VPN の動作原理と通信方法
ここでは、PacketiX VPN によって構築することができる VPN の動作原理と通信方法、および VPN
通信に使用される各モジュールや機能の概要、ならびに PacketiX VPN を活用することによって構築することができる VPN
の種類などについて解説します。
通常の Ethernet の構成
PacketiX VPN は Ethernet の通信の仕組みをそのままソフトウェアで実装し仮想化することによって VPN
を実現するソフトウェアです。まず、通常の Ethernet がどのような仕組みで動作しているかについて、簡単に解説します。
Ethernet の基本
通常の 100Base-TX や 1000Base-T などの一般的な Ethernet 規格 (IEEE802.3) を使用した LAN
では、複数の Ethernet に対応した通信装置 (LAN カード) を持ったコンピュータ同士が、中央のスイッチング HUB (レイヤ 2
スイッチと呼ばれることもあります) にスター型につながり、それらのコンピュータ同士は自由に通信を行うことができます。
スイッチング HUB と LAN カード
Ethernet では複数のコンピュータ同士が通信を行うことができますが、ここで各コンピュータは Ethernet
に対して接続するための専用の周辺機器である「LAN カード」(またはネットワークアダプタと呼びます) を使用して物理的に Ethernet
に接続します。
具体的には、LAN カードから UTP ケーブルや光ファイバーなどの LAN ケーブルと呼ばれる物理的な信号線によって、接続したい
Ethernet のスイッチング HUB に接続します。
Ethernet におけるスイッチング HUB と LAN カード |
MAC アドレス
Ethernet に参加するコンピュータは、お互いに重複しない ID をもって通信を行う必要があります。そこで、各 LAN
カードには固有の 48bit の ID が割り当てられています。この 48 bit の ID のことを「MAC アドレス」と呼びます。物理的な
LAN カードの MAC アドレスは原則として世界中で重複しないように割り当てられます (PacketiX VPN の仮想 LAN
カードのようなソフトウェア的な LAN カードデバイスの場合は MAC
アドレスは実用上重複が発生する可能性が極めて低いように適切なアルゴリズムで生成され重複を防いでいます)。
Ethernet 内を流れる通信パケット (Ethernet フレーム)
Ethernet 内を流れる通信データのパケットのことを、一般に「Ethernet フレーム」や「MAC フレーム」、「Ethernet
パケット」などと呼びます (このマニュアルでは、「Ethernet フレーム」として表記を統一しています)。Ethernet
フレームにはいくつかのヘッダと実際に通信したいデータ (ペイロード) が含まれていますが、そのうち重要なものは下記の 4 つの項目です。
Ethernet フレーム (MAC フレーム) |
「宛先 MAC アドレス (48bit)」は、Ethernet フレームを送信する元のコンピュータがどのコンピュータに対してその
Ethernet フレームを届けたいのかを示す、受信者の MAC アドレスが入っているフィールドです。Ethernet 内でのスイッチング
HUB などの中継機器は、宛先 MAC アドレスの値を見てその Ethernet フレームを中継します。
「送信元 MAC アドレス (48bit)」は、その Ethernet フレームを送信したコンピュータの LAN カードの MAC
アドレスが入っているフィールドです。
「プロトコル種類 (16bit)」は、この Ethernet フレーム内のデータ (ペイロード) がレイヤ 3
におけるどのプロトコルのものであるかを示す 16bit の値です。たとえば、IP の場合は 0x0800、ARP の場合は 0x0806
などの値が決められています。なお、このフィールドは場合によってはプロトコル種類ではなくペイロードの長さなどを示す値が入る場合もありますが、現在ではあまり使用されていません。
「ペイロード (最大 1,500 Bytes)」は Ethernet を使用して実際に通信したいデータ本体が入ります。
ユニキャストとブロードキャスト
