JP2010093716A - 複数組織共有システム - Google Patents
複数組織共有システム Download PDFInfo
- Publication number
- JP2010093716A JP2010093716A JP2008264138A JP2008264138A JP2010093716A JP 2010093716 A JP2010093716 A JP 2010093716A JP 2008264138 A JP2008264138 A JP 2008264138A JP 2008264138 A JP2008264138 A JP 2008264138A JP 2010093716 A JP2010093716 A JP 2010093716A
- Authority
- JP
- Japan
- Prior art keywords
- network
- company
- data center
- independent
- shared
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】 複数の会社における情報共有を簡便にかつ情報セキュリティ上安全な環境を提供する。
【解決手段】 独立したネットワーク内の特定機器と別の独立したネットワーク内の特定機器のデータ共用を、共有ネットワークを有するデータセンタ経由で行う構成の複数組織共用システムであって、前記データセンタが、
独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、別の独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、共有ネットワークに接続された共有サーバを備え、それぞれの独立したデータセンタ内ネットワークがそれぞれの所有者の特定機器に対応する対応機器を備え、それぞれの独立したネットワーク内の特定機器とデータセンタ内ネットワーク内の対応機器が通信を行い、それぞれの所有者の対応機器がデータセンタ内の共有サーバと通信することによりデータ共用を行う。
【選択図】 図1
【解決手段】 独立したネットワーク内の特定機器と別の独立したネットワーク内の特定機器のデータ共用を、共有ネットワークを有するデータセンタ経由で行う構成の複数組織共用システムであって、前記データセンタが、
独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、別の独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、共有ネットワークに接続された共有サーバを備え、それぞれの独立したデータセンタ内ネットワークがそれぞれの所有者の特定機器に対応する対応機器を備え、それぞれの独立したネットワーク内の特定機器とデータセンタ内ネットワーク内の対応機器が通信を行い、それぞれの所有者の対応機器がデータセンタ内の共有サーバと通信することによりデータ共用を行う。
【選択図】 図1
Description
本発明は、仮想ネットワーク定義を利用し、論理的に異なる複数のネットワークを簡便にかつ安全(Secure)に接続する複数組織共有システムに関するものである。
例えば労働環境に目を向けてみる。我々が働く場所はオフィスだけでなく、サテライトオフィス、出張先でのホテル、移動中のカフェ、そして自宅と広がりを見せている。もちろん、それを支えているのはIT技術である。オフィスの外からオフィスの中にVPN(Virtual Private Network)を構築し、ファイルサーバや業務サーバにアクセスできる仕掛けができて初めて、我々はオフィスの外で満足に仕事ができるようになる。
しかし、これまでの試みはオフィスの中に限定していたイントラネットの空間を、オフィスの外に限定的に拡大したに過ぎない。そのイントラネットの空間には、社員と限られたパートナー社員が入れるに過ぎない。プロジェクトが複数の会社で進行される中、もっと多くのプロジェクト従事者が入るプロジェクト専用のネットワークが望まれている。
プロジェクトが発足すれば、プロジェクト単位にネットワークが誕生し、プロジェクト従事者は随時入ったり出て行ったりでき、最後にプロジェクトの終了と共にそのネットワークは消滅する。そういう柔軟なプロジェクトネットワークが求められている。
しかし、これまでの試みはオフィスの中に限定していたイントラネットの空間を、オフィスの外に限定的に拡大したに過ぎない。そのイントラネットの空間には、社員と限られたパートナー社員が入れるに過ぎない。プロジェクトが複数の会社で進行される中、もっと多くのプロジェクト従事者が入るプロジェクト専用のネットワークが望まれている。
プロジェクトが発足すれば、プロジェクト単位にネットワークが誕生し、プロジェクト従事者は随時入ったり出て行ったりでき、最後にプロジェクトの終了と共にそのネットワークは消滅する。そういう柔軟なプロジェクトネットワークが求められている。
また、企業形態に目を向けてみても、自社のコア(得意)事業分野に集中し、それ以外の部分はアウトソースするようなことが当たり前のように行われている。こうした場合においてもSCM(サプライ・チェーン・マネジメント)システムは複数の企業間をVPN接続することで実現している。しかし、多くの企業が参加するSCMの場合ネットワーク構成は複雑になる一方である。このような複雑性を排除し、簡易でかつセキュリティ上安全なネットワークシステムが必要とされている。
上記技術に関連する先行技術としては特許文献1、特許文献2のようなものがある。
上記技術に関連する先行技術としては特許文献1、特許文献2のようなものがある。
先の労働環境を例において、2つの会社の社員3人がお互いのパソコンにアクセスし、共同でプロジェクトを遂行することを想定した場合、これを従来のネットワーク技術でどう構築するのか考察する。
プロジェクトに参画するメンバーは、A社のPグループのp君、Qグループのq君、B社のRグループのr君とする。PグループとQグループはA社のイントラではネットワーク接続されているが、図5に示すように、ネットワークセグメントは違っているものとする。
この3人がお互いのパソコンにアクセスするためにはどうすればいいだろうか。それにはまず、A社とB社をVPNで繋ぐ必要がある。ここでは価格を安くするために、インターネットVPN装置を使い、A社とB社を直接繋ぐことにする。しかし、ここで問題が生じる。A社とB社を単にインターネットVPNで繋いでしまうと、この3人以外の人もすべて繋がってしまうことになる。そこで、A社とB社にそれぞれ、ファイアーウォール(F/W)を設置する必要が出てくる
