VPNの基礎を学習する：ネットワークの基礎を学習する CCNA対策講座（33）（1/2 ページ）

本連載では、シスコシステムズ（以下シスコ）が提供するシスコ技術者認定（Cisco Career Certification）から、ネットワーク技術者を認定する資格、CCNA（Cisco Certified Network Associate）を解説します。2007年12月に改訂された新試験（640-802J）に対応しています。

[内藤佳弥子，グローバル ナレッジ ネットワーク]

　今回はVPNについて学習します。VPNを使用すると、コスト削減を行いながら拠点間を接続できます。また、セキュリティや拡張性もサポートされています。

　以下、VPNの概要と種類、VPNで使用されるセキュリティプロトコルであるIPSecについて学習していきます。

ネットワークの基礎を学習する　CCNA対策講座　各回のインデックス

• 第1回 新CCNA試験について知ろう
• 第2回 ネットワークのABC、OSI参照モデルとプロトコル
• 第3回 データはどうやって伝わるの？
• 第4回 LANの基礎を丸かじり
• 第5回 データ同士の通せんぼ――コリジョンてなぁに？
• 第6回 TCP/IPを制するものはネットワークを制す
• 第7回 TCPで、確実＆効率よくデータを送受信しよう
• 第8回 サブネットマスクの計算をマスターする
• 第9回 どこまでがネットワーク部？ クラスフルとクラスレス
• 第10回 シスコ ソフトウェアの基礎を学習する
• 第11回 Cisco IOSモードの設定
• 第12回 Cisco IOSのモードの設定情報と識別情報
• 第13回 インターフェイスの設定とルータの初期化
• 第14回 ネイバーの検出とCDPによるデバイス管理
• 第15回 Telnetを使用したリモートデバイスの情報収集
• 第16回 SDMによるルータの設定と管理
• 第17回 MACアドレスとフレームで、スイッチの基本動作を学ぶ
• 第18回 スパニングツリープロトコル、動作の仕組み
• 第19回 スイッチにVLANを設定する
• 第20回 VLAN操作を容易にするVTPの機能
• 第21回 ポートセキュリティの設定コマンドと確認
• 第22回 ルータの経路学習とスタティックルートの設定
• 第23回 RIPによるルーティングテーブルの作成
• 第24回 リンクステートルーティング（OSPF）の設定と確認
• 第25回 高速なコンバージェンスを実現するEIGRPを学習する
• 第26回 可変長サブネットマスク（VLSM）と経路集約
• 第27回 標準アクセスリストについて学習する
• 第28回 拡張アクセスリストについて学習する
• 第29回 無線LANの基礎について学習する
• 第30回 無線LANセキュリティの必要性と対策
• 第31回 NATとPATの設定方法を学ぶ
• 第32回 IPv4の枯渇に備えよ――IPv6の特徴と必要性
• 第33回 VPNの基礎を学習する
• 第34回 WANカプセル化プロトコルについて学習する
• 第35回 フレームリレーの基本を学習する

VPNの概要

　VPNは、Virtual Private Networkの略で、「仮想的なプライベートネットワーク」という意味です。インターネットのような公共のネットワークを使用し、仮想的なプライベートネットワークを構築します。

　VPNでは、トンネリングと暗号化が特に重要です。トンネリングとは、元のパケットにIPヘッダを付加することにより、インターネットを介した公共ネットワーク上で、あたかもポイント・ツー・ポイントネットワークのように通信できる技術です（ここではインターネットVPNを前提に解説しますが、電気通信事業者が提供する広域イーサネットやIP-VPNもVPNに含まれます）。

図1　VPNの概要

　また、公共のネットワークを使用するため、送受信するデータを保護する必要があります。そこで、データを暗号化してセキュリティを確保します。トンネリングと暗号化を行えるプロトコルがIPSecです。

　インターネットなどの公共のネットワークを使用してデータを送受信するためには、トンネリングと暗号化（機密性の確保）のほかにも、完全性、送信元認証、アンチリプレイの対策を行う必要があります。

• 機密性：データを暗号化すること。データを暗号化すれば、もしパケットが盗聴されたとしても、データの中身を保護できるデータを暗号化すること。データを暗号化すれば、もしパケットが盗聴されたとしても、データの中身を保護できる
• 完全性：送信元からあて先まで、途中でデータが改ざんされていないことを保証すること送信元からあて先まで、途中でデータが改ざんされていないことを保証すること
• 送信元認証：データを送信してきた送信元が、本当に想定した相手なのかをチェックすることデータを送信してきた送信元が、本当に想定した相手なのかをチェックすること
• アンチリプレイ：リプレイ攻撃を防止する機能。リプレイ攻撃とは、正規のパケットをコピーして、再送する機能のことリプレイ攻撃を防止する機能。リプレイ攻撃とは、正規のパケットをコピーして、再送する機能のこと

　IPSecは、機密性、完全性、送信元認証、アンチリプレイに対応したセキュリティプロトコルです。

確認問題1

問題

　インターネットを使用したVPNで、安全にデータを送受信するために必要な要素として正しいものはどれですか。2つ選択してください。

a.完全性

b.高速性

c.機密性

d.拡張性

正解

　a、c

解説

　正解は選択肢a、cです。選択肢bの高速性は、安全にデータを送受信するために特に求められている機能ではありません。拡張性があることもインターネットVPNを使用した利点ではありますが、安全にデータを送受信するための機能ではありません。

VPNの種類

　VPNは以下のように分類されます。

• サイト間VPN：拠点間のVPNデバイス同士を接続する
• リモートアクセスVPN：リモートのクライアントPCとVPNデバイスを接続する

図2　サイト間VPNとリモートアクセスVPN

　VPNを使用する際には、トンネリングや暗号化、復号を行うためにVPNデバイスという装置が必要です。VPNデバイスとしては、IPSecに対応したルータや、ファイアウォール、Cisco ASA 5500シリーズ適応型セキュリティアプライアンス、Cisco VPNコンセントレータなどが該当します。

　リモートアクセスVPNでは、ユーザーのクライアントPCに、Cisco VPN Clientを使用します。Cisco VPN Clientがトンネリングや暗号化、復号を行います。

確認問題2

問題

　拠点間のVPNデバイス同士を接続するVPNの形態として正しいものはどれですか。1つ選択してください。

a.サイト間VPN

b.セキュアアクセスVPN

c.リモートアクセスVPN

d.セキュリティVPN