Ethernet においては、Ethernet フレームを送信する際にそのフレームが特定の相手の LAN カードの MAC
アドレスを指定して送信される場合 (ユニキャスト) と、Ethernet に参加している自分以外のすべての LAN カードに対して送信される場合
(ブロードキャスト) の 2 種類の送信方式を選択することができます。
ユニキャストのフレームを送信する場合は、「宛先 MAC アドレス」に宛先 LAN カードの MAC
アドレスを指定しますが、ブロードキャストのフレームを送信する場合は、「宛先 MAC アドレス」として特殊な MAC アドレスである「FF:FF:FF:FF:FF:FF」を指定します。この
FF:FF:FF:FF:FF:FF という MAC
アドレスを宛先としたフレームは「ブロードキャストフレーム」または「ブロードキャストパケット」と呼ばれ、原則としてその Ethernet
ネットワークに参加しているすべてのコンピュータ (LAN カード) が受信します。
スイッチング HUB の仕組み
Ethernet で用いられている「スイッチング HUB」(レイヤ 2 スイッチ) は、Ethernet
によるネットワークを構築し通信を行う上で重要な周辺機器です。スイッチング HUB は複数のポート (通常は 8
ポートなど、大きいものでは数十~数百ポート) があり、そのポートと Ethernet に参加したいコンピュータとの間を LAN
ケーブルなどで接続することによって、スイッチング HUB とコンピュータの LAN カードとの間で物理的にネットワークが接続され、レイヤ 2
における Ethernet の通信が行えるようになります。
また、スイッチング HUB のポートを別のスイッチング HUB のポートに接続することも可能です。この場合、接続したスイッチング HUB
同士は元々別々の Ethernet ネットワークであったのにもかかわらず、その間を LAN ケーブルで接続することにより、同一の
Ethernet ネットワークであるように動作するようになります (これを「カスケード接続」と呼びます)。
スイッチング HUB 同士のカスケード接続によるセグメントの結合 |
上の図において、左側と右側の 2 つのスイッチング HUB に接続されているコンピュータ同士は、自由に通信することができます。
スイッチング HUB による MAC アドレスの学習とフレーム交換
スイッチング HUB は、それぞれのポートの先にどのような MAC
アドレスを持ったコンピュータが接続されているのかを常に認識し、内部にデータベースとして持っています。これを「MAC
アドレステーブル」と呼びます。
スイッチング HUB は Ethernet フレームを受け取ったら、その Ethernet フレームの宛先 MAC アドレスを見て、宛先
MAC アドレスが MAC アドレステーブルに登録されている場合は、関連付けられているポートに対して送出します。宛先 IP アドレスが MAC
アドレステーブルに登録されていなかったり、ブロードキャストフレームである場合は、すべてのポートに対して送出します。
なお、スイッチング HUB が新しい MAC アドレスを学習し、それを内部で保持している MAC アドレステーブルに登録する処理は、新しい
Ethernet フレームを受信するたびにその Ethernet フレームの送信元 MAC アドレスを読み取ることによって自動的に行っています。
これによって、ユニキャストパケットが不必要なポートに流れずに、必要最低限のポートに対してのみ送出される機能を実現しています。これをスイッチング
HUB による MAC アドレスの学習およびフレーム交換機能と呼びます。
Ethernet セグメント (ブロードキャストドメイン)
これまでの例で「Ethernet ネットワーク」と表現していたような、参加したコンピュータ同士が自由に通信することができるような 1
つのネットワークのことを、「Ethernet セグメント」、「セグメント」または「ブロードキャストドメイン」と呼びます。通常、1
台のスイッチング HUB で構成される Ethernet ネットワークは 1 つのセグメントです。また前述のように、元々分離した 2
つのセグメントの間を LAN ケーブルなどによって接続することによって 1 つのセグメントにすることもできます。
カスケード接続
