Zenn
🐧

超入門・小規模企業向けネットワークIPアドレス設計ガイド

2024/12/26に公開
Security
network
VLAN
tech

はじめに

今日の企業活動において、社内ネットワークは業務の基盤となる重要なインフラです。特に従業員50人程度の小規模企業では、限られた予算と人員でいかに効率的かつ安全なネットワークを構築・運用していくかが重要な課題となっています。

本ガイドでは、小規模企業のシステム管理者やIT担当者が、社内ネットワークのIPアドレス設計を行う際に必要な知識と実践的なアプローチを解説します。

基礎編

第1章 ネットワークの基礎知識

企業ネットワークの基本構造

企業の社内ネットワークは、インターネットという広大な外部ネットワークと接続されながらも、セキュリティを確保するために独立した内部ネットワークとして設計される必要があります。この内部ネットワークでは、プライベートIPアドレスと呼ばれる特別なアドレス体系を使用します。

プライベートIPアドレスを使用することで、以下のような利点が得られます

  • インターネット上のアドレスとの衝突を避けられる
  • 内部ネットワークのセキュリティが向上する
  • 柔軟なネットワーク設計が可能になる
  • コストを抑えたネットワーク構築ができる

IPアドレスの基本概念

IPアドレスは、ネットワーク上で機器(コンピュータやスマートフォンなど)を識別するための「住所」のようなものです。
特に「IPv4」という形式では、32ビットの数字を4つの部分に分けて表現します。たとえば、「192.168.1.1」という形です。

  1. IPアドレスの仕組み
  • 各数字(例: 192, 168, 1, 1)は、0から255までの範囲で使われます。
  • IPアドレスは、「ネットワーク上のどこにあるか」を示すために使われます。
  1. IPアドレスの構成
    IPアドレスは、以下の2つの部分でできています。
  • ネットワーク部:
    どのネットワーク(グループ)に属しているかを表す部分。
  • ホスト部:
    ネットワーク内で、その機器がどれなのかを表す部分。

サブネットマスクで区分を決める

ネットワーク部とホスト部の区切りは、サブネットマスクというものによって決まります。
たとえば、サブネットマスクが「255.255.255.0」なら:

  • 最初の3つ(192.168.1): ネットワーク部
  • 最後の1つ(.1): ホスト部

これにより、「どのネットワークの、どの機器か」を正確に識別できます。

プライベートIPアドレスの範囲

会社のネットワーク内で使われるプライベートIPアドレスは、特別なIPアドレスです。この範囲はRFC1918という規格で決められています。以下の3つの範囲が、プライベートIPアドレスとして使えます。

  • 10.0.0.0 ~ 10.255.255.255(10.0.0.0/8)
    例: 10.0.0.1、10.50.123.45

  • 172.16.0.0 ~ 172.31.255.255(172.16.0.0/12)
    例: 172.16.0.1、172.20.10.100

  • 192.168.0.0 ~ 192.168.255.255(192.168.0.0/16)
    例: 192.168.1.1、192.168.100.25

これらの範囲は、インターネット上では直接使われません。外部と通信する際には、ルーターなどがこれらをグローバルIPアドレスに変換してくれます。

小規模企業では、主に192.168.x.xの範囲を使用することが一般的です。その理由として、

  • アドレス数が65,534個あり、50人規模の企業では十分な数である
  • 設定がわかりやすく、覚えやすい
  • 多くのネットワーク機器でデフォルト設定として使用されている
  • トラブルシューティング時の参考情報が豊富

サブネットの概念

サブネットとは、大きなネットワークを小さな単位に分割したものです。50人規模の企業であっても、用途や管理のしやすさを考慮して、適切にサブネットを分割することが重要です。

サブネット分割の主な目的は

  1. セキュリティの向上

    • 異なる用途のネットワークを分離できる
    • アクセス制御が容易になる
    • 問題が発生した際の影響範囲を限定できる

  2. ネットワークの効率化

    • ブロードキャストによる通信の輻輳を防ぐ
    • トラフィックの管理が容易になる
    • 障害の切り分けが容易になる

  3. 管理のしやすさ

    • 論理的な構造化が可能になる
    • IPアドレスの割り当てが整理しやすくなる
    • 機器の追加・変更が計画しやすくなる

VLAN(Virtual LAN)の基礎

VLANは、物理的なネットワーク構成とは独立して、論理的にネットワークを分割する技術です。
小規模企業でもVLANを活用することで、以下のようなメリットが得られます

