注意： 本製品は既に生産⁄販売を終了しております。

目次

リファレンス・ガイド

 バーチャル・プライベート・ネットワーク  (VPN) 実装入門

リファレンス・ガイド

Cisco バーチャル・プライベート・ネットワーク (VPN) 実装入門

要約

ネットワーク経済の急増により、企業のビジネスのやり方が根底から変わりました。 企業のスタッフは、どこで仕事をするかは、どのようにうまく仕事を行うかほどは、 問題にされなくなっています。 多くの業界では、競争の圧力によって企業間の提携や協力が活発になり、個別の企業が、 顧客に対応するときは 1 つの企業として行動し、機能することが必要になっています。 こういった展開は、多くの企業の生産性や収益性を高める一方、 企業ネットワークに新たな需要も生み出しています。 企業内の一定の場所に接続することだけを目的としたネットワークは、 もはや多くの企業で実??不可能になっています。 在宅勤務者、ロード・ウォリアのようなリモート・ユーザや、 外部ビジネス・パートナは、企業コンピューティング・リソースへのアクセスが必要になっています。 こういったユーザにも対応できるようにするには、従来の広域ネットワークを拡張する必要があります。 そこで、多くの企業は、既存の従来型 WAN インフラストラクチャを補うために、 バーチャル・プライベート・ネットワーク (VPN) の導入を検討しています。

ネットワーク調査コンサルティング会社 Gartner Group によると、2003 までに、ほぼ 100 パーセントの企業が、既存の WAN インフラストラクチャを VPN で補うことにな ると予想しています。 ネットワーク体系の観点から見ると、その理由は明白です---VPN は今日の多様な接続ニ ーズを満たすのに適しているからです。 しかし VPN の利点は、ボトムラインでも見られます。 VPN は、管理、帯域幅、資本の観点から見て、私設ネットワークより運用が安価です。 そのため、VPN 機器の資本回収期間は、年単位ではなく、月単位で示されるのが一般的です。 しかし、おそらく最も重要な利点は、企業が VPN を導入することにより、企業ネット ワークを稼働する必要??なくなり、本来のビジネス目標に集中できることだと思われます。

Cisco 社の VPN ソリューションは、ネットワーキング・インフラストラクチャのあらゆる分野に及んでおり---プラットフォーム、 セキュリティ、ネットワーク・サービス、ネットワーク装置、 管理---多様なネットワーク体系に対応できる、非常に広範囲の VPN サービス・セットを提供します。 Cisco 社の既存の WAN インフラストラクチャに対するサポートは、ユーザが専用回線、 フレーム・リレー、さらには IP やインターネット VPN 接続から VPN にアクセスする必要があるハイブリッド・ネットワーク体系に対応するために不可欠です。 このような展開シナリオでは、既存のネットワーク装備を強化することがきわめて重要です。 VPN は、従来の WAN を拡張し、企業ネットワーク全体に共通のネットワーキング、 セキュリティ、および管理環境を提供しなければなりません。 Cisco 社の VPN ソリューションを使用すれば、企業は、既存の Cisco ネットワーキング 装備の上に VPN を展開することができます。 Cisco 社の全ラインのルータ・プラットフォームは、Cisco IOS^® ソフトウェア拡張を使 って簡単に VPN 可能に変更できるので、企業は VPN 環境にスムーズに移行できます。 Cisco IOS ソフトウェア拡張を通じて見ると、Cisco 社の導入済み VPN 可能ポートの数は、現在約 1000 万にも達しています。 また、Cisco 社では、VPN 中心の環境のニーズに特化して設計した統合 VPN プラットフォームも提供しています。

ネットワーク・アーキテクチャの柔軟性と遍在性により、Cisco 社は VPN の新世界への 案内役として、独特の立場を築いています。 業界を先導する Cisco 社のプラットフォーム (ルータ、WAN スイッチ、アクセス・サーバ、 ファイアウォールを含む) は---Cisco IOS ソフトウェアが提供する堅実なセキュリティおよび管理サービスと合わせて---現在入手できる最も安全で、 拡張性が高く、管理の容易な VPN ソリューションを展開する基礎になります。 Cisco 社の VPN ソリューションは、VPN のあらゆる局面で既存の Cisco 製品と緊密に統合されているので、 VPN テクノロジーを Cisco 企業ネットワークにスムーズに統合できます。 幅広い Cisco ソリューション (企業 WAN を介した音声通信など) は、 Cisco VPN プラットフォームと完全な互換性があります。 そのうえ Cisco 機器は、サービス・プロバイダの IP、フレーム・リレー、 ATM バックボーンに遍在しており、これが、 サービス・プロバイダと企業ネットワーク間の共通の帯域幅管理/サービス品質 (QoS) 機能など、 WAN を介した高度の機能統合の手段を提供します。

VPN とは ?

現在業界では、VPNやその機能、それが企業ネットワーク体系にどのように適合するかなどに関して、 さまざまな意見が飛びかっています。 簡単に定義すれば、VPN とは、私設ネットワークに適用されるのと同じセキュリティ、管理、 およびスループット・ポリシーを採用して、共用インフラストラクチャ上に展開される企業ネットワークをいいます。 VPN は、専用回線や企業所有のフレーム・リレー/ATM ネットワークを使っている既存の私設ネットワークに取って代わる、 またはこれを拡張する代替 WAN インフラストラクチャです。 VPN は、複数プロトコルのサポート、高信頼性、広範なスケーラビリティといった WAN の要件を本質的に変更するものではなく、これらの要件をよりコスト効率よく満たすものです。 VPN は、今日広く普及しているトランスポート・テクノロジー、 つまり公共のインターネット、サービス・プロバイダの IP バックボーン、サービス・プロバイダのフレーム・リ レーや ATM ネットワークを活用できます。 しかし、VPN の機能は、WAN トランスポート・プロトコル自体ではなく、主として企業ネットワークの末端に展開される機器と WAN を介した機能統合によって定義されます。

図 1: VPN の定義

VPN は、3 つのカテゴリに分けられます。リモート・アクセス、イントラネット、およ びエクストラネットです。 リモート・アクセス VPN は、トラフィック量が最小限の在宅勤務者、モバイル・ユ ーザ、あるいは小規模の遠隔オフィスを、エンタープライズ WAN や会社のコンピューティ ング・リソースに接続します。 イントラネット VPN は、エンタープライズ WAN 内部の一定の場所と、支店、本店を接続 します。 エクストラネットは、企業のコンピューティング・リソースへのアクセス制限を、 サプライヤやカスタマといったビジネス・パートナまで拡張し、 共有情報にアクセスできるようにします。 各タイプの VPN ごとに、考慮する必要があるセキュリティや帯域幅管理の問 題は異なります。