前述のように 2 つのスイッチング HUB によって構成されていた 2 つのセグメント同士を接続して 1
つのセグメントとして運用する方法を「カスケード接続」と呼びます。カスケード接続は、Ethernet
が定める物理的な限界を超えない限り、何段でも行うことができます。カスケード接続を容易に行うことができるということが Ethernet
を使用する上での最も大きな特徴の 1 つであり、ポート数が足りなくなったスイッチング HUB に別のスイッチング HUB
をカスケード接続することによってポート数を増やし、ネットワークに接続できるコンピュータの数を増やすことができます。
ブリッジ接続
カスケード接続のうち、特に元々物理的に分離されて運用していた 2 つの Ethernet
セグメント同士をカスケード接続またはそれに似た仕組みによってお互いに自由にフレームを交換することができるようにすることを「ブリッジ接続」といいます。
「カスケード接続」と「ブリッジ接続」は技術的には同等の接続方法ですが、カスケード接続は最初から 1
つの大きなセグメントを構築するためにスイッチング HUB 間を接続していくことを示すのに対して、ブリッジ接続はもともと物理的にも管理的にも 2
つのセグメントとして運用していたネットワーク間を接続するという意味で使用されています。
昔は Ethernet における「ブリッジ」とは、「ポート数が 2
個しかないスイッチング HUB」というような機器を指す言葉でした。以前はスイッチング HUB があまり普及しておらず、MAC
アドレス学習機能がない「リピータ HUB」や「ダム HUB」と呼ばれる HUB が主流でしたが、リピータ HUB やダム HUB
では 1 つのポートから受け取った Ethernet
フレームを、ブロードキャストおよびユニキャストにかかわらず、常にすべてのポートに対して送出するため、ネットワーク全体の負荷が高くなってしまいます。そこでこのフラッディングドメインを分割するために、間に「ブリッジ」と呼ばれる
LAN カードが 2 枚刺さったコンピュータ (または専用機器) を用意して、2 方向のセグメントの間で MAC
アドレスの学習を行いながら不要なフレームを通過させないようにすることによって 1
つのセグメントを分割することを行うことがありました。 近年ではスイッチング HUB
が十分安価に普及したため、Ethernet
の「ブリッジ」と呼ばれるサーバーや専用機器は使用されなくなりました。現在は「ブリッジ接続」というのは分離されていた 2
つのセグメントをカスケード接続などの技術を用いて 1 つのセグメントに結合するための接続方法のことを意味します。 |
仮想 HUB
PacketiX VPN では、前述の「スイッチング HUB」や「LAN カード」を仮想化することによって、Ethernet を仮想化した
VPN 通信を実現しています。ここでは仮想 HUB に関する簡易的な説明を行います。「1.6 VPN 通信の詳細」 により具体的な仮想 HUB
に関する解説があります。
仮想 HUB の機能
「仮想 HUB」は PacketiX VPN における最も重要な機能の 1 つです。仮想 HUB は既存の一般的なレイヤ2 スイッチング
HUB と同等機能をソフトウェアとして実装したものです。仮想 HUB は MAC
アドレス学習機能や学習に基づくフレームの交換・配送機能を有しています。しかしながら、従来のスイッチング HUB
がハードウェアとしてこれらの処理を行っていたのに比べて、PacketiX VPN の仮想 HUB
ではすべてソフトウェアとしてこれらの処理を行います。
仮想 HUB による VPN 通信の実現について、詳しくは 「1.6 VPN 通信の詳細」 および
「3.4 仮想 HUB の機能」 をお読みください。
PacketiX VPN Server には、1 つ以上の複数個の仮想 HUB を作成することができます。仮想 HUB
はメモリの空き容量や CPU 速度および仕様が許す限りいくつでも作成することができます。それぞれの仮想 HUB は VPN
を経由して流れてきた仮想の Ethernet フレームに対して、MAC アドレス学習を行い、その結果によって対応する別の VPN
に参加しているコンピュータに仮想 Ethernet フレームを送出することによって仮想のレイヤ 2 Ethernet
セグメントを実現しています。
仮想 HUB と仮想 HUB または仮想 LAN カード同士の接続 |
