JP2010093716A - 複数組織共有システム - Google Patents
複数組織共有システム Download PDFInfo
- Publication number
- JP2010093716A JP2010093716A JP2008264138A JP2008264138A JP2010093716A JP 2010093716 A JP2010093716 A JP 2010093716A JP 2008264138 A JP2008264138 A JP 2008264138A JP 2008264138 A JP2008264138 A JP 2008264138A JP 2010093716 A JP2010093716 A JP 2010093716A
- Authority
- JP
- Japan
- Prior art keywords
- network
- company
- data center
- independent
- shared
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】 独立したネットワーク内の特定機器と別の独立したネットワーク内の特定機器のデータ共用を、共有ネットワークを有するデータセンタ経由で行う構成の複数組織共用システムであって、前記データセンタが、
独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、別の独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、共有ネットワークに接続された共有サーバを備え、それぞれの独立したデータセンタ内ネットワークがそれぞれの所有者の特定機器に対応する対応機器を備え、それぞれの独立したネットワーク内の特定機器とデータセンタ内ネットワーク内の対応機器が通信を行い、それぞれの所有者の対応機器がデータセンタ内の共有サーバと通信することによりデータ共用を行う。
【選択図】 図1
Description
しかし、これまでの試みはオフィスの中に限定していたイントラネットの空間を、オフィスの外に限定的に拡大したに過ぎない。そのイントラネットの空間には、社員と限られたパートナー社員が入れるに過ぎない。プロジェクトが複数の会社で進行される中、もっと多くのプロジェクト従事者が入るプロジェクト専用のネットワークが望まれている。
プロジェクトが発足すれば、プロジェクト単位にネットワークが誕生し、プロジェクト従事者は随時入ったり出て行ったりでき、最後にプロジェクトの終了と共にそのネットワークは消滅する。そういう柔軟なプロジェクトネットワークが求められている。
上記技術に関連する先行技術としては特許文献1、特許文献2のようなものがある。
プロジェクトに参画するメンバーは、A社のPグループのp君、Qグループのq君、B社のRグループのr君とする。PグループとQグループはA社のイントラではネットワーク接続されているが、図5に示すように、ネットワークセグメントは違っているものとする。
この3人がお互いのパソコンにアクセスするためにはどうすればいいだろうか。それにはまず、A社とB社をVPNで繋ぐ必要がある。ここでは価格を安くするために、インターネットVPN装置を使い、A社とB社を直接繋ぐことにする。しかし、ここで問題が生じる。A社とB社を単にインターネットVPNで繋いでしまうと、この3人以外の人もすべて繋がってしまうことになる。そこで、A社とB社にそれぞれ、ファイアーウォール(F/W)を設置する必要が出てくる
1つの解決法は、重ならないように調整するという手はある。ある巨大グループでは、グループ全体でクラスAのプライベートアドレス「10.0.0.0/8」を使っている。しかし、同じグループ企業であれば各社にどのアドレスを割り当てるかを調整することは可能かもしれないが、グループの異なる企業があるプロジェクトに参画するためだけに、一度、社内に割り当てたアドレスを変更するということはあり得ない。
データセンタ内にはプロジェクトに参画するエンジニアのパソコンを用意しておく。それは、通常のパソコンでも良いし、ブレードPCでもいいし、仮想化ソフトで提供されるVM(Virtual Machine)でも構わない。図6では、A社のp君のVMとB社のr君のVMを用意している。
A社とB社は、それぞれのネットワークポリシーに従い、データセンタとVPNで接続する。先ほどとは違い、A社のVPNやF/Wの設定で、B社のネットワークから影響を受けることはない。逆に、B社側も同じくA社側の設定で影響を受けることはない。
図6では、p君、r君がそれぞれ独立に、データセンタ内の自分のVMにアクセスすることができる。プロジェクトは、このデータセンタ内のVM同士でデータのやり取りを行うことができる。そして、お互いのF/Wの設定で、データセンタのVMからそれぞれの会社のパソコンへの進入を防ぐことができる。
このことから言えることは、A社とB社は直接的にせよ、間接的にせよ、レイア3でVPNを構築してはいけないということである。A社とB社の社内ネットがレイア3でIP(Internet Protocol)的に繋がっている以上、技術的にはF/Wでアクセス制御をかけられるとしても、運用上のミスからお互いの社内ネットが相手の脅威にさらされているという状況は変わらないのである。
前記データセンタが、
前記独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、
前記別の独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、
前記共有ネットワークに接続されたを共有サーバをさらに備え、
前記それぞれの所有者の独立したデータセンタ内ネットワークがそれぞれの所有者の前記特定機器に対応する対応機器を備え、
それぞれの所有者の所有する前独立したネットワーク内の前記特定機器と前記独立したデータセンタ内ネットワーク内の対応機器が通信を行い、
それぞれの所有者の所有する前記対応機器がデータセンタ内の前記共有ネットワークに接続された共有サーバと通信することによりデータ共用を行うことを特徴とする。
また、前記独立したネットワークと前記独立したデータセンタ内ネットワークがレイヤ2バーチャルプライベートネットワークで接続されていることを特徴とする。
また、前記独立したデータセンタ内ネットワークが仮想ネットワークで構成されていることを特徴とする。
