07-08
07-08
CJ案件の既存コンフィグは全部目を通した。本社のVPNルーターの暗号化対象パケットの宛先は、各海外拠点のVPNルーターが持つ、LANインターフェイスの接続セグメントと一致していた。海外拠点のルーターはどの拠点もインターネットに抜けられるようなっている。当然アドレス変換の設定も入っていた。もしLANからルーターへ入ってきたパケットの宛先が、プライベートレンジのアドレスであれば、暗号化VPNとして本社へパケットを投げる。それ以外であれば、送信元のIPアドレスをインターネットに接続しているWANインターフェイスのIPアドレスに変換し、インターネットの世界へ直にパケットを投げる。複数のホストでルーターのWANインターフェスのIPを共有しなくてはならないので、インターネットからLANへ戻す際に、どのホストへの戻りパケットか判別できるよう、一意となる送信元ポート番号への変換も行っている。これを使えば一つのグローバルIPを、複数のホストの送信元IPアドレスとしてインターネットに対し共用することができる。海外拠点はいわゆるローカルインターネットブレイクアウト、本社などのゲートウェイを通さず拠点から直にインターネットへ出る施策、を採用しているということのようだ。
それに対し日本の拠点群には、既存ルーターのコンフィグを見る限りデフォルトルートが存在しない。おそらくは本社のプロキシサーバーを通してインターネットへ抜けているのだろう。そうであれば、日本の各拠点のホストは、その本社のプロキシーサーバーへ辿り着ければ良い。もし海外拠点でマイグレーション後もローカルインターネットブレイクアウトを維持するのであれば、少し設計を考えないといけない。このお客が使っている、ベンダーが構築した海外拠点と本社間のインターネットVPNは、都たちが構築するMPLSのバックアップとして維持することになると聞いた。そうであれば、都たちが海外拠点に設置する客宅ルーターと、既存ベンダーのVPNルーターでデフォルトゲートウェイの冗長化をした上で、都たちのルーターにLAN側向けのスタティックデフォルトルートを設定したり、ルーター同士でダイナミックルーティングを組んでルートを交換し、インターネットVPNルーターに設定してあるデフォルトルートをもらえるようにするなど、考えないといけない。これはヒアリングでお客に決めてもらうことになる。
本社以外の日本拠点は大体がLANインターフェイスの接続セグメント一つだけだったが、数拠点LANにスタティックルートを切って複数のLANセグメントを持つ拠点もあった。しかし、この日本拠点群は、マイグレーション後は都たちの部署で設計、構築する客宅ルーターを置かず、廉価版ルーターによる提供となる。なのでネットワーク図には、網を表現する楕円から余白に線を引っ張り、その線を終端するように横線を引き、その下に日本拠点群のLANサブネットをネットワークアドレス、プレフィックス長の形でずらずらと書き並べておくだけにする。アドレスだけずらずら並べてもどの拠点のものだかわからないので、括弧書きで拠点名を書いておく。
日本の拠点だから地名は日本語ではあるが、都の勤める部署ではグローバルMPLSを扱う現場ということもあり、資料は英語で作ることが求められている。構築の段階でも外国籍の人が関わることが時折あるし、保守の段階ではもっと多くなる。漢字が読めない地名はインターネットで調べて、ローマ字表記に落としておく。
これらの日本拠点群について、都たちは拠点名どころか、アドレスさえも把握する必要はない。しかしこういうキャリアマイグレーションのプロジェクトの場合、実際にLAN切り替後のお客試験の際、どこそこへは疎通できるが、どこそこへは疎通できない、と拠点名で不具合を言われることがある。その時に都たちでも対象拠点のアドレスや、拠点が全体ネットワークトポロジーのどの位置にいるのかなどを、ネットワーク図上で把握できれば、都たちの責任範囲内外どちらの問題なのかが判断しやすい。責任範囲外でもサポートを求められることはしょっちゅうなので、そういう時に問題の所在の見通しを立てやすくもなる。
コンフィグの内容は大体把握した。各拠点のLANネットワークについても、網内へ広告しているもの、暗号化VPNの対象となっているものについては概ね把握できた。あとはネットワーク図をどうやって描くかだ。既存ネットワークについては、すでにノートに既存のMPLSを表現する楕円を描いてあるので、その隣にそれと被らない形でインターネットを表す楕円を並べて描く。MPLSの楕円の真下には、本社の既存MPLS客宅ルーターが描いてあり、回線を表す直線でMPLSの楕円と繋いである。インターネットの楕円の下にも同じように線を引き、本社のVPNルーターを描く。それらのさらに下に、本社のLANを表す円を描き、その円から両ルーターを線で繋ぎ、両ルーターが同じLANを共有していることを表現しておく。本社のMPLS客宅ルーターからBGPでMPLS網へ広告しているルートについては、LANを表す円の横に線を引いて、その線を止めるような縦線を引き、その縦線に端を揃えるようにずらずらと、ネットワークアドレス、プレフィックス長の形で書いていく。
海外拠点については、インターネットを表す楕円の上に各拠点のVPNルーターを表す丸を描いて、それぞれインターネットの楕円まで線を引っ張る。本社のVPNルーターから海外拠点のVPNルーターまでは、それぞれ細い円柱を、インターネットを表す楕円の上に重ねて描き、それらを暗号化トンネルとして表現しておく。各海外拠点のLANについては、海外拠点を図の上に描いたので、VPNルーターのさらに上に線を引き、その線を終端するような横線を引いて、その横線の上に横書きの文字が乗るように、LANサブネットをネットワークアドレスとプレフィックス長の形で書いておく。
既存ネットワークについてはこの描き方で良さそうだ。あとはプレゼンテーションファイルに清書する時、ルーターのインターフェイスのIPを書いておいたり、回線の帯域がコンフィグから判断つくものは、網と客宅ルーターを結ぶ線に帯域を書いておいたりしておく。各拠点の客宅ルーター付近には、拠点名を少し大きい文字で書いておかないといけない。BGPを使っている本社とMPLS網については、AS番号もわかるように書いておく。