企業はなぜ VPN の導入を検討するのか

VPN は、従来の専用回線ネットワークに比べると、多くの利点があります。 主な利点は、次のとおりです。

• 私設ネットワークよりコストが低くなります。伝送帯域幅、バックボーン機器、 および運用のコストが下がるので、トータル運用管理コストが削減されます。Infonetics (ネットワ ーク管理コンサルティング会社) によると、LAN-LAN 間の接続コストは、社内専用 回線ネットワークに比べて 20 ～ 40 パーセント引き下げられるとしています。リモー ト・アクセスのコスト削減は 60 ～ 80 パーセントの範囲です。
• インターネット経済が可能になります。VPN は本質的に、従来の WAN より柔軟で、拡張性の高いネットワーク体系なので、企業は容易に、 かつコスト効率よく接続性を拡張でき、ビジネスの必要性に応じて、リモート・オフィス、 国際的な場所、在宅勤務者、モバイル・ユーザ、外部ビジネス・パートナとの接続や切断を簡単に行えます。
• 私設ネットワーク・インフラストラクチャを所有して運用するのに比べると、 管理負担が軽減されるので、企業は WAN 機能の一部または全部をサービス・プロバイダにゆだね、WAN やダイヤル・アクセス網を管理する代わりに、肝心のビジネス目標に集中できるようになります。
• ネットワーク・トポロジーが単純化されるので、管理負担が減ります。IP バックボーン を利用することによって、フレーム・リレーや TAM のようなコネクション指向プロト コルに関連した相手先固定接続 (PVC) の必要がなくなるので、完全なメッシュ・ネットワーク・トポロジーを形成できると同時に、 実際にネットワークの複雑さやコストが減少します。

VPN の構成要素

VPN ソリューションは、提供される機能の幅によって定義されます。 VPN プラットフォームは、侵入や悪用から保護され、 ミッション・クリティカルなデータを信頼できる方法で適時に伝送でき、 企業全体にわたって管理可能でなければなりません。 こういった要件のそれぞれに対応できなければ、VPN ソリューションは不完全です。

VPN の基本要素は、大きく 5 つに分類できます。

• プラットフォームのスケーラビリティ---これらの要素のそれぞれを、VPN プラットフォームを介して、小規模オフィス構成から最大の企業規模の実装まで、 容易に拡張できなければなりません。絶えず変化する帯域幅や接続性のニーズを満たすように VPN を適応さ せる能力が、VPN ソリューションには不可欠です。
• セキュリティ---トンネル伝送、暗号化、パケット認証、ユーザ認証、およびアクセス管理
• VPN サービス---帯域幅管理およびサービス品質 (QoS) 機能。キューイング、ネットワーク輻輳の回避、トラフィック・シェーピング、パケット分類、および EIGRP、OSPF、 BGP を使用した VPN ルーティング・サービスなどが含まれます。
• 装備---ファイアウォール、侵入検知、および活動セキュリティ監査。
• 管理---VPN 全体のセキュリティおよび帯域幅管理ポリシーの実施とネットワークの監視。

上記の VPN ソリューションの 5 つの主要な構成要素が、オープン規格、スケーラビリティ、 エンドツーエンド・ネットワーキング機能の提供というコンテキストの範囲内で、 Cisco 社から提供されます。

図 2: VPN ビルディング・ブロック

これらの VPN 要件を満たすためには、必ずしも既存の広域ネットワーク・インフラスト ラクチャを置き換える必要はありません。 Cisco VPN ソリューションは、既存の WAN インフラストラクチャを拡張して、 VPN 環境に求められるセキュリティ、信頼性、および管理の拡張要件を満たせるようにします。 Cisco 社の既存のルータ・ポートフォリオは「VPN 可能」であり、 Cisco IOS ソフトウ ェアを通じて展開可能な VPN 機能を備えています。 一部の VPN 展開では、暗号化性能の要件や WAN トポロジーにより、 Cisco ポートフォリオの「VPN 最適化」ルータに置き換えたほうが良い場合があります。 VPN 最適化ルータは、 セキュリティ性能の拡張に対応できる最適なハードウェア拡張性を提供??ます。 どちらのポートフォリオの VPN ルータを使って VPN ソリューションを実装するにして も、既存の Cisco ネットワーキング装備を活用して堅固な VPN を展開できるので、 企業はネットワーキング・インフラストラクチャへの投資を節約できます。

セキュリティと装備: ネットワークの保護

共用ネットワーク上で WAN を展開するためには、セキュリティ問題が最も重要です。 企業は、その VPN が安全であり、ネットワーク上で受け渡さ れる機密データが盗み見されたり、悪用されたりしないこと、 また無許可ユーザがネットワーク・リソースや専有の情報にアクセスしないことを保証する必要があります。 暗号化、認証、およびアクセス管理が、こういったセキュリティ違反から守ります。 VPN セキュリティの主要な構成要素は、次のとおりです。

• トンネルと暗号化
• パケット認証
• ファイアウォールと侵入検知
• ユーザ認証

こららのメカニズムは相互に補完して、ネットワークのさまざまなポイントでセキュリティを提供します。 VPN ソリューションは、これらの各セキュリティ機能について、 公衆網インフラストラクチャを利用する上で有効と見なされるソリューションを提供する必要があります。

トンネルと暗号化

Cisco VPN ソリューションは、無許可エンティティによってデータが途中で抜き取られたり、 盗み見されたりするのを防止するために、暗号化されたトンネル伝送を採用しています。 必要な場合には、マルチプロトコル・カプセル化も行えます。 トンネルは、コネクションレス IP ネットワークを介する論理ポイントツーポイント接続を提供し、 コネクションレス環境で高機能セキュリティを実現します。 トンネル接続には、暗号化を適用して、データをごちゃまぜにし、 許可された送信側と受信側しかデータを判読できないようにします。 セキュリティが重要でないアプリケーションのときは、 暗号化なしのトンネルを採用することも可能で、プライバシのないマルチプロトコル・サポートを提供し??す。

Cisco VPN は、IPSec、レイヤ 2 トンネル伝送プロトコル (L2TP)、レイヤ 2 転送 (L2F)、および Generic Routing Encapsulation (GRE) を採用して、トンネルをサポートし、また現在入手できる最強の標準暗号化テクノロジーである DES と 3DES も採用 しています。 さらに、Cisco VPN ソリューションは、セキュリティ管理/暗号化管理のために、Verisign、 Entrust、Netscape などの主要な認証権限ベンダもサポートしています。

