設置構成例 2017/04/03
はじめに この資料の位置づけ 本資料は および周辺機器の設置構成を検討されるにあたり 参考資料としてご覧頂くために NTT テクノクロス株式会社 ( 以下 NTT テクノクロス ) が作成したものです 実際に を導入済みのお客様の事例を示したものではありません 本資料の無断転載 複製は禁じます 転載 複製が必要な場合は NTT テクノクロスの サポート担当までご連絡ください 免責 (1) 本資料は参考資料であり NTT テクノクロスはこの資料の完全性 正確性 確実性 有用性など いかなる保証も行いません (2) NTT テクノクロスは予告なしに本資料を変更する場合があります Copyright 2017 NTT TechnoCross Corporation 1
本資料に記載する設置構成例の一覧 例 1: をブロードバンドルータに接続し インターネットから利用可能にする 例 2: 設定構成例 1 の環境に加え ブロードバンドルータの LAN ポートに業務用 PC を接続し とインターネットの両方を利用できるようにする 例 3: を DMZ に設置し プライベートアドレスを割り当てる 例 4: 設置構成例 3 の環境に加え 社内 LAN からインターネットへの HTTP アクセスに HTTP プロキシが利用されている環境で を使用する 例 5: が会議招待のメールを送信する際 が直接配信するのではなく 特定のメールを経由して配信する 例 6: をインターネット上に配置し 社内 LAN に 専用の経路を設ける なお 本資料の最後に 各例の利点と欠点のまとめ 参考情報へのリンク集を掲載しています Copyright 2017 NTT TechnoCross Corporation 2
設置構成例 1 をブロードバンドルータに接続し インターネットから利用可能にする お客様のご要望 家庭で利用されているようなブロードバンドルータを使い 安価 簡易に環境を構築したい 1 つのグローバルアドレスで運用したい はブロードバンドルータの LAN ポートに収容する 設置構成例 1 ブロードバンドルーター Copyright 2017 NTT TechnoCross Corporation 3
設置構成例 1 設置構成のポイント 1 ブロードバンドルータは PPPoE 等でプロバイダからグローバルアドレスの動的割り当てを受ける際 常に同じアドレスが割り当てられるようにする ( プロバイダの固定アドレス割り当てサービスを利用 ) 設置構成例 1 2 さらにそのアドレスに名前 (FQDN) を付け インターネットから名前でアクセスできるようにする ( プロバイダの DNS サービスを利用 ) 3 にもその名前をホスト名として付与する 4 にはプライベートアドレスを割り当てる プロバイダ SMTP プロバイダ DNS 5 に登録する DNS のアドレスは プロバイダから提示される DNS のアドレスとする 6 ブロードバンドルータのポートフォワード機能 (NAPT と呼ばれる場合もある ) を利用して インターネットからのアクセスを に転送する 転送するポート番号は 以下のとおり TCP 15101, 15201, 15801, 15251, 15271, 80, 443, 15501, 25 UDP 16101, 16201, 16301, 16401, 16601, 16851, 16701, 16801, 16251 参考 https://www.meetingplaza.com/support/connect/index.html 1 固定アドレスの割り当てを受ける 4 プライベートアドレスを割り当て 3DNS に登録した名前を付与 プロバイダ側ルータ ブロードバンドルーター 2 プロバイダの DNS サービスを利用する 6 ポートフォワード機能を利用 5 プロバイダの DNS を参照する Copyright 2017 NTT TechnoCross Corporation 4
設置構成例 1 制約事項 ブロードバンドルータの設定変更は Web ブラウザで行えるものが多いが 一般的に WAN 側 ( インターネット側 ) からは セキュリティを考慮して行えない仕様になっている その場合は ブロードバンドルータの LAN ポートに PC を接続し その PC の Web ブラウザから設定変更を行う必要がある プロバイダによっては インターネットへのメール発信が プロバイダの SMTP を経由しないと送信できない場合や 経由してさらに POP before SMTP が必要な場合もあるので注意が必要である その他 に転送するポート番号に 22/tcp を加えると インターネットから ssh を利用して にリモートログインすることが可能になる Copyright 2017 NTT TechnoCross Corporation 5