プロジェクトに参画するメンバーは、A社のPグループのp君、Qグループのq君、B社のRグループのr君とする。PグループとQグループはA社のイントラではネットワーク接続されているが、図5に示すように、ネットワークセグメントは違っているものとする。
この3人がお互いのパソコンにアクセスするためにはどうすればいいだろうか。それにはまず、A社とB社をVPNで繋ぐ必要がある。ここでは価格を安くするために、インターネットVPN装置を使い、A社とB社を直接繋ぐことにする。しかし、ここで問題が生じる。A社とB社を単にインターネットVPNで繋いでしまうと、この3人以外の人もすべて繋がってしまうことになる。そこで、A社とB社にそれぞれ、ファイアーウォール(F/W)を設置する必要が出てくる
ここで、それぞれのルータに相手先のアドレスを登録することになるが、そこで2番目の問題が発生する。社内のネットワークアドレスをグローバルアドレスで割り当てているところはまずない。だとすると、A社のネットワークアドレスとB社のネットワークアドレスが重なる可能性がある。例えば、どちらの会社もクラスBのプライベートアドレス192.168.0.0/16を使っている場合である。図5では、p君が属するネットワークアドレスとr君が属するネットワークアドレスは、どちらも「192.168.10.0/24」で同じである。
1つの解決法は、重ならないように調整するという手はある。ある巨大グループでは、グループ全体でクラスAのプライベートアドレス「10.0.0.0/8」を使っている。しかし、同じグループ企業であれば各社にどのアドレスを割り当てるかを調整することは可能かもしれないが、グループの異なる企業があるプロジェクトに参画するためだけに、一度、社内に割り当てたアドレスを変更するということはあり得ない。
1つの解決法は、重ならないように調整するという手はある。ある巨大グループでは、グループ全体でクラスAのプライベートアドレス「10.0.0.0/8」を使っている。しかし、同じグループ企業であれば各社にどのアドレスを割り当てるかを調整することは可能かもしれないが、グループの異なる企業があるプロジェクトに参画するためだけに、一度、社内に割り当てたアドレスを変更するということはあり得ない。
これを解決するために、図6に示すように、各社を繋ぐ真ん中のハブにデータセンタを置いて、すべての接続はそのデータセンタを経由して繋げるやり方を思いつく。
データセンタ内にはプロジェクトに参画するエンジニアのパソコンを用意しておく。それは、通常のパソコンでも良いし、ブレードPCでもいいし、仮想化ソフトで提供されるVM(Virtual Machine)でも構わない。図6では、A社のp君のVMとB社のr君のVMを用意している。
A社とB社は、それぞれのネットワークポリシーに従い、データセンタとVPNで接続する。先ほどとは違い、A社のVPNやF/Wの設定で、B社のネットワークから影響を受けることはない。逆に、B社側も同じくA社側の設定で影響を受けることはない。
図6では、p君、r君がそれぞれ独立に、データセンタ内の自分のVMにアクセスすることができる。プロジェクトは、このデータセンタ内のVM同士でデータのやり取りを行うことができる。そして、お互いのF/Wの設定で、データセンタのVMからそれぞれの会社のパソコンへの進入を防ぐことができる。
データセンタ内にはプロジェクトに参画するエンジニアのパソコンを用意しておく。それは、通常のパソコンでも良いし、ブレードPCでもいいし、仮想化ソフトで提供されるVM(Virtual Machine)でも構わない。図6では、A社のp君のVMとB社のr君のVMを用意している。
A社とB社は、それぞれのネットワークポリシーに従い、データセンタとVPNで接続する。先ほどとは違い、A社のVPNやF/Wの設定で、B社のネットワークから影響を受けることはない。逆に、B社側も同じくA社側の設定で影響を受けることはない。
図6では、p君、r君がそれぞれ独立に、データセンタ内の自分のVMにアクセスすることができる。プロジェクトは、このデータセンタ内のVM同士でデータのやり取りを行うことができる。そして、お互いのF/Wの設定で、データセンタのVMからそれぞれの会社のパソコンへの進入を防ぐことができる。
しかし、この場合もデータセンタで使われるネットワークアドレスを、各社のルータに登録して、p君とr君のパソコンからデータセンタのVMにアクセスできるようにルーティングを行う必要がある。このため、社外のネットワークアドレス、図2ではデータセンタ内のA社とB社の共有ネットのアドレス「192.168.30.0/24」を、A社、B社それぞれの社内のルータに登録するという状況になる。これは、F/Wの設定を間違えると、いつ何時、例えば、B社のr君がデータセンタから誤ってA社のネットワークにアクセスしてしまう可能性が生じる。また、p君やr君がWindows(Microsoft社の商標)のリモートデスクトップ接続でVMに入っている場合、手元のパソコンとVMとでフォルダを共有することも出来るため、r君のパソコンが仮にウィルスに感染した時、共有ネットのr君のVMとp君のVMが感染し、さらに、p君のVMからp君の社内のパソコンが感染し、その結果、A社の社内ネットがウィルスに感染してしまう危険がある。
このことから言えることは、A社とB社は直接的にせよ、間接的にせよ、レイア3でVPNを構築してはいけないということである。A社とB社の社内ネットがレイア3でIP(Internet Protocol)的に繋がっている以上、技術的にはF/Wでアクセス制御をかけられるとしても、運用上のミスからお互いの社内ネットが相手の脅威にさらされているという状況は変わらないのである。
このことから言えることは、A社とB社は直接的にせよ、間接的にせよ、レイア3でVPNを構築してはいけないということである。A社とB社の社内ネットがレイア3でIP(Internet Protocol)的に繋がっている以上、技術的にはF/Wでアクセス制御をかけられるとしても、運用上のミスからお互いの社内ネットが相手の脅威にさらされているという状況は変わらないのである。
本発明の目的は、上記のような複数の会社(組織あるいは団体)における情報共有を簡便にかつ情報セキュリティ上安全な環境を提供できる複数組織共有システムを実現することにある。
