合計は軽く254台を超えています。そこでセンターのＩＰアドレスの決め方をご教示いただけないでしょうか。私はノードの数が２５４台を超えるのでクラスＢのＩＰアドレス172.16.*.*を使用しようと思っています。19拠点あるのでサブネットマスクは255.255.254.0と設定したら128個のサブネットに分割でき、1つのサブネットで510台のノードが同一ネットワークに接続できると考えていいのでしょうか？
これが正しいと仮定すると
センターのＩＰアドレスは172.16.0.0～172.16.1.255
拠点1のＩＰアドレスは　 172.16.2.0～172.16.3.255
拠点2のＩＰアドレスは　 172.16.4.0～172.16.5.255
・・・
拠点19のＩＰアドレスは　172.16.38.0～172.16.39.255
でよろしいでしょうか？
それともセンターのＩＰアドレスだけクラスＢを使用し、拠点にある端末はクラスＣの192.168.＊.＊/24を利用してもいいのでしょうか？どうせＶＰＮ接続したらセンターのＩＰアドレスを割り当てられるので構わないのでしょうか？
ご教示お願いします。

ベストアンサー anmochi 回答No.1

まず押さえるべきは全拠点の拠点内のノード数だと思う。
センターのノードと拠点のノードの合計は意味の無い数字だと思う。それともVPNは広域イーサにする予定なのかな？　そうじゃないよね（もしそうだったらそもそもサブネットに分ける必要がない）。

で、各拠点でノード数をまず確認するわけだけど、254を超えるところは/24じゃまかなえない。けど、センターのノードと拠点のノードの合計は254を越えるそうだけど、各拠点内ではMax50とか言うなら全部/24で余裕だよね。

考え方としては、拠点に割り振るのはサブネットであり、サブネット単位でノード数や今後増加するノード数見込みを算出する。その上で254を超えているあるいは早々に超えそうなところには/23とか/22を割り当てる事になるだろう。今後10年かけてもノード数が14を超えそうにないところは/28でいい。
もう一つの考え方は、各拠点のノード数を算出するところまでは変わらないが、最大である拠点を基準にフラットなサブネットを割り振る。Maxのノード数が2000だったら2000の拠点でも12の拠点でも全て/20を割り振る。/20は4094台までいけるので2000の倍まで耐えることができる。こちらの方がムダは多いが管理のしやすさは上だろう。

センターに172.16、拠点に192.168という考え方も悪くはない。
私だったらセンターを含めた拠点には172.16などを割り当て、拠点間のVPNには192.168を使う、などあなたの組織内の「バックボーンネットワーク（＝VPN）」と「拠点内ネットワーク」という用途別にIPアドレス体系を分けるかな。その方が分かりやすいと私は思う。

拠点数もノード数も多いというか考えるのが面倒なのであれば最初から10.x.x.xにすればいいのではないかな。
センター：10.100.x.x/16
拠点１：10.101.x.x/16
拠点２：10.102.x.x/16
～
拠点19：10.119.x.x/16
センターと拠点１のVPN：10.10.100.0/30
センターと拠点２のVPN：10.10.100.4/30
センターと拠点３のVPN：10.10.100.8/30
～
センターと拠点１８のVPN：10.10.100.68/30
センターと拠点１９のVPN：10.10.100.72/30
これで、センターも他の拠点も65534台のノードを使う事ができ、かつピリオッドのところでサブネットを分けられるのでバックボーンネットワークを含めて最も分かりやすそう。
ただ、例えばNTT東西各地域会社が提供するフレッツ・VPNワイドのようなVPNサービス（つまり、センターと19の拠点間のVPNが一つのサブネットになるようなVPN）であればもっと話は単純になる。

以上はあくまで私がIPアドレス計画を練るなら、かつ10と172と168のどれでも好きなものを使ってよいという前提での話なので、例えば10は使っちゃいけないとか、各拠点の正確なノード数と今後の増加見込み、スター型のVPNは何を使うのか、拠点間がPtoPになるのかEther型になるのか、などの条件を詳しく教えて貰えればもう少ししっかりした計画を練ることができるでしょう。

> どうせＶＰＮ接続したらセンターのＩＰアドレスを割り当てられるので構わないのでしょうか？
ここが意味が分からない。スター型のVPNを拠点間に張る事と各拠点でのIPアドレス体系はサブネット（論理ネットワークセグメント）が分かれるだけで各拠点のPCがセンターにL2TP/IPSECとかでダイヤルアップVPNをするわけではあるまい？

> サブネットマスクは255.255.254.0と設定したら128個のサブネットに分割でき、1つのサブネットで510台のノードが同一ネットワークに接続できると考えていいのでしょうか？
これは正しいです。が、自由にIPアドレスをふれるならわざわざ第3オクテットの途中で分割するようなIPアドレス計画はあまりしないと思う。するとしても/20とか4ビット単位でやるんじゃないかな。理由は主にその方が分かりやすいからだと思う。

お礼 2015/01/31 09:10

詳細なご回答ありがとうございます。IPアドレス体系以前にVPNをよく理解できていませんでした。ご回答を参考にさせていただき、勉強し直してみます。