パケット認証

共用ネットワーク上では、データの抜き取りや盗み見は、 企業にとって重大なセキュリティ上の懸念ですが、同時に、データ保全性も重要な問題です。 安全でないネットワークでは、違反者によってパケットがインタセプトされ、内容が変更されて、 誤った情報が宛先に転送される可能性があります。 たとえば、安全でないネットワークを使って行ったサプライヤへの注文が、違反者によって、 発注数が 1000 から 100 に改ざんされるいった事態が起こり得ます。 パケット認証は、IP パケットにヘッダを適用することによって、このような悪用を防止し、 保全性を保証します。 IP セキュリティの構成要素である認証ヘッダ (AH) とカプセル化セキュリティ・プロトコル (ESP) を、MD-5 やセキュア・ハッシュ・アルゴリズム (SHA) といった業界標準ハッシュ・アルゴリズムと合わせて採用することにより、 共用 IP バックボーンを介して 伝送されるパケットのデータ保全性を確保しています。

ファイアウォール、侵入検知、およびセキュリティ監査

総合的なセキュリティ・ソリューションの重要な部分の 1 つは、ネットワーク・ファイアウォールです。 これは、ネットワークの周辺領域を横断するトラフィックを監視し、セキュリティ・ポリシーに従って制限する機能です。 VPN の場合、ファイアウォールは、コンピューティング・リソースへの無許可アクセスや、 サービス拒絶のようなネットワーク攻撃から企業ネットワークを保護します。 また、許可されたトラフィックについても、VPN ファイアウォールは、トラフィックのソースを検査したり、ユーザに許されるアクセス特権を規定したりします。 Cisco VPN ソリューションは、 VPN ルータに常駐する Cisco IOS ソフトウェア・ベー スのファイアウォールと、それとは別個の PIX ファイアウォール装備を提供しており、 企業によるファイアウォールの選択に柔軟性を与えています。

周辺セキュリティを確保するために追加された要素に、侵入検知があります。 ファイアウォールは、ソース、宛先、ポート、その他の基準に基づいてトラフィックを許可したり、 拒否したりしますが、トラフィックを実際に分析することはありません。 Cisco NetRanger のような侵入検知システムは、ファイアウォールと合わせて使用され、 個々のパケットの内容や文脈を分析して、そのトラフィックが許可されたものかどうかを判別し、 周辺セキュリティをパケット・ペイロード・レベルまで拡張します。 ネットワークのデータ・ストリームに無許可アクティビティを検出すると、NetRanger は、自動的にリアルタイム・セキュリティ・ポリシーを適用し (問題のセッションを切断するなど)、事態をネットワーク管理者に通知します。 NetRanger 製品は、自動監視・応答によって堅固なネットワーク・セキュリティを提供する一方、 周辺監視に関連した人件費の削減にも貢献します。

トラフィックの監視や侵入検知は、ネットワーク攻撃に対する強力な防衛機構を果たしますが、 強力なセキュリティは、企業ネットワークの内部から始めることが必要で、 セキュリティ脆弱性の最小化を図らなければなりません。 セキュリティ監視システム (Cisco 社の NetSonar など) は、企業ネットワークを走査し、 セキュリティ上のリスクを識別します。 NetSonar は、ネットワーク上のすべてのアクティブ・システム、 そのオペレーティング・システムとネットワーク・サービス、 それに関連した潜在的な脆弱性をマップします。 また NetSonar は、その包括的なネットワーク・セキュリティ・データベースを使用して、 システムを予防的かつ安全にプローブし、セキュリティ脆弱性に関する詳細な情報を提供するので、 ネットワーク管理者は、ネットワークを攻撃から守るためのより良い対策を講じることができます。

ユーザ認証

VPN セキュリティの重要な要素は、許可されたユーザは必要な企業コンピューティング・リソースに確実にアクセスできるようにし、 一方、許可されないユーザはネットワークから完全にシャットアウトすることです。 Cisco VPN ソリューションは、認証、許可、および会計 (AAA) 機能を中心に構築されており、 ユーザの認証、アクセス・レベルの決定、必要な監査・会計情報の保存を行うための基礎を提供します。 こういった機能は、VPN のダイヤル・アクセスおよびエクストラネットで特に重要です。 Cisco VPN ソリューションは、リモート・アクセス・ダイヤルイン・ユーザ・サービス (RADIUS) および端末アクセス制御アクセス制御システム (TACACS+) ユーザ認証プラッ トフォームをサポートしています。

VPN サービス: ルーティングとスループットの管理

VPN ソリューションの基本的な要素は、貴重な WAN 帯域幅を効率的に使用し、重要な データの信頼できるスループットを確保しながら、従来のルーティング・サービスを行うことです。 ネットワーク・トラフィックのバースト性により、一度に大量のパケットがネットワークに送られて、 ネットワーク帯域幅の使用効率が悪くなったり、 ネットワークのボトルネック部に輻輳が発生したりします。 その結果、2 つの面に影響が出ます。WAN リンクが利用不足になり、 高価な帯域幅が眠ったままになります。一方、ピーク時のネットワーク輻輳は、 遅延に影響されやすい、あるいはミッション・クリティカルなトラフィックのスループットを制限します。 これでは損失の上乗せになります。

QoS は、ネットワークがミッション・クリティカルな、 あるいは遅延に影響されやすいトラフィックにリソースを割り当てる能力を判別し、 低優先順位のトラフィックにコミットするリソースを制限します。 QoS は、VPN 上で実行されるアプリケーションの 2 つの基本的な要件、 つまり予測可能な性能とポリシー実施を実現します。 ポリシーは、ネットワーク・リソースを特定のユーザ、アプリケーション、 プロジェクト・グループ、またはサーバに、優先順位に従って割り当てるのに使用されます。 レイヤ 2 および レイヤ 3 VPN に適用される帯域幅管理/QoS の構成要素は、次のとおりです。

• パケット分類---企業ネットワーク・ポリシーに従って、パケットに優先順位を割り当てます。
• 認定アクセス・レート (CAR)---企業ネットワーク・ポリシーに従って、アプリケーションまたはユーザ (あるいは、その両方) に基づいて、ポリシングを提供し、帯域幅を管理します。
• 均等化キューイング (WFQ)---パケットの優先順位に基づいて、パケット・スループットを割り当てます。
• Weighted Random Early Detection (WRED)---TCP を補って、VPN バックボーン上のネットワーク輻輳を予測、管理し、予測可能なスループット・レートを保証します。
• 汎用トラフィック・シェーピング (GTS)---バースト的なトラフィックや「パケット・トレーン」を平滑化して、VPN WAN リンクが最適に平均的に利用されるようにします。
• ボーダ・ゲートウェイ・プロトコル (BGP) 伝送---帯域幅管理ポリシーを拡張して、 VPN 接続の両方向に適用できるようにします。

