データ/音声/映像アプリケーション対応のIPSec VPN

データ/音声/映像対応IPSec VPNソリューション ─ IPSec VPN(V3PN)

Hierarchical Navigation
ダウンロード
データ/音声/映像対応IPSec VPNソリューション ─ IPSec VPN(V3PN)

ホワイト ペーパー

データ/音声/映像対応のIPSec VPN(V3PN)

ソリューション概要

Virtual Private Network(VPN;仮想私設網)は、専用線、フレームリレー、またはATM(非同期転送モード)による専用線と同様のサービスを利用できるネットワークとして、低コストかつ柔軟性の高いソリューションを提供します。VPNを利用すると、在宅勤務者およびモバイル ユーザによるシームレスなリモート アクセスおよび費用効果の高いリモート オフィス接続が可能になります。VPNでは、共有ネットワーク上で暗号化VPNトンネルによるセキュアなネットワークを活用することにより、企業データ ネットワークの費用を大幅に節約します。しかし、多くの企業が統合ネットワークの導入に向かいつつある今、VPNにも新たな機能が求められています。シスコが提供するデータ/音声/映像対応のVPN(V3PN)を使用すれば、費用効果の高いVPNを活用しながら、品質や信頼性を損なうことなく、音声と映像をデータ ネットワークに追加できます。図1は、IPSec VPNを利用して、マルチサービス サービス プロバイダーの公衆網に専用ネットワークを構築し、音声とデータを安全に送信する方法を示したものです。

図1 音声/映像対応IPSec VPN



このソリューション概要では、ビジネスを運営するうえで、配置上の検討事項、実現可能なテクノロジー、製品、そしてシスコ V3PNソリューションの価値を実証する2つのケース スタディについて記載します。

ビジネス要因

市場における業務拡張と激しい競争の中にあって、企業のネットワーク管理者は、本社、支社、自宅、外出先のどこにいる社員にでも、音声、映像、データによるサービスを配信するネットワーク ソリューションを探し求めています。ビジネスの要因には次のものがあります。
  • コスト削減 - 企業は、音声、映像、データのサービスを1つのIPネットワークに統合し、より経済的で効率的な方法で、社員に配信する必要があります。コスト削減には、ネットワーク運用コスト、WAN送信コスト、在宅勤務者とモバイル ワーカーのアクセス コスト、通話料の削減が含まれます。
  • 従業員の生産性の向上 - 自宅やホテルからでも高速インターネットへアクセスできるようになり、企業はネットワークを在宅勤務者やモバイル ワーカーにまで拡張して、これらの社員が企業のネットワークと同じ音声、映像、データのサービスへアクセスできるようにする必要が生じています。
  • 市場への迅速な対応 - 企業は、市場の需要に適格に対応し、新しい支社や販売オフィスを開設したら、これを迅速にネットワークに接続する必要があります。

以下に、この拡張しつつあるモバイル業務環境でビジネスを行う際の問題点と、Cisco V3PN IPSec VPNソリューションを利用してこれらの問題点を克服する方法について述べます。

現状の課題
企業ネットワークやサービスを支社、在宅勤務者、モバイル ワーカーにまで拡張しようとすると、それぞれに固有の課題が生じ、新しいテクノロジーを導入する必要が生じます。図2は、これらの課題とその詳細、そして具体例を示したものです。

図2 ビジネス上の課題



課題には次のようなものがあります。
  • 支社・営業所 - 私設網と同様のパフォーマンスとセキュリティの厳しい要件を満たしながら、専用線、フレーム リレー、またはATM回線を使用するよりも低いコストで迅速に企業ネットワークに支社・営業所のネットワークを追加できること
  • 在宅勤務者/モバイル ワーカー - 在宅勤務者およびモバイル ワーカーに、高レベルのセキュリティを備えながら、オフィスにいるのと同レベルの生産性を提供すること

たとえば、在宅勤務者は、通常ダイヤルアップ モデムまたはISDN回線を使って企業のデータ サービスにアクセスします。多くの場合、通話料金には、毎月の基本接続料金に加えて、フリーダイヤルによる料金が加算されます。こうした接続は低速リンクであるため、生産性は低く、コストは高くなります。

