ネットワーク設計の仕組み
ネットワーク設計段階全体の詳細は、サイズと複雑さによって異なります。
ただし、堅実なネットワーク設計のアプローチは、予算、目的、将来のスコープなど、関連するすべての入力を取り入れ、最適なネットワーク図を出力することです。
#1:要件を特定する
ネットワーク設計プロジェクトを開始する前に、情報を収集し、明確なビジネス要件と技術要件を策定することから始めます。 明確な目標がないと、残りの設計プロセスは必要以上に難しくなります。
高レベルのビジネス目標の例を次に示します。
- 新しいオフィスを開設する。
- エンドユーザーエクスペリエンスの向上。
- ネットワークインフラストラクチャのコストを削減します。
- 新しい業界規制に準拠する。
- 稼働時間の改善。
理想的には、ネットワークの設計を開始するまでに、達成しようとしているビジネス要件を正確に特定するための作業がすでに完了しているはずです。 これに続いて、技術的な要件を理解することが重要です。 これには以下が含まれます。
- セキュリティ要件
- 帯域幅オプション
- アップタイムSLA
- 特定のプロトコル
これらの制約の主な要因は予算ですが、継続的なサポートが必要なレガシーシステムなど、技術的な制約も考慮する必要があります。
#2:ネットワークの現在の状態を評価する
ほとんどの場合、ネットワーク設計は反復的なプロセスです。 これは複雑さを増す可能性がありますが、多くの場合、既存の要素という形で希望の光を提示します。システムを新しい設計にうまく保持して再実装することは、予算とスキルを維持する機会です。
新しい要件が手元にあれば、現在のネットワークのステータスを綿密に検査します。 このフェーズの目標は、次の点を明確に理解することです。
- ネットワークパフォーマンス
- Key アプリケーション
- 物理レイアウトと論理レイアウトの両方
自動化されたネットワークマッピングツールとセキュリティスキャナーは、多くの場合、現在のネットワークのデータフローとセキュリティに関する考慮事項を特定するために不可欠です。
#3:ネットワークトポロジを選択する
新しいネットワーク レイアウトの重要な側面のスケッチを開始できます。 以下のベストプラクティスのセクションで説明するように、物理設計は論理設計と同じくらい重要です。
フィジカルデザイン
新しいネットワークのグラフィカルなトップダウンビューを作成します。 このトポロジは、データがネットワーク上でたどるさまざまなパスを視覚化するのに役立ち、ネットワーク ハードウェアが最も必要とされる場所を特定するのに役立ちます。 たとえば、スタートポロジ図は、データフローがどのように一元化されているかを示すことができるため、物理ネットワークデバイスの最も戦略的な位置を見つけることができます。
これは、必要な銅線およびファイバーケーブルの量にまで及びます。 これから、必要なスイッチポート、Wi-Fiアクセスの位置位置、および社内サーバースタックの冷却要件の図を作成します。
このプロセス全体を通じて、 ネットワークセキュリティのベストプラクティスを念頭に置いてください。
ロジカルデザイン
論理設計とは、デバイスとの間でデータが流れる方法を指します。 論理設計における重要な考慮事項はIPアドレス指定であり、各アドレスはネットワーク内のデバイスを一意に識別する必要があります。 適切に構造化されたIPアドレス指定により、さまざまなデバイスを論理的かつ適切に適切なグループに割り当てることができます。
組織が成長するにつれて、これはすぐにごちゃごちゃしたものになり、新しいネットワークを設計する際の大きな焦点となります。
#4:ハードウェアとソフトウェアの選択
ネットワークトポロジのスケッチと実行する必要があるデバイスのアイデアを使用して、これを実現するネットワークデバイスを選択します。 エンドポイントからサーバーへのデータパケットのフローをトレースし、以下を確立します。
- ルーターが必要な場所
- 接続する必要があるアクセスポイント
- どのスイッチに頼るべきか
ソフトウェアは最後の重要な考慮事項でなければなりません - 適切なオペレーティングシステムとアプリケーションは、新しいネットワークの機能と一致するだけでなく、ITチームの現在のスキルセットと理想的に一致する必要があります。 ネットワーク機能仮想化(NFV) により、ネットワーク最適化やファイアウォールなどのサービスをオンデマンドソフトウェアとして提供できるようになったため、オプションがこれまで以上に広がります。
これに続いて、この新しいデザインを実装し、その生産中のパフォーマンスを評価するケースになります。 必要な調整や変更を加えた後、ゆっくりと完全にロールアウトされます。
