Web教材一覧ネットワークインターネットへの接続(目次)

VPN:WAN回線

同一企業内の事業所間、関係企業間に閉ざされた閉域網を形成するのに、専用回線を用いるのでは不経済です。他社と同じ回線を使いながら、暗号化技術などを利用して、他社からは見えないトンネルを形成して仮想閉域網を形成する技術をVPNといいます。

代表的なVAMである広域イーサーネット、インターネットVPN、IP-VPNについて、その特徴、仕組み、プロトコルなどに¥を学習します。

キーワード

WAN、VPN、広域イーサーネット、VLAN、Q-in-Q、IP-VPN、MPLS、インターネットVPN、トンネル、PPTP、L2TP、IPsec、トランスポートモード、トンネルモード、SSL-VPN、エントリーVPN


WANサービスの種類

同一企業内の事業所間、関係企業間では大量のデータを頻繁に伝送しています。また、第三者への漏えいや不正侵入を防ぐために、専用の回線網が求められます。
 このようなWANの分野では、昔は、キャリアの回線を独占利用する専用回線を使っていましたが、イーサネットやインターネットが発展した現在では、それらの技術を用いたした広域イーサーネット、インターネットVPN、IP-VPNなどが主流になっています。

          広域イーサーネット IP-VPN  インターネットVPN
  回線      事業者独自の    事業者独自の  公衆インターネット
          イーサーネット   バックボーン
  回線品質    ギャランティ    ギャランティ  ベストエフォート
  伝送速度    超高速       高速      普通
  安全性     高い        高い      低い
  閉域技術    VLAN      MPLS    L2TP、IPsec
  レイヤ     データリンク層   ネットワーク層 ネットワーク層
  接続機器    スイッチングハブ  ルータ     ルータ(VPNサーバ)
  L3プロトコル 任意        IPのみ    IP+α
  契約      必要        必要      不要(独自構築可能)
  費用      高価        高価      安価

 ギャランティ:保証。不十分なときはペナルティも
 ベストエフォート:努力値。状況により最大値にならないことがある

SVCとPVC

VPNは、相手先の設定方法により、大きくSVC(switched virtual circuit、交換仮想回線)とPVC(Permanent Virtual Circuit;相手固定接続/恒久仮想回線)に区分できます。
 SVCは、利用のたびに接続・切断が行われる仮想回線です。通信相手が異なることが前提なので、接続のたびに相手先を指定する必要があります。閉じたグループではあるが、多くの相手先があるときに採用されます。多くのVPNはこれに属します。
 それに対して、PVC(Permanent Virtual Circuit;相手固定接続/恒久仮想回線)は、通信サービスの申込時などに固定的な相手先を指定した仮想的な専用線を設定するもので、通信のたびに接続の確立・切断を行う必要がないし、相手先を指定する必要がありません。高いセキュリティ環境ですが高価であり、主に企業内での事業所間での高速通信などに利用されます。

広域イーサーネット

広域イーサーネットとは、事業者が広域に自らの高速回線を敷設し、スイッチングハブで接続して、イーサーネット網を構築したものです。

事業所内LANはイーサネットが主流です。これに加入することにより、東京本社内のLANと大阪支店のLANが、あたかも同一イーサーネットLANであるかのように活用できます。

広域イーサネットは、OSI基本参照モデルのデータリンク層に属します。そのため、これまで外部との接続にルータを使っていたときは、それが不要になり、後述のようにレイヤ2スイッチングハブが必要になります。
 また、広域イーサネットではネットワーク層での規制がなく、IP以外のプロトコルの選択の幅が広い利点があります。しかし、それらを活用するには利用者の技量が求められます。

広域イーサーネットの種類

広域イーサネットの加入では、回線が敷設されている地域間に限定されます。それ以外のときは回線延長工事が必要になります。

VLAN(Virtual LAN)

広域イーサネットでは、加入者以外からのアクセスは排除できますが、個々の加入者間の分離をする必要があります。その技術をQ-in-Qといいますが、その代表的なのがVLANの応用です。

VLANは、同一企業での接続スイッチングハブのポート(接続口)を同一のグループとして特定の名称を付けます。そして、仮想的にネットワークが同一グループのポートだけで構成されており、それ以外のポート(他社)とは無関係だとする技術です。
 広域イーサネットでは、MACアドレスにVLANグループ情報をつけて伝送します。
 VLANを使用するために、広域イーサネットを利用するには、接続機器としてレイヤ2スイッチングハブが必要になるのです。