複数個の仮想 HUB の作成および管理
1 台の VPN Server 内に複数の仮想 HUB を作成した場合、それらの仮想 HUB
同士は通信を行うことはできません。したがって、複数個の仮想 HUB を作成すると、VPN Server 内に仮想の複数個の Ethernet
セグメントができることになります。
PacketiX VPN の仮想 HUB には、通常の Ethernet における物理的なスイッチング HUB と異なり、LAN
ケーブルで直接接続するのではなく、既存の IP ネットワーク (インターネットなど) を経由して TCP/IP ベースのトンネリングプロトコル
(PacketiX VPN プロトコル) によって接続することになります。つまり、仮想 HUB には物理的なスイッチング HUB にある LAN
ケーブルを接続するポートと同等に、仮想的なポートが接続を待ち受けているような機能があり、別のコンピュータからその仮想のポートに対してまるで
LAN ケーブルを接続するかのように PacketiX VPN プロトコルによって VPN 接続することが可能なのです。
VPN Server 内の仮想 HUB ごとのセグメント分離 |
管理単位の分割
前述のように仮想 HUB には遠隔地から PacketiX VPN
プロトコルによって接続することができますが、この際に誰にでも接続を許してしまった場合は許可されていない第三者が仮想 HUB
に接続できてしまいます。これを防ぐために、管理者は仮想 HUB に接続することができるユーザーを定義し、そのユーザーのユーザー認証
(パスワード認証や証明書認証など希望するものが利用できます) が成功したものだけを受け入れることができます。また、仮想 HUB
内の通信についても、デフォルトではすべての通信内容が許可されますが、パケットフィルタリングやセキュリティポリシーの適用などによって一部の種類の通信を遮断することもできます。
これらの設定内容は仮想 HUB
ごとに完全に独立しており、それぞれ別々の管理者が管理することができるように管理単位が分割されています。VPN Server
全体の管理者はすべての仮想 HUB を管理することができますが、VPN Server の管理者から一部の仮想 HUB
に関する管理者権限を委譲された管理者は、その仮想 HUB の管理のみを行うことができ、他の仮想 HUB の管理を行うことはできません。
仮想 HUB 間の接続方法
仮想 HUB は、同じ VPN Server または別のコンピュータの VPN Server で動作している仮想 HUB
に対して「カスケード接続」を行うことができます。カスケード接続を行った仮想 HUB 同士は、元々別々のセグメントであった状態から結合されて 1
つのセグメントとして動くようになります。
また、同じ VPN Server が動作している仮想 HUB に対して「仮想レイヤ 3 スイッチ」を経由して IP
ルーティングによって仮想 HUB 間のネットワークをレイヤ 3 で接続することもできます。
仮想 LAN カード
PacketiX VPN では物理的なスイッチング HUB を仮想化して仮想 HUB を実現しているのと同様に、物理的な LAN
カードをソフトウェアによって仮想化して仮想 LAN カードを実現しています。仮想 LAN カードは、TCP/IP ベースの PacketiX
VPN プロトコルを経由して、ネットワークを通じて遠隔地にある PacketiX VPN Server 内で動作している仮想 HUB
に接続することができます。
PacketiX VPN Client および仮想 LAN カードに関する詳細は
「第4章 PacketiX VPN Client 3.0 マニュアル」 をお読みください。
オペレーティングシステムによって LAN カードデバイスとして認識される PacketiX VPN の仮想
LAN カード |
仮想 LAN カードは現在 Windows および Linux に対応したソフトウェアが「PacketiX VPN
Client」として提供されています。PacketiX VPN Client をインストールしたコンピュータは VPN クライアントとして
VPN Server への接続を行うことができます。PacketiX VPN Client の設定として、複数個の仮想 LAN
カードをクライアントコンピュータ上に作成することができます。作成された仮想 LAN カードは Windows
などのオペレーティングシステムやそのシステム上で動作しているほぼすべての任意の通信アプリケーションから、物理的な LAN カードと同様の 1
枚の LAN カードとして認識されるため、原則として Ethernet での通信に対応したほぼすべてのネットワークプロトコルや TCP/IP
プロトコルが PacketiX VPN プロトコルによって仮想 HUB を経由して VPN を通じて通信することが可能です。
仮想 LAN カードのプロパティ画面 |
カスケード接続と仮想レイヤ 3 スイッチ
PacketiX VPN Server では複数の仮想 HUB を作成し同時に稼動させることが可能ですが、初期状態では仮想 HUB
同士はそれぞれ独立したレイヤ 2 セグメントを有しているのみであり、同一の仮想 HUB
に接続しているコンピュータ同士は自由に通信を行うことができるものの、それぞれの仮想 HUB
に別々に接続しているコンピュータ同士は一切通信することはできません。
カスケード接続
カスケード接続機能を用いると、同じ VPN Server または別のコンピュータの VPN Server で動作している仮想 HUB
に対して「カスケード接続」を行うことができます。カスケード接続とブリッジ接続機能を組み合わせて拠点間接続 VPN
を簡単に構築することもできます。カスケード接続に関して詳しくは
「3.4.11 カスケード接続機能」
をお読みください。また、カスケード接続とブリッジ接続機能を組み合わせた VPN 構築例については、「10.5 拠点間接続 VPN の構築 (ブリッジ接続を使用)」 をお読みください。
仮想レイヤ 3 スイッチ
仮想レイヤ 3 スイッチ機能は、「レイヤ 3 スイッチ」や「IP ルータ」と呼ばれる、IP プロトコルにおける IP
ルーティングを行う通信機器をソフトウェア的に仮想化したものです。
レイヤ 3 スイッチや IP ルータは、物理的に切り離されている別々のレイヤ 2
セグメント同士を、ブロードキャストドメインを分割したままレイヤ 3 の IP ネットワーク的には結合することができます。この場合、レイヤ 3
スイッチやルータを経由して通信を行う「IP ルーティング」により、離れたレイヤ 2 セグメント間をレイヤ 3
スイッチやルータを順番に経由していくことによって、IP
パケットがネットワーク間を渡り歩き別のネットワークに到達することができます。なお、インターネットのような巨大な IP
ネットワークはいくつものレイヤ 3 スイッチやルータが組み合わされて実現されています。
PacketiX VPN Server の仮想レイヤ 3 スイッチ機能を用いると、複数の仮想 HUB 間で IP
ルーティングを行うことができるようになります。以前のバージョンでは、複数の仮想 HUB 間で IP
ルーティングを行うには、複数の仮想 HUB について、それぞれの仮想 HUB のセグメントを物理的な Ethernet
セグメントにブリッジ接続し、物理的なレイヤ 3 スイッチやルータ専用機を用いて IP
ルーティングを行う必要がありました。しかし、PacketiX VPN Server が仮想レイヤ 3
スイッチ機能をサポートしたことにより、ネットワーク管理者は複数の仮想 HUB 間で IP ルーティングを行うことによる仮想 HUB
間通信を簡単に実現することができるようになっています。
仮想レイヤ 3 スイッチによる仮想 HUB 間の IP ルーティング |
通常、PacketiX VPN で複数のネットワークを拠点間接続 VPN
で接続する場合は、ローカルブリッジ機能とカスケード接続機能の組み合わせで十分ですが、大規模なネットワーク同士を VPN 接続する場合は仮想レイヤ
3 スイッチ機能による IP ルーティングも組み合わせて使用する必要があるかも知れません。仮想レイヤ 3 スイッチ機能を用いた VPN
の構築例については、「10.6 拠点間接続 VPN の構築 (IP ルーティングを使用)」 をお読みください。
仮想ネットワークと物理ネットワークとのブリッジ接続
PacketiX VPN Server および PacketiX VPN Bridge
には「ローカルブリッジ機能」が搭載されています。ローカルブリッジ機能を用いると、仮想 HUB と物理的な LAN
カードとの間をブリッジ接続することができます。つまり、任意の仮想 HUB と既存の物理的なネットワークという、元々分離された 2
つのセグメント同士を同一セグメントにすることができます。詳しくは 「3.6 ローカルブリッジ」 をお読みください。
複数の拠点で仮想 HUB と物理的な既存の LAN との間をローカルブリッジ接続し、さらに仮想 HUB
同士をカスケード接続することによって、インターネットを経由して複数の拠点の既存の物理的な LAN 同士を 1
つのセグメント化して通信することが簡単にでき、拠点間 VPN を実現することができます。
PacketiX VPN による拠点間接続の例 |
コンピュータ間 VPN
PacketiX VPN で実現することができるネットワークには大きく分けて 3 形態があります。
- コンピュータ間 VPN
- リモートアクセス VPN
- 拠点間接続 VPN
これらの方法を使用して、または組み合わせて複雑な VPN
を形成することもできるようになっています。実際のネットワーク構築例については、「第10章 VPN ネットワークの構成手順および構成例」 をお読みください。
「コンピュータ間 VPN」は PacketiX VPN を用いて構築することができる最も簡単な VPN
の形態の一種です。非常に容易に構築することができますが、VPN を経由して通信することができる範囲はそれほど広くありません。
コンピュータ間 VPN では、どこか一箇所に設置した PacketiX VPN Server の仮想 HUB
に対して、複数のコンピュータが PacketiX VPN Client の仮想 LAN カードをその仮想 HUB に VPN
接続した状態にすることにより、VPN に参加しているコンピュータ間で任意の Ethernet
フレームを送受信することができるようになり、物理的なネットワークの形状に依らず自由な通信が安全に行えます。すべての VPN
通信は暗号化され、盗聴および改ざんができなくなり安全です。
ただし、コンピュータ間 VPN では PacketiX VPN Client
をインストールしているコンピュータ同士は自由に通信を行うことができますが、それ以外のコンピュータを VPN に参加させることはできません。
具体的な接続方法については、「10.3 コンピュータ間 VPN の構築」 をお読みください。
コンピュータ間 VPN |
リモートアクセス VPN
「リモートアクセス VPN」は PacketiX VPN を用いて構築することができる VPN の一種です。通常、社内 LAN
などのインターネットからは直接アクセスすることができないようなネットワークに、出張先や自宅などのコンピュータから自由にアクセスし任意のアプリケーションで通信を行うことができます。
以前から、社内 LAN へのリモートアクセスには電話回線や ISDN などを用いたダイヤルアップネットワークによる PPP
プロトコルを用いたリモートアクセスが用いられることが多くありました。しかしながら、これらの方法は通信速度が低速であり、課金も従量制であったため、長時間大量のデータを通信することは困難でした。
PacketiX VPN によるリモートアクセス VPN では、PacketiX VPN Client
をインストールしたコンピュータであれば、原則としてインターネットに接続することが可能な環境であれば世界中どこにいても、ほぼ無償で会社の社内
LAN に設置した PacketiX VPN Server に VPN 接続して、社内 LAN にリモートアクセスすることが可能です。すべての
VPN 通信は暗号化され、盗聴および改ざんができなくなり安全です。
リモートアクセス VPN を実現するためには、社内 LAN に PacketiX VPN Server を設置し、その VPN
Server 内に作成した仮想 HUB と既存の物理的な Ethernet
セグメントとの間を「ローカルブリッジ接続」によってブリッジ接続します。その後、当該仮想 HUB にリモートから VPN Client
をインストールしたコンピュータで接続すると、社内 LAN にリモートアクセスすることができます。
従来型の VPN プロトコルでは利用が困難であった TCP/IP 以外のプロトコルのほぼすべてが仮想の Ethernet
経由で利用可能になります。さらに、従来の VPN プロトコルが通過することができなかったプロキシサーバーやファイアウォールおよび NAT