こうした QoS 機能は相互に補完し、VPN のさまざまな部分で一緒に作用し、包括的な帯域幅管理ソリューションを生成します。 帯域幅管理ソリューションは、VPN の複数のポイントに適用しないと効果がありません。 単一ポイントのソリューションでは、予測可能な性能を確保できません。 ネットワークの性能は、ルータ上の Cisco IOS に組み込まれているネットワーク監視機 能、Cisco Response Time Reporter (RTR) を使って監視できます。 Cisco RTR は、ネットワークのアップタイム、待ち時間、その他のサービス特性を測定するので、企業は、 サービス・プロバイダとのサービス・レベル契約に適合しているか どうかを確認できます。

帯域幅管理の利点に加えて、Cisco 社では、既存の企業ネットワーク・ルーティング構成にシームレスに統合しながら、QoS メカニズムを補完する VPN ルーティング・サービ スを提供することの重要性を認識しています。 EIGRP や OSPF のような標準ルーティング・プロトコルをサポートすることによって、 Cisco VPN ルーティング・サービスは、既存のネットワーク構成に影響を与えることなく、 堅固な帯域幅管理を提供する VPN インフラストラクチャへの費用効果の高い移行を達成します。

ネットワーク管理: VPN の運用

VPN は、ネットワーク装置自体に加えて、多数のセキュリティおよび帯域幅管理サービスを統合します。 企業は、リモート・アクセス・ユーザやエクストラネット・ユーザを含めて、VPN インフラストラクチャ全体の装置や機能をシームレスに管理する必要があります。 こうした問題から、ネットワーク管理は VPN 環境の重要な課題になっています。 しかし、VPN WAN 体系では、ネットワーク管理者にネットワーク管理のさまざまな局面を外注する機会が与えられます。 私設ネットワーク体系とは異なり、VPN では、企業は社内で保持する必要があるネットワーク管理レベルを定義し、 機密性の低い機能はサービス・プロバイダに外注できます。

多くの企業は、VPN の展開と日常操作の管理はすべて社内で行うことを選択するので、 包括的なポリシー・ベースの管理システムが必要になります。 こうしたシステムは、既存の管理の枠組みを超えて、VPN 特有の WAN 管理機能を必要とします。 Cisco 社の企業ネットワーク管理は、どのような規模の VPN にも対応できる、装置、 セキュリティ・ポリシー、およびサービスを管理する包括的なツール・セットを提供します。

WAN は VPN テクノロジーにより拡張されているので、企業ネットワーク管理者が成功するためには、 ビジネス要件を厳守することが必要です。 このような要件には、次のものが含まれます。

• リスクの最小化---専用のインフラストラクチャから公共のインターネットのような WAN 伝送媒体を活用する共用インフラストラクチャへの移行は、 ネットワーク管理者にセキュリティや監査に関する新たな課題をもたらします。 ネットワーク管理者は、企業のデータ・リソースの保全性を確保しながら、VPN アクセスを複数の企業サイト、ビジネス・パートナ、リモート・ユーザに拡張できなければなりません。
• 規模---モバイル・ユーザやビジネス・パートナの VPN への急速な加入により、ネットワーク管理者は、ネットワークの拡張、 ハードウェアやソフトウェアのアップグレード、 帯域幅の管理、セキュリティ・ポリシーの維持を、前例のない速度と正確さで実現する必要があります。
• コスト---VPN のコスト上の利益を完全に実現するために、ネットワーク管理者は、新 規 VPN テクノロジーの実装とネットワーク・ユーザの追加に対応する装備を、 それに比例して運用スタッフを増加せずに達成できなければなりません。

Cisco 社の企業管理ツールは、3 段階の管理戦略により、ネットワーク管理者がこうしたビジネス要件に効率的に対処するのを支援します。 3 段階の管理戦略とは、スケーラブルな装置管理を可能にすること、ハイブリッド・ネットワーク体系をサポートすること、 および Cisco 提供のネットワークを強化することです。

スケーラブルな装置管理

一度に 1 つの装置を管理するような統合ツールを使ったのでは、 ネットワーク管理者は、企業が必要とする広大なポートフォリオの VPN ソリューションやテクノロジーを展開することはできません。 ネットワークは、離散的なセグメントや装置としてでなく、均一の統合されたエンティティとして、 ポリシーに基づいて管理する必要があります。 このアプローチにより、ネットワーク管理者は、VPN を構成するリソースの集合全体に対して、一貫したセキュリティ・ポリシーを実施できます。

ハイブリッド・ネットワーク体系のサポート

ハイブリッドの私設網/バーチャル・プライベート・ネットワーク環境では、 VPN 管理機能を既存の私設企業ネットワーク管理体系にシームレスに統合することが必要です。 私設ネットワークの管理ツールを機能強化して、新規 VPN 管理機能をサポートできるようにし、ネットワーク管理者にエンドツーエンドの管理性と可視性を提供しなければなりません。

Cisco 提供のネットワークの強化

Cisco 社のテクノロジーとサービスを展開して VPN インフラストラクチャを提供して いるサービス・プロバイダは、Cisco サービス管理 (CSM) システムを使用して、その運用やビジネスの目的を達成できます。 CSM ソリューション・セットに含まれるプロビジョニングおよびサービス・モニタリング・ソリューションを使用すると、 サービス・プロバイダは企業顧客に VPN 接続性を提 供できます。 Cisco 社は、企業管理ソリューションと CSM ソリューションの間を橋渡しすることにより、 ネットワーク管理者がサービス・プロバイダから構成情報を受け取り、 サービス・プロバイダが提供するサービス・レベルが企業の期待通りであるかどうかを検証したり、 帯域幅管理ポリシーをサービス・プロバイダに提供して、ミッション・クリティカルなアプリケーションのエンドツーエンドの QoS を確保できるようにしま す。 Cisco インターネットワーク・パフォーマンス・モニター (IPM) やサービス・レベル契 約マネージャー (SLAM) といった管理ツールを Cisco RTR と合わせて使用すれば、ネットワーク管理者は、サービス・プロバイダとの契約が満たされているかどうかを確認できます。