VPN(Virtual Private Network:仮想私設通信網)の概要

VPNはネットワーク層(IP)に属し、暗号化技術などで、インターネットを専用化する技術です(広域イーサネットもVPNに含めることがあります)。
 インターネット網の運営者により、次のように分類されます。

           IP-VPN  インターネットVPN
   準拠プロトコル ネットワーク層 ネットワーク層
   幹線      専用の閉域網  公衆インターネット
   L3プロトコル IPだけ    IP以外も
   リスク     ほとんどない  少なからずある
   回線品質    ギャランティ  ベストエフォート
   コスト     高価      安価

IP-VPNとインターネットVPNの中間で簡易VPNとしてエントリーVPNがあります。

IP-VPN

インターネットを仮想的に利用者を限定したものですが、インターネットVPNは一般のインターネットを利用するのに対して、IP-VPNは、事業者が独自に敷設した閉域ネットワークを用います。
 専用の閉域網ですから、加入者以外のアクセスが遮断されるので、それだけでも安全性が高まります。また、独自のサービスもできます。
 反面、MPLSというプロトコルを用いているため、レイヤ3でのプロトコルはIPだけです。現在ではIPv4にみを対象にしており、IPv6では使えません。

MPLS(Multi-Protocol Label Switching)

IP-VPNを支える技術です。これによるIP-VPNをMPLS-VPNということもあります。

インターネットVPN

IP-VPNが事業者による閉域網なのに対して、インターネットVPNでは通常のインターネット網を利用しています。
 インターネットは不特定多数が利用できますが、インターネットVPNではユーザ認証やデータを暗号化して、仮想的なトンネルを設定し、同一企業での事業所間や関係企業間などに限定したポイント・ツー・ポイントの仮想的な閉域網にしています。

通常のインターネットを使うのですから、その環境や機能はそのまま使えます。

インターネットVPN閉域化の概要

インターネットVPNの閉域化とは、回線そのものへのアクセスを遮断するのではなく、トンネリングとフレームのカプセル化という手段により、暗号化した通信を行うことです。

インターネットVPNは、VPNサーバを設置して運用すればよいだけです。VPNサーバ機能を搭載したパソコンもあります。特定の事業者との契約も不要で構築することができます。しかし、設定にはやや複雑な面があります。

インターネットVPNのプロトコル

PPTPとL2TPは代表的なデータリンク層でのトンネリングプロトコルです。これらは、それ自体では暗号機能や認証機能がありません。PPTPはMPPE(Microsoft Point-To-Point Encryption)などサーバOS個別のプロトコルでカバーしています。L2TPではネットワーク層のIPsecを使うのが一般的です。
 すなわち、インターネットVPNには、PPTPによるものとL2TP+IPsecによるものの二つがあります。
  PPTPは送信と受信を一つのVPNトンネルで行いますが、IPsecは送信用と受信用の2つのトンネルを使います。

PPTP(Point to Point Tunneling Protocol)

データリンク層でのトンネリングするプロトコルの一つです。IPネットワークでのみ利用できます。

PPPヘッダ、GREヘッダの仕様、その意味付けなどを指定したのがPPTPです。

L2TP(Layer 2 Tunneling Protocol)

PPTPを拡張したデータリンク層でのトンネリングするプロトコルです。

IPsec(Security Architecture for the Internet Protocol)

IPsecは次のセキュリティ機能を提供するネットワーク層のプロトコルです。
 ・IPフレームの発信元が正しいことを保証する。
 ・IPフレームが改ざんされていないことを保証する。
 ・IPフレームを暗号化する。
(これを全てカバーするのはESP(Encapsulating Security Payload)です。暗号化を禁じている国もあり、暗号化機能を除いたAH(Authentication Header)もあります。ここではESPに限定します)

IPsec(ESP)では、暗号化アルゴリズムやデータの完全性を保証するための認証アルゴリズムは固定せず任意のアルゴリズムを実装することになっています。それは、これらのアルゴリズムは発展するからです。
 IPsecは共通鍵暗号方式で、通常は256ビットのDES系のアルゴリズムが使われています。そして、秘密鍵を交換するためにIKE(Internet Key Exchange)というプロトコルを用いています。

