2008-10-09

拠点間VPNネットワークの構築 (1)

一昔前であれば、膨大な初期費用とランニングコストを要した拠点間の高速ネットワーク。 近年の光回線等のブロードバンドと、各種ネットワーク関連機器の普及と低価格化により、従来に比し非常に低価格で実現できるようになりました。 今回は最近、小社で手がけた小規模な支店間VPNネットワークの構築について紹介します。


要件定義(お客様、ご要望

  1. 4拠点間+α VPNネットワーク構築
  2. 回線冗長性(ルータや回線障害時に回線を切り替え、業務を継続できること)
  3. 主なアプリはFileMaker Pro 5.5
  4. Windows Server 2008 と Terminal Service を導入、支店でも社内LAN並みのパフォーマンスを出すこと
  5. 堅牢なセキュリティ環境と集中監視・管理
  6. システム管理者が拠点のネットワークを遠隔保守
  7. 初期コストを最小化する
  8. 社内システム管理者の負担を最小化
  9. 拠点間の通信コスト限りなく0に、そしてスムーズな意思疎通

と、テンコ盛りの要件、しかも低予算...



1. 4拠点間+αのVPNネットワークを構築する

本社、工場、支店、土屋企画、出先ノートPC(緊急対応用)間のVPNネットワークを構築。  このうち、本社、工場、土屋企画間はSite-to-Site VPN(SonicWALL TZ180同士で暗号化)、支店と出先ノートPCはVPNクライアントにGVP(SonicWALL Global VPN Client)を使用。


4. 回線冗長性

万が一の回線やルータ障害の時にも、工場で生産や配送の指図書や送状が照会・印刷できますように。 大分前ですけど、OCNが大規模回線障害で何時間も不通になってる、って、NHKの夜のニュースでやってもやってましたね。 はい、うちも被害者です。


3. 主なアプリはFileMaker Pro 5.5

少しはクライアント/サーバっぽいFileMaker 8.5とか9を使うと、クライアント⇔サーバ間のパフォーマンスもよくなると思うんですけどね…  お客様の暗黙の(しかも強力な)要請により、既存のFileMaker Pro 5.5/FileMaker Pro Server 5.5によるシステムを継続利用。 既存システムのできる限りの延命も重要なミッションでございます。


4. Windows Server 2008 と Terminal Service を導入

「2008でFileMaker Pro 5.5が動くん?」 --- Ans:はい、立派に動いてますね。 しかもTerminal Server 上で。 

「印刷は? ローカルディスク利用は?」 --- Ans:お客さんの環境では、問題なく動作しておりますです。 

「で、Vistaは?」 --- Ans:動くかも…


5. 堅牢なセキュリティ環境と集中監視・管理

SonicWALL と Panda で、統合的、集中的な管理。企業の社会的信用にかかわるセキュリティ関連リスクの低減に、万全を期しましょう。


6. システム管理者が拠点のクライアントPCを含むデバイスを保守

遠隔地よりシステム管理者(≒小社)が、サーバ、クライアントPC、ルータ(SonicWALL)、プリンタ等を管理・保守できるようにしています。 請け賜っているのは SonicWALLの保守と各PCのセキュリティ管理だけなのですが、「これ、セキュリティの問題ではありませんね」って言えるまでの調査過程で、大体は原因が判明してしまうんですけどね。


7. 初期コストを最小化する

  • Dell PowerEdge R300 (RAID 1)
  • Windows Server 2008 + Terminal Service Client ラインセンス
  • SonicWALL TotalSecure TZ-180 × 4台
  • Panda WebAdmin クライアントライセンス(追加ユーザ分)

合計60万位。 既成のハード/ソフトだけでこれだけはどうしてもかかってしまいます(クライアントPCやプリンタは既存のモノで新規導入無し)。 ホントに大変なのは、これらの機器やソフト、PC、プリンタを最適に設定して、テスト、テスト、そしてテスト。この部分は小社の営業努力で ・゚・(ノД`)・゚・


8. 社内システム管理者の負担を最小化する

経営者  「システム、特にセキュリティなんかじゃ飯は食えんのよ」

小社 「ごもっともでございます(トホホ...)」


9. 拠点間の通信コストを抑える

IP電話より、Skypeとか、AOL IMの方が、使い勝手も、生産性が高いですね。

(続く)

2008-08-13

SonicWALL を使った Site-to-Site VPN の構築

 VPN ルータ同士を接続して常時 VPN 接続を確立することを Site-to-Site VPN と言いますが、最近弊社では SonicWALL 同士の Site-to-Site VPN 接続の設定テストを行っています。

 VPN ルータが各終点に一つずつの場合は、比較的設定は容易です。
 基本的には VPN のポリシー設定で「主格 IPSec ゲートウェイ名またはアドレス」に対岸のルータアドレス(ゲートウェイアドレス)を入力し、「事前共有鍵」に任意の共有鍵コード(両方のルータに同じ共有鍵を設定)を指定し、そして「対象先のネットワーク」に対岸 LAN のネットワーク(たとえば 192.168.3.0)とサブネットマスクを指定するだけです。

 しかし、ネットワークが落ちたりすると業務に支障が出るような環境では、回線を複数用意しているところもあります。そのようなときに、現用回線と予備回線の両方に対して VPN トンネルを張っておき、現用回線がダウンしたときに予備回線の VPN トンネルを使うことがあります。これを冗長 VPN ゲートウェイと呼んでいるそうですが、この設定は、理屈では「主格 IPSec ゲートウェイ名またはアドレス」に現用回線のルータアドレス、「副格 IPSec ゲートウェイ名またはアドレス」に予備回線のルータアドレスを指定すれば動くということになっているのですが、何故か副格ゲートウェイの方だけが採用されている状態となりました。主格の方が無視されている状態なので、現在この原因について調査中です。

2008-08-04

Windows Server 2008 の TS EasyPrint について

 前回の投稿に引き続き、今回は Windows Server 2008 の TS EasyPrint の動作を検証してみました。
 TS EasyPrint とは、リモートセッションが確立されている場合に、クライアント側のローカルプリンタを使って印刷が可能となるものです。従来は、サーバ側にもクライアントのドライバをインストールしておき、プリンタポートマッピング設定をしておく必要があったのですが、TS EasyPrint ではユーザによるプリンタポートマッピングが不要となるため、ドライバをサーバ側に入れなくても良い、というシナリオになるのでしょう。TS クライアントは Windows Vista SP1 であることが最低条件のようですが。

 上記に従って、VPN 経由で TS 接続を行い、プリンタ情報を見てみると、最初のうちはクライアント側プリンタ 2 台のうち 1 台(Canon BJ 895PD)が「リダイレクトされた」という表現でサーバ側に表示されていることを確認できました。このプリンタを使ってテストページ印刷には成功しました。
 しかし、もう一台のプリンタ(Dell All-in-one Printer 810)は表示されることがなく、ポート設定をいろいろ弄ってやってみたのですが、努力空しくこちらの EasyPrint は実現しませんでした。

 そうこうしているうちに、Canon BJ 895PD も出てこなくなり、TS EasyPrint の不安定感が募ってきました。ひょっとすると VPN 経由だと不安定になる可能性が高くなるのかもしれません。

 この辺はもうすこし研究課題にしたいと思います。

参考:
Windows Server 2008 のターミナル サービス