|
インターネットというオープンなインフラを使って拠点間をセキュアに接続するVPN(Virtual Private Network)は、ブロードバンドの普及、安全な通信を可能にする技術の発展とともに、企業ネットワークにはなくてはならないものになっています。ここでは、VPNのメリットを紹介しながら、シスコのルータに搭載されたVPN機能を解説します。 ファイルやプリンタの共有、クライアント-サーバ型アプリケーション、分散処理・・・。企業のネットワークは、業務における必要性とともに拡張され、整備されてきました。現在では、企業にITは不可欠となり、インターネットの活用も当然、TCP/IPネットワークが社外、社内、家庭にまでにも広まるようになっています。 ところで、複数の拠点をもつ企業の場合、どのように拠点のネットワークどうしを接続しているのでしょうか?たとえば、支社に所属する営業担当が本社にあるデータベースにアクセスしようとすれば、支社にあるネットワークが本社のデータセンターにつながっている必要があります。 VPN="仮想的な"専用線典型的な拠点間接続は「専用線」です。専用線を使えば、通信事業者と契約するだけで、いつでも本社と支社を接続する回線が確保されるわけです。しかし、専用線の費用は、通信速度だけでなく、距離にも依存します。東京と大阪の間(約500km)を1.5Mbpsの専用線で接続しようとすれば、月額500万円ほどのコストがかかってしまいます。(現在、このような長距離の高速専用回線の契約はないようです。)これが1か所だけでなく、東京-札幌、東京-福岡、東京-名古屋にも必要となると、相当の月額コストが発生することになります。 このような状況のなかでインターネットへの接続まで不可欠となれば、「拠点間の接続にインターネットを使用」すれば、かなりのコスト削減となるはずです。各拠点はインターネット サービス プロバイダーまでの専用線を負担するだけで、日本中だけでなく世界中にある拠点との接続が可能になるからです。 しかし、インターネットを社内ネットワークに使用することにはリスクもあります。インターネットには、多くの人がアクセスします。そのなかには、悪意をもってパケットを盗み見し、文書の内容を解読したり、パスワードを盗んで企業ネットワークに不正アクセスしようとする人もいます。つまり、インターネットは「安全ではない」ネットワークなのです。 VPNは、インターネットを経由させながら、拠点間の安全な通信を可能にするテクノロジーです。専用線を使ったネットワークをプライベート ネットワーク(私設のネットワーク)と呼びますが、インターネット上でも専用線と同じように安心して通信できることから「仮想的な専用線」、つまりバーチャル プライベート ネットワークと呼ばれています。 リモートアクセスVPN自宅や外出から会社のネットワークにアクセスする場合についても考えてみます。かつて多くの会社では、セキュリティを保ちながら、社内のネットワーク上のWebサーバーやメールサーバにアクセスする手段として、会社に設置されたリモートアクセスサーバにユーザが自分のPCから公衆電話回線(PSTN)経由でダイヤルアップをして接続していました。 その後、インターネットのブロードバンド化と普及に伴い、公衆インターネットを経由したVPNを利用する技術が使われるようになりました。出張先のホテルやカフェのインターネット接続サービスや、3G などのモバイルインターネットアクセスサービスを新たな媒体として利用することで、世界中のどこからでも社内のネットワークに接続ができます。 このような、ダイヤルアップに似た、利用者が利用したい時にだけユーザの利用デバイスと組織のネットワークとの間でVPNを接続する方式を「リモートアクセスVPN」といいます。これに対して拠点間を相互接続するVPN接続を「サイト間VPN」あるいは「サイト ツー サイト VPN」といいます。 VPNを実現する技術シスコでは、Ciscoルータをはじめ、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスでVPNをサポートしています。 VPNの実現に必要な主要なテクノロジーには、次の2つがあります。
そして、もう1つ忘れてはならないのが認証です。安全なIPパケットの送受信のためには、VPN接続要求をしている相手が正しいかどうかを認証する機能が必要です。この認証機能によって、なりすましを防ぐのです。 VPNにも、TCP/IPプロトコル群の1つとしてIETF(Internet Engineering Task Force)によって定められた標準プロトコルがあります。それが、IPSec(Internet Protocol Security)です。シスコのルータやセキュリティ アプライアンスがサイト ツー サイトVPN構成時に標準でサポートしているVPNも、IPSec VPNです。また、リモートアクセスVPNで主に用いられている技術として、SSL-VPNがあります。 Dynamic Multipoint VPN(DMVPN)専用線の代わりにVPNを採用するメリットには、コスト削減が強調されることが多いのですが、拡張性が非常に高いという点も見逃せません。専用線の代わりにインフラとしてインターネットを利用するVPNは、拠点が増えたときの投資が少なくて済み、拠点が増えれば増えるほどそのコスト効果が高くなります。 複数の拠点を接続する場合、どの拠点どうしをVPN接続するかを考えてみると、次の2つの形式が考えられます。
多くの企業は、管理のしやすさからハブ&スポークの方式を採用していることでしょう。しかし、フルメッシュと比較して管理がしやすいといっても、ハブ ルータには全拠点のVPN接続に関する設定が必要となることには変わりありません。 シスコのルータには、DMVPN(Dynamic Multipoint VPN)という技術が組み込まれています。これは、スポーク側のルータからハブ ルータに対して自分の情報を送信することで、拠点ルータとのVPN接続に必要な情報が自動的にハブ ルータに登録されるというものです。 さらにDMVPNには、「ダイナミック」という名前のとおり、動的にVPN接続を構築することで、ハブ&スポークの構成を取りながら、フルメッシュに近いパフォーマンスを提供します。次の図をみてください。通常のハブ&スポークの場合、すべての拠点間通信がハブ ルータを経由することになります。 DMVPNでは、通信相手に応じて動的にVPN接続を確立することができるのです。支店AにあるPCから支店BにあるWebサーバにアクセスする際にも、支店Aから支店Bに対してVPN接続が設定され、通信が終了すると自動的にVPN接続が解除されます。 シスコのセキュア コネクティビティ ソリューションはこちら |
||
 |
