特別企画:レイヤ2トンネリング(後編)
レイヤ2を用いた仮想ネットワークの
メリットとデメリット

 

佐藤純也
インターネットイニシアティブ
2004/7/23

 
 リモートブリッジoverIPを経由した通信のアクセス制御

 リモートブリッジoverIPの運用はセキュリティポリシーの維持を主眼としているため、レイヤ2ブリッジからの通信に対してフィルタリングを行うことは非常に重要で、セキュリティの維持という観点からすると必須の要件といえます。

 リモートブリッジoverIPではレイヤ2トンネルの終端サーバの先にクライアントのPCなどがつながることになります。

図7 リモートブリッジoverIPの利用イメージ

 ユーザーからすると、このままの状態では通常のEthernet経由でアクセスしているのか、リモートブリッジoverIP経由でアクセスしているのかの違いはほとんどなく、ネットワーク上のリソース利用が可能ですし、そのままではリモートユーザーVPNのように明示的なユーザー認証を必要とせずネットワークへアクセスできます。

 通常のEthernetを利用する場合には、Ethernetへ物理的につなぐためにEthernetのインターフェイスがある場所へ行く必要があります。大抵の場合、Ethernetのインターフェイスがある場所はオフィスの中でしょうから、オフィス内へのアクセスにかかわる物理的なセキュリティパスを通過する必要があります。

 しかし、リモートブリッジoverIP経由でアクセスする場合、レイヤ2トンネルの終端は「IPネットワーク上のどこか」ですから、通常のEthernet経由でする場合に通過しなければならないセキュリティパスを通ったかどうかは確認できません。従って、リモートブリッジoverIPを経由した通信はそのまま通常のネットワークに流すようなことはせず、通信の制御を行うことがセキュリティ上、非常に重要です。

図8 リモートブリッジoverIPからの通信をファイアウォールで制御

 通信のフィルタリングを実現するための、一般的な例としてはリモートブリッジoverIPによって構築されるネットワークセグメントと、実際のネットワークの間で、ルータやファイアウォールによるフィルタリングを実施しましょう。

 さらに高度なセキュリティを施したい場合、802.1xなどを利用してリモートブリッジoverIPの先にあるクライアントを個別に認証する仕組みを採用することも有効です。

 クライアントを認証する仕組みを導入した場合、前回お話しした

セキュリティポリシーグループ = ネットワークセグメント

という目標をスマートに実現可能となります。

 クライアントの認証によって、リモートブリッジoverIPで実装されるネットワークセグメントにアクセス可能なユーザーを制限することができるため、そのネットワークセグメントのユーザーのグループを特定でき、これによってセキュリティポリシーグループごとにネットワークセグメントを作成することが可能になります。

 さらにリモートブリッジoverIPは既存のIPネットワークのどこにでも仮想的にネットワークセグメントへのアクセスポイントを提供できるため、社内、社外を問わず、同じアクセスポリシーを持った、同じネットワーク環境を提供できます。

 具体的な例を挙げると、普段自分が使っているネットワークセグメントを提供するリモートブリッジoverIP環境を用意しておけば、出張先の地方拠点のオフィス内にとどまらず、自宅、海外のホテルなどから同一のアクセスポリシーを持ったいつもと変わらないネットワーク環境を提供できます。

 つまり、セキュリティを維持したまま、オフィスの自席にあるEthernetのインターフェイスを持ち歩くことができるといえばイメージしやすいかもしれません。

 柔軟なリモートアクセスの提供を「セキュリティを維持したまま」という点がセキュリティポリシー管理では非常に重要であり、このことで、従来の手法ではセキュリティポリシー上、「例外的な処置」として対応が必要になるケースでも低コストで対応することができるのです。

 以下に、従来のネットワーク管理では難しかった事例に対してリモートブリッジoverIPが有効な例をいくつか挙げてみましょう。

 無線LAN管理への適用例

 セキュリティ上はマイナスイメージがぬぐえない無線LANですが、ユーザーからすると非常に魅力的なソリューションです。

 無線LAN特有の問題として、電波の有効範囲という物理的な制約があるため、オフィス全体をカバーするにはかなりの数の基地局が必要になり、しかもそれぞれの基地局が別々のネットワークセグメントに散在する状況も珍しくありません。無線LANを安全に運用するにはWPAなどの技術もありますが、そもそも社内各所にある無線LANを同一のセキュリティポリシーで管理するのは非常に厄介なことです。

 リモートブリッジoverIPを使うことで別々のネットワークセグメントに散在する基地局を集約できるため、無線LANユーザーを同一のセキュリティポリシーで管理することが容易に行えるようになります。

図9 無線LANへの適応例

 しかもリモートブリッジoverIPはネットワーク構造に依存することなく構築可能であるため、状況さえ許せば、オフィスだけではなく地方の拠点の無線LANをすべて同一のネットワークセグメント上で管理することも可能です。

前ページへ

2/3

次ページへ

Index
特別企画:レイヤ2トンネリング(後編)
   リモートブリッジoverIPのデメリット/レイヤ2トンネルとブリッジ
 リモートブリッジoverIPを経由した通信のアクセス制御/無線LAN管理への適用例
   小規模拠点管理の適用例/アプライアンス機器メンテナンスへの適応例

関連記事
 
特集:マネージド・サービスの選び方 話題が先行するマネージドサービス。ユーザーはますます、どこまでアウトソースするかを見極めることが重要になってくる
前編 「SSL-VPN」の登場でアウトソースが変わる
中編 IPセントレックスのメリットはどこまで創出できるのか?
インフラソリューションはこう選べ
連載 最適インフラビルダーからの提言
 ブームのVPNと広域イーサネットサービス。気になるコストの算出方法やネットワーク構成の注意点を解き明かす
第1回 専用線からVPNへの移行、選択に自信あり?
第2回 外出先からリモートアクセスVPN、どれが得
第3回 専用線二重化と同レベルの安心をVPNで得る
第4回 VPNのアクセス回線を二重化する
第5回 VPNでQoSの確保は難しいのか
特集:ネットワーク設計の定石 具体的にA社の社内ネットワークを基にしながら、LANの設計に必要な状況調査と利用計画の方法、設計と構築のポイントを説明する
前編 どのように社内LANを設計するのか
中編 自社にあったWANサービス、選定のポイントは
後編 WAN接続ポートでの帯域制御とは?

「Master of IP Network総合インデックス」


Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Master of IP Network 記事ランキング

本日 月間