Digital Subscriber Line(DSL;デジタル加入者線)、ケーブル高速インターネット アクセス、新VPNテクノロジーの出現により、企業データ サービスへの高帯域アクセスによるコストを低減し、在宅勤務者の生産性を大幅に向上させることができるようになりました。ただし、企業音声サービスへのアクセスはほとんど存在していません。一方で、自宅にいる社員が電話を使って業務を行うのは、とても非効率的です。在宅勤務者は、家庭用の電話を使用するか、携帯電話を使用するか、あるいは別料金を支払って仕事用に回線を追加するしかありません。そうすると、在宅勤務者は最低2本の電話番号と2つのボイスメール ボックス(仕事用と家庭用)を持ち、これらすべての着信電話をやり繰りしなくてはなりません。図3は在宅勤務の課題を示したものです。

図3 典型的な在宅勤務者の課題



Cisco V3PNソリューション
Cisco V3PNソリューションは、専用ネットワークと同等のパフォーマンスおよびセキュリティの厳しい要件を維持しながら、低コストでマルチサービスWANを実現し、社員の生産性を最適化する、新しいリモート アクセス手段です。このソリューションの使用により、すべてのユーザが場所を問わず安定的に企業ネットワークに接続できます。図4は、従来の企業ネットワークへの接続と比較しながら、Cisco V3PNソリューション使用の利点を示したものです。

図4 Cisco V3PNソリューション



ソリューションの検討事項

ここでは、Cisco V3PNソリューションを配置する際にネットワーク管理者が検討すべき事項について説明します。

QoS
  • 音声と映像の品質は、ネットワーク リンクが脆弱であれば低下します。したがってエンドツーエンドのQuality of Service(QoS;サービス品質)が重要になります。レイテンシ、ジッタ、パケット損失はすべて音声と映像の品質の低下につながります。ネットワーク管理者は、十分な音声および映像品質を維持するために、企業LANだけでなく、サービス プロバイダーが提供するサービス レベルを把握する必要があります。このドキュメントのなかでは、複数のサービス(音声、映像、データ)をサポートするために必要となる低レイテンシ帯域幅およびSLA(サービスレベル アグリーメント)を提供するマルチサービス サービス プロバイダーについて述べます。
セキュリティ
  • 送信セキュリティ - 公衆アクセス ネットワークおよびバックボーン ネットワークを横断するトラフィックは、適切なセキュリティ確保が必要です。IPSec VPNは、(暗号化を使用した)データ機密、データ完全性、加入ピア間のデータ認証によりこのセキュリティを提供します。
  • ネットワーク セキュリティ - シスコのファイアウォールは、VPNなどのあらゆる公衆ネットワークにとって重要であるステートフルな周辺セキュリティを提供します。VPNに音声と映像を展開する場合は、ファイアウォールを横断するすべてのマルチサービス トラフィックをステートフルに検査することが重要です。
  • 侵入検知 - ネットワーク境界保護を追加し、侵入者やワームなどの悪意あるトラフィックからIPテレフォニー ホストを遮蔽して、Cisco V3PNを確保するためには、侵入検知が不可欠です。
ネットワーク アベイラビリティ
  • 冗長コンポーネントとパス - コンポーネントまたはサービス プロバイダー ネットワークの障害時に高速で自動的にネットワークを回復させるには、クリティカルなコンポーネント(VPNヘッドエンド)およびデータ パスの冗長をサポートする必要があります。
ネットワークとサービスのインターオペラビリティ
  • QoSおよびIPSecの相互作用 - IPSecは、QoSマーキングを含めてパケットを暗号化します。したがって、IPSec暗号化トラフィックについてもQoSをサポートできるVPNデバイスを持つことが、VPNで通話品質の音声と映像においてきわめて重要な要素です。
  • VPNでのマルチキャスト サポート - 音声および映像のトラフィックの多くはマルチキャストです。IPSecは、本来マルチキャスト トラフィックをサポートしません。VPNでマルチキャストをサポートできるVPNデバイスを持つことがCisco V3PNソリューションにおいてきわめて重要です。
  • 低レイテンシ ネットワーク トポロジーのサポート - レイテンシとジッタを低減するには、メッシュ ネットワーク トポロジーを持つことが重要です。VPNデバイスは、基本的なハブアンドスポークだけなく、メッシュ トポロジーもサポート可能である必要があります。
  • VoIPプロトコル用のファイアウォール サポート - 多くのファイアウォール ソリューションでは、ステートフルにトラフィックを検査できないため、IPテレフォニー トラフィックのパススルーが必要です。IPテレフォニーをサポート可能なファイアウォールを持つことが、Cisco V3PNソリューションのセキュリティにおいてきわめて重要です。
サービス管理オプション