VLANのメリット

  1. 配線を変えずにネットワーク分割
    配線を物理的に変更せず、ネットワークを用途ごとに分割できます。

    • 例: 部署別(営業、開発)や用途別(ゲストWi-Fi、社内用)。

  2. セキュリティの強化
    部署ごとや用途ごとに分けたネットワークに対して、適切なセキュリティポリシーを簡単に適用できます。

  3. コスト削減
    新たなネットワーク機器を増やさずに、既存のリソースで柔軟なネットワーク設計が可能です。

  4. 拡張性の確保
    将来的にネットワークを拡張する場合でも、物理的な変更が不要なので、スムーズに対応できます。

設計編

第2章 ネットワーク設計の実践

全体設計の考え方

50人規模の企業向けネットワークを設計する際は、必要十分な機能を備えながらも、管理のしやすさを重視する必要があります。本章では、実際の設計手順について、具体的な例を交えながら解説していきます。

ネットワークセグメントの設計

セグメント分割の基本方針

小規模企業であっても、用途に応じて適切にネットワークを分割することが重要です。基本的なセグメント構成として、以下の3つを設定します。

  1. サーバーセグメント
    このセグメントには、社内の重要なサーバーやシステムを配置します。セキュリティを重視し、他のセグメントからのアクセスを必要最小限に制限します。

  2. 業務セグメント
    社員が日常的に使用するPCや周辺機器を配置するセグメントです。基本的なインターネットアクセスと、必要なサーバーへのアクセスを許可します。

  3. 来客用セグメント
    来客用のWi-Fiネットワークを提供するセグメントです。社内ネットワークとは完全に分離し、インターネットアクセスのみを許可します。

具体的なアドレス設計

サーバーセグメント(VLAN 10)

サーバーセグメントには192.168.10.0/24を割り当てます。

アドレス割り当ての詳細設計:

  • ネットワークアドレス:192.168.10.0
  • サブネットマスク:255.255.255.0
  • デフォルトゲートウェイ:192.168.10.1

固定IPアドレスの割り当て規則:

192.168.10.1     - ゲートウェイ(UTM)
192.168.10.10    - ファイルサーバー
192.168.10.20    - データベースサーバー
192.168.10.30    - Webサーバー(社内システム)
192.168.10.40    - バックアップサーバー
192.168.10.50    - 監視・管理サーバー
192.168.10.51-99 - 予備(将来の拡張用)

業務セグメント(VLAN 20)

業務セグメントには192.168.20.0/24を割り当てます。

アドレス設計の詳細:

  • ネットワークアドレス:192.168.20.0
  • サブネットマスク:255.255.255.0
  • デフォルトゲートウェイ:192.168.20.1

アドレス割り当ての規則:

192.168.20.1      - ゲートウェイ(UTM)
192.168.20.11-50  - 固定IP割り当て(役職者・特定業務用PC)
192.168.20.100-200 - DHCP範囲(一般業務用PC)
192.168.20.241-245 - ネットワークプリンタ
192.168.20.251-254 - ネットワーク機器管理用

来客用セグメント(VLAN 30)

来客用セグメントには192.168.30.0/24を割り当てます。

設計詳細:

  • ネットワークアドレス:192.168.30.0
  • サブネットマスク:255.255.255.0
  • デフォルトゲートウェイ:192.168.30.1

アドレス運用方針:

192.168.30.1      - ゲートウェイ(UTM)
192.168.30.100-200 - DHCP範囲(来客用)

VLAN設計

VLANとは、1台のネットワークスイッチ内で複数の仮想的なネットワークを作る技術です。例えば、同じフロアで使用している機器同士でも、サーバー用、業務用、来客用と、それぞれ別々のネットワークとして扱うことができます。これにより、新しくLANケーブルを配線することなく、ソフトウェアの設定だけでネットワークを分けることが可能になります。

具体的な設定内容を見ていきましょう

  1. VLAN 10(サーバー専用ネットワーク)

    • タグ付きポート:上位のネットワーク機器と接続するためのポート。複数のVLAN情報を1本のケーブルで伝送できます。
    • アンタグポート:各サーバーを直接接続するためのポート。サーバーは通常のLANケーブル接続で利用できます。
    • アクセス制御:不正接続を防ぐため、許可された機器のみが接続できるよう、厳重な接続制限を設定します。

  2. VLAN 20(社員の業務用ネットワーク)

    • タグ付きポート:サーバー用VLANと同様、上位機器との接続用です。
    • アンタグポート:社員のPCやプリンターを接続するためのポート。
    • アクセス制御:基本的な不正接続対策を実施します。

  3. VLAN 30(来客用Wi-Fiネットワーク)

    • タグ付きポート:他のVLANと同様、上位機器との接続用です。
    • アンタグポート:来客用Wi-Fi機器を接続するためのポートです。
    • アクセス制御:シンプルなセキュリティ設定とし、来客が簡単に利用できるようにします。

