ソリューション
業種別
用途別
統合化SDNソリューション
SDN/ネットワーク統合管理ソリューション
SDN/アプリケーション連携ソリューション
xシリーズポータル
プライベートクラウドソリューション
ワイヤレスソリューション
脅威可視化統合監視ソリューション
映像監視ソリューション
データセンターソリューション
VLANソリューション
UTM&VPNルーターポータル
セキュリティーソリューション
機器冗長ソリューション
ネットワーク統合管理ソリューション
VPNソリューション
リモートアクセスVPN
パブリッククラウドVPN
モバイルアクセスVPN
Firewallソリューション
LTE/3Gアクセスソリューション
省電力ソリューション
リモートアクセスVPN(拠点間接続)
VPN技術解説
VPNとは(Virtual Private Network)
VPNとはインターネットのようにだれもが利用できる公共のネットワークを利用してプライベートなネットワークを作ることです。VPNには通信事業者のネットワーク内にユーザー毎のトンネルを張りサービスとして提供しているIP-VPNと、インターネットを利用したインターネットVPNがあり、ここではインターネットVPNを取り上げます。
インターネットVPNが実現するネットワーク
[ IPsecを使ったインターネットVPNのネットワーク例 ]
IPsecを使ったインターネットVPNのネットワーク例
この例ではRemote OfficeとCenter Officeをインターネット経由で接続しています。しかし、インターネットはオープンなネットワークであるため社内LAN同士の通信をそのまま流すのは盗聴、改ざんの恐れがあります。これを防ぐためにIPsecが持つ暗号化と認証というセキュリティー機能を利用し、インターネットVPNを構築しています。
VPNの種類
インターネットVPNは、実現のために利用する技術によりIPsec、SSL、L2TPのようないくつかの種類に分けることができます。ここではCentreCOM AR Familyでサポートしている、IPsecとL2TPについて説明します。
IPsec
高度なセキュリティーが提供されるのが特徴です。IPsecは、ネットワーク層であるIPレイヤーでセキュリティーを保証するためのプロトコルです。具体的には認証ヘッダ(AH)や暗号ペイロード(ESP)という構造をIPパケットに付加し、その中にIPパケットの暗号情報や認証情報を格納することによって、パケット毎のセキュリティー機能を実現します。ESPを使ったIPsecの暗号化と復号化の様子を下図に示します。
[ ESPプロトコルを使った暗号化と復号化の様子 ]
  ESPプロトコルを使った暗号化と復号化の様子
AHは、そのIPパケットが通信途中で改ざんされずに受信側まで到着したことを保証するものです。それに対しESPはIPパケットを暗号化するとともに改ざんされずに到着したことを保証する仕組みです。
L2TP(Layer2 Tunneling Protocol)
データリンク層のPPPパケットを、その1つ上のレイヤーであるネットワーク層のIPプロトコルでカプセル化して通信させる技術です。この技術によりインターネット経由でIPXやNetBEUIなどのプロトコルで通信することが可能です。L2TPはデータの暗号化をおこないませんが、IPsec と併用することでL2TPパケットの暗号化や認証といったセキュリティーを実現することが可能です。
[ L2TPプロトコルを使ったカプセル化とカプセル化解除の様子 ]
  L2TPプロトコルを使ったカプセル化とカプセル化解除の様子
[ L2TPカプセリングの概念 ]
L2TPカプセリングの概念
L2TPでは一般的にISP内部にLAC(L2TP Access Concentrator)と呼ばれる装置が必要ですが、CentreCOM AR Familyでは、ISP内部のLAC装置無しに L2TP VPNを構成することも可能です。

下表にIPsecとL2TPの違いをまとめています。L2TPは、マルチプロトコルを処理できるメリットがありますが、セキュリティーを実現するためにはIPsecと併用する必要があります。対してIPsecは使用できるプロトコルがIPやIPv6に限定されますが、暗号化や認証といったセキュリティーを実現可能であるというメリットがあります。
[ L2TPとIPsecの比較 ]
L2TP IPsec
暗号化 IPsecと併用することで可
プロトコル マルチプロトコル IP/IPv6
ISP 特別設備 通常は必要だがAR-Routerでは不要 不要
[ レイヤー別に見るVPN ]
レイヤー別に見るVPN
構築上の注意点
アプリケーション
インターネットはあくまで公共のネットワークのため、原則として通信品質が保証されていません。よって、ネットワークが混雑していれば、それだけ通信遅延が発生します。利用するアプリケーションがリアルタイムを要求するものや、応答時間の制限が厳しいものには帯域保証や優先制御をおこなうQoS機能との併用か、帯域保証や遅延保証付きのサービスをISPに申し込む必要がありますが、これらのサービスは別途料金がかかるのが普通です。それを含めたランニングコストで従来型ネットワークとの優劣を比較する必要があります。
セキュリティー
通信の利用方法によって、セキュリティーレベルを区別する必要がありますが、企業で用いるVPNでは会社の重要事項が流れることが充分あり得るため、パケットの認証および暗号化は必須となります。


PAGE TOP