|
||||||||||||||||||||||||||
 |
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
その6「VPNとVPNパススルーの仕組み」 |
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
■ VPNとVPNパススルー VPN(Virtual Private Network)とは、プライベートネットワークを安全に拡張するための技術です。このVPNをサポートする仕組みを、VPNパススルーと言います。■ プライベートネットワークとは?
例えば図1のケースで考えると、モデムとルータから外側(WAN側)はグローバルIPアドレスが割り振られ、一方そこから内側のLANは、すべてプライベートIPアドレスが割り振られています。この場合では、LAN側をプライベートネットワーク、WAN側をグローバルネットワークと言います。 ただ、プロバイダーが必ずしもグローバルIPアドレスを割り振ってくれるとは限らないので、その場合は図2のようにプライベートネットワークが複数連なるケースも考えられるわけです。こうした場合、例えばLANのユーザーから見れば、プロバイダーのプライベートネットワークも、インターネット自体も「自分のLANとは異なる」という意味では同じなのですが、あくまでグローバルネットワークという言い方はインターネットから直接アクセスできる範囲を指すために、この部分をグローバルネットワークとは呼びません。
プライベートネットワークの公式な意味合いとしては以上になるのですが、もう1つ非公式な意味合いもあります。それは、「自分の非公開リソースにアクセスできる」部分をプライベートネットワークとするという点です。何やら硬い言い方になってしまったので、もう少し具体例を示しましょう。 例えば、自宅のLANで2台のPCを繋いでいるとします。この場合、PC1とPC2は何の制約もなくお互いに中身を見られなければ、色々不便でしょう。ですので、特に制約を設けずにアクセスできるようにしておくのが普通だと思います。しかし、その内容を外部から自由にアクセスされたいという人は、あまりいないでしょう。 あるいは会社のLANの場合、会社の情報に社内からアクセスできないと困りますが、外部からも自由にアクセスされたとしたら、これは大問題です。そういうわけでプライベートネットワークという場合、その実体は自宅のLANや会社のLANといった「プライベートにアクセスできるネットワーク」を指すことが多かったりします。 ■ プライベートネットワークを拡張したい
例えば図3のように、1つの会社であるものの物理的にオフィスが複数カ所に分かれている(東京オフィスと大阪オフィス、あるいは本社と地方営業所など色々なケースが考えられます)場合がそうです。この場合、オフィス1とオフィス2で別々のプライベートネットワークを構築する分には、別に面倒な話はありません。 ところが、「同じ会社なんだから、オフィス1のPCからオフィス2のサーバーに直接アクセスしたい」と考えた瞬間に、これが非常に面倒なことになります。なぜなら、両方のネットワークの間にインターネット、つまりグローバルネットワークが入っているためで、何も考えずにデータを流してしまうとプライベートネットワーク内にとどめておきたい情報がグローバルネットワークに流出する危険性があるからです。もちろん、自社の極秘情報をインターネットに公開して平気な経営者はあまりいないハズです。 もう1つ、良くあるパターンはモバイルです。ノートPCを持ち歩いて、そこから自宅にアクセスしたいなんて思うことはないでしょうか? 最近では、自宅のPCにテレビ録画をさせておき、それをノートPC経由で見るなんて使い方が次第には流行ってきているようです。もちろん、それをPHSでやったら通信速度が遅すぎて全然話にならないわけですが、出張先のホテルでブロードバンド回線が利用できたりすると、わりと実用になるそうです(筆者はそこまでテレビが好きではないので、やったことはないのですが……)。 このケースでも、自宅のネットワーク環境をグローバルネットワークにしてしまったら、侵入されてファイルを壊されたり、DDoSや侵入の踏み台に使われるなど、ろくな目にあわないのは自明のことです。あくまでもプライベートネットワークはプライベートな状態を維持しつつ、そこに「特定のユーザーからのアクセスのみ」自由に行なえるような仕組み、いわばプライベートネットワークの拡張が必要ということになります。 こうした問題に対して解決策として示された技術が、VPNという方法です。