Cisco 社の企業ネットワーク管理戦略

Cisco 社は、企業 VPN 用のポリシー・ベースの管理ツールを提供するための段階的な計画を作成しました。 これは、サービス・プロバイダによって展開される Cisco 提供ネッ トワークの機能強化も図ります。 最初のフェーズでは、VPN 管理機能を CiscoWorks2000 製品ファミリに統合し、Cisco ネットワークの Web ベース、エンドツーエンド管理を可能にします。 CiscoWorks2000 の機能拡張により、ネットワーク管理者は、 VPN のセキュリティおよび帯域幅管理パラメータを管理できるようになります。 最終フェーズでは、VPN 機能およびセキュリティ・パラメーターのポリシー・ベースの管理を追加、 拡張して、ディレクトリ可能ネットワーク (DEN) 管理や、サービス・プ ロバイダの性能をサービス・レベル契約 (SLA) の条件に照らして測定、監視するツール を組み込むようにします。

プラットフォームの拡張性と移行パス: 将来の見通し

企業は、VPN ソリューションを検討するにあたって、VPN テクノロジーをどのように既存のネットワーク・インフラストラクチャに統合するか、 それを企業ネットワークの動的な要件に合わせてどのように拡張していくかを考慮しなければなりません。 VPN のネットワークへの導入は、オール・オア・ナッシングの決定ではありません。 VPN は、既存の私設ネットワーク体系に段階的に導入することができ、 私設ネットワークの展開のための柔軟な移行パスを提供します。 多くの組織は、 既存の私設 WAN インフラストラクチャの拡張として VPN を展開するものと思われます。 このようなハイブリッド・アプリケーションの場合、既存の Cisco VPN 可能ルータに、 広範な VPN 機能を備えた Cisco IOS ソフトウェアを適用すれば、VPN を実装できます 。 また、既存の VPN 最適化ルータは、オプションのハードウェア・コンポーネントを使って、 セキュリティ性能を高めることができます。 Cisco IOS ソフトウェアやオプションのハードウェア・コンポーネントを通じての VPN の実装は、既存のネットワーク・インフラストラクチャに影響を与えずに、堅固な VPN 機 能を装備でき、柔軟性と将来に必要な拡張を保証します。

図 3: ハイブリッド私設ネットワーク/バーチャル・プライベート・ネットワーク

Cisco 社は、VPN ポートフォリオの全体を通して、標準ベースのソリューションを採用しています。 レイヤ 3 セキュリティでは、Cisco VPN は IPSec (IP セキュリティ用のインターネッ ト技術特別調査委員会 (IETF) の標準トラック・プロトコル) を採用しています。 レイヤ 2 トンネル伝送では、Cisco VPN はレイヤー 2 トンネル伝送プロトコル (L2TP) (レイヤ 2 トンネル伝送の事実上の業界標準) を採用しています。 また、Cisco VPN は、レイヤー 2 転送 (L2F) および汎用ルーティング・カプセル化 (GRE) もサポートしています。 暗号化については、Cisco 社は、入手可能な業界最強の標準アルゴリズム---DES と 3DES---をサポートしています。

Gartner Group によると、VPN 機器市場には「誤ったベンダを選択する危険」の兆しが見られるとしています。 Cisco 社の機器は、インターネット・バックボーンの 80 パーセント以上を占めており 、企業ネットワークの礎石です。 このような要因により、Cisco 社は VPN の新世界への案内役として、独特の立場を築いています。 業界を先導する Cisco 社のプラットフォーム (ルータ、WAN スイッチ、アクセス・サーバ、ファイアウォールを含む) は---堅実な Cisco IOS ソフトウェアと合わせて---多様 なネットワーク体系にまたがって広範な VPN サービスを展開するための基礎となり、 企業は既存の Cisco 装備の上に VPN を展開することによって、ネットワークへの投資 を保存できます。 さらに、Cisco 社の VPN ソリューションは、VPN のあらゆる局面で既存の Cisco 製 品と緊密に統合されているので、VPN テクノロジーを Cisco 企業ネットワークにスムー ズに統合できます。 幅広い Cisco ソリューション (企業 WAN を介した音声通信など) は、Cisco VPN プラットフォームと完全な互換性があります。 そのうえ Cisco 機器は、サービス・プロバイダの IP、フレーム・リレー、ATM バックボーンに遍在しており、 これが、サービス・プロバイダと企業ネットワーク間の共通の帯域幅管理機能など、 WAN を介した高度の機能統合の手段を提供します。

VPN の共通アーキテクチャ

今日の企業 WAN: 私設ネットワーク

今日の企業 WAN は通常、専用回線や専用フレーム・リレー/ATM を使って構築されています。 ネットワークのリモート・アクセス部分も、通常は専用ソリューションで、 企業が独自のダイヤル・アクセス・インフラストラクチャを展開し、 管理しています。 エクストラネット・アプリケーションは、サポートされていないことが多く、 サポートされていても、コストがかかり負担の大きい WAN の拡張形態になっています。

図 4: 今日の企業ネットワーク

私設ネットワーク体系は、リモート・ユーザやパートナへのネットワーク拡張性に限界があり、 管理が難しく、帯域幅の提供や維持にコストがかかります。 私設ネットワーク・インフラストラクチャから VPN への移行は、私設ネットワークの各 セグメントに---イントラネットおよびリモート・アクセス・ネットワーク---個別に対応して、ネットワークをビジネス・パートナまで拡張します。

リモート・アクセス VPN

リモート・アクセス VPN は、企業ネットワークを、最少の WAN トラフィックを使用する在宅勤務者、モバイル・ユーザ、およびリモート・オフィスに拡張します。 これにより、ユーザは必要に応じて、いつでも、どこでも、 会社のイントラネットやエクストラネットに接続できるようになります。 リモート・アクセス VPN は、私設ネットワークと同じポリシーを使用し、共用インフラストラクチャを介して、 企業のイントラネットやエクストラネットに接続します。 アクセス方式は柔軟です---非同期ダイヤル、ISDN、DSL、モバイル IP、およびケーブル・ テクノロジーが、Cisco VPN プラットフォームでサポートされます。 私設管理ダイヤル・ネットワークからリモート・アクセス VPN に移行すると、いくつかの利点があります。最も顕著なものは、次のとおりです。

• モデムや端末サーバ機器に関連する資本コストを削減できる。
• 長距離番号や 800 番の代わりにローカル・ダイヤルイン番号を使えるので、長距離通信コストを大幅に削減できる。
• 拡張性が高く、ネットワークに加入する新規ユーザへの展開が容易である。
• ダイヤル・ネットワークを運用するスタッフを管理、 維持する必要がなく、企業は肝心のビジネス目標に集中できる。

