Loading
|
@IT > オーバーレイネットワーク新時代 手軽にセキュアなネットワーク環境を実現するL2Connect |
|
アプリケーションへの依存性が低いレイヤ2レベルの仮想プライベートネットワークを、実に簡単に張れると話題になったSoftEtherの登場以降、レイヤ2レベルで仮想ネットワークを構築する手法が一般によく知られるようになった。 イーサネットのレベルから仮想化を行うことで、その中に通すトランスポートプロトコルやアプリケーションにまったく依存しないシステムを構築できることが、こうした技術の最も大きな魅力だろう。現在、運用しているアプリケーションをまったく変えることなくネットワークの仮想化を実現できるのだ。 三菱マテリアルはそうしたトレンドにいち早く適応したベンダだ。L2VPNソフトウェアを開発・販売するとともに、さまざまなソリューションとしてユーザーに提案してきた。その三菱マテリアルが今年の秋、オリジナル開発の「L2Connect」を発売した。レイヤ2仮想ネットワーク製品を最もよく知るベンダの1つでもある同社は、なぜL2Connectの自社開発を決断したのだろうか。 その背景を取材してみると、なるほど、例えばSoftEtherとは異なるアプローチの製品であることが見えてきた。三菱マテリアルは企業ユーザーからのニーズをくみ上げ、エンタープライズレベルの大規模案件にもスケーラブルに対応できるパフォーマンスと、多数のクライアントに対する管理性を重視してL2Connectを設計したのである。その発想は、いわゆる“VPN製品”とは一線を画すものだった。
三菱マテリアルがL2Connectを通してユーザーに提案しようとしているのは、簡便なインストールとシンプルな管理手法により、複数の異なるネットワークをまたがるレイヤ2レベルの仮想ネットワークを構築することだ。 “オーバーレイネットワーク”という言葉を耳にしたことのある読者も多いだろう。既存ネットワーク上に上位レイヤのプロトコルで仮想ネットワークを創出する考え方だ。 例えば自社内だけでなく、関連企業、外注先、顧客などとインターネットをまたいで仮想ネットワークを作り、その中でアプリケーションを動かす。あるいはサーバダウン時に、ミラーリングしてある別拠点のサーバを自動的に仮想ネットワークでつなぐことで業務停止を防ぐなど、さまざまな活用方法が考えられ、その応用範囲は非常に広い。
L2Connectは、もちろん一般的なVPN製品としても利用価値の高い製品だが、もっと幅広い用途を見据えた、オーバーレイネットワーク構築のための、優れた解決策として開発されている。
L2Connectがユニークな点は、L2レベルの仮想化を行う技術でありながら、クライアント/サーバの形式を採用していないところにある。 SoftEther(PacketiX)に代表されるほかの技術は、イーサネットをエミュレートするために、イーサネットNICと同じ振る舞いをする仮想NICをクライアントにインストールする。別途、仮想ハブを立ち上げておき、そこに接続する(仮想的なツイストペアケーブルを接続するイメージ)ことで、仮想ネットワークを実現している。つまり典型的なクライアント/サーバ型ソリューションだ。 仮想イーサネットであるため、トラフィックコントロールを行うには、ルーティングテーブルを作りパケットの流れをある程度制御しなければならない。その一方で、アプリケーションからは完全にNICとして認識されるため、既存アプリケーションに対する変更は不要となる。 一方、L2Connectの仮想ネットワークも、アプリケーションから普通のイーサネットにしか見えない点は同じ。しかしL2ConnectはイーサネットNICやハブをエミュレートするのではなく、自身がスイッチのように振る舞う。 L2Connectネットワークを構成するコンピュータは、すべて同じように仮想スイッチとして動作し、それぞれの仮想スイッチ間にケーブルをつなぐようにコネクションを張れば、MACアドレスを見て仮想スイッチがパケットを目的の仮想スイッチまで届ける。つまり、L2Connectにはクライアントやサーバといった概念がなく、すべての構成メンバーが等価に扱われるのである(ほかに、オープンソースであるOpenVPNが同様の形式を取っている)。
このため、大規模な仮想ネットワークを構築する際、トラフィックのコントロールをルーティングテーブルのメンテナンスで行う必要がなく、必要に応じてケーブルをつなぎ替えるようにコネクションを張るだけで運用できる。この運用の容易さがL2Connectの魅力の1つだ。 またイーサネットNICではなく、スイッチをエミュレートする仕組みを採用したことでアーキテクチャがシンプルになり、パフォーマンスを向上させやすいというメリットもある。トラフィックの分散が容易という特徴も、パフォーマンスを向上させるうえで重要なポイントだろう。
L2Connectを用いた仮想ネットワークの構築は、実に簡単だ。アプリケーションに依存しない仮想ネットワークを構築する手法としては、ほかにもIPsecがある。しかしIPsecはレイヤ3──すなわちIPの仮想化であり、ファイアウォールやNATなどのゲートウェイを通過させるには、ゲートウェイ上で何らかの設定を行わなければならないことが多い。 しかし、レイヤ2をSSL経由IPネットワーク上で実現するL2Connectならば、そうした特別な設定を行うことなく、どこからでも、どんなアプリケーションでも透過的な通信が可能だからだ。
さらにL2Connectには組み込み機器向けライセンスもあり、実際にL2Connectが組み込まれた小型アダプタも発売されている。これを用いることで、自宅勤務や小規模のブランチオフィスもメンテナンスフリーで、簡単にネットワークに参加させることが可能になる。 またWindows Mobile 5.0に対応しており、携帯電話やPHS網に直接つながるスマートフォン経由のモバイルソリューションを容易に開発できるのもメリットだろう。今後は一般的な携帯電話からも接続できるよう、BREWなどの携帯電話向けアプリケーションプラットフォーム向けのL2Connect開発も検討しているという。 管理に関してもSNMPをサポートし、仮想スイッチをネットワーク全体の管理システムに組み込むことが容易だ。添付のスイッチマネージャを用いれば、別途、管理ツールを用意しなくとも集中管理が行える。 ユーザーPCへのクライアントソフトウェアの配布・配置に関しても工夫されている。一般的なsetup.exeによるインストールはもちろんだが、オートラン機能を用いた光ディスクによる配布や、WebサイトからActiveXを用いてインストールする手法、USBメモリの挿入による自動インストールといった手法を選択できる。もちろん、サイレントインストールに対応しているため、管理者が適切な設定をしておけば、ユーザー側に特別なインストール作業は必要ない。
レイヤ2仮想ネットワークの経験が豊富な三菱マテリアルが開発した製品だけに、セキュリティ面でもいくつかの特徴的な部分がある。 一般的なIDとパスワードによるRADIUS認証に対応するほか、電子証明書による認証もサポート。USBキーなど、外部の認証デバイスを活用することもできる。 また、SoftEtherなどではWindows上からNICとしてクライアントソフトウェアが認識されるため、Windows自身の機能で簡単に社内ネットワークなどとブリッジすることが可能だった。しかし、L2Connectでは通常のアクセス用クライアント(L2Connect Remote Access)とブリッジが可能なクライアント(L2Connect Remote Bridge)のライセンスを分けている。 加えて接続先がどちらのクライアントソフトウェアを用いているかを判別できるため、ブリッジ可能なユーザーや機器を限定し、クライアントPC側の運用によってセキュリティホールが発生しないよう工夫されている。もちろん、MACアドレスによるアクセス制御も可能だ。 暗号化に関しても、OpenSSLを製品内部で用いており、万一、脆弱性が発見された場合でも速やかにアップデートできるというメリットがある。もちろん、幅広く使われているオープンソースのコードであるため、セキュリティレベルや暗号強度、バグなどの点が実証されている点も見逃せない。すでにパイロットユーザーによる大規模な試験運用も行われており、数千人規模の仮想ネットワークにおいても高いスケーラビリティを発揮しているという。 レイヤ2仮想ネットワークのソリューションに初期から加わっていた三菱マテリアルだけに、過去の事例やサポートの実績も豊富だ。高いセキュリティレベルを維持したまま、オーバーレイネットワークを可能な限りシンプルに構築できる。それは製品に過去の経験が生かされているためだろう。 こうしたL2Connectの機動性、機能性、安全性などに呼応して、L2Connectとともに動作するサードパーティ製品との組み合わせも可能になってきた。 例えばカオスウェアと共同開発中のファイル暗号化ソフトは、特定ネットワークに接続している場合のみ、暗号を解いてファイルを参照可能にする機能を実現するという。ユーザーはL2Connectで仮想ネットワークにアクセスしている時には、通常どおりにファイルを扱えるが、コネクションが切れるとファイルが開けなくなる。 またMVNO(仮想移動体通信事業者)の日本通信と協業し、持ち出しPCのインターネットアクセス時に、L2Connectを経由しなければ通信が行えないよう制限を掛けるソリューションも開発されている。
三菱マテリアルがL2Connectを開発した目的は、2年にわたって企業向けVPNソリューションを販売してきた経験(約200社に販売)を活かし、ユーザーからの声を拾い上げ、セキュアで管理性の高いオーバーレイネットワーク構築ツールを、新しい考え方で再構築するためだ。 そのシンプルな構成と簡単な運用。それに柔軟性と安全性に富んだセキュリティ機能などは、すべてソフトウェアのみで実現されているうえ、既存ネットワーク機器の再設定が不要であるため、小規模な導入試験から徐々にネットワーク構成を変更していくことが可能。システムやアプリケーションの再構築を一気に進める必要はない。 まずは評価。その利便性の高さは一度評価で試用してみれば、あっという間に理解できるに違いない。
提供:三菱マテリアル株式会社 企画:アイティメディア 営業局 制作:@IT編集部 掲載内容有効期限:2007年7月2日 |
|