上記課題を解決するために、本発明の複数組織用システムは、独立したネットワーク内の特定機器と別の独立したネットワーク内の特定機器のデータ共用を、前記独立したネットワークの所有者と前記別の独立したネットワークの所有者が共有する共有ネットワークを有するデータセンタ経由で行う構成の複数組織共用システムであって、
前記データセンタが、
前記独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、
前記別の独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、
前記共有ネットワークに接続されたを共有サーバをさらに備え、
前記それぞれの所有者の独立したデータセンタ内ネットワークがそれぞれの所有者の前記特定機器に対応する対応機器を備え、
それぞれの所有者の所有する前独立したネットワーク内の前記特定機器と前記独立したデータセンタ内ネットワーク内の対応機器が通信を行い、
それぞれの所有者の所有する前記対応機器がデータセンタ内の前記共有ネットワークに接続された共有サーバと通信することによりデータ共用を行うことを特徴とする。
また、前記独立したネットワークと前記独立したデータセンタ内ネットワークがレイヤ2バーチャルプライベートネットワークで接続されていることを特徴とする。
また、前記独立したデータセンタ内ネットワークが仮想ネットワークで構成されていることを特徴とする。
また、前記対応機器は仮想機械であることを特徴とする。
前記データセンタが、
前記独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、
前記別の独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、
前記共有ネットワークに接続されたを共有サーバをさらに備え、
前記それぞれの所有者の独立したデータセンタ内ネットワークがそれぞれの所有者の前記特定機器に対応する対応機器を備え、
それぞれの所有者の所有する前独立したネットワーク内の前記特定機器と前記独立したデータセンタ内ネットワーク内の対応機器が通信を行い、
それぞれの所有者の所有する前記対応機器がデータセンタ内の前記共有ネットワークに接続された共有サーバと通信することによりデータ共用を行うことを特徴とする。
また、前記独立したネットワークと前記独立したデータセンタ内ネットワークがレイヤ2バーチャルプライベートネットワークで接続されていることを特徴とする。
また、前記独立したデータセンタ内ネットワークが仮想ネットワークで構成されていることを特徴とする。
また、前記対応機器は仮想機械であることを特徴とする。
本発明によれば、物理接続では非常に困難であった2組織間の接続が容易に、しかもセキュリティ上も安全に実現することができる。
以下、本発明を図示する実施の形態に基づいて詳細に説明する。
図1は、本発明の実施の形態を示すシステム構成図である。
この実施形態のシステムは、VLAN(Virtual Local Area Network)番号を付けたタグ付きフレームによって複数の組織で論理的に異なる複数のネットワークを構築した例を示すものである。
最近ではイーサネットフレーム(転送するデータパケット)にVLAN(Virtual Local Area Network)番号を付けたタグ付きフレームを扱えるL2(Layer2)スイッチの品揃えが増えてきた。これは、同じ物理ネットワークを使っていても、VLAN番号を分けることにより、論理的に異なる複数のネットワークを構築できる。
例えば、L2スイッチの4つのポートに、それぞれA、B、C、Dの4つのパソコンを繋いだとする。AとBのパソコンが繋がっているポートにはVLAN100を、CとDのパソコンが繋がっているポートにはVLAN200を設定する。通常、L2スイッチでは繋がった4つのパソコンはお互いにパケットを転送し合うことができる。しかし、VLAN番号を分けることにより、VLAN100のパソコンAとB同士か、VLAN200のパソコンCとD同士しかパケットを転送しあうことができない。
図1は、本発明の実施の形態を示すシステム構成図である。
この実施形態のシステムは、VLAN(Virtual Local Area Network)番号を付けたタグ付きフレームによって複数の組織で論理的に異なる複数のネットワークを構築した例を示すものである。
最近ではイーサネットフレーム(転送するデータパケット)にVLAN(Virtual Local Area Network)番号を付けたタグ付きフレームを扱えるL2(Layer2)スイッチの品揃えが増えてきた。これは、同じ物理ネットワークを使っていても、VLAN番号を分けることにより、論理的に異なる複数のネットワークを構築できる。
例えば、L2スイッチの4つのポートに、それぞれA、B、C、Dの4つのパソコンを繋いだとする。AとBのパソコンが繋がっているポートにはVLAN100を、CとDのパソコンが繋がっているポートにはVLAN200を設定する。通常、L2スイッチでは繋がった4つのパソコンはお互いにパケットを転送し合うことができる。しかし、VLAN番号を分けることにより、VLAN100のパソコンAとB同士か、VLAN200のパソコンCとD同士しかパケットを転送しあうことができない。
図1の例では、このVLANの技術を使って、データセンタ1の内部に3つの独立したネットワーク11、12,13を構築している。それは、VLAN100のA社の仮想ネット11とVLAN200のA社とB社の共有ネット12、さらにVLAN300のB社の仮想ネット13である。これら3つのネットワーク11〜13は、VLAN番号が違うため、お互いにパケットを直接転送し合うことができないという意味で、独立したレイア2のネットワークになっている。
次に、A社のネット2とデータセンタ1の繋ぎ方を見てみよう。データセンタ1内のA社の仮想ネット11は、L2−VPNと表示されたVPN装置を使って、A社のネット2のF/Wと同じセグメントにレイア2で繋がる。このため、A社の仮想ネット11は、A社の社内ネット2の一部になる。この結果、A社の仮想ネット11のネットワークアドレスは、A社の社内に割り当てられるネットワークアドレスでなければならず、図1の場合は「192.168.20.0/24」を割り当てている。
