＠IT：特別企画：レイヤ2トンネリング（前編-2）

特別企画：レイヤ2トンネリング（前編）
貫通力だけでない
リモートブリッジoverIPを理解する

佐藤純也　
インターネットイニシアティブ
2004/7/14

　「例外的な」ポリシーの問題

　セキュリティポリシーを検討する際に、なるべくシンプルな構造になるよう正規化を行いますが、それでもどうしても例外的な設定が必要になります。例えば、

営業部は開発部門のサーバは見られないが一部の技術営業の人間は例外とする
開発部門は営業部門のサーバは見られないが管理職は例外とする
社長は例外なので全社のサーバにアクセスできる

というのはごく一般的なことでしょう。

　また、ちょっと問題の性質が異なりますが、業務上の理由により一時的にポリシー自体を変更する必要があることもあります。例えば、

顧客のデモのため社内の会議室にグローバルのIPアドレスが必要になった
あるプロジェクトのために一時的に社外の人間と共用するサーバを社内に置くことになった

　などさまざまな事例があるでしょう。

　このように現実のネットワークの運用では例外的なポリシーが発生します。それどころか多くのネットワークでは「ベースとなるポリシー」に対応した少数のフィルタルールと、「例外的なポリシー」に対応する多数のフィルタルールを運用しているのではないでしょうか？

　リモートブリッジoverIP

　リモートブリッジoverIPを使うことで、これらの問題を解決することができます。

　リモートブリッジoverIPはIPネットワーク上に仮想的なレイヤ2のネットワークを構築することです。簡単にいうとEthernetケーブルを仮想化し、それをIPネットワーク上で実現するといった方がイメージしやすいかもしれません。

　リモートブリッジoverIPの実現方法としてはレイヤ2レベルのトンネルと実際のIPネットワークを構築するブリッジ機器を、仮想的なネットワークのそれぞれの終端（入り口？）に設置するだけです。

図3　リモートブリッジoverIPの実現方法

　リモートブリッジoverIPは上の図のように、非常にシンプルなシステムを構成できることもできます。そのうえ、単純に「レイヤ2ネットワークを遠隔地に転送する」というネットワーク的にも非常にシンプルです。

　では、このリモートブリッジoverIPがどのようなメリットを持つのかを解説してゆきます。

　VLANに対するメリット

　VLANは前述のとおり、現実のネットワークをセキュリティポリシー運用上、理想的なネットワーク構造から乖離する要因の1つである物理的な制約を排除する方法として非常に有効ですが、あくまでもLAN上の技術であるためリモートアクセスには適応できません。

　これに対し、リモートブリッジoverIPはトンネルの実装にもよりますが、TCPやUDPといったおなじみのプロトコルでトンネルが構成されるため、一般的なネットワークに自由な構成が可能です。

　例えば、現在その「貫通力」の高さで話題になっているレイヤ2トンネルの実装SoftEtherを使えば、トンネルはHTTPで構成されるため、HTTPが利用可能なネットワークからならばリモートブリッジoverIPを実現可能です。

　HTTPは説明不要なほどインターネットの代表的なプロトコルであるため、ほぼすべてのインターネット環境から利用可能でしょう。このため、極端な例を挙げれば海外のホテル（しかもグローバルIPアドレスではなくNATによるローカルIPアドレスの環境）から社内へのアクセスも可能になります。

前ページへ

2/3

次ページへ

Index
特別企画：レイヤ2トンネリング（前編）
	物理的なネットワーク構造と物理的な制約
	「例外的な」ポリシーの問題とリモートブリッジoverIP
	仮想セグメントのメリット

関連記事

特集：マネージド・サービスの選び方　話題が先行するマネージドサービス。ユーザーはますます、どこまでアウトソースするかを見極めることが重要になってくる
前編　「SSL-VPN」の登場でアウトソースが変わる
中編　IPセントレックスのメリットはどこまで創出できるのか？

インフラソリューションはこう選べ
連載　最適インフラビルダーからの提言　ブームのVPNと広域イーサネットサービス。気になるコストの算出方法やネットワーク構成の注意点を解き明かす
第1回　専用線からVPNへの移行、選択に自信あり？
第2回　外出先からリモートアクセスVPN、どれが得
 第3回　専用線二重化と同レベルの安心をVPNで得る
 第4回　VPNのアクセス回線を二重化する
第5回　VPNでQoSの確保は難しいのか

特集：ネットワーク設計の定石　具体的にA社の社内ネットワークを基にしながら、LANの設計に必要な状況調査と利用計画の方法、設計と構築のポイントを説明する
前編　どのように社内LANを設計するのか
中編　自社にあったWANサービス、選定のポイントは
後編　WAN接続ポートでの帯域制御とは？

「Master of IP Network総合インデックス」

Master of IP Network フォーラム新着記事

完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る （2017/7/13）
　2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った
ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる （2017/7/6）
　ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ
Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか （2017/7/4）
　Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか
ifconfig　～（IP）ネットワーク環境の確認／設定を行う （2017/7/3）
　ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ（MTU）の変更や、VLAN疑似デバイスの作成も可能だ。

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

注目のテーマ

Master of IP Network 記事ランキング

本日月間

＠IT

注目のテーマ

Master of IP Network 記事ランキング

転職／派遣情報を探す

年収６００万円！エンジニア向けの求人満載。転職希望者必見

エンジニアの転職なら【転職サーチ】