第1回 インターネットVPN環境を構築する:VPN実践導入講座(4/4 ページ)
企業のWAN接続は専用線から安価なブロードバンド・インターネットVPNへ。VPN環境におけるActive Directoryの構築とその検証。
ネットワーク(IPアドレス)のプランニング
VPNを利用する場合、各ネットワークに割り当てるIPアドレスは、ネットワーク全体でユニークになるようにしなければならない。通常はローカルのネットワーク上でのみIPアドレスのユニーク性が保証されていればよいのだが、VPNを使って大規模なネットワークを構築する場合は、それらのすべてのネットワークを通してIPアドレスがユニークになるようにしておかなければならない。これはIPルーティングの原理を考えれば分かることだが、それぞれのネットワークが異なるネットワーク・アドレスを持っていないと、IPパケットのルーティングができなくなるからだ。
ネットワーク全体でIPアドレスのユニーク性を保証するためには、全社的なIPアドレスの割り当て計画の立案と実行が必要になる。必要ならば既存のIPアドレス体系をあらためて、全社的にIPアドレスを割り当て直さなければならないということになるかもしれない。たとえすぐにVPNを導入する予定がない場合でも、今後に備えて、計画的にIPアドレスを割り当てるようにしておくことは決して無駄ではないだろう。
具体的に、各部署にどのようなIPアドレスを割り当てるかについては、ここでは特に触れないが、一般的には、10.*.*.*/8とか172.16.*.*/12、192.168.*.*/16のプライベートIPアドレスを使って、地域やビル、フロア、部署ごとなどに順番に割り当てることが多い。例えば本社には10.10.*.*を割り当て、各支社には10.11.*.*、10.12.*.*、……を順に割り当てるという具合である。今回の構築例では、東京本社と神戸支社にそれぞれ10.100.1.*/24と10.101.2.*/24を割り当てると想定している。
インターネットとの接続
インターネット接続を利用したVPNを実現するためには、インターネット上に仮想的なトンネルを作成し、ローカルからの通信をすべてそのトンネルへ振り向ける機能を持つVPN対応ルータ(VPNゲートウェイ)が必要となる。
このルータには、VPN用の専用ルータを使うこともこともできるし、Windows 2000 Serverに組み込まれたRouting and Remote Access Service(RRAS)を利用することもできる。どちらで行ってもほぼ同じ効果が得られるが、今回はWindows 2000 Serverを利用して、以下のような構成で利用する例を解説する。
インターネットへのアクセス
プロバイダから支給されるルータやDSLモデムの直後にWindows 2000 Serverを接続し、この上でRouting and Remote Access Service(RRAS)を稼働させてVPNゲートウェイとして利用する(VPN対応のルータでも構わない)。同時に、インターネットへのアクセスを行うために、NAT/NAPT(IPマスカレード)も行う。これは本社側の構成だが、支社側でも同様のネットワーク構成になる。ただしVPNの仮想トンネルの確立は、支社側から本社側に対して行うものとする。固定IPアドレスを割り当ててもらえるインターネット接続サービスを利用することにより、VPNの対向のIPアドレスを限定して、セキュリティを強固にすることができる。
今回の構築例では、図のように、インターネットとの接続に使われるルータもしくはDSLモデム*1の直後にRRASサービスを稼働させたWindows 2000 Serverを配置し、これをVPNゲートウェイとして利用する。
*1 ここでいうルータやDSLモデムとは、プロバイダと契約すると入手できるインターネット接続用のネットワーク機器のことを指す。ユーザーが内部の設定を変更することはできず、せいぜいパケット・フィルタぐらいしか設定できないものとする。
このWindows 2000 Serverの役割は2つある。1つは、VPNのトンネルを作り、本社と支社の間での通信を行うことである。本社側のVPNサーバは、支社側からのVPNの呼び出しに応じてトンネルを作成するので、同時に複数のVPNセッションが張られることになる。支社側では、本社側のVPNサーバに対してVPNの通信を開始し、仮想トンネルを確立するという役目を負う。
もう1つの役目は、ローカルのネットワーク(社内)からインターネットへのアクセスを中継し、そのとき同時にNAT/NAPT(IPマスカレード)を行うことである。本社や各支社からのインターネット・アクセスは、直接それぞれの拠点から行い、いちいち本社側へ中継して、そこからインターネットへアクセスするわけではない(昔はこのような使い方も多かったが、現在ではあまり意味はないであろう)。各拠点では、プライベートIPアドレスを使ってネットワークを構築しているので、インターネットに接続するためには、途中で必ずIPアドレスの変換(NATやNAPT)を行う必要がある。今回の設定例では、各拠点から直接インターネットに接続するので、このアドレス変換は拠点ごとで独自に行う必要がある。Windows 2000 ServerのRRASにはアドレス変換機能が用意されているので、これを使って実現する。
VPNプロトコル
Windows 2000 Serverを使ってVPNを行う場合、VPNのプロトコルとしてはPPTPかL2TP(+IPSec)が利用できる。
PPTP(Point to Point Tunneling Protocol)は、Windows NT 4.0のころから使われてきたトンネリング・プロトコルである。ダイヤルアップ接続で使われるPPPプロトコルを拡張して圧縮や暗号化を組み込んだもので、Windows系OSのシステムでよく使われている。
L2TP(Layer 2 Tunneling Protocol)もPPPをベースにした同様のトンネリング用のプロトコルである。ただし暗号化機能は含まれず、IPSec(IP Security)で行うことになっている。これらの仕様はRFCとして決められており、ハードウェアのルータ製品を中心に実装が進んでいる。
Windows 2000 Serverではこのどちらでも利用できるが、その手順はやや異なる。またトンネリングのために使用するプロトコルやポート番号も異なるので、セキュリティのために設定するフィルタも別のものになる。プロトコルの詳細や具体的な手順については次回解説する。
RRASで利用できるトンネル・プロトコル
Windows 2000のRRASでは、PPTPとL2TPの2種類のVPNプロトコルが利用できる。それぞれのプロトコルに対して仮想的なポートを割り当てておき、外部からVPNサーバに接続すると、この仮想的なポートごとにVPNのトンネルが作られる。
(1)PPTPのポート。デフォルトでは5ポート割り当てられる。ポート数を増加させると、同時に開設できるPPTP VPNのコネクション数が増える。
(2)L2TPのポート。
「検証」
Copyright© Digital Advantage Corp. All Rights Reserved.