ビジネスの中核ではない業務をアウトソーシングする傾向が高まり、専用VPNの規模が拡大して複雑になるにしたがい、企業はサービス プロバイダーを採用してVPNを管理しようと考える場合もあるでしょう。企業は、Customer Premises Equipment(CPE;顧客宅内機器)を管理して、サービス プロバイダーとSLAの交渉を行うことも、サービス プロバイダーにCPEを含むWAN全体を管理させることもできます。

次に、通話品質の音声および映像をサポートするのに必要なマルチサービス サービス プロバイダーおよび一般SLA要件について説明します。

図5 VPNサービス管理オプション



マルチサービス サービス プロバイダー

企業がV3PNソリューションを配置する際に直面する重要なステップは、マルチサービス サービス プロバイダーを見つけて、SLA契約を結ぶことです。シスコは、マルチサービスをサポートするためにIPネットワークを調整する大手のサービス プロバイダーと密接に連携して、企業のお客様が優秀なマルチサービスのサービス プロバイダーを識別できるよう、Cisco Powered Networkプログラムを開発しました。

一般的なSLA要件
SLA交渉における基本は、高品質の音声、映像、データ送信をサポートするのに必要なレイテンシ、ジッタ、パケット損失バジェットを、ネットワークのセクションごとに把握することです。ネットワーク管理者は、ネットワークのLANセクションのバジェット値を決定し、その値を使用してSLAで交渉した制限を設定する必要があります。以下に、Cisco Powered Network指定の資格を持つマルチサービスのサービス プロバイダーがサポートすべきレイテンシ、ジッタ、パケット損失メトリックを示します。サービス プロバイダーは、ネットワーク アベイラビリティやトラフィックのタイプに基づく保証帯域幅など、他のメトリックを提案する場合があるので注意が必要です。
  • レイテンシ(米国または欧州内で60 ms以下)
  • ジッタ(20 ms以下)
  • パケット損失(0.5%以下)

マルチサービスのサービス プロバイダー選択についての詳細は、次のURLをご覧ください。

Cisco Powered Network
http://www.cisco.com/jp/cpn/


導入モデル

Cisco V3PNソリューションはサイトツーサイト、Small Office/Home Office(SOHO)、リモート アクセスという3つの導入モデルをサポートします。 各モデルは同様のテクノロジーとトポロジーを使用しますが、サービス プロバイダー ネットワークに要求されるサポート レベルはそれぞれ異なります。 次のセクションでは、導入モデルを図示し、異なったレベルのサービス プロバイダー サポートをそれぞれ示します。 図6は、Cisco V3PN配置モデルを複合したものです。

一般的なVPN配置アーキテクチャの詳細については、次のURLをご覧ください。

SAFE BLUEPRINT - SAFE: VPN IPSec Virtual Private Networks in Depth(英語)
http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128
/networking_solutions_white_paper09186a00801dca2d.shtml


図6 V3PN配置モデル



サイト間VPNの導入モデル
サイト間VPNの導入モデルは、企業本社と支社・営業所との間のIPSecトンネルで構成されます。 この導入モデルは、バックボーン マルチサービス サービス プロバイダーを利用して、ハブアンドスポークおよびメッシュ トポロジーをサポートすることで、従来の企業WANと同じ機能を提供します。 バックボーン サービス プロバイダーは、ネットワークをアップグレードしてマルチサービスをサポートする最初のプロバイダーです。このプロバイダーは、マルチサービスVPNによって、WANに代わるソリューションを、迅速に企業に提供します。 図7は、サイト間VPNのハブアンドスポーク型での導入例です。