リモート・アクセス VPN アーキテクチャを実装するときの重要な考慮事項は、 トンネル伝送と暗号化を開始する場所---ダイヤル呼び出しクライアントの地点か、 ネットワーク・アクセス・サーバ (NAS) の地点か---です。 クライアント開始モデルの場合、暗号化トンネルは IPSec、L2TP、または PPTP を使用 してクライアントによって確立されるので、 サービス・プロバイダ・ネットワークは企業ネットワークへのトランスポート手段専用になります。 クライアント開始モデルの利点は、point of presence (POP) にダイヤルするのに使わ れる「最終マイル」のサービス・プロバイダ・アクセス・ネットワークが、保護されることです。 クライアント開始モデルのもう 1 つの考慮事項は、オペレーティング・システムに組 み込まれているセキュリティ・ソフトウェアを使用するか、 より安全な補完セキュリティ・ソフトウェア・パッケージを使用するかという問題です。 クライアントに導入する補完セキュリティ・ソフトウェアは、より堅固なセキュリティ を提供しますが、このアプローチの欠点は、リモート・アクセス VPN にアクセスする各クライアントごとにトンネル伝送と暗号化のソフトウェアを導入し、 維持しなければならないことで、これは潜在的に拡張を困難にします。 NAS 開始のシナリオの場合は、クライアント・ソフトウェアの問題はありません。 リモート・ユーザは、PPP/SLIP 接続を使用してサービス・プロバイダの POP にダイヤ ルし、サービス・プロバイダによる認証を受けた上で、POP から L2TP または L2F を使用して、企業ネットワークへの安全な暗号化トンネルを開始します。 NAS 開始のアーキテクチャでは、すべての VPN 機能がサービス・プロバイダ・ネットワークに常駐する---企業が維持する必要があるエンド・ユーザ・クライアント・ソフトウェアは使用しない---ので、 リモート・アクセスに関連したクライアントの管理負担がなくなります。 しかし、欠点は、クライアントをサービス・プロバイダ・ネットワークに接続するローカル・アクセス・ダイヤル・ネットワーク上のセキュリティが不完全なことです。 リモート・アクセス VPN の実装では、こうしたセキュリティと管理のトレードオフでバランスを取る必要があります。

図 5: NAS 開始とクライアント開始のリモート・アクセス VPN

イントラネット VPN

イントラネット VPN は、サービス・プロバイダが提供する共用ネットワーク・インフラストラクチャを利用して、専用回線やその他の私設 WAN インフラストラクチャを拡張ま たは置換できる代替 WAN インフラストラクチャです。 イントラネット VPN は、インターネットあるいはサービス・プロバイダの IP、フレーム・リレー、またはATM ネットワークを使用して構築します。

IP WAN インフラストラクチャ上に構築されるイントラネット VPN は、IPSec または GRE を使用してネットワーク上に安全なトンネルを作成し、WAN トラフィックを運びます。 WFQ、WRED、GTS といった帯域幅管理機能と、企業ネットワーク・エッジ・ルータで採用されている CAR をサービス・プロバイダ・バックボーンの QoS メカニズムと組み合わせれば、WAN 帯域幅の効率的な使用と信頼できるスループットを確保できます。

イントラネット VPN の利点は、次のとおりです。

• WAN 帯域幅コストが削減される
• 新規サイトへの接続が容易である
• サービス・プロバイダの WAN リンクを冗長化できるので、ネットワークのアップタイム が増加する

図 6: イントラネット VPN

インターネットを活用したイントラネット VPN の構築は、最も費用効果の高い VPN テクノロジー実装手段です。 しかし、インターネット上では通常、サービス・レベルは保証されません。 イントラネット VPN を実装する際には、企業は、保証されたサービス・レベル、ネットワークの遍在性、 トランスポート・コストの間でのトレードオフを評価する必要があります。 スループット・レベルの保証を必要とする企業は、サービス・プロバイダのエンドツーエンド IP ネットワーク (フレーム・リレーや ATM でも可) を介する VPN の展開 を考えるべきです。

エクストラネット

企業パートナやサプライヤへの接続性の拡張は、私設ネットワーク環境ではコストがかかり、負担が大きくなります。 高価な専用接続をパートナまで拡張しなければならず、 管理やネットワーク・アクセスのポリシーを交渉し、維持する必要があり、 また両立性のある装置をパートナ側に導入しなければならないこともしばしばあります。 ダイヤル・アクセスを採用しても、個別のダイヤル・ドメインを確立し、 管理しなければならないので、状況は同様に複雑です。 この複雑さのために、多くの企業ではパートナまで接続を拡張しておらず、 その結果、ビジネス手続きが複雑になり、ビジネス関係維持の効率が低下しています。

VPN WAN アーキテクチャの大きな利点の 1 つは、エクストラネットの展開や管理が容易なことです。 エクストラネット接続の展開には、イントラネットやリモート・アクセス VPN の実装に使 ったのと同じアーキテクチャ、プロトコルを使用します。 主な相違点は、エクストラネットのユーザは、パートナのネットワークに接続するとアクセス許可を与えられることです。

図 7: エクストラネット VPN

サービス・プロバイダ・パートナの選択

どの VPN 実装シナリオの場合も、サービス・プロバイダが、そのソリューションのパー トナになります。 VPN の性能は、選択されたネットワーキング機器だけでなく、リモート・アクセス用の WAN 帯域幅、およびダイヤル呼び出し機能を提供するサービス・プロバイダによって決まります。 そのため、VPN 実装で使用するサービス・プロバイダを、注意深く選択する必要があります。

サービス・プロバイダは、基本的な接続から完全に外注されるソリューションまで、さまざまなレベルの VPN サービスを提供します。 サービス・プロバイダを選ぶ際には、VPN のどの局面部分を社内で管理し、どの局面部分をサービス・プロバイダにゆだねるかを綿密に検討して決定する必要があります。 最終的には、選ばれたサービス・プロバイダが VPN 実装のパートナになります。 そのため、仕事上の強い協力関係と確実な期待がもてることを、意志決定プロセス全体の主な要素にすべきです。

VPN の実装

前述のように、セキュリティ、帯域幅管理、管理容易性、拡張性の高さ、 移行上の考慮事項といった企業ネットワーク要件の分析が完了したら、 最後に考慮するのは、どのように VPN を実装するかということです。

VPN 機器のインフラストラクチャ

VPN ソリューションは、複数の装置---ルータ、ファイアウォール、 帯域幅管理装置---を使用して構築することもできますし、 ファイアウォールや帯域幅管理機能を内蔵した 1 台の統合 VPN ルータ上に実装することもできます。 すべての VPN 機能を 1 台のルータに統合すれば、ネットワークの複雑さが減り、VPN プラットフォームのトータル所有コストを低く抑えることができます。 しかし、Cisco 社の VPN ソリューションは、統合装置アーキテクチャ用の VPN ルータを提供すると同時に、複数装置 VPN アーキテクチャを採用した専用の高性能装備も含めた、オープンな実装アーキテクチャを提供しています。 最終的には、ネットワーク体系、プロトコル、および企業の接続要件を総合して、 VPN アーキテクチャを決定します。

