ネットワークの全体図(LAN,WAN,DMZ)
この記事ではネットワークの全体図について学びます。ネットワークは全体として大きく3つのエリアから構成されています。LAN、WAN、DMZの3つです。
LANからWANに出て,DMZ上のサーバーにアクセスする..というのがネットワークの基本構成となっています。まずLANとWANの違いをまとめた表が以下です。
| LAN | WAN | |
|---|---|---|
| 役割 | 1つの拠点内を結ぶ | 拠点と拠点を結ぶ |
| 構築,管理 | ユーザーが行う | 通信事業者が行う |
| 費用 | 管理者の人件費,機器のコスト | 通信事業者への利用料金 |
| 技術 | イーサネット | HDLC,PPP,フレームリレー,PPPoE,イーサネットなど |
LAN(Local Area Network)
家庭や企業など、1つの拠点内を結ぶネットワークのことです。家庭内ではスマホ/パソコン/タブレットテレビなどを接続し、企業では同一ビル内で複数の端末をつなぎます。LANの構築と管理はユーザーが自前で行います。機器の設定/配線/設置をユーザーが行い、それを管理するための人件費がかかります。
構成規模:家庭~企業まで
家庭と企業のLANを比べた時に、ベースとなる技術にほとんど変わりありません。しかしLANを構成する機器の数/性能が大きく異なります。企業のLANの場合、規模によっては1万台以上の端末が同時に接続します。それだけの処理を捌けるだけの性能を持つ機器を用意する必要があります。
主な構成
家庭内のLANは主に以下です。ブロードバンドルーターが提供しているLANに一旦接続し、そこからインターネットの世界へと出ていきます。
企業内のLAN構成の図はこちらです。アクセスポイントやエッジスイッチに一旦接続し、エッジスイッチを集約するコアスイッチを経由して、インターネットや社内サーバへ接続します。
WAN(Wide Area Network)
拠点同士を結ぶネットワークのことです。距離的に遠く離れた範囲のネットワークのことであり、LAN同士を結びつけています。WANはインターネットと閉域VPN網に分けることができます。
インターネット:誰でもアクセスできる公衆WAN
閉域VPN網:限られたユーザーのみが使えるWAN
インターネット
誰でもアクセスできる公衆WANのことです。インターネットとはカンタンにいえばルーターの集まりです。一般・企業・研究機関などが持っているたくさんのルーターが世界中でつながりパケットを運んでいます。
(補足)ISP
インターネットを利用するには2つの事業者と契約が必要です。1つが回線事業者、もう1つがISP(インターネットサービスプロバイダ)です。
回線事業者はインターネットに接続するための回線を提供する事業者です。光回線、ADSL回線、ケーブルテレビ回線などが用意されています。設備工事やケーブルの敷設/運用など、物理的な部分を回線事業者が担当しています。ユーザーはその回線へ直接つなぐことができません。そこでプロバイダーが間に入って接続サービスを行っています。プロバイダーはインターネット接続サービスを提供する役割を担っています。
ISPを利用したインターネット接続とは、ISPのLANに外から参加させてもらうようなモノです。ISPのネットワークは常時インターネットへつながっています。そこへ接続を申し込むことでISPのネットワークの一員としてインターネットへアクセスできるようになります。
それぞれのISPにはAS番号が割り振られています。ASとはAutonomous Systemの略です。インターネット上でそれぞれの組織が管理している範囲のことで、一意の管理番号が割り当てられています。何番と何番のAS番号を接続するか?どのAS番号に対する経路を優先的に使用するか?などは厳密にルールとして定められています。パケットはそのルールに沿ってインターネット上を駆け巡ります。
閉域VPN網
利用者が限定されたWANのことです。不特定多数の人が利用できないのでネットワークの安全性を高めることができます。閉域VPN網を構築するには、自前で用意するか、通信事業者のサービスを契約するかのどちらかです。
自前で構築する場合はルーターやファイアウォールの拠点間VPN機能を使用します。VPNはVirtual Private Networkの略で、インターネット上に仮想的に専用線トンネルを作る機能です。IPCというプロトコルを使用して、拠点間をピアツーピア(1対1)で接続して通信を暗号化します。
一方通信事業者のWANサービスを使用する場合は、通信事業者が敷設した閉域VPN網を使うことになります。通信事業者が用意する閉域VPN網に接続し、その閉域VPN網を通じて各拠点とやり取りします。自由度が低い反面、導入のハードルが低いメリットがあります。