図7 サイト間VPNの導入モデル



SOHO VPNの導入モデル
SOHO配置モデルは、企業本社とSOHO(すなわち在宅勤務者)との間のIPSecトンネルで構成されます。この導入モデルは、複数のマルチサービス サービス プロバイダー(すなわちバックボーンおよびアクセス)を利用して、従来のハブアンドスポークWANと同じ機能を提供します。シスコは、アクセス プロバイダーとバックボーン プロバイダーの両方と密接に連携して、このエンドツーエンド マルチサービス機能を簡易化し、V3PN SOHOソリューションの送信オプションを提供します。図8は、SOHO VPNを導入し、VPN接続が複数のサービス プロバイダーを横断する様子を示しています。

図8 SOHO VPNの導入モデル



リモート アクセスVPNの導入モデル
リモート アクセスVPNの導入モデルは、企業本社とモバイル ワーカーのラップトップ コンピュータ間のIPSecトンネルで構成されます。 この導入モデルも、複数のマルチサービス サービス プロバイダー(すなわちバックボーンおよびホテル ネットワーク)を利用して、「高速」な企業リモート アクセス ネットワークを提供します。 図9は、リモート アクセスVPNを導入して、VPN接続が複数のサービス プロバイダーを横断する様子を示しています。

図9 リモート アクセスVPNの導入モデル



テクノロジー

QoSツール

エンドツーエンドQoSは、VPNで通話品質の音声および映像サービスを配信するうえで非常に重要となります。シスコは、Cisco IOS®ソフトウェアで利用できる数多くのQoSツールが、VPN機能と連携して動作するようにしました。ここでは、Cisco V3PNソリューションを配置するときにネットワーク管理者が検討すべきQoS問題と、シスコがそれぞれの問題に対応するために提供しているツールについて説明します。

IPテレフォニー ネットワーク設計の詳細については、下記のURLをご覧ください。

CISCO IP TELEPHONY SOLUTION - Design Guides(英語)
http://www.cisco.com/en/US/netsol/ns340/ns394/ns165/ns268/
networking_solutions_design_guidances_list.html

エンドツーエンドQoSに必要な基本ステップを以下に示します。詳細については次のセクションで述べます。

ステップ1.   トラフィックが適切なクラスのサービスに割り当てられるよう、サービス プロバイダーによる分類と適格に一致するように音声、映像、およびデータ トラフィックを分類します。

ステップ2.   LANと企業エッジ ルータに適切なQoSツールを実装して、サービス プロバイダー ネットワーク方向に、トラフィックを正しくキューに入れます。

ステップ3.  Call Admission Control(CAC)を実施して、アクセス リンクの横断を許可される音声および映像の数を制限します。

図10は、通話品質の音声および映像送信のための推奨エンドツーエンド レイテンシ、ジッタ、パケット損失を制限する目標と、それを管理するQoSを示したものです。

図10 エンドツーエンドQoS管理



分類
分類とは、パケットまたはフローに特定のプライオリティをマーキングすることです。分類は、企業LANのワイヤリング クローゼットか、IPフォンなどの音声/映像エンドポイントの内部で行われます。ネットワーク内でプライオリティ処理を行うためには、パケットのIPv4ヘッダにあるType-of-Service(ToS)バイトにIP PrecedenceまたはDifferentiated Services Code Point(DSCP)ビットでマーキングを行う必要があります。図11は、ToSフィールドと、IP PrecedenceおよびDSCP QoSマーキングに使用されるビットを示しています。

図11 QoSレイヤ3分類



前述のとおり、このマーキングは、エンドポイント(たとえば、IPフォン)か、企業のエッジ ルータでパケット内に書き込まれます。これは、サービス プロバイダーのネットワーク内でパケットに与えられるサービスのクラスを決定するための選択基準となります。また、IP Precedence値とDSCPでは、同じフィールドを使用していることに注意してください。これは2つのマーキング方式の互換性を保つため意図的に行われているものであり、シスコ製装置は両方をサポートしています。エンドポイントをDSCPで分類するように設定していたとしても、パケットはIP PrecedenceベースのQoSネットワークで適切に処理されます。実際、エッジ ルータによっては、1つの方式を別の方式に変換するように設定することさえできます。

