特別企画:レイヤ2トンネリング(前編)
貫通力だけでない
リモートブリッジoverIPを理解する

佐藤純也 
インターネットイニシアティブ
2004/7/14


 VPNに対するメリット

 リモートブリッジoverIPを使った場合、VPNに対するメリットは2つあります。1つはVPN環境上でもVLANと同様にネットワークセグメントを柔軟に運用できる点です。

 地方の拠点など遠隔地へのネットワーク接続手法としてすでに一般化しているVPNですが、基本的にはネットワークセグメント同士を接続します。このため、通常のネットワークセグメントに対する管理をVPNポイントごとに管理できるので、拠点単位でのセキュリティポリシー運用には向いているといえましょう。

 しかし、実際の会社の組織を考えた場合、地方拠点の成り立ちによっては拠点の中に複数のポリシーグループ(部や課など)があり、それらに対応するポリシーグループが本社にあり、ネットワークの利用形態はそれらのポリシーグループごとに異なるので、ポリシー管理は拠点ごとというよりはポリシーグループ単位で行われていることが多いと思います。

 具体的な例を挙げると、本社には営業部門、技術営業部門、開発部門があり、営業部門は営業向けリソース(サーバなど)を、開発部門は技術向けリソースを、そして技術営業部門は営業向けリソースと技術向けリソースの両方を利用しているとします。

 また、ある地方の拠点には営業部門と技術営業部門があるのですが、それぞれの部門は本社の対応する部門と同様のリソースを利用しているとしましょう。

図4 本社、地方拠点を合わせたリソース利用状況

 このポリシー構成をVPNで構築したネットワークに当てはめるにはVPN機器に地方拠点のポリシーの設定と、営業部門と技術営業部門のそれぞれのポリシーグループに対する設定を二重に行う必要があります。

 このような場合にリモートブリッジoverIPを使えば、VPNネットワークをまたいで、それぞれの論理的に同一な部門ごとにネットワークセグメントを利用することが可能になります。

図5  リモートブリッジoverIPを利用した場合の本社、地方のセグメント構成

 また、リモートブリッジoverIPを利用した場合、トンネルがレイヤ2で構築されていることから、リモートから利用しているクライアントにもかかわらず、社内と同一のネットワーク環境を提供することが可能です。従って、クライアント側の利用可能なアプリケーションの自由度は非常に高くなります。通常のVPNでは管理が難しいWindowsのファイル共有も可能ですし、その他、さまざまなアプリケーションの独自のプロトコルも全く問題なく動作させることもできます。さらにレイヤ2でトンネルが構築されることにより、リモートにあるクライアントに対してDHCPサーバからのアドレスの割り当てなども実現可能です。

 広域Ethernetサービスに対するメリット

 前項のVPNに対するメリットで書いたことは、実は広域イーササービスでも同様な構成を実現することができます。しかし、接続の対象が海外の拠点であるなど広域イーササービスの対象外であったり、すでにVPNを導入済みであったりする場合などは、既存のIPネットワーク上で自由に仮想セグメントを構築でき手軽に導入可能なリモートブリッジoverIPは有効でしょう。

 ポリシーごとにセグメントを分けてしまう

 実のところ「既存のIPネットワーク上に自由に仮想セグメントを構築でき手軽に導入可能」な点こそが、リモートブリッジoverIPがセキュリティポリシー管理に有効なポイントなのです。

 前述のとおり、ネットワークのセキュリティポリシーはおおむね次のようなロジックで運用されています。

  1. ポリシーグループごとにネットワークセグメントを分け、それに対応するフィルタルールを作成する
  2. ポリシー上の例外を処理するフィルタルールを作成する

 一般的に(1)に対応するポリシー、フィルタルールというのは比較的単純で、管理も容易であることが多いと思います。(2)についても個別のポリシーは簡単なことが多いのですが、

  • そもそも例外の数が多い
  • 暫定的、一時的な処置である
  • ベースとなるポリシーと背反する

 などの問題があり、実はこれら「例外的なポリシー」がセキュリティポリシー運用全体のコストを増大させる主な要因ではないでしょうか?

 そこで、「既存のIPネットワーク上で自由に仮想セグメントを構築でき手軽に導入可能」なリモートブリッジoverIPを利用し、可能な限り

 

セキュリティポリシーグループ = ネットワークセグメント

 として、例外を減らすことでセキュリティポリシー運用コストを下げることが可能なのではないでしょうか?

後編では、リモートブリッジoverIPを実現するための技術的な解説と、具体的な利用イメージについて解説してゆきます。


前ページへ

3/3

後編へ

Index
特別企画:レイヤ2トンネリング(前編)
   物理的なネットワーク構造と物理的な制約
   「例外的な」ポリシーの問題とリモートブリッジoverIP
 仮想セグメントのメリット

関連記事
 
特集:マネージド・サービスの選び方 話題が先行するマネージドサービス。ユーザーはますます、どこまでアウトソースするかを見極めることが重要になってくる
前編 「SSL-VPN」の登場でアウトソースが変わる
中編 IPセントレックスのメリットはどこまで創出できるのか?
インフラソリューションはこう選べ
連載 最適インフラビルダーからの提言
 ブームのVPNと広域イーサネットサービス。気になるコストの算出方法やネットワーク構成の注意点を解き明かす
第1回 専用線からVPNへの移行、選択に自信あり?
第2回 外出先からリモートアクセスVPN、どれが得
第3回 専用線二重化と同レベルの安心をVPNで得る
第4回 VPNのアクセス回線を二重化する
第5回 VPNでQoSの確保は難しいのか
特集:ネットワーク設計の定石 具体的にA社の社内ネットワークを基にしながら、LANの設計に必要な状況調査と利用計画の方法、設計と構築のポイントを説明する
前編 どのように社内LANを設計するのか
中編 自社にあったWANサービス、選定のポイントは
後編 WAN接続ポートでの帯域制御とは?

「Master of IP Network総合インデックス」


Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Master of IP Network 記事ランキング

本日 月間