DMZ(DeMilitarized Zone)
インターネットに公開するサーバーを設置するネットワークのことです。「DeMilitarized Zone」の略で、日本語では「非武装地帯」と直訳されます。武装地帯が外部のネットワーク世界、安全地帯が内部のネットワークであるとするなら、その中間地帯に属することになります。中間地帯としてのDMZに公開サーバーを設置することで、外部からのリクエストを許可しながら安全性を確保できます。
最近はクラウド上で構築することもありますが、データセンターに設置する場合には上記のような構成を取ります。LAN、WAN、DMZの3つを組み合わせたモノがインターネットの全体像となっています。
新しいネットワーク
LAN,WAN,DMZで構成されるのが基本ですが、現在は新しいネットワークの形も登場しています。その中から代表的なモノをいくつかご紹介します。
SDN(Software Defined Network)
ソフトウェアによって管理制御される仮想的なネットワークのことです。従来のネットワークは物理的なネットワーク機器を中心に運用が行われています。物理的な機器は管理するのも大変ですし、変更にも柔軟に対応しづらいデメリットがありました。物理的な制約・管理の面倒さを軽減するのがSDNの技術です。SDNとは要するに仮想化の技術であり、本当は存在しないものをあるように見せかけることができます。本当は1つしかないサーバーを複数あるように見せかけて1台のサーバーで複数のOSやアプリケーションを稼働できます。サーバー、ストレージのような物理的な機器をソフトウェアによって分割・集約し、管理や拡張に対して発生するコストを減らせます。SDNはオーバーレイ型、ホップバイホップ型に分けることができます。
オーバーレイ型
スイッチ間に仮想的なトンネルを作ってパケットを転送する方式です。既存の機器はそのままにスイッチ間で仮想的な通路を作り、処理を分散させることができます。ユーザーのパケットをもう一度別のプロトコルでカプセル化することによってトンネルを作ります。トンネルにはVXLANというプロトコルを使用します。
ホップバイホップ型
スイッチ一つ一つに対して経路の情報フローエントリーを配布し、その情報をもとにパケットを転送する方式です。経路の配布にはOpenFlowというプロトコルを使用します。OpenFlowコントローラーはユーザーのリクエストに基づいて経路情報を計算し、Openflowに対応したスイッチへ経路情報を配布します。実際に検証してみると意外と制限が多く、現在では圧倒的にオーバーレイ型が使われています。
CDN(Content Delivery Network)
Webコンテンツを大量配信するために最適化されたインターネット上のサーバーネットワークのことです。オリジナルのコンテンツを持つオリジンサーバーと、そのキャッシュを持つキャッシュサーバーの2台によって構成されます。配信元となるサーバ(オリジン)へアクセスが集中しないように、CDNサーバにはオリジンから取得したコンテンツをキャッシュ(コピー)しておきます。物理的に近いネットワークでユーザーのリクエストにレスポンスすることにより、オリジンサーバーへの負担を減らすことができます。有名ウェブサイトの多くがこの仕組みを利用してWebコンテンツを配信しています。
IoT(Internet of Things)
身の回りにあるいろいろなモノがインターネットにつながる仕組みのことです。IoTデバイスには車,家電,センサー,冷蔵庫,電気などありとあらゆるものがあります。軽量,高速,省電力を実現できるプロトコルが求められます。代表的なモノがCoAP(Constrained Application Protocol)とMQTT(Message Queuing Telemetry Transport)です。
CoAPはトランスポート層にUDPを使用したクライアントサーバ型プロトコルです。元々はIBMで作られたモノで、素早くリアルタイムにデータを送信できます。MQTTはTCP上で動作するブローカー型プロトコルで、パブリッシャー,ブローカー,サブスクライバーという3つの要素から構成されます。
IaaS(Infrastructure As a Service)
サーバーやネットワークなどのインフラをインターネット上で構築するクラウドサービスの1つです。クラウド事業者が提供しているサービスの範囲内でサービスに合わせた形で構築していきます。物理的な機器を用意する必要が一切ないため、面倒な管理・設定・運用の手間を省くことができます。特別な理由があり場合を除いて、Webサービスの多くが徐々にクラウドへ移行しつつあります。
Discussion