キューイング
キューイング ツールは、パケットまたはフローを分類に基づいて複数のキューのうちの1つに割り当てて、ネットワーク内で適切な処理が行われるようにします。データ、音声、映像が同じキューに入れられた場合、パケット損失や様々な遅延がさらに発生しやすくなります。出力側インターフェイスに複数のキューを使用し、音声パケットをデータ パケットとは異なったキューに入れることにより、ネットワークの動作は大幅に予測可能になります。

インターフェイス キューイングは、データ ネットワーク内で音声品質を保証するうえでもっとも重要な機構の1つです。これは、非常に制限された量のネットワーク リソースを求めて多くのトラフィック フローが競い合っているWANでは、さらに重要になります。トラフィックが分類されると、その処理要件を満たすインターフェイスの出力側キューにフローを置くことができます。Voice over IP(VoIP)は、パケット損失と遅延への許容値が極端に低いため、高優先度のキューに入れる必要があります。ただし、他のトラフィック タイプにも特定の帯域幅と遅延の特性がある場合があります。これらの要件は、Cisco IOSソフトウェアのLow-Latency Queuing(LLQ;低遅延キューイング)で対応します。図12は、分類に基づくトラフィックのキューイングを示したものです。

図12 トラフィック分類に基づくキューイング



Link Fragmentation and Interleaving(LFI)
低速WAN接続(768 kbps以下の速度)の場合、大きなフレームをデータ ストリームに流す際にはジッタの発生を抑えるためにLFIが必要です。LFIツールは、エンドツーエンド遅延を正確に予測するため、大きなデータ フレームを一定のサイズの小片に細分化したり、フローのなかに音声フレームを挿入したりする場合に使用されます。図13に示すように、このツールは音声トラフィックが大きなデータ フレームの背後で遅延するのを防ぐことにより、ジッタを低減しています。

図13 フレーム遅延を低減するためのLFIツールの使用





トラフィック シェーピング
ATMおよびフレーム リレーのネットワークでは、物理アクセス速度は2つのエンドポイント間で異なりますが、トラフィック シェーピングは、これらの速度の不一致が原因で輻輳したネットワークのインターフェイス バッファから生じる、過度の遅延を防止するのに使用されます。トラフィック シェーピングは、送信元ルータから宛先ルータまでのフレームの送信レートを測定するツールです。この測定は通常、送信インターフェイスの回線または回路のレートよりも小さい値で行われます。このレートで測定が行われるのは、ハブアンドスポーク トポロジーで一般的な回線速度不一致を解消するためです。

たとえば、図14に示すように、小規模のWAN接続を行っているリモート サイトが多く集束されると、中央サイトで規定された帯域幅または回線速度のオーバーサブスクライブが生じることがあります。

図14 バッファリングによって引き起こされる遅延



つまり、Cisco IOSソフトウェアで使用可能なこれらのQoSツールのすべてが、VPN機能と連携してV3PNソリューションを実装可能にします。

Call Admission Control(CAC)

CACは、音声フローが音声通話のために割り当てられた最大規定帯域幅を超えないようにする機構です。

音声、データ、そして場合によっては映像アプリケーションをサポートするのに必要な帯域幅を規定するための計算を行ったあとは、音声が割り当てられた帯域幅の部分をオーバーサブスクライブしないようにする必要があります。通常、QoS機構は、音声をデータから保護するために使用されますが、CACは音声を音声から保護するために使用されます。図15にこれを示します。図15は、2つの同時音声通話をサポートするよう帯域幅が規定されている環境です。3つめの音声コールの進行が許可されると、3つのコールすべての品質が低下します。この音声品質の低下を防ぐために、Cisco CallManager(CCM)およびCisco IOSゲートキーパにCACを規定して、3つめのコールをブロックします。

CACの詳細については、下記のURLをご覧ください。

CISCO IP TELEPHONY SOLUTION - Design Guides(英語)
http://www.cisco.com/en/US/netsol/ns340/ns394/ns165/ns268/
networking_solutions_design_guidances_list.html

