VPNを利用したネットワークの設計に先立ち、VPNの基本的なしくみと、それを実現するプロトコルについて学ぼう。
前回述べたように、VPN(Virtual Private Network)とは、インターネットなどのIPネットワークを利用して、仮想的に専用線のようなポイント・ツー・ポイントの接続を可能にする技術だ。専用線接続や電話回線を利用したダイヤルアップ接続に比べ、通信費を安く抑えることができるというメリットがある。今回は、インターネットVPNを構築する際に使われるネットワーク・プロトコルについて解説する。
VPNの接続形態はインターネットVPNとIP-VPNに大別できる。インターネットVPNは、セキュリティ上「安全なネットワーク」ではないインターネットをインフラとして利用する。そのため、インターネットVPNで接続する2点間に暗号化や認証機能を持つ論理的な仮想トンネルを構築し、データをこの仮想トンネル内に流すことでセキュリティを確保する。また、インターネットは専用線とは違い、ベストエフォート型のネットワークであり、サービスの品質(利用可能な最低限の通信帯域や遅延時間、到達可能性など)は必ずしも保証されない。一方、IP-VPNは、通信事業者が提供する閉鎖的なIPネットワークを利用するため、インターネットVPNに比べて安全性は高い。また通信事業者がVPNの通信経路のほぼ全体を管理するため、帯域保証を得やすいほか、障害に対する対処もインターネットVPNに比べれば容易だ。ただし、接続費用は高価になる。
■インターネットVPNの利用形態
インターネットVPNの利用形態として考えられるのは次の2つだ。
このほか、これらの中間に位置するような接続形態も考えられるが、ここでは話を簡単にするために、この2つの形態について考えよう。
それでは、リモート・アクセスVPNから簡単に説明する。リモート・アクセス環境といえば、RAS(Remote Access Service)サーバを組織内に設置し、アナログ電話回線やISDNなどの公衆回線を使って組織の外部からダイヤルアップ接続するのが一般的だ。しかし、遠隔地からアクセスしたり、長時間アクセスしたりする場合には高額の通信料金が必要となる。また、RAS用として、公衆回線やRASサーバの回線インターフェイスを必要な数だけ用意しなければならない。この環境をリモート・アクセスVPNに置き換えることで、電話料金やRASサーバの管理コストを軽減することが可能になる。
次にLAN間接続VPNの例を見てみよう。2つのサイト(ネットワーク)がインターネット上の仮想トンネルを使って接続されている。
仮想トンネルを構築するためのVPN装置としては、VPN対応ルータやWindows Serverを用いることが可能だ。リモート・アクセスVPNを利用する場合、Windows 98/Me/NT 4.0/2000/XPが標準で備えるVPNクライアント機能を使い、サイト内に設置したVPN装置との間に仮想トンネルを構築するのが一般的だ。一方、LAN間接続VPNでは、VPN装置(VPN対応ルータやWindowsサーバ)間に仮想トンネルを構築し、サイト内のPCからは、VPNを意識することなく透過的に双方のLANを利用できるようにすることが多い。
Copyright© Digital Advantage Corp. All Rights Reserved.