VPN トポロジについて
VPN トポロジでは、その VPN に属するピアとネットワーク、およびそれらの間の接続方法が指定されます。VPN トポロジを作成したあと、割り当てられた IPsec テクノロジーに応じて、VPN トポロジに適用可能なポリシーが設定に使用できるようになります。
Security Manager では、ハブアンドスポーク、ポイントツーポイント、完全メッシュという 3 種類の主要なトポロジがサポートされており、これらを使用してサイト間 VPN を作成できます。すべてのポリシーをすべての VPN トポロジに適用できるわけではありません。適用できるポリシーは、VPN トポロジに割り当てられた IPsec テクノロジーに応じて異なります。また、VPN に割り当てられる IPsec テクノロジーは、トポロジ タイプに応じて異なります。たとえば、DMVPN および Easy VPN テクノロジーは、ハブアンドスポーク トポロジにだけ適用できます。
詳細については、IPsec テクノロジーおよびポリシーについてを参照してください。
ここでは、次の内容について説明します。
ハブアンドスポーク VPN トポロジ
ハブアンドスポーク VPN トポロジでは、複数のリモート デバイス(スポーク)が 1 つの中央のデバイス(ハブ)と安全に通信します。ハブと個別の各スポークとの間には、保護されたトンネルが個別に設定されます。
次の図に、一般的なハブアンドスポーク VPN トポロジを示します。
通常、このトポロジは、サードパーティネットワークまたはインターネットへの永続的な接続を使用して、企業のメインオフィスとブランチオフィスを接続するイントラネット VPN を表しています。ハブアンドスポーク トポロジの VPN を使用することによって、どのような場所でリモートの業務を行うか、またはその規模や数に関係なく、すべての従業員が企業ネットワークに完全にアクセスできます。
ハブは、一般的には企業のメインオフィスに配置されます。スポークデバイスは、一般的には企業のブランチオフィスに配置されます。ハブアンドスポーク トポロジでは、ほとんどのトラフィックはスポーク サイトにあるホストによって開始されますが、一部のトラフィックは、セントラル サイト側で開始されてスポークに送られる場合もあります。
ハブアンドスポーク設定において何らかの理由でハブが利用できなくなると、IPsec フェールオーバーによって、すべてのスポークが使用するフェールオーバー(バックアップ)ハブにトンネル接続がシームレスに転送されます。1 台のプライマリ ハブに対して、複数のフェールオーバー ハブを設定できます。
ハブアンドスポーク VPN トポロジでは、GET VPN 以外のすべての IPsec テクノロジー タイプを割り当てることができます。
関連項目
ポイントツーポイント VPN トポロジ
ポイントツーポイント VPN トポロジでは、2 つのデバイスが相互に直接通信します。ハブアンドスポーク設定の場合のような IPsec フェールオーバーのオプションはありません。ポイントツーポイント VPN トポロジを確立するためには、ピア デバイスとして 2 つのエンドポイントを指定します。これら 2 つのデバイスのどちらからでも接続を開始できるため、IPsec テクノロジー タイプとして通常の IPsec または IPsec/GRE のみを割り当てることができます。
Security Manager では、エクストラネットと呼ばれる、通常の IPsec ポイントツーポイント VPN の特殊タイプを設定できます。エクストラネット VPN は、管理対象ネットワーク内のデバイスと管理対象外デバイスの間の接続です。管理対象外デバイスは、サービスプロバイダーのネットワーク内のルータ、シスコ製以外のデバイス、または単に別のグループで管理される、ご使用のネットワーク内のデバイス(つまり、Security Manager インベントリには現れないデバイス)などです。
次の図に、一般的なポイントツーポイント VPN トポロジを示します。
関連項目
完全メッシュ VPN トポロジ
完全メッシュ トポロジは、すべてのピアが相互に通信する必要があるような複雑なネットワークに適しています。このトポロジ タイプでは、ネットワーク内のすべてのデバイスが固有の IPsec トンネルを経由して他のすべてのデバイスと通信します。すべてのデバイスが相互に直接のピア関係を持っているため、VPN ゲートウェイ デバイスでボトルネックが発生せず、デバイスにおける暗号化および復号化のオーバーヘッドを低減できます。
完全メッシュ VPN トポロジには、通常の IPsec、IPsec/GRE、および GET VPN テクノロジーだけを割り当てることができます。
次の図に、一般的な完全メッシュ VPN トポロジを示します。
完全メッシュ ネットワークは信頼性が高く、冗長性を備えています。GRE テクノロジーが割り当てられている場合は、1 つのデバイス(またはノード)が動作できなくなっても、他のすべてのデバイスは引き続き、直接または 1 つ以上の中間ノード経由で、相互に通信できます。通常の IPsec では、1 つのデバイスが動作できなくなった場合、保護対象のネットワークを指定するクリプト アクセス コントロール リスト(ACL)が 2 つのピアごとに作成されます。
GET VPN は、グループ トラスト モデルに基づいています。このモデルでは、グループ メンバーはキー サーバに登録されます。キー サーバは、Group Domain of Interpretation(GDOI)プロトコルを使用して、セキュリティ ポリシー、およびグループ メンバー間のトラフィックを暗号化するためのキーを配布します。プライマリ キー サーバと、プライマリ サーバとポリシーを同期するセカンダリ キー サーバを設定できるため、プライマリ キー サーバが利用できなくなった場合にはセカンダリ キー サーバが処理を引き継ぐことができます。
(注) |
完全メッシュ トポロジ内のノード数が増加すると、スケーラビリティが問題となる可能性があります。つまり、デバイスが適度な CPU 使用率でサポートできるトンネル数が、制限要因となる可能性があります。 |
関連項目
暗黙的にサポートされるトポロジ
3 つの主要な VPN トポロジに加えて、これらのトポロジを組み合わせた他のより複雑なトポロジを作成することもできます。具体的には以下のとおりです。
-
部分メッシュ:このネットワークでは、一部のデバイスはフル メッシュ トポロジに編成され、その他のデバイスは、フル メッシュ構成のデバイスのうちのいくつかとのハブアンドスポーク接続またはポイントツーポイント接続を形成します。部分メッシュには、フル メッシュ トポロジほどの冗長性はありませんが、導入コストがより低くなります。部分メッシュ トポロジは、通常、完全メッシュ構成のバックボーンに接続する境界ネットワークで使用されます。
-
階層型ハブアンドスポーク:このネットワークでは、あるデバイスが、1 つ以上のトポロジでハブとして動作し、他のトポロジではスパイクとして動作できます。スポーク グループからそれらの直近のハブへのトラフィックが許可されます。
-
結合ハブアンドスポーク:接続して 1 つのポイントツーポイント トンネルを形成する、2 つのトポロジ(ハブアンドスポーク、ポイントツーポイント、またはフル メッシュ)の組み合わせです。たとえば、2 つのハブアンドスポーク トポロジから構成され、それぞれのハブがポイントツーポイント トポロジのピア デバイスとして動作する結合ハブアンドスポーク トポロジを作成できます。