特別企画:レイヤ2トンネリング(前編)
貫通力だけでない
リモートブリッジoverIPを理解する

佐藤純也 
インターネットイニシアティブ
2004/7/14


 企業内におけるネットワークの依存性が高まるにつれ、接続される拠点数も大幅に増加し、また、ユーザーの利便を考えることによりリモートユーザーVPNやSSL-VPNなどのリモートアクセス手段は多様性を増しています。また、いまや企業インフラとして認知されつつあるチャットや、IP電話など、アプリケーションが要求するネットワークインフラも高まる傾向にあり、今後企業内のネットワークはさらに複雑になっていくことと想定されます。

 しかし、これらの利便性を高めるという要望に応えることとセキュリティを維持するということは往々にして相反することになります。多様化されたリモートアクセス手段でのアクセス権限の維持や、複雑なトポロジのネットワーク上での多様なプロトコルのアクセス管理を行ってゆくことは非常に困難です。

 こういった状況に対応し、セキュリティポリシー運用コストを下げる手法として、「リモートブリッジoverIP」を使ったネットワークの運用方法を紹介します。

 この記事では現状のネットワーク運用の問題点の認識と、リモートブリッジoverIPでそれらの問題がどのように解決されるのか、また、リモートブリッジoverIPの実現方法と実際の利用例を解説してゆきます。

 理想的なネットワーク構造

 セキュリティポリシーの維持という観点からすると理想的なネットワークというのはどのようなネットワークでしょうか?

 一般的にセキュリティポリシーの運用はルータ、ファイアウォールなどによる通信内容の制御で実現されます。ルータやファイアウォールでは通信の制御をフィルタルールで実装しているので、いい換えればネットワーク上のセキュリティポリシーはフィルタルールによって実現しているといえるでしょう。

 フィルタルールはIPアドレスを基本として管理され、ネットワークセグメント単位をグループとして扱えるのが一般的です。

 一方、セキュリティポリシーは通常、部署などの組織での論理的なグループごとにポリシーを設定します。

 従ってセキュリティポリシー上のグループとフィルタルール上のグループ(ネットワークセグメント)が同一であれば、シンプルなフィルタルールを実現することができ、逆にセキュリティポリシー上のグループとネットワークのトポロジが乖離すればするほど複雑なフィルタルールで運用する必要が出てきます。当然のことながら複雑なフィルタルールよりシンプルなフィルタルールの方が維持するコストは安いため、容易にセキュリティの維持が行えます。

 このため、セキュリティポリシーの維持という観点から考えた理想的なネットワークは、セキュリティ上のポリシーが同一なクライアント同士で構成されるネットワークセグメントを単位としたネットワークといえます。

図1 セキュリティポリシー運用上、理想的なネットワーク構造

 しかし、現実のネットワークを見ると、必ずしもこのような状況ではなく、いくつかの制約からネットワークトポロジが決定されています。このため、現実のネットワークでは複雑なフィルタルールを運用が必要となり、このことがネットワーク運用のコストを押し上げ、ネットワークの柔軟な運用を阻害する要因になっています。

 以下で、現実のネットワークを理想のネットワークから離れさせる要因にどんなものがあるか整理してみましょう。

 物理的な制約

 例えば、以下のようなネットワーク構成はごく一般的なことでしょう。

  • オフィスの「島」ごとにネットワークを分けている
  • オフィスのフロアごとにネットワークを分けている
  • VPNで接続された地方の拠点は、拠点ごとにネットワークを分けている

 大抵のネットワークは計画段階では理想のネットワークになるよう設計されていると思います。しかし、ネットワークを維持していく際に、オフィスレイアウトの変更、ネットワーク機器の性能上の問題や予算上の制約などのさまざまな理由で、理想と現実の乖離はやむを得ないことでしょう。

図2 現実のネットワーク構造

 この制約を回避する方法としてVLANは非常に有効な方法です。対応する機材も安価になり導入も容易な技術となってきたVLANを使えば、物理的な配線のトポロジとは別にネットワークのトポロジを自由に構成することができるため、現実のネットワークをセキュリティポリシー運用上理想的なネットワーク構造に限りなく近づけることも可能でしょう。

 しかし、便利なVLANですが、VLAN自体にいくつかの制約があります。

  • 構成するすべてのネットワーク機材がVLANに対応している必要がある
  • VPNルータなどで接続されたネットワークをまたいでは構成できない

 というわけで、管理するネットワークが同一のオフィス内に閉じていて、既設のネットワーク機材がすでにVLAN対応であればすぐにでもVLANの恩恵を受けることができますが、予算の都合で社内のバックボーンネットワークのスイッチを入れ替えるわけにはいかなかったり、もろもろの事情からどうしても物理的な構成を変えることができなかったりすることは往々にしてよくあることです。

 

1/3

次のページへ

Index
特別企画:レイヤ2トンネリング(前編)
 物理的なネットワーク構造と物理的な制約
   「例外的な」ポリシーの問題とリモートブリッジoverIP
   仮想セグメントのメリット

関連記事
 
特集:マネージド・サービスの選び方 話題が先行するマネージドサービス。ユーザーはますます、どこまでアウトソースするかを見極めることが重要になってくる
前編 「SSL-VPN」の登場でアウトソースが変わる
中編 IPセントレックスのメリットはどこまで創出できるのか?
インフラソリューションはこう選べ
連載 最適インフラビルダーからの提言
 ブームのVPNと広域イーサネットサービス。気になるコストの算出方法やネットワーク構成の注意点を解き明かす
第1回 専用線からVPNへの移行、選択に自信あり?
第2回 外出先からリモートアクセスVPN、どれが得
第3回 専用線二重化と同レベルの安心をVPNで得る
第4回 VPNのアクセス回線を二重化する
第5回 VPNでQoSの確保は難しいのか
特集:ネットワーク設計の定石 具体的にA社の社内ネットワークを基にしながら、LANの設計に必要な状況調査と利用計画の方法、設計と構築のポイントを説明する
前編 どのように社内LANを設計するのか
中編 自社にあったWANサービス、選定のポイントは
後編 WAN接続ポートでの帯域制御とは?

「Master of IP Network総合インデックス」


Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Master of IP Network 記事ランキング

本日 月間