ここで注意すべきことは、データセンタ1内のA社の仮想ネット11をレイア2でA社のネット2に繋げたので、A社の社内ネットワークアドレスである「192.168.20.0/24」を割り当てたのであって、A社の仮想ネット11に「192.168.20.0/24」を先に割り当ててレイア3で接続したのではないということである。別な言い方をすると、L2−VPN装置を使ってレイア2で接続したのであって、レイア3のVPN装置を使ったのでないということである。
ここで注意すべきことは、データセンタ1内のA社の仮想ネット11をレイア2でA社のネット2に繋げたので、A社の社内ネットワークアドレスである「192.168.20.0/24」を割り当てたのであって、A社の仮想ネット11に「192.168.20.0/24」を先に割り当ててレイア3で接続したのではないということである。別な言い方をすると、L2−VPN装置を使ってレイア2で接続したのであって、レイア3のVPN装置を使ったのでないということである。
レイア2とレイア3の接続の違いは、ブロードキャストのパケットの転送に違いが出る。図1のレイア2での接続の場合、A社のネット2のF/Wのセグメントに流れ込むブロードキャストのパケットはすべて、L2−VPN装置を経由してA社の仮想ネット11に流れ込むことになる。このため、A社の仮想ネット11のp君のVMは、社内のp君のパソコンと同じく、社内のファイルサーバ、プリンタサーバ、ディレクトリ等のすべてのネットワークサービスにアクセスできる。ただし、L2−VPN装置間は社内LANより遅い回線であるので、A社のネット2からデータセンタ1のA社の仮想ネット11に不要なパケットを転送しないように、通常はL2−VPNでパケットのフィルタリング設定をする。
図1では、データセンタとB社もレイア2で接続している。データセンタ1内のB社の仮想ネット13は、B社の社内ネット3のアドレスを割り当てる。この時、A社の仮想ネット11とB社の仮想ネット13のネットワークアドレスは同じでも構わない。
データセンタ内では、A社の仮想ネット11はVLAN100に、B社の仮想ネット13はVLAN300に割り当てているため、レイア2で独立したネットワークになっているからである。レイア2で分離されていれば、その上のレイア3で同じネットワークアドレスを使っても混信しない。
図1では、データセンタとB社もレイア2で接続している。データセンタ1内のB社の仮想ネット13は、B社の社内ネット3のアドレスを割り当てる。この時、A社の仮想ネット11とB社の仮想ネット13のネットワークアドレスは同じでも構わない。
データセンタ内では、A社の仮想ネット11はVLAN100に、B社の仮想ネット13はVLAN300に割り当てているため、レイア2で独立したネットワークになっているからである。レイア2で分離されていれば、その上のレイア3で同じネットワークアドレスを使っても混信しない。
A社のp君とB社のr君がファイルを共有するためには、データセンタ内1のA社とB社の共有ネット12を使う。この共有ネット12のネットワークアドレスは、A社の仮想ネット11でもB社の仮想ネット13でもない独立したネットワークアドレスを割り当てる。p君とr君はそのネットワークへのルーティングをF/Wに振り向けることで、共有ネット12上の共有サーバ14にアクセスすることができる。
ここで特筆すべきことは、A社とB社が同じネットワークアドレスを使っていても、この仕掛けは機能するところである。A社の仮想ネット11とB社の仮想ネット13はVLANで分離されているからである。また、仮想ネット上のp君とr君は、共有サーバ14にアクセスするために共有サーバ14へのルーティングを静的にF/Wに振っている。このため、仮にA社またはB社の社内ネットで共有ネット12と同じネットワークアドレスが使われていても、仮想ネット11,13上のp君とr君は影響を受けない。このように、レイア2での接続は、レイア3での接続と違って、お互いのネットワークアドレスに影響されないのが特徴である。
このこの構成の活用例としては次のようなものが考えられる。
A社をシステム開発の発注元、B社を発注先とする。これまでは、お互いにドキュメントをやり取りする時には、まずドキュメントを暗号化し、それをメールに添付し、相手に送付するというやり方が行われている。しかし、この方法では、ドキュメントは読まれないにしても、メールの補完機能を誤って、間違ったアドレスに送付するリスクが付きまとう。さらに、共同開発ではやりとりされるドキュメントの数が非常に多く、ドキュメントの更新のたびに1つ1つメールで送付していては、どれが最新版なのか分からなくなる。
図1のようなネットワークを導入すると、共有サーバ14で安全にドキュメントの共有ができることに加え、ドキュメントの版管理としても非常に役立つことが理解できる。
A社をシステム開発の発注元、B社を発注先とする。これまでは、お互いにドキュメントをやり取りする時には、まずドキュメントを暗号化し、それをメールに添付し、相手に送付するというやり方が行われている。しかし、この方法では、ドキュメントは読まれないにしても、メールの補完機能を誤って、間違ったアドレスに送付するリスクが付きまとう。さらに、共同開発ではやりとりされるドキュメントの数が非常に多く、ドキュメントの更新のたびに1つ1つメールで送付していては、どれが最新版なのか分からなくなる。
図1のようなネットワークを導入すると、共有サーバ14で安全にドキュメントの共有ができることに加え、ドキュメントの版管理としても非常に役立つことが理解できる。
次に、自宅PCをデータセンタ1のVMに繋げる例を図2に示す。
これまでの接続形態は、会社とデータセンタの間のLAN間接続であった。F/Wでの制限はあるにしても、社内の複数のパソコンからデータセンタの複数のVMにアクセスできた。
これまでの接続形態は、会社とデータセンタの間のLAN間接続であった。F/Wでの制限はあるにしても、社内の複数のパソコンからデータセンタの複数のVMにアクセスできた。
図2は、自宅PC4からデータセンタ1のp君のVM16にアクセスする経路を示している。例えば、自宅PC4でブラウザを立ち上げ、HTTPプロトコルでデータセンタ1のゲートウェイ15にアクセスする。そして、PIN番号とパスワードを入れて、ゲートウェイ15の認証を済ませ、F/Wを経由してp君のVMにアクセスする。仮に、p君のVM16がWindows(登録商標)XPだとするとターミナルサービスが使える。p君は自宅PC4でリモートデスクトップ接続というプログラムを起動し、RDPプロトコルによってVM16で動いているWindowsXPを操作することができる。さらに、p君のVM16はA社の社内ネット2とはレイア2で接続しているので、そのVM16を踏み台にさらにA社の社内ネット2にある業務サーバにアクセスできる。これにより、p君は会社にいるかのように、自宅で仕事をすることが可能となる。
しかし、自宅PC4から社内ネット2にあまりに簡単にアクセスできるのは問題である。このために、セキュリティを強化する必要がある。まず、自宅PC4からゲートウェイ15へのアクセス制御をもう少し強化したい。例えば、自宅PC4でブラウザだけでゲートウェイ15にアクセスするのではなく、PIN番号を格納した特殊なUSBキーと組み合わせて認証をかけるようにする。また。ワンタイムパスワードの機能をゲートウェイ15に組み込む。
一方、F/Wでは、自宅PC4からVM16にアクセスするプロトコルを制限することができる。Windowsの画面のイメージだけを自宅PC4に転送するRDPプロトコルは許可するが、FTPプロトコルは許可しないといった制限を設定することができる。
この構成の活用例としては次のようなものが考えられる。
しかし、自宅PC4から社内ネット2にあまりに簡単にアクセスできるのは問題である。このために、セキュリティを強化する必要がある。まず、自宅PC4からゲートウェイ15へのアクセス制御をもう少し強化したい。例えば、自宅PC4でブラウザだけでゲートウェイ15にアクセスするのではなく、PIN番号を格納した特殊なUSBキーと組み合わせて認証をかけるようにする。また。ワンタイムパスワードの機能をゲートウェイ15に組み込む。
一方、F/Wでは、自宅PC4からVM16にアクセスするプロトコルを制限することができる。Windowsの画面のイメージだけを自宅PC4に転送するRDPプロトコルは許可するが、FTPプロトコルは許可しないといった制限を設定することができる。
この構成の活用例としては次のようなものが考えられる。
最近のパソコンでは、ハードディスクからWindowsを起動する前に、もしLinux(登録商標)の入ったUSBキーがあればまずLinuxから起動するように、ブートの順番を変更することができる。この機能を使うと、自宅PC4のハードディスクを使わず、シンクライアント化してゲートウェイ15にアクセスできる。さらに、LinuxにはrdesktopというRDPプロトコルを実装したプログラムがあるので、仮想ネットのWindowsXPにアクセスすることもできる。この場合、自宅PC4のハードディスクは一切使っていないため、WindowsXPから自宅PC4にファイルをダウンロードすることができない。なにより、特別なシンクライアントPCを導入することなく、自宅PC4を使ってVM経由で会社の業務サーバにアクセスできる点が有益である。
こうしたことにより、これまで特殊な機器の導入で実現が困難だった在宅勤務の適用を拡げる起爆剤になる可能性がある。
こうしたことにより、これまで特殊な機器の導入で実現が困難だった在宅勤務の適用を拡げる起爆剤になる可能性がある。
次に、データセンタ1内に仮想オフィス19を構築する例を図3に示す。
仮想オフィスに入居する人は、A社のa君、b君、c君、B社のd君、e君、f君、それに在宅勤務のp君とq君の8人とする。
A社とB社は、図1で説明したように、データセンタ1へはレイア2でVPN接続する。データセンタ1のA社の仮想ネット11にはaVM、bVM、cVMというa君、b君、c君用のVMを用意する。B社の仮想ネット13にも、それぞれ3人分のVMを用意する。
また、p君とq君には、図2で説明したように、外部接続用のゲートウェイ17を経由してアクセスできるp君のpVMとq君のqVMを用意する。
仮想オフィスに入居する人は、A社のa君、b君、c君、B社のd君、e君、f君、それに在宅勤務のp君とq君の8人とする。
A社とB社は、図1で説明したように、データセンタ1へはレイア2でVPN接続する。データセンタ1のA社の仮想ネット11にはaVM、bVM、cVMというa君、b君、c君用のVMを用意する。B社の仮想ネット13にも、それぞれ3人分のVMを用意する。
また、p君とq君には、図2で説明したように、外部接続用のゲートウェイ17を経由してアクセスできるp君のpVMとq君のqVMを用意する。
次に、全員がアクセスできる共有サーバ18を用意する。この共有サーバ18には3つのネットワークインターフェースがあり、それぞれA社の仮想ネット11にアクセスするためのF/Wが属しているVLAN、B社の仮想ネット13にアクセスするためのF/Wが属しているVLAN、p君とq君のVMと同じVLANに接続されている。
A社とB社の仮想ネット11,13に繋がっているF/Wでは、aVM、bVM、cVM、dVM、eVM、fVMのそれぞれから共有サーバ18にのみ一方向でアクセスできる設定がなされている。共有サーバ18から各VMにはアクセスできないようになっている。
A社とB社の仮想ネット11,13に繋がっているF/Wでは、aVM、bVM、cVM、dVM、eVM、fVMのそれぞれから共有サーバ18にのみ一方向でアクセスできる設定がなされている。共有サーバ18から各VMにはアクセスできないようになっている。
一方、pVM、qVMと共有サーバ18とはお互いにアクセスできるようにしている。これは、pVMやqVMから自宅PC4にアクセスできないようにF/Wを設定しているからである。
以上の設定により、8人全員の仮想オフィス19をデータセンタ1内に構築することができる。図3では共有サーバ18は1台となっているが、もちろんこのネットワークセグメントにはサーバを何台でも置くことができる。
以上の設定により、8人全員の仮想オフィス19をデータセンタ1内に構築することができる。図3では共有サーバ18は1台となっているが、もちろんこのネットワークセグメントにはサーバを何台でも置くことができる。
ところで、A社とB社の仮想ネット11,13はそれぞれのオフィスとレイア2で接続されているので、仮想ネットのVMからドキュメントを社内ネットに接続されたプリンタに印刷することができる。また、仮想ネットのVM上でブラウザを起動し、社内ネット経由でインターネットに出て、外のWebページを表示することもできる。さらに、社内ネットのメールサーバにアクセスしてメールを読むことも送ることもできる。