また、前記対応機器は仮想機械であることを特徴とする。
図1は、本発明の実施の形態を示すシステム構成図である。
この実施形態のシステムは、VLAN(Virtual Local Area Network)番号を付けたタグ付きフレームによって複数の組織で論理的に異なる複数のネットワークを構築した例を示すものである。
最近ではイーサネットフレーム(転送するデータパケット)にVLAN(Virtual Local Area Network)番号を付けたタグ付きフレームを扱えるL2(Layer2)スイッチの品揃えが増えてきた。これは、同じ物理ネットワークを使っていても、VLAN番号を分けることにより、論理的に異なる複数のネットワークを構築できる。
例えば、L2スイッチの4つのポートに、それぞれA、B、C、Dの4つのパソコンを繋いだとする。AとBのパソコンが繋がっているポートにはVLAN100を、CとDのパソコンが繋がっているポートにはVLAN200を設定する。通常、L2スイッチでは繋がった4つのパソコンはお互いにパケットを転送し合うことができる。しかし、VLAN番号を分けることにより、VLAN100のパソコンAとB同士か、VLAN200のパソコンCとD同士しかパケットを転送しあうことができない。
ここで注意すべきことは、データセンタ1内のA社の仮想ネット11をレイア2でA社のネット2に繋げたので、A社の社内ネットワークアドレスである「192.168.20.0/24」を割り当てたのであって、A社の仮想ネット11に「192.168.20.0/24」を先に割り当ててレイア3で接続したのではないということである。別な言い方をすると、L2−VPN装置を使ってレイア2で接続したのであって、レイア3のVPN装置を使ったのでないということである。
図1では、データセンタとB社もレイア2で接続している。データセンタ1内のB社の仮想ネット13は、B社の社内ネット3のアドレスを割り当てる。この時、A社の仮想ネット11とB社の仮想ネット13のネットワークアドレスは同じでも構わない。
データセンタ内では、A社の仮想ネット11はVLAN100に、B社の仮想ネット13はVLAN300に割り当てているため、レイア2で独立したネットワークになっているからである。レイア2で分離されていれば、その上のレイア3で同じネットワークアドレスを使っても混信しない。
A社をシステム開発の発注元、B社を発注先とする。これまでは、お互いにドキュメントをやり取りする時には、まずドキュメントを暗号化し、それをメールに添付し、相手に送付するというやり方が行われている。しかし、この方法では、ドキュメントは読まれないにしても、メールの補完機能を誤って、間違ったアドレスに送付するリスクが付きまとう。さらに、共同開発ではやりとりされるドキュメントの数が非常に多く、ドキュメントの更新のたびに1つ1つメールで送付していては、どれが最新版なのか分からなくなる。
図1のようなネットワークを導入すると、共有サーバ14で安全にドキュメントの共有ができることに加え、ドキュメントの版管理としても非常に役立つことが理解できる。
これまでの接続形態は、会社とデータセンタの間のLAN間接続であった。F/Wでの制限はあるにしても、社内の複数のパソコンからデータセンタの複数のVMにアクセスできた。
しかし、自宅PC4から社内ネット2にあまりに簡単にアクセスできるのは問題である。このために、セキュリティを強化する必要がある。まず、自宅PC4からゲートウェイ15へのアクセス制御をもう少し強化したい。例えば、自宅PC4でブラウザだけでゲートウェイ15にアクセスするのではなく、PIN番号を格納した特殊なUSBキーと組み合わせて認証をかけるようにする。また。ワンタイムパスワードの機能をゲートウェイ15に組み込む。
一方、F/Wでは、自宅PC4からVM16にアクセスするプロトコルを制限することができる。Windowsの画面のイメージだけを自宅PC4に転送するRDPプロトコルは許可するが、FTPプロトコルは許可しないといった制限を設定することができる。
この構成の活用例としては次のようなものが考えられる。
こうしたことにより、これまで特殊な機器の導入で実現が困難だった在宅勤務の適用を拡げる起爆剤になる可能性がある。
仮想オフィスに入居する人は、A社のa君、b君、c君、B社のd君、e君、f君、それに在宅勤務のp君とq君の8人とする。
A社とB社は、図1で説明したように、データセンタ1へはレイア2でVPN接続する。データセンタ1のA社の仮想ネット11にはaVM、bVM、cVMというa君、b君、c君用のVMを用意する。B社の仮想ネット13にも、それぞれ3人分のVMを用意する。
また、p君とq君には、図2で説明したように、外部接続用のゲートウェイ17を経由してアクセスできるp君のpVMとq君のqVMを用意する。
A社とB社の仮想ネット11,13に繋がっているF/Wでは、aVM、bVM、cVM、dVM、eVM、fVMのそれぞれから共有サーバ18にのみ一方向でアクセスできる設定がなされている。共有サーバ18から各VMにはアクセスできないようになっている。
以上の設定により、8人全員の仮想オフィス19をデータセンタ1内に構築することができる。図3では共有サーバ18は1台となっているが、もちろんこのネットワークセグメントにはサーバを何台でも置くことができる。
このように、レイア2接続では、仮想ネットのVMからは、社内ネットのパソコンと同じく、社内のネットワークサービスをすべて利用できる。
しかし、p君とq君は自宅PC4をシンクライアント化してVMにアクセスしているので、通常のネットワークサービスを利用することは出来ない。pVMやqVMの仮想ネットからは、プリンタサーバやメールサーバ、さらにインターネットへはアクセス経路はない。もちろん、pVMやqVMの仮想ネットに、プリンタサーバやメールサーバの属するVLANを接続すれば利用できるようになる。そうした制御ができる、違った見方をすればデータセンタ1内でプロジェクト専用の閉じたネットワークが自由に構成できるというのが、レイア2接続の一番の魅力である。
しかし、ここで1つの大きな問題が生じる。それは、A社やB社の社内ネットをデータセンタ1に繋ぐと、A社やB社のすべての社員は、データセンタ1のVMとネットワーク的に繋がってしまうということである。すなわち、社員のパソコンからデータセンタ1のVMにpingを送信すると、確実に応答が返ってくるということである。もちろん、自分のVMをデータセンタ1に持っていないので入ることはできない。しかし、VMを持っている人からその人のVMのIDとパスワードを教えてもらうと入れてしまう。
