特別企画:レイヤ2トンネリング(前編)
貫通力だけでない
リモートブリッジoverIPを理解する
インターネットイニシアティブ
2004/7/14
 |
「例外的な」ポリシーの問題 |
セキュリティポリシーを検討する際に、なるべくシンプルな構造になるよう正規化を行いますが、それでもどうしても例外的な設定が必要になります。例えば、
|
というのはごく一般的なことでしょう。
また、ちょっと問題の性質が異なりますが、業務上の理由により一時的にポリシー自体を変更する必要があることもあります。例えば、
|
などさまざまな事例があるでしょう。
このように現実のネットワークの運用では例外的なポリシーが発生します。それどころか多くのネットワークでは「ベースとなるポリシー」に対応した少数のフィルタルールと、「例外的なポリシー」に対応する多数のフィルタルールを運用しているのではないでしょうか?
|
リモートブリッジoverIP |
リモートブリッジoverIPを使うことで、これらの問題を解決することができます。
リモートブリッジoverIPはIPネットワーク上に仮想的なレイヤ2のネットワークを構築することです。簡単にいうとEthernetケーブルを仮想化し、それをIPネットワーク上で実現するといった方がイメージしやすいかもしれません。
リモートブリッジoverIPの実現方法としてはレイヤ2レベルのトンネルと実際のIPネットワークを構築するブリッジ機器を、仮想的なネットワークのそれぞれの終端(入り口?)に設置するだけです。
 |
| 図3 リモートブリッジoverIPの実現方法 |
リモートブリッジoverIPは上の図のように、非常にシンプルなシステムを構成できることもできます。そのうえ、単純に「レイヤ2ネットワークを遠隔地に転送する」というネットワーク的にも非常にシンプルです。
では、このリモートブリッジoverIPがどのようなメリットを持つのかを解説してゆきます。
|
VLANに対するメリット |
VLANは前述のとおり、現実のネットワークをセキュリティポリシー運用上、理想的なネットワーク構造から乖離する要因の1つである物理的な制約を排除する方法として非常に有効ですが、あくまでもLAN上の技術であるためリモートアクセスには適応できません。
これに対し、リモートブリッジoverIPはトンネルの実装にもよりますが、TCPやUDPといったおなじみのプロトコルでトンネルが構成されるため、一般的なネットワークに自由な構成が可能です。
例えば、現在その「貫通力」の高さで話題になっているレイヤ2トンネルの実装SoftEtherを使えば、トンネルはHTTPで構成されるため、HTTPが利用可能なネットワークからならばリモートブリッジoverIPを実現可能です。
HTTPは説明不要なほどインターネットの代表的なプロトコルであるため、ほぼすべてのインターネット環境から利用可能でしょう。このため、極端な例を挙げれば海外のホテル(しかもグローバルIPアドレスではなくNATによるローカルIPアドレスの環境)から社内へのアクセスも可能になります。
 前ページへ |
2/3 |
次ページへ |
| Index | |
| 特別企画:レイヤ2トンネリング(前編) | |
| 物理的なネットワーク構造と物理的な制約 | |
 |
「例外的な」ポリシーの問題とリモートブリッジoverIP |
| 仮想セグメントのメリット | |
| 関連記事 | ||||
|
||||
 |
「Master of IP Network総合インデックス」 |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig ~(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
 |
||
|
||
|
注目のテーマ
Master of IP Network 記事ランキング
- 大林組、ローカル5Gの「空間カバー力」と「高速ハンドオーバー」を生かし、ケーブルクレーンの自律運転を実現
- 「AI」でベンダー依存脱却へ、セブン&アイに学ぶ企業ネットワークでのAI活用
- SIM内蔵PCを3100台 静岡銀行がSASEで統合した新OA基盤、最大の特徴とは
- 楽天モバイルの衛星通信サービスを支えるAST SpaceMobileとは
- 実は「メールが届かない」問題にはドメイン名も影響する――ドメインレピュテーションの基本とGmail送信者ガイドラインの要件
- 貴社のメール送信用IPアドレスが汚れる理由――レピュテーションを高めるウォームアップの5ステップ
- 2025年の企業ネットワークは「ワイヤレスの高度活用」と「電話の革新」に注目
- 「メールが届かない」事態を避けるための送信要件の確認と送信用インフラ選定の注意点
- 貴社で「メールが届かない」問題が起こる理由――メール送信/受信の基礎知識
- 楽天モバイルの衛星通信サービスを支えるAST SpaceMobileとは
- 大林組、ローカル5Gの「空間カバー力」と「高速ハンドオーバー」を生かし、ケーブルクレーンの自律運転を実現
- 確実にメールを届けるためのSMTPサーバ設定の基本――Postfixの利用パターン3つ、main.cfの主要項目、セキュリティ設定
- 「AI」でベンダー依存脱却へ、セブン&アイに学ぶ企業ネットワークでのAI活用
- SIM内蔵PCを3100台 静岡銀行がSASEで統合した新OA基盤、最大の特徴とは
- 次世代AIデータセンターの能力を最大化? 1心当たり最大106.25Gbpsの伝送が可能な光ファイバー技術を慶應義塾大学が開発
- 貴社のメール送信用IPアドレスが汚れる理由――レピュテーションを高めるウォームアップの5ステップ
- 貴社で「メールが届かない」問題が起こる理由――メール送信/受信の基礎知識
- 2025年の企業ネットワークは「ワイヤレスの高度活用」と「電話の革新」に注目
- 高速性や低遅延ではない、九州電力がローカル5G「実用化」で最重視した着眼点とは?
転職/派遣情報を探す