このように、レイア2接続では、仮想ネットのVMからは、社内ネットのパソコンと同じく、社内のネットワークサービスをすべて利用できる。
しかし、p君とq君は自宅PC4をシンクライアント化してVMにアクセスしているので、通常のネットワークサービスを利用することは出来ない。pVMやqVMの仮想ネットからは、プリンタサーバやメールサーバ、さらにインターネットへはアクセス経路はない。もちろん、pVMやqVMの仮想ネットに、プリンタサーバやメールサーバの属するVLANを接続すれば利用できるようになる。そうした制御ができる、違った見方をすればデータセンタ1内でプロジェクト専用の閉じたネットワークが自由に構成できるというのが、レイア2接続の一番の魅力である。
このように、レイア2接続では、仮想ネットのVMからは、社内ネットのパソコンと同じく、社内のネットワークサービスをすべて利用できる。
しかし、p君とq君は自宅PC4をシンクライアント化してVMにアクセスしているので、通常のネットワークサービスを利用することは出来ない。pVMやqVMの仮想ネットからは、プリンタサーバやメールサーバ、さらにインターネットへはアクセス経路はない。もちろん、pVMやqVMの仮想ネットに、プリンタサーバやメールサーバの属するVLANを接続すれば利用できるようになる。そうした制御ができる、違った見方をすればデータセンタ1内でプロジェクト専用の閉じたネットワークが自由に構成できるというのが、レイア2接続の一番の魅力である。
p君とq君が彼らの自宅ではなく、彼らの会社と考えると面白い活用事例が想定される。海外の発注先で10名の現地エンジニアにプロジェクトに参加してもらっているとしよう。彼ら10名に10本のUSBキーを渡して、彼らの海外のオフィスのPCにそのUSBキーを挿してもらえれば、彼らは海外にいながらにして日本のデータセンタの各人のVMにアクセスすることができる。図3のA社は発注元、B社は国内発注先とすれば、国内ではそれぞれのオフィスにドキュメントをダウンロードして開発してもらう。海外からは、ドキュメントのダウンロードはできず、データセンタ内で開発をしてもらう。こういう国内分散開発と海外オフショア開発をデータセンタ内のプロジェクトオフィスで進めることができる。特に、海外へは画面イメージの転送だけで開発が進められるため、ドキュメントの輸出管理作業を軽減できる。ただし、海外のエンジニアが国内で生成された画面のイメージを見るだけでも輸出行為であるので、輸出管理業務そのものがなくなるわけではない。
これまでの構成で、A社とB社、さらに在宅勤務の人をネット上の仮想オフィスに住居させることができた。しかも、海外からも仮想オフィスに住むことができた。
しかし、ここで1つの大きな問題が生じる。それは、A社やB社の社内ネットをデータセンタ1に繋ぐと、A社やB社のすべての社員は、データセンタ1のVMとネットワーク的に繋がってしまうということである。すなわち、社員のパソコンからデータセンタ1のVMにpingを送信すると、確実に応答が返ってくるということである。もちろん、自分のVMをデータセンタ1に持っていないので入ることはできない。しかし、VMを持っている人からその人のVMのIDとパスワードを教えてもらうと入れてしまう。
しかし、ここで1つの大きな問題が生じる。それは、A社やB社の社内ネットをデータセンタ1に繋ぐと、A社やB社のすべての社員は、データセンタ1のVMとネットワーク的に繋がってしまうということである。すなわち、社員のパソコンからデータセンタ1のVMにpingを送信すると、確実に応答が返ってくるということである。もちろん、自分のVMをデータセンタ1に持っていないので入ることはできない。しかし、VMを持っている人からその人のVMのIDとパスワードを教えてもらうと入れてしまう。
ところで、これからの社内ネットはVLANで構築されるようになるだろうと予測している。現在、自席のPCはツイストペアケーブルでフロアのL2スイッチにつながっている。そこで、L2スイッチがポートVLANをサポートしていれば、PCが繋がっているポートごとにVLAN番号を割り振ることができる。つまり、社員をVLAN番号でグルーピングできることになる。
例えば、図4に例示するように、a君とb君とc君はAというプロジェクトに参画し、VLAN100番のネットワークに入る。このVLAN100番のネットワークは、先ほどのレイア2でデータセンタのAプロジェクト用の仮想ネットに接続される。もちろん、Aプロジェクトに参画する他の会社も社内でVLANを構築して、同じようにAプロジェクト用の仮想ネットに入ってくる。在宅勤務者も外部接続用のゲートウェイを経由して、Aプロジェクト用の仮想ネットに入ってくる。ここで初めて、A社やB社という組織を超えて、プロジェクト独自のネットワークを構築することができる。
一方、d君とe君とf君はBというプロジェクトに参画し、VLAN200番のネットワークに入る。このVLAN200番のネットワークも、先ほどのレイア2でデータセンタのBプロジェクト用の仮想ネットに接続される。もちろん、Bプロジェクトに参画する他の会社の社員や在宅勤務者も、同じようにBプロジェクト用の仮想ネットに入ってくる。
このように社内ネットにVLANを導入すると、社員はプロジェクトのネットワークと、全社統一基盤で業務サーバにアクセスするための社内ネットという2つのネットワークを使うようになる。
Aプロジェクトのネットワークに入っている社員は、会社のネットワークサービスは社内ネットでアクセスし、Aプロジェクトの仕事をするときはAプロジェクトのネットワークを利用することになる。その場合、Bプロジェクトのネットワークに入ることはできない。プロジェクトのネットワークは、プロジェクトごとに完全に分離されているからである。また、プロジェクトの従事者は図3のゲートウェイを経由し、自宅から自分のプロジェクトネットワークに入ることができる。
このように、レイア2でデータセンター内に仮想オフィスを構築するによって、会社に居ようが、自宅に居ようが、プロジェクトネットワークに入ることでどこでも仕事ができるようになる。
このように社内ネットにVLANを導入すると、社員はプロジェクトのネットワークと、全社統一基盤で業務サーバにアクセスするための社内ネットという2つのネットワークを使うようになる。