設置構成例 2 設定構成例 1 の環境に加え ブロードバンドルータの LAN ポートに業務用 PC を接続し とインターネットの両方を利用できるようにする お客様のご要望 設置構成例 1 の要望に加え 業務用 PC もブロードバンドルータを介してインターネットに接続したい さらに も利用したい 設置構成例 2 ブロードバンドルーター 業務用 PC Copyright 2017 NTT TechnoCross Corporation 6
設置構成例 2 設置構成のポイント ポイントは設置構成例 1 と同じであるが 業務用 PC の hosts ファイルに のホスト名をプライベートアドレスとともに登録し 名前解決を hosts で行えるようにする 設置構成例 2 制約事項 設置構成例 1 と同様である その他 業務用 PC から電子メールを送受信する場合は プロバイダの電子メールサービスを利用する hosts ファイルに のホスト名とプライベートアドレスを登録する ブロードバンドルーター 業務用 PC Copyright 2017 NTT TechnoCross Corporation 7
設置構成例 3 を DMZ に設置し プライベートアドレスを割り当てる お客様のご要望 を DNZ に設置する DMZ 上の類はプライベートアドレスを割り当て ルータでグローバルアドレスへの変換 (NAT 変換 ) を行う 設置構成例 3 設置構成のポイント は 自分自身の名前解決を必ず hosts で行えるようにする 例 127.0.0.1 localhost.localdomain localhost mpsvr.example.com DNS に登録する のアドレスは ルータで NAT 変換する 用のグローバルアドレスとする 制約事項 特になし ルータやファイヤーウォール NAT 変換 社内 LAN へ DNS DMZ( プライベートアドレス ) Copyright 2017 NTT TechnoCross Corporation 8
設置構成例 3 設置構成のポイント は 自分自身の名前解決を必ず hosts で行えるようにする 例 127.0.0.1 localhost.localdomain localhost mpsvr.example.com DNS に登録する のアドレスは ルータで NAT 変換する 用のグローバルアドレスとする 制約事項 特になし 設置構成例 3 ルータやファイヤーウォール のアドレスはグローバルアドレスを登録する DNS 社内 LAN へ 自分自身の名前解決は hosts で行う Copyright 2017 NTT TechnoCross Corporation 9
設置構成例 4 設置構成例 3 の環境に加え 社内 LAN からインターネットへの HTTP アクセスに HTTP プロキシが利用されている環境で を使用する お客様のご要望 設置構成例 3 の要望に加え 社内 LAN にある PC は WWW へのアクセスに HTTP プロキシを使用しており HTTP プロキシ名は IE に登録している ( 下図を参照 ) 設置構成例 4 社内 LAN から へのトラフィックは HTTP プロキシを経由させない DNS ルータやファイヤーウォール 社内 LAN へ HTTP プロキシ HTTP プロキシ Copyright 2017 NTT TechnoCross Corporation 10
設置構成例 4 設置構成のポイント ポイントは設置構成例 3 と同じであるが 社内 PC で実行する クライアントの設定を 直接接続 または TCP トンネリング ( 直接 HTTP トンネリング ) にする ( 下図参照 ) 設置構成例 4 デフォルト設定の Web ブラウザーの接続方法に従う にしてしまうと HTTP プロキシを経由してしまうため 注意が必要である 制約事項 クライアントの設定を 直接接続 または TCP トンネリング にした場合であっても Web 共有時のコンテンツアクセスは常に HTTP プロキシを経由する ルータやファイヤーウォール DNS Web 共有時のコンテンツアクセスは常に HTTP プロキシを経由する HTTP プロキシ 社内 LAN へ クライアントの設定を 直接接続 または TCP トンネリング にする Copyright 2017 NTT TechnoCross Corporation 11
設置構成例 5 が会議招待のメールを送信する際 が直接配信するのではなく 特定のメールを経由して配信する お客様の要望 社内のルールとして メールの配信は特定のメールからしか行えないため が送信するメールは常にメール経由としたい 設置構成例 5 DNS 環境 インターネット側の PC 社内 LAN 側の PC は省略 ルータやファイヤーウォール メール Copyright 2017 NTT TechnoCross Corporation 12
設置構成例 5 設置構成のポイント の SMTP Server に関する設定を変更する 上の設定ファイルで以下のように SMTP Server に関する設定を変更する 設置構成例 5 DNS 環境 インターネット側の PC 社内 LAN 側の PC は省略 SMTP_SERVER = localhost SMTP_SERVER = smtpsvr.example.com ルータやファイヤーウォール メール sendmail と会議スケジューラの設定を変更する Copyright 2017 NTT TechnoCross Corporation 13
設置構成例 6 をインターネット上に配置し 社内 LAN に 専用の経路を設ける お客様のご要望 をインターネット上に配置し ( データセンタに設置するなど ) 社内 LAN には 専用の経路を設けることで トラフィックを分散を図る 設置構成例 6 社内 LAN 専用の経路 専用の経路 社内 LAN へ Copyright 2017 NTT TechnoCross Corporation 14
設置構成例 6 設置構成のポイント 次の二つの構成が可能である 1 既存のルータやファイヤーウォールに 専用のインタフェースを設け ここでトラフィックを分離する 2 社内 LAN に 専用のルータやファイヤーウォールを設置し トラフィックを分離する 設置構成例 6 1 社内 LAN へ 専用の経路 新たに経路情報を追加設定する 制約事項 1 2 どちらの場合においても 新たに経路情報を追加設定する必要がある すなわち 1 の場合はルータに 2 の場合は社内 LAN の にアクセスする全ての PC に 経路情報を追加設定する必要がある 設置構成例 6 2 社内 LAN へ 専用の経路 新たに経路情報を追加設定する Copyright 2017 NTT TechnoCross Corporation 15
利点と欠点のまとめ 例利点欠点 1: をブロードバンドルータに接続し インターネットから利用可能にする 2: 設定構成例 1 の環境に加え ブロードバンドルータの LAN ポートに業務用 PC を接続し とインターネットの両方を利用できるようにする 3: を DMZ に設置し プライベートアドレスを割り当てる 4: 設置構成例 3 の環境に加え 社内 LAN からインターネットへの HTTP アクセスに HTTP プロキシが利用されている環境で を使用する 5: が会議招待のメールを送信する際 が直接配信するのではなく 特定のメールを経由して配信する 6: をインターネット上に配置し 社内 LAN に 専用の経路を設ける 環境を簡易 安価に構築できる 環境を簡易 安価に構築できる 一般的な例であり 社内 LAN がセキュアな状態を保てる 例 3 と同じ 発信元メールを集約することで 社内のセキュリティポリシーを適用し易い 社内 LAN と のトラフィックを分離できる ブロードバンドルータの設定変更が簡単に行えない 3 以降の例と比べて業務用 PC のセキュリティレベルが低い ブロードバンドルータおよびインターネットへの出口を と業務用 PC が共有するため 両者のトラフィックが お互いのスループットに影響を与えやすい が社内 LAN のインターネット接続に割り込んでくる格好になるため 社内 LAN- インターネットのスループット低下 逆に のほうは 社内 LAN- インターネットのトラフィックに圧迫されて 本来の能力がだせないという状況が起こり得る 例 3 と同じ の一部機能に制約が生じる 既存のルータや PC に 新しい設定を追加する必要がある Copyright 2017 NTT TechnoCross Corporation 16