Web教材一覧> ネットワーク> インターネットへの接続(目次)
同一企業内の事業所間、関係企業間に閉ざされた閉域網を形成するのに、専用回線を用いるのでは不経済です。他社と同じ回線を使いながら、暗号化技術などを利用して、他社からは見えないトンネルを形成して仮想閉域網を形成する技術をVPNといいます。
代表的なVAMである広域イーサーネット、インターネットVPN、IP-VPNについて、その特徴、仕組み、プロトコルなどに¥を学習します。
WAN、VPN、広域イーサーネット、VLAN、Q-in-Q、IP-VPN、MPLS、インターネットVPN、トンネル、PPTP、L2TP、IPsec、トランスポートモード、トンネルモード、SSL-VPN、エントリーVPN
同一企業内の事業所間、関係企業間では大量のデータを頻繁に伝送しています。また、第三者への漏えいや不正侵入を防ぐために、専用の回線網が求められます。
このようなWANの分野では、昔は、キャリアの回線を独占利用する専用回線を使っていましたが、イーサネットやインターネットが発展した現在では、それらの技術を用いたした広域イーサーネット、インターネットVPN、IP-VPNなどが主流になっています。
広域イーサーネット IP-VPN インターネットVPN
回線 事業者独自の 事業者独自の 公衆インターネット
イーサーネット バックボーン
回線品質 ギャランティ ギャランティ ベストエフォート
伝送速度 超高速 高速 普通
安全性 高い 高い 低い
閉域技術 VLAN MPLS L2TP、IPsec
レイヤ データリンク層 ネットワーク層 ネットワーク層
接続機器 スイッチングハブ ルータ ルータ(VPNサーバ)
L3プロトコル 任意 IPのみ IP+α
契約 必要 必要 不要(独自構築可能)
費用 高価 高価 安価
ギャランティ:保証。不十分なときはペナルティも
ベストエフォート:努力値。状況により最大値にならないことがある
VPNは、相手先の設定方法により、大きくSVC(switched virtual circuit、交換仮想回線)とPVC(Permanent Virtual Circuit;相手固定接続/恒久仮想回線)に区分できます。
SVCは、利用のたびに接続・切断が行われる仮想回線です。通信相手が異なることが前提なので、接続のたびに相手先を指定する必要があります。閉じたグループではあるが、多くの相手先があるときに採用されます。多くのVPNはこれに属します。
それに対して、PVC(Permanent Virtual Circuit;相手固定接続/恒久仮想回線)は、通信サービスの申込時などに固定的な相手先を指定した仮想的な専用線を設定するもので、通信のたびに接続の確立・切断を行う必要がないし、相手先を指定する必要がありません。高いセキュリティ環境ですが高価であり、主に企業内での事業所間での高速通信などに利用されます。
広域イーサーネットとは、事業者が広域に自らの高速回線を敷設し、スイッチングハブで接続して、イーサーネット網を構築したものです。
事業所内LANはイーサネットが主流です。これに加入することにより、東京本社内のLANと大阪支店のLANが、あたかも同一イーサーネットLANであるかのように活用できます。
広域イーサネットは、OSI基本参照モデルのデータリンク層に属します。そのため、これまで外部との接続にルータを使っていたときは、それが不要になり、後述のようにレイヤ2スイッチングハブが必要になります。
また、広域イーサネットではネットワーク層での規制がなく、IP以外のプロトコルの選択の幅が広い利点があります。しかし、それらを活用するには利用者の技量が求められます。
広域イーサネットの加入では、回線が敷設されている地域間に限定されます。それ以外のときは回線延長工事が必要になります。
広域イーサネットでは、加入者以外からのアクセスは排除できますが、個々の加入者間の分離をする必要があります。その技術をQ-in-Qといいますが、その代表的なのがVLANの応用です。
VLANは、同一企業での接続スイッチングハブのポート(接続口)を同一のグループとして特定の名称を付けます。そして、仮想的にネットワークが同一グループのポートだけで構成されており、それ以外のポート(他社)とは無関係だとする技術です。
広域イーサネットでは、MACアドレスにVLANグループ情報をつけて伝送します。
VLANを使用するために、広域イーサネットを利用するには、接続機器としてレイヤ2スイッチングハブが必要になるのです。
VPNはネットワーク層(IP)に属し、暗号化技術などで、インターネットを専用化する技術です(広域イーサネットもVPNに含めることがあります)。
インターネット網の運営者により、次のように分類されます。
IP-VPN インターネットVPN
準拠プロトコル ネットワーク層 ネットワーク層
幹線 専用の閉域網 公衆インターネット
L3プロトコル IPだけ IP以外も
リスク ほとんどない 少なからずある
回線品質 ギャランティ ベストエフォート
コスト 高価 安価
IP-VPNとインターネットVPNの中間で簡易VPNとしてエントリーVPNがあります。
インターネットを仮想的に利用者を限定したものですが、インターネットVPNは一般のインターネットを利用するのに対して、IP-VPNは、事業者が独自に敷設した閉域ネットワークを用います。
専用の閉域網ですから、加入者以外のアクセスが遮断されるので、それだけでも安全性が高まります。また、独自のサービスもできます。
反面、MPLSというプロトコルを用いているため、レイヤ3でのプロトコルはIPだけです。現在ではIPv4にみを対象にしており、IPv6では使えません。
IP-VPNを支える技術です。これによるIP-VPNをMPLS-VPNということもあります。
IP-VPNが事業者による閉域網なのに対して、インターネットVPNでは通常のインターネット網を利用しています。
インターネットは不特定多数が利用できますが、インターネットVPNではユーザ認証やデータを暗号化して、仮想的なトンネルを設定し、同一企業での事業所間や関係企業間などに限定したポイント・ツー・ポイントの仮想的な閉域網にしています。
通常のインターネットを使うのですから、その環境や機能はそのまま使えます。
インターネットVPNの閉域化とは、回線そのものへのアクセスを遮断するのではなく、トンネリングとフレームのカプセル化という手段により、暗号化した通信を行うことです。
インターネットVPNは、VPNサーバを設置して運用すればよいだけです。VPNサーバ機能を搭載したパソコンもあります。特定の事業者との契約も不要で構築することができます。しかし、設定にはやや複雑な面があります。
PPTPとL2TPは代表的なデータリンク層でのトンネリングプロトコルです。これらは、それ自体では暗号機能や認証機能がありません。PPTPはMPPE(Microsoft Point-To-Point Encryption)などサーバOS個別のプロトコルでカバーしています。L2TPではネットワーク層のIPsecを使うのが一般的です。
すなわち、インターネットVPNには、PPTPによるものとL2TP+IPsecによるものの二つがあります。
PPTPは送信と受信を一つのVPNトンネルで行いますが、IPsecは送信用と受信用の2つのトンネルを使います。
データリンク層でのトンネリングするプロトコルの一つです。IPネットワークでのみ利用できます。
PPPヘッダ、GREヘッダの仕様、その意味付けなどを指定したのがPPTPです。
PPTPを拡張したデータリンク層でのトンネリングするプロトコルです。
IPsecは次のセキュリティ機能を提供するネットワーク層のプロトコルです。
・IPフレームの発信元が正しいことを保証する。
・IPフレームが改ざんされていないことを保証する。
・IPフレームを暗号化する。
(これを全てカバーするのはESP(Encapsulating Security Payload)です。暗号化を禁じている国もあり、暗号化機能を除いたAH(Authentication Header)もあります。ここではESPに限定します)
IPsec(ESP)では、暗号化アルゴリズムやデータの完全性を保証するための認証アルゴリズムは固定せず任意のアルゴリズムを実装することになっています。それは、これらのアルゴリズムは発展するからです。
IPsecは共通鍵暗号方式で、通常は256ビットのDES系のアルゴリズムが使われています。そして、秘密鍵を交換するためにIKE(Internet Key Exchange)というプロトコルを用いています。
IPsecは、暗号化する対象により、トランスポートモードとトンネルモードがあります。
公衆インターネットを閉域化したVPNでインターネットVPNの一種ですが、セキュリティプロトコルにIPsecではなく、SSLを用いたVPNです。
SSL-VPNは、社員のパソコン(クライアント)と社内LANのVPN装置(サーバ)との間でSSL暗号通信を行うことによりVPNを構築します。このような目的のVPNをリモートアクセスVPNといいます(これに対して、IP-VPNやインターネットVPNのように同等なLAN間での接続を目的としたVPNをサイト間VPNといいます)。
SSLに必要な認証やファイアウォールなどは、多くの企業で整備しています。その環境の延長してSSL-VPNを導入することができます。
クライアントにはWebブラウザ(SSL機能は標準装備)だけでよく、必要な情報は接続時にサーバからダウンロードします。
しかし、サーバ側に、アプリケーション用のSSL対応機能が必要です。一般的なSSL対応機能だけでなく、個々のアプリケーションが存在するホストのIPアドレスやそれを開くポート番号などが暗号化されて送られてきます。それを解読して該当サーバに転送する機能が必要です。
通常のSSL通信でも暗号化、電子署名、認証、改ざん発見などができますが、VPN(閉域網)にするには、さらにIPアドレスも外部から見えないようにトンネル化をする必要があります。
名称が示すように入門型あるいは簡易型のVPNサービスで、IP-VPNとインターネットVPNの中間的な形態です。。主にNTTグループがフレッツ網を利用して提供しています。
エントリーVPNは、個人利用でも使われるフレッツ網等のブロードバンド回線を利用します。伝送速度などはベストエフォートになります。その点はインターネットVPNと同じです。
しかし、運営者(NTT)が存在して、閉域網を設定し、契約者だけが利用できる仕組みです。この点ではIP-VPNと同じです。
閉鎖網では、特定の相手(事業所や関係会社)とだけ接続し、不特定相手の電子メールやWebページ閲覧など通常のインターネットはできない仕組みになっています。両方をしたいときには別途インターネットのゲートウェイサービス等を契約する必要があります。
拠点ごとのネットワークセグメントは1セグメントだけです。同時に2か所と通信することはできません。やや不便ですが、これにより低廉化を図っています。
このようにして、インターネットVPNの低価格とIP-VPNの安全性に近づけています(完全ではないが)。
エントリーVPNは、次のようなニーズに応えるものとして注目されています。
・コストを重視してインターネットVPNを検討したが、セキュリティの面で心配だ。
・重要拠点はIP-VPNで接続し、小規模拠点ではコスト削減を優先したい。
・IP-VPNや広域イーサネットのバックアップ回線として利用する。