特別企画:レイヤ2トンネリング(前編)
貫通力だけでない
リモートブリッジoverIPを理解する
インターネットイニシアティブ
2004/7/14
VPNに対するメリット |
リモートブリッジoverIPを使った場合、VPNに対するメリットは2つあります。1つはVPN環境上でもVLANと同様にネットワークセグメントを柔軟に運用できる点です。
地方の拠点など遠隔地へのネットワーク接続手法としてすでに一般化しているVPNですが、基本的にはネットワークセグメント同士を接続します。このため、通常のネットワークセグメントに対する管理をVPNポイントごとに管理できるので、拠点単位でのセキュリティポリシー運用には向いているといえましょう。
しかし、実際の会社の組織を考えた場合、地方拠点の成り立ちによっては拠点の中に複数のポリシーグループ(部や課など)があり、それらに対応するポリシーグループが本社にあり、ネットワークの利用形態はそれらのポリシーグループごとに異なるので、ポリシー管理は拠点ごとというよりはポリシーグループ単位で行われていることが多いと思います。
具体的な例を挙げると、本社には営業部門、技術営業部門、開発部門があり、営業部門は営業向けリソース(サーバなど)を、開発部門は技術向けリソースを、そして技術営業部門は営業向けリソースと技術向けリソースの両方を利用しているとします。
また、ある地方の拠点には営業部門と技術営業部門があるのですが、それぞれの部門は本社の対応する部門と同様のリソースを利用しているとしましょう。
図4 本社、地方拠点を合わせたリソース利用状況 |
このポリシー構成をVPNで構築したネットワークに当てはめるにはVPN機器に地方拠点のポリシーの設定と、営業部門と技術営業部門のそれぞれのポリシーグループに対する設定を二重に行う必要があります。
このような場合にリモートブリッジoverIPを使えば、VPNネットワークをまたいで、それぞれの論理的に同一な部門ごとにネットワークセグメントを利用することが可能になります。
図5 リモートブリッジoverIPを利用した場合の本社、地方のセグメント構成 |
また、リモートブリッジoverIPを利用した場合、トンネルがレイヤ2で構築されていることから、リモートから利用しているクライアントにもかかわらず、社内と同一のネットワーク環境を提供することが可能です。従って、クライアント側の利用可能なアプリケーションの自由度は非常に高くなります。通常のVPNでは管理が難しいWindowsのファイル共有も可能ですし、その他、さまざまなアプリケーションの独自のプロトコルも全く問題なく動作させることもできます。さらにレイヤ2でトンネルが構築されることにより、リモートにあるクライアントに対してDHCPサーバからのアドレスの割り当てなども実現可能です。
広域Ethernetサービスに対するメリット |
前項のVPNに対するメリットで書いたことは、実は広域イーササービスでも同様な構成を実現することができます。しかし、接続の対象が海外の拠点であるなど広域イーササービスの対象外であったり、すでにVPNを導入済みであったりする場合などは、既存のIPネットワーク上で自由に仮想セグメントを構築でき手軽に導入可能なリモートブリッジoverIPは有効でしょう。
ポリシーごとにセグメントを分けてしまう |
実のところ「既存のIPネットワーク上に自由に仮想セグメントを構築でき手軽に導入可能」な点こそが、リモートブリッジoverIPがセキュリティポリシー管理に有効なポイントなのです。
前述のとおり、ネットワークのセキュリティポリシーはおおむね次のようなロジックで運用されています。
|
一般的に(1)に対応するポリシー、フィルタルールというのは比較的単純で、管理も容易であることが多いと思います。(2)についても個別のポリシーは簡単なことが多いのですが、
|
などの問題があり、実はこれら「例外的なポリシー」がセキュリティポリシー運用全体のコストを増大させる主な要因ではないでしょうか?
そこで、「既存のIPネットワーク上で自由に仮想セグメントを構築でき手軽に導入可能」なリモートブリッジoverIPを利用し、可能な限り
|
として、例外を減らすことでセキュリティポリシー運用コストを下げることが可能なのではないでしょうか?
後編では、リモートブリッジoverIPを実現するための技術的な解説と、具体的な利用イメージについて解説してゆきます。 |
前ページへ |
3/3 |
後編へ |
Index | |
特別企画:レイヤ2トンネリング(前編) | |
物理的なネットワーク構造と物理的な制約 | |
「例外的な」ポリシーの問題とリモートブリッジoverIP | |
仮想セグメントのメリット |
関連記事 | ||||
|
「Master of IP Network総合インデックス」 |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
|
|