統合 VPN ソリューションについては、Cisco 社は、在宅勤務者から支社、中央の本社に 至るまでの VPN アプリケーションに対応した、VPN 可能および VPN 最適化ルータ・セットを提供しています。 VPN 可能ルータ (Cisco 1000、1600、2500、4000、4500、4700 シリーズ) は、 中程度の暗号化およびトンネル伝送要件を持つ VPN アプリケーションに適しています。 VPN 可能ルータは、VPN サービスのすべてを、Cisco IOS ソフトウェア機能を通じて提 供します。 よりスケーラブルなセキュリティ要件、ならびに VPN 中心の WAN トポロジーに対応す るために、Cisco 社では VPN を最適化し、統合した VPN ルータのポートフォリオも提供しています。 VPN を最適化し、統合した VPN ルータは、より積極的な VPN 展開を目指したのより高度の暗号化およびトンネル伝送要件を満たすように設計されており、 高速暗号化のためのハードウェア拡張性と VPNを 中心とした WAN 用の最適化 WAN インターフェイス構成を備えます。 Cisco 社の VPN を最適化し、統合した VPN ルータ・ポートフォリオは、Cisco 800、1720、 2600、3600、7100、7200、7500 のシリーズのルータで構成されています。

図 8: Cisco VPN 最適化ルータ・ポートフォリオ

在宅勤務者および小規模オフィス用のソリューション: Cisco 800 シリーズ

Cisco 800 シリーズのルータは、インターネットや企業 LAN への安全な ISDN アクセスを提供します。 トンネル伝送と暗号化用の GRE や IPSec を含めた Cisco IOS 機能を組み込むことによ り、Cisco 800 は、VPN アプリケーションを在宅勤務者や非常に小規模のオフィス (通常は、従業員 6 ～ 19 名) に拡張します。 Cisco 800 シリーズには、 4 種類のモデルのルータと、選択可能なソフトウェアのフィーチャ・セットが含まれています。 Cisco 801 および 802 モデルは、ISDN 基本速度インターフェイス (BRI) と 1 つのイ ーサネット LAN 接続を提供し、一方 Cisco 803 および 804 モデルには、 4 ポートのイーサネット・ハブと 2 つの RJ-11 インターフェイスが追加され、電話機、ファック ス機、モデムなどの一般電話サービス (POTS) 装置をサポートします。

小規模支店用のソリューション: Cisco 1700 シリーズ

Cisco 1720 アクセス・ルータはモジュラ・ソリューションで、1 台のプラットフォーム 上に統合 VPN ソリューションを構築するのに必要なすべてのコンポーネントを提供します。 RISC プロセッサで駆動される Cisco 1720 は、暗号化、トンネル伝送 (L2F、L2TP、IPSec 、GRE)、QoS、オプションの動的 Cisco IOS ファイアウォール、およびハードウェア支援の暗号化と圧縮の選択に対する完全な Cisco IOS サポートを実装した VPN アプリケ ーションに対応するように、最適化されています。 このオールインワン VPN ソリューションは、セットアップ・コストを最小化し、小規模 の支店や小・中規模のビジネス環境での VPN の展開および管理の作業を削減します。

Cisco 1720 には、自動感知 10/100 ファースト・イーサネット・ポートが 1 つ、モジュラ WAN インターフェイス・カード (WIC) スロットが 2 つ、補助 (AUX) ポートが 1 つ装備されています。 Cisco 1720 は、ISDN、シリアル、統合データ・サービス・ユニット/チャネル・サービス・ユニット (DSU/CSU) カードなど、1600、2600、および 3600 プラットフォームで利 用可能なすべての WAN インターフェイス・カードをサポートするので、 WAN サービスに柔軟性を与え、投資を保護します。

中規模支店および小規模地方支社用のソリューション: Cisco 2600 および 3600 シリーズ

Cisco 2600 と 3600 は、同一のネットワーク・モジュール (NM) と WIC を多数共用しているので、実質的には 1 つの拡張可能製品ファミリです。 そのモジュラ設計により、Cisco 2600 と 3600 は、VPN の利点である柔軟性を備えます。 シリアル、チャネル化、ISDN、およびモデム・インターフェイスを幅広くサポートするので、堅固なイントラネット、 エクストラネット、およびリモート・アクセスの VPN をサポートできます。

単一の NM スロットを持つ中規模の支店の場合、Cisco 2600 は VPN 用の理想的なプラットフォームです。搭載された RISC プロセッサは、堅固な Cisco IOS セキュリティ、トンネル伝送、および QoS 機能を実行する能力を備えており、これらのバーチャル・ネットワークを専用回線として使えるようにします。 大規模な支店や小規模な地方支社用にサイズを拡大した Cisco 3600 シリーズは、より 高性能の RISC プロセッサを搭載し、より高密度です (3620 には NM 用のスロットが 2 つ、3640 にはスロットが 4 つあります)。

IPSec、GRE、L2F、および L2TP に加えて、Cisco 2600 および 3600 シリーズは、多様なパケット・フィルタリングを備えた IOS ファイアウォールもサポートし、1999 年後半にはオプションの暗号化ハードウェア・モジュールが提供されます。 Cisco 2600 モジュールは、内部拡張統合モジュール (AIM) スロットを使用し、Cisco 3600 は NM を使用します。

パケット化された音声モジュールを備えた Cisco 2600 および 3600 シリーズは、すでにデータからマルチサービスへの VPN 拡張が可能になっています。 この統合能力は、Cisco 2600 および 3600 シリーズが、支店のネットワーク・インフラスト ラクチャを構成する「箱」の数を減らすことによって、システム管理を簡単にし、 支店のライフ・サイクル・コストを削減することを示すほんの一例にすぎません。 Cisco 2600 および 3600 は、WIC を Cisco 1600 および 1720 と共用できるので、そのモジュラ設計による投資保護効果は、他のプラットフォームにも及びます。

地方支社および本社用のソリューション: Cisco 7100、7200、7500

Cisco 7100、7200、および 7500 シリーズのルータは、業界を先導する高速ルーティングと包括的な VPN サービス (トンネル伝送、データ暗号化、セキュリティ、 先進的な帯域幅管理、サービス・レベル検証など) を統合して、安全で拡張性の高い VPN プラットフォームを提供し、公共データ・サービスを使用して、優れた、 費用効果の高いリモート・アクセス、リモート・オフィス、およびエクストラネット接続を実現します。