このように社内ネットにVLANを導入すると、社員はプロジェクトのネットワークと、全社統一基盤で業務サーバにアクセスするための社内ネットという2つのネットワークを使うようになる。
Aプロジェクトのネットワークに入っている社員は、会社のネットワークサービスは社内ネットでアクセスし、Aプロジェクトの仕事をするときはAプロジェクトのネットワークを利用することになる。その場合、Bプロジェクトのネットワークに入ることはできない。プロジェクトのネットワークは、プロジェクトごとに完全に分離されているからである。また、プロジェクトの従事者は図3のゲートウェイを経由し、自宅から自分のプロジェクトネットワークに入ることができる。
このように、レイア2でデータセンター内に仮想オフィスを構築するによって、会社に居ようが、自宅に居ようが、プロジェクトネットワークに入ることでどこでも仕事ができるようになる。
2 A社のネット
3 B社のネット
4 自宅PC
11 A社の仮想ネット
12 A社とB社の共有ネット
13 B社の仮想ネット
14 共有サーバ
15 ゲートウェイ
16 VM
17 ゲートウェイ
18 共有サーバ
19 仮想オフィス
Claims (4)
- 独立したネットワーク内の特定機器と別の独立したネットワーク内の特定機器のデータ共用を、前記独立したネットワークの所有者と前記別の独立したネットワークの所有者が共有する共有ネットワークを有するデータセンタ経由で行う構成の複数組織共用システムであって、
前記データセンタが、
前記独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、
前記別の独立したネットワークの所有者用の独立したデータセンタ内ネットワークと、
前記共有ネットワークに接続された共有サーバをさらに備え、
前記それぞれの所有者の独立したデータセンタ内ネットワークがそれぞれの所有者の前記特定機器に対応する対応機器を備え、
それぞれの所有者の所有する前独立したネットワーク内の前記特定機器と前記独立したデータセンタ内ネットワーク内の対応機器が通信を行い、
それぞれの所有者の所有する前記対応機器がデータセンタ内の前記共有ネットワークに接続された共有サーバと通信することによりデータ共用を行うことを特徴とする複数組織共用システム。 - 前記独立したネットワークと前記独立したデータセンタ内ネットワークがレイヤ2バーチャルプライベートネットワークで接続されていることを特徴とする請求項1に記載の複数組織共有システム。
- 前記独立したデータセンタ内ネットワークが仮想ネットワークで構成されていることを特徴とする請求項1または2に記載の複数組織共有システム。
- 前記対応機器は仮想機械であることを特徴とする請求項1〜3のいずれか一項に記載の複数組織共有システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008264138A JP4949350B2 (ja) | 2008-10-10 | 2008-10-10 | 複数組織共有システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008264138A JP4949350B2 (ja) | 2008-10-10 | 2008-10-10 | 複数組織共有システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010093716A true JP2010093716A (ja) | 2010-04-22 |
JP4949350B2 JP4949350B2 (ja) | 2012-06-06 |
Family
ID=42255972
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008264138A Expired - Fee Related JP4949350B2 (ja) | 2008-10-10 | 2008-10-10 | 複数組織共有システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4949350B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014200010A (ja) * | 2013-03-29 | 2014-10-23 | 株式会社日立ソリューションズ | データ交換システム、及び仮想プライベートクラウド間でデータ交換を可能とする環境を設定する方法 |
KR20190107524A (ko) * | 2018-03-12 | 2019-09-20 | 주식회사 케이티 | 소프트웨어 정의 센터에서 그룹 네트워크 구축 장치 및 방법 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004179853A (ja) * | 2002-11-26 | 2004-06-24 | Fujitsu Ltd | サーバ装置、および通信装置とサーバ装置とを含む通信システム |
JP2005086445A (ja) * | 2003-09-08 | 2005-03-31 | Nooza:Kk | ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム |
JP2005100194A (ja) * | 2003-09-26 | 2005-04-14 | Nippon Telegr & Teleph Corp <Ntt> | 複数のユーザ閉域網に多重帰属するサーバ装置 |
JP2008227715A (ja) * | 2007-03-09 | 2008-09-25 | Nec Corp | ネットワークシステム及び通信方法 |
-
2008
- 2008-10-10 JP JP2008264138A patent/JP4949350B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004179853A (ja) * | 2002-11-26 | 2004-06-24 | Fujitsu Ltd | サーバ装置、および通信装置とサーバ装置とを含む通信システム |