Aプロジェクトのネットワークに入っている社員は、会社のネットワークサービスは社内ネットでアクセスし、Aプロジェクトの仕事をするときはAプロジェクトのネットワークを利用することになる。その場合、Bプロジェクトのネットワークに入ることはできない。プロジェクトのネットワークは、プロジェクトごとに完全に分離されているからである。また、プロジェクトの従事者は図3のゲートウェイを経由し、自宅から自分のプロジェクトネットワークに入ることができる。
このように、レイア2でデータセンター内に仮想オフィスを構築するによって、会社に居ようが、自宅に居ようが、プロジェクトネットワークに入ることでどこでも仕事ができるようになる。
1 データセンタ
2 A社のネット
3 B社のネット
4 自宅PC
11 A社の仮想ネット
12 A社とB社の共有ネット
13 B社の仮想ネット
14 共有サーバ
15 ゲートウェイ
16 VM
17 ゲートウェイ
18 共有サーバ
19 仮想オフィス
2 A社のネット
3 B社のネット
4 自宅PC
11 A社の仮想ネット
12 A社とB社の共有ネット
13 B社の仮想ネット
14 共有サーバ
15 ゲートウェイ
16 VM
17 ゲートウェイ
18 共有サーバ
19 仮想オフィス
Claims (4)
- 独立したネットワーク内の特定機器と別の独立したネットワーク内の特定機器のデータ共用を、前記独立したネットワークの所有者と前記別の独立したネットワークの所有者が共有する共有ネットワークを有するデータセンタ経由で行う構成の複数組織共用システムであって、
前記データセンタが、
前記独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、
前記別の独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、
前記共有ネットワークに接続された共有サーバをさらに備え、
前記それぞれの所有者の独立したデータセンタ内ネットワークがそれぞれの所有者の前記特定機器に対応する対応機器を備え、
それぞれの所有者の所有する前独立したネットワーク内の前記特定機器と前記独立したデータセンタ内ネットワーク内の対応機器が通信を行い、
それぞれの所有者の所有する前記対応機器がデータセンタ内の前記共有ネットワークに接続された共有サーバと通信することによりデータ共用を行うことを特徴とする複数組織共用システム。 - 前記独立したネットワークと前記独立したデータセンタ内ネットワークがレイヤ2バーチャルプライベートネットワークで接続されていることを特徴とする請求項1に記載の複数組織共有システム。
- 前記独立したデータセンタ内ネットワークが仮想ネットワークで構成されていることを特徴とする請求項1または2に記載の複数組織共有システム。
- 前記対応機器は仮想機械であることを特徴とする請求項1〜3のいずれか一項に記載の複数組織共有システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008264138A JP4949350B2 (ja) | 2008-10-10 | 2008-10-10 | 複数組織共有システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008264138A JP4949350B2 (ja) | 2008-10-10 | 2008-10-10 | 複数組織共有システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010093716A true JP2010093716A (ja) | 2010-04-22 |
| JP4949350B2 JP4949350B2 (ja) | 2012-06-06 |
Family
ID=42255972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008264138A Expired - Fee Related JP4949350B2 (ja) | 2008-10-10 | 2008-10-10 | 複数組織共有システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4949350B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014200010A (ja) * | 2013-03-29 | 2014-10-23 | 株式会社日立ソリューションズ | データ交換システム、及び仮想プライベートクラウド間でデータ交換を可能とする環境を設定する方法 |
| KR20190107524A (ko) * | 2018-03-12 | 2019-09-20 | 주식회사 케이티 | 소프트웨어 정의 센터에서 그룹 네트워크 구축 장치 및 방법 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004179853A (ja) * | 2002-11-26 | 2004-06-24 | Fujitsu Ltd | サーバ装置、および通信装置とサーバ装置とを含む通信システム |
| JP2005086445A (ja) * | 2003-09-08 | 2005-03-31 | Nooza:Kk | ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム |
| JP2005100194A (ja) * | 2003-09-26 | 2005-04-14 | Nippon Telegr & Teleph Corp <Ntt> | 複数のユーザ閉域網に多重帰属するサーバ装置 |
| JP2008227715A (ja) * | 2007-03-09 | 2008-09-25 | Nec Corp | ネットワークシステム及び通信方法 |
-
2008
- 2008-10-10 JP JP2008264138A patent/JP4949350B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004179853A (ja) * | 2002-11-26 | 2004-06-24 | Fujitsu Ltd | サーバ装置、および通信装置とサーバ装置とを含む通信システム |
| JP2005086445A (ja) * | 2003-09-08 | 2005-03-31 | Nooza:Kk | ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム |
| JP2005100194A (ja) * | 2003-09-26 | 2005-04-14 | Nippon Telegr & Teleph Corp <Ntt> | 複数のユーザ閉域網に多重帰属するサーバ装置 |
| JP2008227715A (ja) * | 2007-03-09 | 2008-09-25 | Nec Corp | ネットワークシステム及び通信方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014200010A (ja) * | 2013-03-29 | 2014-10-23 | 株式会社日立ソリューションズ | データ交換システム、及び仮想プライベートクラウド間でデータ交換を可能とする環境を設定する方法 |
| KR20190107524A (ko) * | 2018-03-12 | 2019-09-20 | 주식회사 케이티 | 소프트웨어 정의 센터에서 그룹 네트워크 구축 장치 및 방법 |
| KR102492788B1 (ko) * | 2018-03-12 | 2023-01-30 | 주식회사 케이티 | 소프트웨어 정의 센터에서 그룹 네트워크 구축 장치 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4949350B2 (ja) | 2012-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7131141B1 (en) | Method and apparatus for securely connecting a plurality of trust-group networks, a protected resource network and an untrusted network | |
| US9749149B2 (en) | System and method for initializing and maintaining a series of virtual local area networks contained in a clustered computer system | |
| KR101742474B1 (ko) | 서비스로서 디바이스들을 제공하는 방법 | |
| US6131120A (en) | Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers | |
| US7698388B2 (en) | Secure access to remote resources over a network | |
| JP5595405B2 (ja) | 仮想化プラットフォーム | |
| US7376965B2 (en) | System and method for implementing a bubble policy to achieve host and network security | |
| US20020143960A1 (en) | Virtual network generation system and method | |
| US8549613B2 (en) | Reverse VPN over SSH | |
| US20070234419A1 (en) | Image forming apparatus, control method thereof, system, program, and storage medium | |
| WO2007140671A1 (fr) | Serveur d'accès internet pour isoler le réseau intérieur du réseau extérieur et son procédé de traitement | |
| JP2019515608A (ja) | アクセス制御 | |
| CN100401706C (zh) | 一种虚拟专网客户端的接入方法及系统 | |
| JP2005532713A (ja) | ステートフル・インスペクションを備えるファイアウォール | |
| JP4649465B2 (ja) | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 | |
| JP4949350B2 (ja) | 複数組織共有システム | |
| CN101997875B (zh) | 一种安全的多方网络通信平台及其构建方法、通信方法 | |
| Cisco | Cisco Systems Users Magazine | |
| Cisco | Cisco Systems Users Magazine | |
| Cisco | Cisco Systems Users Magazine | |
| Cisco | Cisco Systems Users Magazine | |
| JP2022146334A (ja) | 情報処理システム、画像形成装置及びプログラム | |
| Singh et al. | Implementation of College Network Scenario Module by Using CCNA | |
| JP2005100194A (ja) | 複数のユーザ閉域網に多重帰属するサーバ装置 | |
| Zhuang et al. | A yang data model for fabric topology in data-center networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110803 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120224 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120305 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120307 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150316 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |