Home | Skip to Main Content | Skip to Search | Skip to Navigation | Skip to Footer |
Japan [変更] |ユーザ登録 |シスコについて |日本のオフィス
Guest

Hierarchical Navigation

テクノロジー解説

VPN(バーチャル プライベート ネットワーク)
インターネットというオープンなインフラを使って拠点間をセキュアに接続するVPN(Virtual Private Network)は、ブロードバンドの普及、安全な通信を可能にする技術の発展とともに、企業ネットワークにはなくてはならないものになっています。ここでは、VPNのメリットを紹介しながら、シスコのルータに搭載されたVPN機能を解説します。

ファイルやプリンタの共有、クライアント-サーバ型アプリケーション、分散処理・・・。企業のネットワークは、業務における必要性とともに拡張され、整備されてきました。現在では、企業にITは不可欠となり、インターネットの活用も当然、TCP/IPネットワークが社外、社内、家庭にまでにも広まるようになっています。
ところで、複数の拠点をもつ企業の場合、どのように拠点のネットワークどうしを接続しているのでしょうか?たとえば、支社に所属する営業担当が本社にあるデータベースにアクセスしようとすれば、支社にあるネットワークが本社のデータセンターにつながっている必要があります。

VPN=“仮想的な”専用線
典型的な拠点間接続は「専用線」です。専用線を使えば、通信事業者と契約するだけで、いつでも本社と支社を接続する回線が確保されるわけです。しかし、専用線の費用は、通信速度だけでなく、距離にも依存します。東京と大阪の間(約500km)を1.5Mbpsの専用線で接続しようとすれば、月額500万円ほどのコストがかかってしまいます。(現在、このような長距離の高速専用回線の契約はないようです。)これが1か所だけでなく、東京-札幌、東京-福岡、東京-名古屋にも必要となると、相当の月額コストが発生することになります。
このような状況のなかでインターネットへの接続まで不可欠となれば、「拠点間の接続にインターネットを使用」すれば、かなりのコスト削減となるはずです。各拠点はインターネット サービス プロバイダーまでの専用線を負担するだけで、日本中だけでなく世界中にある拠点との接続が可能になるからです。
しかし、インターネットを社内ネットワークに使用することにはリスクもあります。インターネットには、多くの人がアクセスします。そのなかには、悪意をもってパケットを盗み見し、文書の内容を解読したり、パスワードを盗んで企業ネットワークに不正アクセスしようとする人もいます。つまり、インターネットは「安全ではない」ネットワークなのです。
VPNは、インターネットを経由させながら、拠点間の安全な通信を可能にするテクノロジーです。専用線を使ったネットワークをプライベート ネットワーク(私設のネットワーク)と呼びますが、インターネット上でも専用線と同じように安心して通信できることから「仮想的な専用線」、つまりバーチャル プライベート ネットワークと呼ばれています。

リモートアクセスVPN
自宅や外出から会社のネットワークにアクセスする場合についても、考えてみます。多くの企業では、インターネットから社内ネットワークには接続できないようにしています。そのため、外出先や出張の際に会社のメールサーバにアクセスしたければ、会社が用意したリモートアクセスサーバを使って、そこにダイヤルアップして接続することになります。地方出張であれば長距離電話をかけることになりますし、海外出張であれば国際電話が必要になる場合もあります。
ここにもVPNの技術を使ってみましょう。出張先の近くにあるインターネットのアクセスポイントさえわかっていれば、世界中のどこからでもインターネットに接続できます。あるいは、インターネット カフェのような場所も利用できるかもしれません。インターネット上の安全な通信が確保できるのであれば、出張や外出の際の通信コストも削減できます。
このようなダイヤルアップに似たVPN接続方式を「リモートアクセスVPN」と言います。これに対して拠点間でのVPN接続を「サイト間VPN」あるいは「サイト ツー サイト VPN」といいます。

VPNを実現する技術
シスコでは、Ciscoルータをはじめ、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスでVPNをサポートしています。
VPNの実現に必要な主要なテクノロジーには、次の2つがあります。
  • カプセル化(トンネリング)
    通信するパケットにヘッダを追加する機能です。ルータやセキュリティ アプライアンスのようなVPNをサポートする機器が、VPN接続先に届けるためのヘッダを追加します。このようにヘッダを追加することを「カプセル化」と言います。カプセル化によって、本来のパケットのプライベート アドレスやTCP/IP以外の通信プロトコルも、VPN接続によってリモートサイトに運ぶことができるようになります。インターネットのなかにトンネルを掘ってそこに専用の通信経路を作るようなイメージから「トンネリング」と呼ばれることもあります。
  • 暗号化
    通信パケットを暗号化して、インターネットでのパケットの盗聴を防止します。また、カプセル化されたデータを暗号化すれば、プライベートアドレスを隠し、社内のネットワーク構成の隠蔽にもなります。
そして、もう1つ忘れてはならないのが認証です。安全なIPパケットの送受信のためには、VPN接続要求をしている相手が正しいかどうかを認証する機能が必要です。この認証機能によって、なりすましを防ぐのです。
VPNにも、TCP/IPプロトコル群の1つとしてIETF(Internet Engineering Task Force)によって定められた標準プロトコルがあります。それが、IPSec(Internet Protocol Security)です。シスコのルータやセキュリティ アプライアンスが標準でサポートしているVPNも、IPSec VPNです。

Dynamic Multipoint VPN(DMVPN)
専用線の代わりにVPNを採用するメリットには、コスト削減が強調されることが多いのですが、拡張性が非常に高いという点も見逃せません。専用線の代わりにインフラとしてインターネットを利用するVPNは、拠点が増えたときの投資が少なくて済み、拠点が増えれば増えるほどそのコスト効果が高くなります。
複数の拠点を接続する場合、どの拠点どうしをVPN接続するかを考えてみると、次の2つの形式が考えられます。
フルメッシュ ハブ&スポーク
  • フルメッシュ
    すべての拠点間にVPN接続を設定する方式です。負荷が分散され、効率的ではありますが、拠点が追加されたときには全拠点のルータに設定が必要となります。また、拠点数が増えたときには管理が複雑になるという欠点があります。
  • ハブ&スポーク
    すべての拠点の接続先を1か所に集中させる方式です。拠点が増えても、ハブとなるルータとの間の設定だけで済むので、フルメッシュに比べて管理はしやすくなります。しかし、すべての通信がハブ ルータを経由するため、ハブ ルータの負荷が高くなり、余計な通信量が増える結果となります。
多くの企業は、管理のしやすさからハブ&スポークの方式を採用していることでしょう。しかし、フルメッシュと比較して管理がしやすいといっても、ハブ ルータには全拠点のVPN接続に関する設定が必要となることには変わりありません。

シスコのルータには、DMVPN(Dynamic Multipoint VPN)という技術が組み込まれています。これは、スポーク側のルータからハブ ルータに対して自分の情報を送信することで、拠点ルータとのVPN接続に必要な情報が自動的にハブ ルータに登録されるというものです。
さらにDMVPNには、「ダイナミック」という名前のとおり、動的にVPN接続を構築することで、ハブ&スポークの構成を取りながら、フルメッシュに近いパフォーマンスを提供します。次の図をみてください。通常のハブ&スポークの場合、すべての拠点間通信がハブ ルータを経由することになります。
DMVPNでは、通信相手に応じて動的にVPN接続を確立することができるのです。支店AにあるPCから支店BにあるWebサーバにアクセスする際にも、支店Aから支店Bに対してVPN接続が設定され、通信が終了すると自動的にVPN接続が解除されます。

シスコのセキュア コネクティビティ ソリューションはこちら
http://www.cisco.com/jp/solution/netsol/security/scsol/
LP Chat Example Page old

お問い合わせ