JP2005086445A (ja) * | 2003-09-08 | 2005-03-31 | Nooza:Kk | ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム |
JP2005100194A (ja) * | 2003-09-26 | 2005-04-14 | Nippon Telegr & Teleph Corp <Ntt> | 複数のユーザ閉域網に多重帰属するサーバ装置 |
JP2008227715A (ja) * | 2007-03-09 | 2008-09-25 | Nec Corp | ネットワークシステム及び通信方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014200010A (ja) * | 2013-03-29 | 2014-10-23 | 株式会社日立ソリューションズ | データ交換システム、及び仮想プライベートクラウド間でデータ交換を可能とする環境を設定する方法 |
KR20190107524A (ko) * | 2018-03-12 | 2019-09-20 | 주식회사 케이티 | 소프트웨어 정의 센터에서 그룹 네트워크 구축 장치 및 방법 |
KR102492788B1 (ko) * | 2018-03-12 | 2023-01-30 | 주식회사 케이티 | 소프트웨어 정의 센터에서 그룹 네트워크 구축 장치 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
JP4949350B2 (ja) | 2012-06-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7131141B1 (en) | Method and apparatus for securely connecting a plurality of trust-group networks, a protected resource network and an untrusted network | |
US9749149B2 (en) | System and method for initializing and maintaining a series of virtual local area networks contained in a clustered computer system | |
KR101742474B1 (ko) | 서비스로서 디바이스들을 제공하는 방법 | |
US6131120A (en) | Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers | |
US7698388B2 (en) | Secure access to remote resources over a network | |
JP5595405B2 (ja) | 仮想化プラットフォーム | |
US7376965B2 (en) | System and method for implementing a bubble policy to achieve host and network security | |
US20020143960A1 (en) | Virtual network generation system and method | |
US8549613B2 (en) | Reverse VPN over SSH | |
US20070234419A1 (en) | Image forming apparatus, control method thereof, system, program, and storage medium | |
WO2007140671A1 (fr) | Serveur d'accès internet pour isoler le réseau intérieur du réseau extérieur et son procédé de traitement | |
JP2019515608A (ja) | アクセス制御 | |
CN100401706C (zh) | 一种虚拟专网客户端的接入方法及系统 | |
JP2005532713A (ja) | ステートフル・インスペクションを備えるファイアウォール | |
JP4649465B2 (ja) | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 | |
JP4949350B2 (ja) | 複数組織共有システム | |
CN101997875B (zh) | 一种安全的多方网络通信平台及其构建方法、通信方法 | |
Cisco | Cisco Systems Users Magazine | |
Cisco | Cisco Systems Users Magazine | |
Cisco | Cisco Systems Users Magazine | |
Cisco | Cisco Systems Users Magazine | |
JP2022146334A (ja) | 情報処理システム、画像形成装置及びプログラム | |
Singh et al. | Implementation of College Network Scenario Module by Using CCNA | |
JP2005100194A (ja) | 複数のユーザ閉域網に多重帰属するサーバ装置 | |
Zhuang et al. | A yang data model for fabric topology in data-center networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110803 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120224 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120305 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120307 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150316 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |