拠点間通信について

拠点Ａ・Ｂ・Ｃがあり、拠点Ａにアプリケーションサーバ（以下ＡＰサーバ）を立ててメタフレームを利用して、拠点Ｂ・Ｃから拠点ＡにアクセスしてＡＰサーバを利用したいと考えています。
すべての拠点でルータを利用してインターネットに接続しています。プロバイダは各拠点で別々です。
拠点Ａで利用しているプロバイダから固定のグローバルアドレスを取得して、そのグローバルアドレス宛に拠点Ｂ・Ｃからアクセスすればいいのだろうというところまではわかるのですが、拠点Ａでのルータをどのように設定すればいいのでしょうか？
また、その際に固定グローバルアドレスはいくつ必要なのでしょうか？人によっては、１つでいいという人と２つ必要だという人や３つ以上必要だという人がいます。それぞれの意見を聞いてもよくわかりませんでした。
ちなみにアクセスしたいのＡＰサーバだけです。
よろしお願いします。

No.2 回答者： suzui 回答日時： 2005/07/16 12:42

私は別のやり方を提案しようと思います。

参考URLのように、拠点間でLAN間接続VPNを使う方法です。とても簡単です。
詳しくは見てもらえば分かりますが、固定IPアドレスがなくても問題ありませんし(もちろんあってもよい)、3拠点の接続でも問題ありません。
ただし、各拠点のLAN内で使用しているサブネットが重複していないことが条件になります。
拠点A：192.168.1.0/24
拠点B：192.168.2.0/24
拠点C：192.168.3.0/24
のようになっていれば問題ないということです。

LAN間接続VPNであればNATを使うこともないですし、サーバが複数台になっても問題ありません。
また暗号化された状態でインターネット上を流れるので、VPNを使わない方法よりは安全です。

参考URL：http://buffalo.melcoinc.co.jp/products/catalog/n …

この回答へのお礼

回答ありがとうございました。
確かに簡単そうですね。使用中のルータで設定できるかどうかはありますが、検討してみます。ありがとうございました。

お礼日時：2005/07/16 14:52

No.1 ベストアンサー 回答者： sinobu_wednesday 回答日時： 2005/07/15 17:23

> 拠点Ａで利用しているプロバイダから固定のグローバルアドレスを取得して、そのグローバルアドレス宛に拠点Ｂ・Ｃからアクセスすればいいのだろうというところまではわかるのですが、

はい、正解です。

> 拠点Ａでのルータをどのように設定すればいいのでしょうか？

固定IPアドレス一つを契約した場合、拠点Aで利用しているプロバイダから付与された固定IPアドレスは、アプリケーションサーバに付くのではなく、拠点Aのルータに付きます。この場合、拠点Aの内部のネットワークについては、アプリケーションサーバを含めプライベートアドレス（例えば192.168.***.***のような）が付くことになるでしょう。
よって、アプリケーションサーバのIPアドレスを192.168.100.100とすると、拠点Aのルータには、「TCP○○番ポートに対するパケットは、192.168.100.100にフォワードしろ」という静的NATルールを設定することになります（○○はアプリケーションによって異なります）。

固定アドレスを複数（2個、6個、14個…）取った場合は、ルータの他に、アプリケーションサーバにも直接グローバルアドレスを付与できます。この場合は、ルータに静的NATルールのような設定が不要になりますのでその分設定が単純になりますが、プロバイダとの契約のために余計にコストが掛かることになります。
また、アプリケーションサーバはグローバルのインターネットに晒されますから、○○番ポートしか外部からのアクセスがされないとしたら、そのポート以外はフィルタリングしてしまって防御を考える必要がありますので要注意です。

> また、その際に固定グローバルアドレスはいくつ必要なのでしょうか？人によっては、１つでいいという人と２つ必要だという人や３つ以上必要だという人がいます。それぞれの意見を聞いてもよくわかりませんでした。

そのアプリケーションサーバへの通信が必ず拠点B,Cから開始される場合は、拠点Aのみを固定IPアドレスにすれば良いので最低1つあればOKです（上記の前者のケース）。もちろん、複数あればあったで良いでしょう。
そのアプリケーションサーバへの通信が拠点Aから開始される（拠点AからB,Cに通信が行われる）可能性がある場合、B,Cも固定IPアドレスにする必要があるでしょう。この場合も、B,CにそれぞれいくつのIPアドレスがあれば良いのかは、最低1つあれば、ということになりますが、複数あればルータの設定が簡単になるなどの特典はあります。

また、拠点Aのアプリケーションサーバの台数が2台以上になるとすると、その場合は静的NATだけのルールでは難しいですので、固定アドレスを複数（6個、14個…）取ることになるでしょう。

どちらにしても拠点間通信についてはさらにアプリケーションの仕様や、セキュリティをどうするか（VPNを張るべきかどうか）などの問題もあり、なかなかセオリー通りには行きません。アプリケーションサーバを発注したSIがいるのであれば、その業者に検討させるのが良いと思います。

この回答へのお礼

大変丁寧な回答ありがとうございました。
参考になりました。アプリケーションサーバが１台だけで利用するアプリケーション（ポート番号）が１つ、そして一方通行の接続ならルータ上の静的ＮＡＴルールの設定をしてあげれば、固定グローバルアドレスは１つで大丈夫ということですね。
やはりルータの設定だけではセキュリティ上問題はあるですね。

お礼日時：2005/07/15 18:01