構成は例えば図4のようになります。先の図1と比較してもらえればわかりますが、機材面では2つのオフィスに置かれたルータがVPN対応のものに変わる「だけ」です。 設定の面で言えば、2台のルータに対して、オフィス1と2の間でVPN回線を構成する設定を行なうだけです。たったこれだけの作業で、オフィス1のPCからオフィス2のサーバーにアクセスしたり、その逆もできるようになります。つまり、ネットワークから見れば、オフィス1と2が物理的に繋がっているように見えるわけで、巨大な1つのプライベートネットワークが構成されているように扱うことができます。 ただ、実際には2つのオフィスが直接繋がっているわけではないので、あくまでも“仮想的”ということで、頭にVirtualをつけてVirtual Private Networkという名称になったわけです。当然VPNを使った場合、インターネットにプライベートネットワークの内容が漏洩することはなく、またインターネットからプライベートネットワークに侵入したりすることもできません。
では、どんな方法でこれを実現しているのでしょうか? この方法を簡単にまとめたのが図6です。この方法ではまず、PC1からルータ1にデータが渡されます。渡されたデータが、別の場所にあるPC2にVPN経由で送られるべきものだと(ルータ1が)判断した場合、ルータ1は渡されたデータを暗号化します。これは、インターネットを介して通信中に盗聴されても、内容が判断できないようにするためです。 次いで、相手のルータを新しい宛先としたメッセージを作成し、この中に暗号化したデータを埋め込みます(これをカプセル化といいます)。こうしてカプセル化を行なったデータは、インターネット経由でルータ2に届きます。ルータ2では、カプセルから埋め込まれたデータを取り出し、それを復号化することで元々ルータ1にPC1から渡されたデータが出てきます。最終的には、復号した元データをルータ2からPC2に送ることで、PC1とPC2が結果として通信できるというわけです。 ちなみにVPNは、どんな暗号化方式を使うかでいくつかの種類があります。有名なところではIPsec(IP Security Protocol)、PPTP(Point to Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)などが挙げられます。それぞれに一長一短があるため、全体として「これが一番」というものはなく、ニーズや構成に応じてどの方式を使うのか選ばれるのが現状です。 また、最近話題になっている「SoftEther」も、広義にはVPNの一種と捉えて間違いではないでしょう。
■ VPNパススルーとは? VPNについての概略は以上の通りですが、VPNパススルーについても少し説明しておきます。ここまでの説明では便宜上、ルータがVPNの機能を持つことを前提に話をしてきましたが、実際には図7のように、ルータではなくPC側にVPNを機能を持たせることも可能です(この場合、自宅の側でVPN対応ソフトをインストールしたマシンがルーティングも行なうことになります。SoftEtherが、ちょうどこういう形態になります)。さて、こうした形態で接続を行ないたい場合、ルータには「VPNの通信をそのまま通す」機能が必要になります。通常、ルータはNAT(Network Address Translator)/NAPT(Network Address and Port Translator)の機能を持っているわけですが、これを使ってしまうとしばしばVPNの通信がうまくいかなくなる場合があります。 これを避けるために、VPNを構築する場合は必要なパケットをそのまま通す仕組みが用意されることがあり、この仕組みをVPNパススルーと呼ぶます。VPNパススルーといっても、必ずしもすべてのVPNが通るとは限りません。先にVPNの代表例としてIPsec/PPTP/L2TPを挙げましたが、この3つとも通る場合もあれば、ルータによっては1つだけしか通らないなんて場合もあります。このため、どの暗号化方式に対応しているかを明確にするため、メーカーでは「IPsecパススルー」や「PPTPパススルー」、「L2TPパススルー」というように対応方式を明示しているケースが多いわけです。
2004/08/23 11:04
|
 |
|
| Broadband Watch ホームページ |
|
|
|
|
 |
|
| Copyright (c) 2004 Impress Corporation All rights reserved. |
|