図15 CAC



IPSecにより保護されたGRE

IPSecに保護されたGeneric Routing Encapsulation(GRE;総称ルーティング カプセル化)トンネルは、V3PNソリューションの重要なコンポーネントです。これは、さまざまなトラフィック タイプとトポロジーでの安全な送信を提供し、ネットワークのアベイラビリティをダイナミック ルーティングによって保証します。図16は、IPSecにより保護されたGREトンネルを示したものです。

図16 IPSecにより保護されたGRE

  • 多様なトラフィック タイプ - GREはユニキャスト トラフィックとマルチキャスト トラフィックの両方の送信をサポートし、IPおよび非IPプロトコル(たとえば、Internetwork Packet Exchange [IPX]、System Network Architecture[SNA]など)のどちらのトンネリングにも有用です。
  • 多様なトポロジー - 論理的には、GREはエンドポイント間のポイントツーポイント トンネルであり、ハブアンドスポークとメッシュ トポロジーをサポートします。音声または映像の品質を維持するために遅延を最小化しなくてはならない場合、遠いエンドポイントまでのトンネルを設定できるため、ハブ サイトを横断するために複数の暗号化サイクルに遭遇するようなことがなくなります。
  • 独立エンタープライズ ルーティングとIPアドレス指定 - IPパケットはGREヘッダ内部に置かれ、IPデータグラムでカプセル化されてリモートエンドへ「トンネル」されます。VPNデバイス上でトンネルを終端されるので、企業アドレス スペースとルーティング情報は、他の顧客またはサービス プロバイダーのアドレス スペースやルーティング情報とは独立したものとなります。そのため、企業にも、サービス プロバイダーにも最大の柔軟性が提供されます。
  • ネットワーク アベイラビリティ - 本来、IPSecは効果的なフェイルオーバー機能をサポートしませんが、V3PNソリューションは、ダイナミック ルーティングとGREを組み合わせて使用することにより、この問題に対処します。IPSecトンネルは、リモート ピアからの確認応答またはフィードバック機構なしにデータを送信するため、IPSecエンドポイントには、そのリモート ピアが到達可能なのかどうかを判断する方法がありません。したがって、リモート ピアがダウンしたり、到達不能であったりした場合、IPSecエンドポイントはデータを「ブラック ホール」と呼ばれる場所へ盲目的に送信し続けます。
    V3PNソリューションは、ダイナミック ルーティング プロトコルをIPSecに保護されたGREトンネルで使用し、リモート ネットワークの到達可能性を追跡します。ハイ アベイラビリティのためにダイナミック ルーティングを使用しているリモート サイトは、それぞれが互いにヘッドエンドとなっている、IPSecに保護されたGREトンネルを2つ確立します。ルーティング更新は両方のトンネルを横断してリモート サイトへ到達し、次に宛先ネットワークへの最適なパスを持つヘッドエンドへトラフィックを転送します。図17は失敗したリンクと、トラフィックがどのように有効なパスへと方向転換したかを示したものです。
図17 ダイナミック ルーティングを使用してネットワーク アベイラビリティを確保