Cisco 7200 および 7500 シリーズのルータは、その高密度のポートと堅固なサービス配布を通して、 スケーラブルな VPN ソリューションを提供する一方、従来の WAN 環境に 広くみられる私設 WAN 集約要件にも対応できます。 Cisco 7100 シリーズ VPN ルータは、Cisco 7200 および 7500 シリーズによって提供される VPN ソリューションを拡張し、最小限の私設 WAN 要件を持つネットワーク専用に設計 されたスケーラブルな VPN プラットフォームを提供します。 Cisco 7000 ファミリ・ルータのメンバとして、Cisco 7100、7200、および 7500 は、 インターフェイス・カード (ポート・アダプタと呼ばれる) を共用するので、スペアの準 備も単純化されます。

Cisco 7100、7200、および 7500 のシリーズは、サイト・ツー・サイトのイントラネット、 エクストラネット、またはリモート・アクセスのアプリケーションに適したトンネル伝送および暗号化サービスを提供します。 スケーラビリティ要件が増えたときは、オプションの統合サービス・アダプタを Cisco 7200 および 7500 に導入すれば、暗号化の増強とトンネルのスケーラビリティが提供されます。 暗号化の増強とトンネルのスケーラビリティは、統合サービス・モジュールを使って Cisco 7100 上に導入します。 これらのプラットフォームは、それぞれトンネル伝送および暗号化用の IPSec、L2TP、 L2F、および GRE をサポートしており、公衆網インフラストラクチャを通るデータを保護します。 周辺セキュリティ・アプリケーションのために、Cisco 7100 および 7200 シリーズは、 Cisco IOS ファイアウォールのフィーチャ・セットもサポートしており、ルーティング・インフラストラクチャ上で多様なパケット・フィルタリングを実行できます。

WAN トランスポート・オプション

Cisco 社の VPN は、VPN の実装に使用する WAN プロトコルについて、オープンなアプローチを取っています。 企業は、公共のインターネット、あるいはサービス・プロバイダの IP、フレーム ・リレー、または ATM ネットワークを使用して VPN を展開できます。 レイヤ 2 とレイヤ 3 のネットワークには、それぞれ特有の利点があります。 レイヤ 3 の IP ベース VPN は、WAN からの PVC がなくなるので、ネットワークの複雑さが減ります。 企業は、ポートおよび各ロケーション間の複数の PVC を管理する代わりに、IP ネットワーク への単一のポートを展開し、企業 WAN 上のロケーション間にメッシュ状の接続を実現できます。 Data Communications マガジンが行った VPN ネットワーク・コスト調査によると 、インターネット・ベースの VPN を使用すると、それに匹敵するフレーム・リレー設計に比べて、ユーザは接続コストを 50 パーセント以上節約できることが示されています。 しかし、今日のレイヤ 2 VPN は、企業にネットワークを通るスタティックな専用ルート を提供しており、IP ネットワークよりトラフィック・パターンが固定的になっています。 Cisco 社による IP ネットワーク用のポリシー・ベースのルーティングの開発が進めば、 この差は小さくなるものと考えられます。

Cisco VPN プラットフォームの機能と利点の要約

VPN は、ビジネスおよびテクノロジーの観点から有意義です。 VPN は、企業がネットワーキングのニーズに煩わされることなく、 そのエネルギーを肝心のビジネス目標に集中させることができるようにする一方、 運用および帯域幅コストの削減ももたらします。 また、VPN はネットワークについてのオール・オア・ナッシングの決定ではありません。 VPN は、既存の私設ネットワーク体系に段階的に導入することができ、 私設ネットワークの展開のための柔軟な移行パスを提供します。

VPN ソリューションは、3DES 暗号化、スケーラブルなトンネル伝送、パケット認証といった強力なセキュリティ機能と、 WFQ、WRED、GTS、CAR などのトランスポート信頼性メカニズムを提供しなければなりません。 また、VPN ソリューションは、既存のネットワーク・インフラストラクチャと相互運用可能であることも必要です。 こういった機能のそれぞれが VPN 実装に組み込まれていなければ、VPN はセキュリティやトランスポートの信頼性の問題にさらされることになります。 Cisco 社の VPN ソリューションは、VPN の実装に関連したあらゆるセキュリティおよび 信頼性の問題に対応できる包括的なフィーチャ・セットを提供します。

Cisco 社の VPN ソリューションが提供する機能と利点を概要を、表 2 に示します。

追加情報とサポート資料

VPN 可能テクノロジー、プロトコル、および製品に関する詳しい情報は、 以下の資料を参照してください。

Cisco エンタープライズ VPN ソリューション

• http://www.cisco.com/warp/public/779/largeent/learn/technologies/VPNs.html

Cisco VPN 最適化ルータ

• Cisco 800 シリーズ: http://www.cisco.com/warp/public/cc/pd/rt/800/index.shtml
• Cisco 1720 VPN アクセス・ルータ: http://www.cisco.com/warp/public/cc/pd/rt/1700/index.shtml
• Cisco 2600 シリーズ: http://www.cisco.com/warp/public/cc/pd/rt/2600/index.shtml
• Cisco 3600 シリーズ: http://www.cisco.com/warp/public/cc/pd/rt/3600/index.shtml
• Cisco 7100 シリーズ VPN ルータ: http://www.cisco.com/warp/public/cc/pd/rt/7100/index.shtml
• Cisco 7200 シリーズ: http://www.cisco.com/warp/public/cc/pd/rt/7200/index.shtml
• Cisco 7500 シリーズ: http://www.cisco.com/warp/public/cc/pd/rt/7500/index.shtml

Cisco トンネル伝送と暗号化

• IPSec: http://www.cisco.com/warp/public/cc/techno/protocol/ipsecur/ipsec/tech/ipsec_wp.htm
• L2TP: http://www.cisco.com/warp/public/cc/pd/iosw/prodlit/l2tun_ds.htm
• L2F: http://www.cisco.com/warp/public/732/L2F/

Cisco 帯域幅管理/QoS 機能

• http://www.cisco.com/warp/public/732/net_enabled/qos.html

Cisco NetRanger

• http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/index.shtml

Cisco NetSonar

• http://www.cisco.com/warp/public/cc/pd/sqsw/nesn/index.shtml

Cisco IOS ファイアウォール

• http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/index.shtml

Cisco PIX ファイアウォール

• http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/index.shtml

Cisco 企業管理

• http://www.cisco.com/warp/public/779/servpro/cpn/