ネットワーク設計の 3 つのベスト プラクティス
いくつかの主要なベストプラクティスに固執することで、セキュリティ、パフォーマンス、および高いスケーラビリティを新しいネットワークの設計に組み込むことができます。
#1:モジュール性
シンプルさはネットワーク設計の中核をなすものですが、エンタープライズネットワークでは、よりオーダーメイドの複雑なセットアップが必要な場合があります。 適切なデバイスに適切なサービスを提供しながら、ある程度のモジュール性を維持するには、最も単純なネットワークコンポーネントに分割するのがベストプラクティスです。
これの最も一般的なアプリケーションは、3層モデルです。
- コア。 パケットがディストリビューション スイッチに送信される方法を迅速かつ効率的に並べ替える方法。
- 流通。 各LANの接続を維持するには、スイッチなどの配信ネットワークデバイスで構成された配信レイヤーが必要です。 多くの小規模なネットワークはこれで止まりますが、ネットワークの規模が大きくなるにつれて、これらのディストリビューション スイッチに対する要求は限界点に達し始める可能性があります。
- アクセス。 アクセスレイヤーは、ユーザーが直接操作するレイヤーで、PC、プリンター、IP電話などのデバイスをLANなどのネットワークに接続します。
この基本的なセグメンテーションにより、信頼性とパフォーマンスの基本レベルを設定する強固な基盤が可能になります。 潜在的な問題を切り分け、インフラストラクチャ全体に影響を与えることなく、より簡単に解決できます。
さらに、経理などの特定の部門で使用される低帯域幅のワークステーションやプリンター、ディストリビューションレイヤーの必要なスイッチに接続を提供できる低帯域幅アクセスモジュールなど、より論理的な セグメンテーション を導入することも可能です。
セグメンテーションを強化すると、よりきめ細かな アクセス制御が可能になり、 セキュリティをできるだけシンプルに保つ限り、セキュリティが可能になります。
#2:フォールトトレランス
フォールトトレランスにより、コンポーネントが故障した場合でもネットワークの可用性と信頼性が確保されます。 冗長性を構築することで、ネットワークはビジネスの継続性に不可欠なサービスを中断することなく運用を継続できます。
したがって、設計段階では、ホットスタンバイルーティングプロトコル(HSRP)などのIPネットワークにフェイルセーフテクノロジーを組み込むと、ユーザートラフィックがエッジデバイスまたはアクセス回線の障害からすぐに回復できるようになります。 これは、2つ以上のルーターに単一のIPアドレスとMACアドレスを与え、複数のルーターを単一の仮想ルーターとして機能させることで機能します。
このグループはステータスメッセージを絶えず交換し、1つがダウンすると、ホストは同じIPアドレスおよびMACアドレスグループ内の別のIPパケットを簡単に転送できます。
ネットワークの設計にレジリエンスを組み込むその他の方法は次のとおりです。
- 仮想ルーター冗長プロトコル
- リンクアグリゲーション
#3: セキュリティ&マネジメント
ファイアウォール 、アクセス制御リスト、ネットワークセグメンテーションはすべて、この重要な要素です。
主にファイアウォールポリシーに依存している場合は、ネットワークをマイクロセグメント化する最善の方法を検討してください。 セキュリティチームが単一のセキュリティプラットフォームからメリットを得る場合は、アプリケーションログとディープパケットインスペクションを中央のセキュリティツールに安全に接続する方法を検討してください。
これと並行して実行されるのはメンテナンスの計画です:この新しいネットワークが必要とする監視とトラブルシューティングのプロセスを詳しく説明し、継続的なパフォーマンスと脆弱性のチェックのスケジュールも立てます。
Check ・ポイント Quantum によるネットワークのベスト プラクティスの設計と適用
セキュアなネットワーク設計のあらゆる側面を管理することは、圧倒的に複雑に感じるかもしれません。 アクセス制御、脅威対策、侵入検知の防御戦略を特定して構築するだけでなく、新しいネットワークはビジネスニーズにシームレスに適合し、従業員の俊敏なワークフローをサポートする必要があります。 これは難しい注文です。
チェック・ポイント Quantum は、ファイアウォールからユーザー・アクセスまで、すべてのセキュリティ・ポリシーを管理および自動化できる単一のプラットフォームを提供し、組織の進化するインフラストラクチャを安全に管理するためのリアルタイムの可視性と自動レポートを提供します。 デモでどのように機能するかをご覧ください。
フィードバック