セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

適切な VPN ソリューションの選択

2002 年 12 月 23 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 2 月 2 日) | フィードバック

目次

概要
はじめに
     表記法
     前提条件
     使用するコンポーネント
NAT
総称ルーティング カプセル化トンネリング
IPSec の暗号化
PPTP と MPPE
VPDN と L2TP
     VPDN
     L2TP
PPPoE
MPLS
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

Virtual Private Network(VPN; 仮想私設ネットワーク)は、そのコストの低下と広範囲に及ぶネットワーク展開への適応性の高まりに伴い、ますます人気を博しています。テクノロジーの進歩により、VPN ソリューションの実装には、ますます幅広い選択肢が可能となりました。このテクニカル ノートでは、これらの選択肢について紹介し、また、これらを最適に利用できる環境について説明します。

はじめに

表記法

文書の表記法の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。

前提条件

この文書に関する特別な前提条件はありません。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco IOS(R) ソフトウェア リリースの入手状況は、12.0.7T プラットフォームによって異なります。

注:シスコは、Cisco Secure PIX ファイアウォール、Cisco VPN 3000 コンセントレータ、Cisco VPN 5000 コンセントレータをはじめとする、IOS 以外のプラットフォームに、暗号化サポートを提供しています。

この文書の情報は、特定のラボ環境にある装置に基づいて作成されています。また、この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。稼働中のネットワークで作業する場合は、どのコマンドを使用する際にも、そのコマンドによって生じる可能性のある影響を事前に確実に理解してください。

NAT

インターネットは、当初の設計者の予想をはるかに越えて、短期間で爆発的な発展を遂げました。IP バージョン 4.0 で使用可能なアドレスの数に限りが生じていることも、このことを証明しています。その結果、使用可能なアドレス スペースも少なくなってきています。この問題の解決法の 1 つが、Network Address Translation(NAT; ネットワーク アドレス変換)です。

NAT を使用することによって、ルータを内部と外部の境界で分けて設定することができます。つまり、外部(通常はインターネット)には 1 つまたは少数の登録済みのアドレスがあり、内部にはプライベート アドレッシング方式を使用することで、いくつでもホストを持つことができます。アドレス変換方式の完全性を保持するために、NAT は、内部(プライベート)ネットワークと外部(パブリック)ネットワーク間の各境界ルータで設定する必要があります。セキュリティの観点から見た NAT の利点の 1 つは、NAT ゲートウェイが外部のネットワークからの着信 IP 接続を許可するように特別に設定されていなければ、プライベート ネットワーク上のシステムでその接続を受信できないということです。推奨される NAT の動作には、「RFC 1918leavingcisco.com」があり、ここに正しいプライベート ネットワーク アドレッシング方式の概要が説明されています。標準的な NAT は「RFC1631leavingcisco.com」で説明されています。

次の図に、NAT のルータ境界の定義と内部の変換ネットワーク アドレス プールについて示します。

which_vpn_01.gif

総称ルーティング カプセル化トンネリング

Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)トンネルは共有されている WAN の全域に及ぶ特定のパスウェイを提供し、新しいパケット ヘッダーを持つトラフィックをカプセル化して指定された宛先に確実に配信します。トラフィックがトンネルに入れるのエンドポイントのみなので、ネットワークはプライベートになります。トンネルは、暗号化のような真の機密性は実現しませんが、暗号化されたトラフィックを搬送することができます。

vpn_gre.gif

GRE トンネリングは非 IP トラフィックを IP にカプセル化し、インターネットや IP ネットワーク上で送信できます。たとえば、Internet Package Exchange(IPX)と AppleTalk のプロトコルは非 IP トラフィックです。

IPSec の暗号化

共有ネットワーク間で送信されたデータの暗号化は 多くの場合 Virtual Private Network(VPN; 仮想私設ネットワーク)と関連した VPN テクノロジーです。シスコは IP Security(IPSec)データ暗号化方式をサポートしています。

IPSec の暗号化は、IPSec クライアント ソフトウェアの 56 ビットと 168 ビットの暗号化アルゴリズムに対応している IETF 規格です。GRE 設定は IPSec のオプションです。IPSec は、認証局(CA)と Internet Key Exchange(IKE; インターネット キー交換)ネゴシエーションもサポートしています。IPSec の暗号化は、クライアント、ルータ、ファオアウォール間のスタンドアロン環境に展開できます。または、アクセス VPN の L2TP トンネリングと連携で使用できます。IPSec は各種のオペレーティング システムのプラットフォームでサポートされています。

which_vpn_03.gif

PPTP と MPPE

Point-to-Point Tunneling Protocol(PPTP; ポイントツーポイント トンネリング プロトコル)は Microsoft によって開発されました。詳細は RFC2637 leavingcisco.com を参照してください。PPTP は任意の VPN を使用可能にするために、Windows 9x/ME、Windows NT、Windows 2000 および WindowsXP のクライアント ソフトウェアで広く導入されています。

Microsoft Point-to-Point Encryption(MPPE)は、RC4 ベースの 40 ビットまたは 128 ビットの暗号化を使用する、Microsoft からの情報的な IETF 草案です。MPPE は、Microsoft の PPTP クライアント ソフトウェア ソリューションの一部であり、任意モードのアクセス VPN アーキテクチャで有用です。PPTP または MPPE は、シスコのプラットフォームの大部分でサポートされています。

PPTP のサポートは、Cisco 7100 および 7200 プラットフォームの Cisco IOS ソフトウェア リリース 12.0.5.XE5 から追加されています。Cisco IOS 12.1.5.T には、その他多数のプラットフォームのサポートが追加されています。Cisco Secure PIX ファイアウォールと Cisco VPN 3000 コンセントレータも、PPTP クラインアント接続に対応しています。

VPDN と L2TP

VPDN

Virtual Private Dialup Network(VPDN; 仮想私設ダイヤルアップ ネットワーク)は、専用ネットワーク ダイヤルイン サービスでリモート アクセス サーバ全域をカバーできる、シスコ標準です。VPDN の文脈では、ダイヤルされるアクセス サーバ(たとえば AS5300)のことを、通常 Network Access Server(NAS; ネットワーク アクセス サーバ)と呼びます。ダイヤルイン ユーザの接続先は Home GateWay(HGW)といいます。

基本的なシナリオでは、Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)のクライアントがローカル NAS に接続します。NAS は、PPP セッションがそのクライアントのホーム ゲートウェイ ルータに送信されると判断します。次に HGW はユーザを認証し、PPP ネゴシエーションを開始します。PPP 設定が完了すると、すべてのフレームが NAS を経由してクライアントとホーム ゲートウェイに送信されます。この方法には、複数のプロトコルと概念が統合されています。

which_vpn_04.gif

L2TP

Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)は、PPTP と L2F の最良の特性を取り入れた IETF 規格です。L2TP トンネルは主に強制モード(たとえば NAS から HGW へのダイヤルアップ)で、IP および 非 IP トラフィックのアクセス VPN で使用されます。Windows 2000 と Windows XP は、VPN クライアント接続の手段として、このプロトコルのネイティブ サポートを追加しています。

注:シスコは 1996 年、VPDN の接続を可能にする Layer 2 Forwarding(L2F; レイヤ 2 フォワーディング)プロトコルを作成しました。L2F はまだ他の機能のためにサポートされていますが、L2TP に移行しつつあります。Point-to-Point Tunneling Protocol(PPTP; ポイントツーポイント トンネリング プロトコル)もまた 1996 年に IETF により、インターネットの草案として作成されました。PPTP により、GRE に似たトンネル プトロコルと同様の機能が、PPP 接続に実現されました。

PPPoE

PPP over Ethernet(PPPoE)は、主に DSL 環境で展開される、情報的な RFC です。PPPoE は既存のイーサネット インフラストラクチャを利用しており、ユーザは同一 LAN 内で複数の PPP セッションを開始できます。このテクノロジーにより、レイヤ 3 サービスの選択が可能です。これは、ユーザが 1 つのリモート アクセス接続を介して複数の宛先に同時に接続できるという新しいアプリケーションです。

MPLS

Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)は Cisco Tag Switching をベースにした新しい IETF 規格で、自動プロビジョニング、迅速なロールアウト、およびスケーラビリティ機能を可能にします。そのためプロバイダーは、コストパフォーマンスよく VPN サービスへのアクセス、イントラネット、エクストラネットを実現できます。シスコはサービス プロバイダーと密接に連携をとることによって、MPLS 対応の VPN サービスへのスムーズな移行を保証します。MPLS は、ラベル ベースのパラダイムで動作し、パケットがプロバイダーのネットワークに入る際にタグ付けすることによって、コネクションレス IP コアを介したフォワーディングを迅速に処理します。MPLS はルート区分を使用して VPN メンバーシップを識別し、VPN コミュニティ内にトラフィックをとどめます。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 14147