ネットワーク設計の基礎
ネットワーク設計とは、コンピュータ、サーバー、スイッチ、ルーター、アクセスポイント、IoTデバイスなどの機器が安全かつ安定的に、効率的に接続できるよう、データ通信インフラストラクチャを計画、構築、管理するプロセスです。デジタルサービスの時代において、ネットワーク設計は単に「ケーブルを接続する」ことやWi-Fiを設置することにとどまりません。ビジネスニーズ、拡張性、そしてセキュリティ脅威からの保護を支えるアーキテクチャを構築することが求められます。この記事では、オフィス、学校、大規模組織などで一般的に用いられるネットワーク設計の基本について解説します。
1. ネットワーク設計の目的と基本原則
ネットワーク設計者は、デバイスやトポロジーを選択する前に、ネットワークの主要な目的を理解する必要があります。一般的に、優れた設計は以下の原則のバランスが取れています。
1. 可用性:1つのデバイスまたは回線に障害が発生した場合でも、サービスは継続して稼働します。
2. パフォーマンス:高速な応答時間、低遅延、十分なスループット、最小限のボトルネック。
3. 拡張性:全面的な改修を必要とせずに容易に開発できる。
4. セキュリティ:不正アクセスからデータ、ユーザーID、およびサービスを保護する。
5. 管理の容易さ(管理性):監視、問題の追跡、設定が容易であること。
6. コスト効率(費用対効果):ニーズに応じた投資であり、過剰投資ではなく、能力不足でもない。
これらの原則は、アーキテクチャの選択、IPアドレスの割り当て、VLANのセグメンテーション、パスの冗長性など、あらゆる意思決定の基礎となるものです。
2. 要件分析
ネットワーク設計の最初のステップは、要件の収集です。よくある間違いは、トラフィック負荷や使用パターンを計算せずに機器を購入することです。マッピングすべき項目には、以下が含まれます。
– ユーザー数とデバイス数:従業員、来客、モバイルデバイス、プリンター、CCTV、IoT。
主な用途:電子メール、ERP、VoIP、ビデオ会議、クラウドストレージ、インターネットアクセス、リモートVPN。
– 帯域幅要件:内部トラフィックとインターネットトラフィックの量、ピーク時間帯。
– サービス要件:DHCP、DNS、認証(RADIUS/AD)、ファイルサーバー、Webサーバー。
– SLA/目標稼働率:例えば、重要な業務については99,9%。
– コンプライアンスと規制:プライバシーポリシー、監査、ログ記録。
このデータから、設計者は優先順位を決定できます。つまり、Wi-Fiアクセス速度、建物間の接続信頼性、機密データのセキュリティのどれに重点を置くべきかということです。
3. ネットワークアーキテクチャ:階層型モデル
よく用いられるアーキテクチャは、ネットワークを複数の層に分割する階層型モデルである。
1. アクセス層:ユーザーデバイスが接続される層(アクセススイッチ、Wi-Fiアクセスポイント)。十分なポート数、AP/CCTV用のPoE、およびアクセス制御(VLAN、ポートセキュリティ)に重点が置かれます。
2. 配信層: アクセスを集約し、VLAN 間でルーティングを実行し、ポリシー (ACL、QoS) を適用し、パスを制御します。
3. コア層:ディストリビューションとデータセンター、インターネットゲートウェイ、または建物間を接続する高速バックボーン。スループットと冗長性に重点を置いている。
小規模ネットワークでは、ディストリビューションとコアを統合することも可能です(コア統合)。しかし、機能を分離するという原則は、より簡潔な設計と容易な拡張のために依然として有効です。
4. トポロジーと伝送媒体
トポロジーとは、デバイスがどのように接続されているかを説明するものです。
– スター型(最も一般的):すべての機器が中央のスイッチに接続されます。管理が容易で、ケーブルが1本断線しても影響を受ける機器は1台だけです。
メッシュ型:ノード間に複数の経路が存在する。干渉に強いが、コストが高く、構造も複雑になる。
– リング/バス:現代のLANではあまり一般的ではありません。リングはメトロ回線やISP回線で見られることがありますが、LANではスイッチングに置き換えられています。
伝送媒体は、距離とニーズに合わせて調整する必要があります。
– 銅ケーブル(UTP Cat6/Cat6A):LANに適しており、一定の距離で1~10Gbpsの速度を実現します。
– 光ファイバー:フロア間/建物間の基幹回線用、耐干渉性、長距離伝送、大容量。
– 無線(Wi-Fi):柔軟性があるが、干渉の影響を受けやすく、容量が共有され、チャネル計画が必要となる。
よくある設計ミスとしては、長距離にわたって銅線を使用したり、容量を考慮せずに有線バックボーンの代替としてWi-Fiを使用したりすることが挙げられる。
5. IPアドレス指定とサブネット化
ネットワーク設計における重要な基礎の一つは、IPスキーマの作成です。優れたスキーマは、トラブルシューティング、セグメンテーション、および拡張を容易にします。重要なポイント:
IPv4のみを使用するか、デュアルスタック(IPv4 + IPv6)を使用するかを決定します。
– セグメントごとにサブネットを作成します。たとえば、スタッフ、ゲスト、サーバー、IoT デバイス、デバイス管理用の VLAN などです。
効率性を高めるためにサブネット化を使用する:小さすぎるとすぐに容量が不足してしまうため、小さすぎるとブロードキャストドメインが大きくなりすぎるため、小さすぎないようにする。