セキュリティ設計

通信制御のルール設定

ネットワーク間の通信は、UTM(統合セキュリティ装置)と呼ばれる機器で制御します。
UTMは、ファイアウォール、ウイルス対策、不正アクセス防止など、複数のセキュリティ機能を1台で提供する装置です。

具体的な通信ルールは以下の通りです

  1. サーバー用ネットワークへのアクセスルール
社員の業務用ネットワークからサーバーへのアクセス
- ファイル共有(社内文書の閲覧・編集用)
- 社内システムへのアクセス(業務システムの利用)
- データベースへのアクセス(必要な部署のみ)
- 監視用の通信(サーバーの状態確認用)

インターネットからサーバーへのアクセス
- 原則として全て禁止(情報漏洩対策)
  1. 社員の業務用ネットワークのアクセスルール
業務用ネットワークからインターネットへのアクセス
- Webサイトの閲覧(業務に必要なサイトのみ)
- メールの送受信(業務用メール)
- ドメイン名の名前解決(Webサイトアクセスに必要)

業務用ネットワークから来客用ネットワークへのアクセス
- 全て禁止(情報セキュリティ対策)
  1. 来客用ネットワークのアクセスルール
来客用ネットワークからインターネットへのアクセス
- 一般的なWebサイトの閲覧
- ドメイン名の名前解決

来客用ネットワークから社内ネットワークへのアクセス
- 全て禁止(情報セキュリティ対策)

事業継続性の確保(冗長化設計)

小規模企業では、コストと管理のしやすさを考慮しながら、必要最小限の事業継続対策を行います。

重要なポイント

  1. インターネット回線

    • 主回線:光回線(1Gbps~10Gbps)から、コストと必要な帯域を考慮して選択
    • 予備回線:携帯電話回線を backup として準備(必要な場合のみ)

  2. ネットワーク機器の予備

    • セキュリティ装置(UTM):1台運用で予備機を保管
    • ネットワークスイッチ:1台運用で予備機を保管
    • 停電対策:無停電電源装置(UPS)で10分程度のバックアップ

  3. サーバーのデータ保護

    • 重要なデータは定期的にバックアップを取得
    • サーバーの仮想化技術を活用し、効率的な運用を実現

通信品質の確保(QoS設計)

ネットワークの利用目的に応じて、通信の優先度や使用できる通信量を設定します

  1. 社員の業務用ネットワーク

    • 業務優先度:高め
    • 使用可能な通信量:全体の70%まで使用可能

  2. サーバー用ネットワーク

    • 業務優先度:最優先
    • 使用可能な通信量:全体の20%を確保

  3. 来客用ネットワーク

    • 業務優先度:低め
    • 通信速度:最大10Mbpsまでに制限

管理・運用の設計

システム管理者向けの接続設定

  1. 管理用の接続設定

    • 管理専用ネットワーク:192.168.99.0/24を使用
    • 管理者用PC:192.168.99.10から20まで
    • システム監視サーバー:192.168.99.50を使用

  2. 管理用の接続制限

    • リモート管理(SSH):管理用ネットワークからのみ可能
    • 機器の監視(SNMP):管理用ネットワークからのみ可能
    • システムログ:一元管理のため監視サーバーに集約

このような設計により、50人規模の企業に適した、安全で管理のしやすいネットワーク環境を実現することができます。システム管理者が不在の場合でも、基本的な運用が可能な設計となっています。

運用編

第3章 ネットワークの運用管理

日常的な運用管理

定期点検の実施

毎日の確認事項

  1. サーバーやネットワーク機器の稼働状態
    • 管理画面での死活確認
    • エラーランプの目視確認
    • 基本的なログの確認

週次の確認事項

  1. ネットワークの使用状況
    • トラフィック量の確認
    • DHCP払い出し状況の確認
    • 不正アクセスの有無チェック

月次の確認事項

  1. 機器の性能確認

    • CPU使用率の確認
    • メモリ使用率の確認
    • ディスク使用量の確認

  2. セキュリティ対策の確認

    • ウイルス定義ファイルの更新状態
    • セキュリティパッチの適用状態
    • アクセスログの分析

バックアップ管理

日次バックアップ

  • 業務データのバックアップ
  • サーバー設定のバックアップ
  • ログファイルの保存

週次バックアップ

  • システム全体のバックアップ
  • バックアップデータの整理

月次バックアップ

  • 長期保存用バックアップの作成
  • 古いバックアップの整理

トラブルシューティング

問題の切り分け手順

  1. 初期確認

    • 問題の発生範囲の特定
    • 影響を受けているユーザー数の確認
    • 問題の再現性の確認

  2. 基本的な確認事項

    • ネットワーク接続状態の確認(ping実行)
    • 物理的な接続の確認
    • エラーメッセージの確認

  3. 詳細調査

    • ログファイルの確認
    • ネットワークトラフィックの分析
    • システムリソースの確認

よくあるトラブルと対処方法

  1. インターネット接続の問題

    症状:インターネットに接続できない

確認手順:
1. 社内ネットワークの接続確認
   ping 192.168.20.1(デフォルトゲートウェイ)