製品

IPテレフォニーや映像、IPSec VPN、セキュリティ製品などをエンドツーエンドで提供しているシスコは、Cisco V3PNソリューションによる統合型ネットワーク ソリューションを提供するうえでの確かな地位を築いています。シスコが開発したV3PNソリューションを導入することにより、IPSec VPNでマルチサービスのインターオペラビリティが保証され、統一されたネットワーク デザイン ガイダンスおよびサポートが提供されます(図18)。
  • Cisco IOS VPNルータ - Cisco 1700、2600、3600、3700、7200シリーズなどのシスコ ルータは、V3PNソリューションの基礎となる製品です。Cisco VPNルータは、ルーティングのほかに、VPNでのマルチサービス トラフィックのための暗号化やQoSの機能を提供します。リモート サイトでは、Cisco IOS VPNルータが、VPN、テレフォニー、WANアクセス、ファイアウォールのワンボックス ソリューションとして機能するため、費用効果の高いリモート オフィス ソリューションが実現されます。
  • Cisco CallManager - Cisco CallManager(CCM)は、IPテレフォニー インフラストラクチャのためのスケーラブルな呼制御とシグナリング サービスを提供します。
  • Cisco IP Phone - シスコのIPフォンは、従来の電話と同じユーザ インターフェイスですが、ディレクトリ サービスやニュース フィードなどの強力な機能が利用できます。
  • Cisco IOS音声ゲートウェイ - Cisco IOS音声ゲートウェイは、VoIPネットワークから公衆電話網への接続を提供します。
  • Cisco PIX®セキュリティ アプライアンス - Cisco PIXセキュリティ アプライアンスは、H.323 Session Initiation Protocol(SIP)やSkinnyなどのプロトコルを含む音声/映像トラフィックのステートフル インスペクションを提供します。
  • Cisco IDS Host Sensor - IDS Host Sensorは、リアルタイム解析を行い、CCMなどのIPテレフォニー機器に対するセキュリティ攻撃への対応を行います。
図18 シスコ製品



ケーススタディ

次の2つのケーススタディは、V3PNソリューションが専用フレーム リレー WANネットワークに代わる低コスト製品を提供し、在宅勤務者に費用効果と生産性の高い作業環境を提供している様子を示したものです。

サイト間VPN

専用フレーム リレー ネットワークとCisco V3PNソリューションを費用面で比較しています。この企業では、繰り返される月々の課金についてコストを大幅に節約できることを認識しました。フレーム リレーの半分の期間でインストールが完了するうえに、1年につき168,000ドル以上の節約となりました(図19)。

図19 V3PNサイトツーサイトVPNケース スタディ



リモート アクセスVPN

SOHOにおけるV3PNソリューションのコストを算出してみます。

在宅勤務者は、PCにインストールされたVPN Clientを使用して企業のデータ ネットワークにアクセスしているとします。ただし、VPNを経由して企業の音声サービスにアクセスすることはできないので、自宅からの電話は面倒なものになっていました。この在宅勤務者の場合、自宅の電話番号のほかに業務用の電話回線を追加して、その料金を支払っています。そのため、2つの電話番号およびボイス メールボックス(会社にあるものと、自宅のもの)を持ち、これらすべての着信電話をやり繰りする必要があります。業務用の電話回線の基本料金と長距離通話料金により、毎月の総電話料金は1カ月あたり約200ドルになります。

そこでこの会社は、V3PNソリューションを導入し、これをIPテレフォニーと統合して、企業オフィスで従業員が利用できるのと同じデータと音声サービスを提供しました。これにより、月々の膨大なビジネス回線と長距離電話料金を節約することができます。また、在宅勤務者は、マルチサービスのサービス プロバイダーからの高速接続へ接続されるVPNルータを利用して、企業ネットワークへの安全なIPSecトンネルを確立しました。この在宅勤務者のIP Phoneは、適切なCisco CallManagerのIP PBX(構内交換機)に登録され、割り当てられた企業電話番号でプロファイルを受信して、すべてのスピード ダイヤルや企業ディレクトリを利用できます。この在宅勤務者の生産性は、企業のオフィスにいる人々と同等になったうえに、会社のコストは大幅に低下しました(図20参照)。

図20 リモート アクセス ケーススタディ



まとめ

IPテレフォニーとIPSec VPN両方に対してエンドツーエンドでの製品およびアーキテクチャを提供するシスコは、V3PNソリューションによる統合型ネットワーク ソリューションを提供するうえでの地位を確かなものにしています。シスコが開発したV3PNソリューションを配置することにより、企業LANだけでなくサービス プロバイダー ネットワークでのコンポーネントとテクノロジーのインターオペラビリティが保証され、統一されたネットワーク デザイン ガイダンスとサポートが提供されます。

参考資料

セキュア コネクティビティ ソリューション
http://www.cisco.com/jp/solution/netsol/security/scsol/

SAFE BLUEPRINT - SAFE: VPN IPSec Virtual Private Networks in Depth(英語)
http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128
/networking_solutions_white_paper09186a00801dca2d.shtml

お問い合わせ