IPsecは、暗号化する対象により、トランスポートモードとトンネルモードがあります。

IPsecのヘッダ
トランスポートモード
元のパケットのデータの部分(TCPヘッダや本文)だけを暗号化(カプセル化といいます)して,その前にIPsecのヘッダを付加し,それ全体をデータとして,IPヘッダを付加します。
電子メールの暗号通信と同様に、暗号化したフレームは送信元ホストと受信先ホスト間の全経路で送られます。盗聴されたときは、内容そのものは暗号化されていますが、IPヘッダは平文なので、ホストのIPアドレスは見えてしまいます。また、ホスト間の交信頻度などが漏れることがあります。
トンネルモード
元のパケット全体をカプセル化します。それ以外はトランスポートモードと同じです。
新しいIPヘッダのIPアドレスは、ホストではなく、VPNサーバになっています。ホストのIPヘッダを隠すので、交信しているホストのIPアドレスも秘密にできます。
暗号化したフレームは、VPNサーバ間だけです。VPNサーバでフレームを分解して本来のホストIPアドレスを知り、カプセル化した部分を復元して該当ホストに転送します。その復元した内容から認証や復号をVPNサーバで行うかホストで行うかは設定によります。

SSL-VPN

公衆インターネットを閉域化したVPNでインターネットVPNの一種ですが、セキュリティプロトコルにIPsecではなく、SSLを用いたVPNです。

SSL-VPNは、社員のパソコン(クライアント)と社内LANのVPN装置(サーバ)との間でSSL暗号通信を行うことによりVPNを構築します。このような目的のVPNをリモートアクセスVPNといいます(これに対して、IP-VPNやインターネットVPNのように同等なLAN間での接続を目的としたVPNをサイト間VPNといいます)。

 SSLに必要な認証やファイアウォールなどは、多くの企業で整備しています。その環境の延長してSSL-VPNを導入することができます。
 クライアントにはWebブラウザ(SSL機能は標準装備)だけでよく、必要な情報は接続時にサーバからダウンロードします。
 しかし、サーバ側に、アプリケーション用のSSL対応機能が必要です。一般的なSSL対応機能だけでなく、個々のアプリケーションが存在するホストのIPアドレスやそれを開くポート番号などが暗号化されて送られてきます。それを解読して該当サーバに転送する機能が必要です。

SSL-VPNでの閉域化

通常のSSL通信でも暗号化、電子署名、認証、改ざん発見などができますが、VPN(閉域網)にするには、さらにIPアドレスも外部から見えないようにトンネル化をする必要があります。

リバースプロキシ方式
クライアントのWebブラウザからアクセスできるアプリケーションしか利用しない場合に使う簡便な方式です。
社内LANにはVPN機能を搭載したプロキシサーバを設置します。クライアントからは、
   https://プロキシサーバ/xxx
のURLでアクセスします。プロキシサーバはxxxを解析して、適切なWebサーバなどと接続します。
これにより第三者にらURLを知られても、社内LANの機器を知られることが防げます。
ポートフォワーディング方式
FTPなどWebブラウザ以外の機能も可能にしたものです。
ファイアーウォールではポート番号により通過・遮断をしています。
クライアントには社員だけが利用できるポート番号を暗号化するモジュールがダウンロードされます(この暗号は毎回変わります)。
ファイアウォールは、暗号化したポート番号を解釈して本来のポートを一時的に開きます (暗号化していないポート番号では開かない)。
リバースプロキシ方式のような方法で送信します。
L2フォワーディング方式
インターネットVPNのトンネルモードのように、IPヘッダ、TCPヘッダを含むイーサーネットのフレームをカプセル化して、SSLで暗号化する方式です。
リバースプロキシ方式のような方法で送信します。

エントリーVPN

名称が示すように入門型あるいは簡易型のVPNサービスで、IP-VPNとインターネットVPNの中間的な形態です。。主にNTTグループがフレッツ網を利用して提供しています。

エントリーVPNは、個人利用でも使われるフレッツ網等のブロードバンド回線を利用します。伝送速度などはベストエフォートになります。その点はインターネットVPNと同じです。
 しかし、運営者(NTT)が存在して、閉域網を設定し、契約者だけが利用できる仕組みです。この点ではIP-VPNと同じです。
 閉鎖網では、特定の相手(事業所や関係会社)とだけ接続し、不特定相手の電子メールやWebページ閲覧など通常のインターネットはできない仕組みになっています。両方をしたいときには別途インターネットのゲートウェイサービス等を契約する必要があります。
 拠点ごとのネットワークセグメントは1セグメントだけです。同時に2か所と通信することはできません。やや不便ですが、これにより低廉化を図っています。
 このようにして、インターネットVPNの低価格とIP-VPNの安全性に近づけています(完全ではないが)。

エントリーVPNは、次のようなニーズに応えるものとして注目されています。
 ・コストを重視してインターネットVPNを検討したが、セキュリティの面で心配だ。
 ・重要拠点はIP-VPNで接続し、小規模拠点ではコスト削減を優先したい。
 ・IP-VPNや広域イーサネットのバックアップ回線として利用する。


本シリーズの目次へ