– 予備スペースの準備:新しいフロアや建物の拡張のためのスペースを確保する。
簡単な例として、VLAN 10 はスタッフ用 (192.168.10.0/24)、VLAN 20 はゲスト用 (192.168.20.0/24)、VLAN 30 はサーバー用 (192.168.30.0/24) とします。ただし、大規模な組織では、通常、より構造化されたアドレスブロックが使用されます。たとえば、/16 を拠点ごとに分割するなどです。
6. ネットワークセグメンテーション:VLAN、ルーティング、およびポリシー
セグメンテーションは、ブロードキャスト配信の制限、セキュリティの向上、トラフィックの優先順位付けに役立ちます。一般的な実装例:
– スイッチ上のVLANを使用して、ユーザーを分離してアクセスできるようにする。
– ディストリビューションにおけるレイヤ3スイッチまたはルータでのVLAN間ルーティング。
– ACL(アクセス制御リスト)を使用して、VLAN間のアクセスを制限します。たとえば、ゲストVLANはインターネットにのみアクセスできるように設定できます。
- IoT向けネットワークのセグメンテーションにより、「信頼できない」デバイスが内部サーバーにアクセスできないようにする。
適切なセグメンテーションは通常、「1階/2階」といった単純な区分ではなく、機能(スタッフ、ゲスト、サーバー、音声、CCTVなど)に基づいて行われますが、場所も考慮に入れることができます。
7. ネットワーク設計における基本的なセキュリティ
セキュリティは最後の手段であってはならない。基本的な構成要素は以下のとおりである。
– ファイアウォールとネットワークゾーン:内部ネットワーク、DMZ(パブリックサーバー)、ゲストネットワークをそれぞれ分離します。
– NAC/802.1X:ネットワークに接続する前のデバイス/ユーザー認証。
– Wi-Fiセキュリティ:オフィスではWPA2-EnterpriseまたはWPA3-Enterpriseを使用し、ゲスト用SSIDは別々に設定する。
– デバイス管理:管理用VLANを使用し、管理者アクセスを制限し、SSHを使用し、レガシープロトコルを無効にします。
– 更新と強化:ネットワーク機器のファームウェアを更新し、最小限の構成でセキュリティを確保する必要があります。
– ログ記録と監視:syslog、SNMP/テレメトリ、およびアラート機能により、インシデントを迅速に検出します。
セキュリティ設計においては、構成バックアップポリシー、変更管理、および監査についても考慮する必要があります。
8.冗長性と高可用性
完全なダウンタイムを防ぐため、ネットワーク設計にはしばしば以下の要素が追加されます。
– LACP(リンクアグリゲーション)などのプロトコルを用いた冗長リンクにより、容量とフェイルオーバーを向上させる。
– 冗長構成のスイッチ/コア:アクセス/配信への二重経路を備えた2台のデバイス。
– 耐タンパー性デフォルトゲートウェイのためのHSRP/VRRP/GLBPなどの冗長ゲートウェイプロトコル。
– STP/RSTP/MSTPを使用してレイヤ2ネットワークでのループを防止する(または、特定の規模でアクセスするためにレイヤ3設計を使用する)。
しかし、冗長性は適切に計画されなければなりません。不適切な冗長性は複雑さを増し、追跡が困難なループや構成を生み出す可能性があります。
9. QoSとパフォーマンス管理
サービス品質(QoS)は、特に以下のような重要なアプリケーションがスムーズに動作することを保証するのに役立ちます。
– 遅延やジッターに敏感なVoIP(音声)およびビデオ会議。
– 取引や運用システムへのアクセスなど、重要なアプリケーション。
ゲストまたは優先度の低いアプリケーションに対する帯域幅制限。
QoS(サービス品質)は通常、アップリンクやインターネットゲートウェイなどの適切なポイントで、トラフィックの分類、マーキング(DSCP)、キューイング、シェーピング/ポリシングを行うことを含みます。
10. 文書化と運用
優れた設計であっても、文書化されていなければ失敗に終わる。最低限、文書化には以下の内容を含める必要がある。
― 物理的トポロジー図と論理的トポロジー図。
– デバイス一覧、管理IPアドレス、ファームウェアバージョン。
– VLAN/サブネット構成、ファイアウォール/ACLルール。
-標準作業手順の変更および災害復旧手順。
– 命名規則(ホスト名)、ポートラベル、およびパッチパネル。
ドキュメントを作成することで、トラブルシューティングが迅速化され、新しいチームがネットワークを理解しやすくなります。
閉鎖
ネットワーク設計は、実際のニーズに基づいて行われます。つまり、誰がネットワークを使用するのか、どのようなアプリケーションを実行するのか、稼働時間の重要性はどの程度か、そしてどの程度の成長が見込まれるのか、といった点です。そこから、優れた設計では、構造化されたアーキテクチャ(アクセス、ディストリビューション、コア)、明確なIPアドレス体系、セキュアなセグメンテーション、そして適切な冗長性が実装されます。セキュリティ、パフォーマンス、管理性は、計画段階から考慮されるべきであり、後付けで考えるべきではありません。このような基盤があれば、ネットワークは組織の活動を、現在だけでなく、ニーズの変化にも対応できる体制を整えることができます。