を経由して VPN セッションを確立することも簡単にできます。
具体的な接続方法については、「10.4 一般的なリモートアクセス VPN の構築」 をお読みください。
リモートアクセス VPN |
一般的規模の拠点間接続 VPN
「リモートアクセス VPN」は、1 つの拠点に対してインターネットを経由して外部から複数台の VPN Client
をインストールしたコンピュータがその拠点にリモートアクセスすることができるような VPN の形態です。
これに対して、「拠点間接続 VPN」は、物理的に離れた場所にある複数の拠点同士を接続することができる VPN 接続方法であり、2
つ以上の拠点がすでに存在するか、またはこれから拠点を増設したいと考えている企業や部署にとって最適な VPN の利用方法です。
拠点間接続 VPN では、複数拠点に VPN Server または VPN Bridge をインストールしたコンピュータを設置し、それらの
VPN Server または VPN Bridge 内の仮想 HUB と各拠点の既存の物理的な Ethernet
セグメントとの間をローカルブリッジ接続します。そして、複数の拠点のうち 1 つの拠点の VPN Server に対して、他の VPN
Bridge などの仮想 HUB からカスケード接続します。これにより、複数の離れた拠点の物理的なレイヤ 2 セグメント同士が 1
つのセグメントとして認識されます。複数の拠点間の物理的なネットワークが PacketiX VPN によって 1
つのセグメントとして使用できるように相互接続された後は、それらのネットワーク間をまるで極めて長い LAN
ケーブルによって相互に物理的なカスケード接続したのと全く同じように使用することができます。すべての VPN
通信は暗号化され、盗聴および改ざんができなくなり安全です。
拠点間をブリッジすることよりる拠点間接続 VPN
機能は、旧来利用されてきた通信キャリアの「広域イーサネットサービス」などと同様の機能をインターネット経由で安価かつよりセキュアに実現することができます。
具体的な接続方法については、「10.5 拠点間接続 VPN の構築 (ブリッジ接続を使用)」 をお読みください。
一般的規模の拠点間接続 VPN |
大規模の拠点間接続 VPN
「一般的規模の拠点間接続 VPN」で説明したような複数の拠点の物理的な Ethernet セグメント同士を VPN 接続する方法は、VPN
接続する各拠点の合計のクライアント数が数百台程度であればうまく機能しますが、拠点間を合計するとそれ以上の台数のコンピュータがある場合で、それぞれのコンピュータ同士を接続したい場合はいくつかの制限事項が発生する可能性があります。
- コンピュータ数が数百台を越えると、ARP や NetBIOS
などのブロードキャストフレームを使用するプロトコルによる通信量が増え、拠点間の VPN 接続の負荷が高くなる。
- レイヤ 2 でセグメント同士を接続する方式では、元々分離されていたネットワーク同士が 1
つの大きなネットワークセグメントになるので、原則としてそれらのセグメント内のコンピュータは同一の IP
ネットワークに属していることが望ましいが、コンピュータの合計台数が多い場合は構成を変更するのにコストがかかる場合がある。
このような制限事項が問題となるような場合では、PacketiX VPN Server の仮想レイヤ 3 スイッチ機能とレイヤ 2
のローカルブリッジ機能、およびカスケード接続機能の 3 つを組み合わせることによって、各拠点のネットワーク間をレイヤ 2
で直接カスケード接続するのではなく、レイヤ 3 で IP ルーティングすることが可能です。特に大規模な拠点間接続 VPN
を実現する場合にはこの方法を使用するのが効果的な場合があります。ただし、設計や構築作業に IP
ルーティングの知識が必要となり、難易度は向上します。具体的な接続方法については、「10.6 拠点間接続 VPN の構築 (IP ルーティングを使用)」 をお読みください。
この方法により、旧来の PPTP や L2TP/IPSec などの VPN プロトコルがサポートしていた IP
ルーティングを活用した拠点間の VPN 通信と同等の VPN 接続を、より優れた PacketiX VPN
ソフトウェアによって簡単に実現することができます。
大規模の拠点間接続 VPN |
|