2. 外部への接続確認
   ping 8.8.8.8(Googleパブリック DNS)

3. 名前解決の確認
   nslookup www.google.com

対処方法:
- 物理接続の確認と再接続
- IPアドレス設定の確認
- DNSサーバーの設定確認

  2. ファイル共有の問題

    症状:共有フォルダにアクセスできない

確認手順:
1. ネットワーク接続の確認
   ping ファイルサーバー

2. 共有設定の確認
   net share(Windowsの場合)

3. 権限設定の確認
   アクセス権の確認

対処方法:
- ネットワーク設定の確認
- 共有設定の再設定
- アクセス権の見直し

  3. プリンターの問題

    症状:印刷できない

確認手順:
1. プリンターの状態確認
   - 電源・ケーブル接続
   - エラーランプ

2. ネットワーク接続確認
   ping プリンターIP

3. スプーラーサービス確認
   サービス状態の確認

対処方法:
- プリンタードライバーの再インストール
- スプーラーサービスの再起動
- プリンターの電源再投入

ドキュメント管理

必要な文書類

  1. ネットワーク構成図

    • 物理構成図
    • 論理構成図
    • IPアドレス割り当て表

  2. 設定ドキュメント

    • 各機器の設定情報
    • アクセス制御ルール
    • バックアップ設定

  3. 運用手順書

    • 日常点検手順
    • トラブル対応手順
    • バックアップ/リストア手順

ドキュメント管理のポイント

文書の更新ルール

  1. 変更履歴の記録

    • 変更日時
    • 変更者
    • 変更内容
    • 変更理由

  2. 最新版の管理

    • バージョン管理の実施
    • 更新日付の明記
    • 承認フローの設定

  3. 文書の保管

    • アクセス制限の設定
    • バックアップの作成
    • 定期的な見直し

監視設定

監視項目の設定

  1. 基本的な監視項目

    • CPU使用率
    • メモリ使用率
    • ディスク使用量
    • ネットワーク帯域使用率

  2. サービス監視

    • 重要サービスの稼働状態
    • ポートの応答確認
    • プロセスの状態確認

  3. セキュリティ監視

    • 不正アクセスの検知
    • ウイルス検知状況
    • パッチ適用状況

アラート設定

重要度に応じた通知設定

  1. 緊急度「高」

    • サーバーダウン
    • ネットワーク切断
    • セキュリティ侵害
      → 即時メール通知+SMS通知

  2. 緊急度「中」

    • リソース使用率の閾値超過
    • バックアップ失敗
    • 認証エラーの多発
      → メール通知

  3. 緊急度「低」

    • 定期レポート
    • 性能統計情報
    • 設定変更履歴
      → 日次/週次レポート

定期的な見直し

月次レビュー項目

  1. リソース使用状況の確認

    • 帯域使用率の推移
    • ストレージ使用量の推移
    • アクセス数の推移

  2. セキュリティ状況の確認

    • インシデントの発生状況
    • セキュリティパッチの適用状況
    • アクセス制御の有効性

  3. コスト最適化の検討

    • 機器の使用効率
    • ライセンスの必要性
    • 運用工数の分析

このような運用管理を実施することで、安定したネットワーク環境を維持することができます。特に小規模企業では、シンプルで確実な運用を心がけることが重要です。

まとめ

本ガイドでは、小規模企業向けのネットワークIPアドレス設計について解説してきました。
ポイントを整理すると、

  • 192.168.x.x の範囲を基本とし、VLAN で3つの主要セグメント(サーバー用、業務用、来客用)に分割することで、セキュアで管理しやすいネットワークを実現できます。

  • 設計時には将来の拡張性を考慮しつつ、現実的な運用負荷とのバランスを取ることが重要です。特に小規模企業では、複雑すぎない設計を心がけましょう。

  • 日常の運用管理では、定期的なチェックリストに基づく点検と、発生頻度の高いトラブルへの対応手順を整備することで、安定したネットワーク環境を維持できます。

最後に、ネットワーク設計は「完璧な設計」を目指すのではなく、「運用しながら改善できる設計」を目指すことが、小規模企業には適していると考えます。本ガイドが、皆様のネットワーク設計の参考になれば幸いです。

Discussion