トップ 製品・サービス 導入事例 パートナー ダウンロード サポート 報道発表 企業情報 お問い合わせ
PacketiX VPN 2.0 マニュアル 第1章 PacketiX VPN 2.0 の概要 1.4 VPN の動作原理と通信方法

 

< 1.3 PacketiX VPN 2.0 の製品構成およびライセンス1.5 セキュリティの強化>

1.4 VPN の動作原理と通信方法

ここでは、PacketiX VPN によって構築することができる VPN の動作原理と通信方法、および VPN 通信に使用される各モジュールや機能の概要、ならびに PacketiX VPN を活用することによって構築可能な VPN の種類などについて解説します。

 

1.4.1 通常の Ethernet の構成

PacketiX VPN は、「Ethernet の通信の仕組みをそのままソフトウェアで実装し仮想化することによって VPN を実現する」ソフトウェアです。まず、通常の Ethernet がどのような仕組みで動作しているかについて、簡単に解説します。

Ethernet の基本

通常の 100Base-TX や 1000Base-T などの一般的な Ethernet 規格 (IEEE802.3) を使用した LAN では、複数の Ethernet に対応した通信装置 (LAN カード) を持ったコンピュータ同士が、中央のスイッチング HUB (レイヤ 2 スイッチと呼ばれることもある) にスター型につながり、それらのコンピュータ同士は自由に通信を行うことができます。

スイッチング HUB と LAN カード

Ethernet では、複数のコンピュータ同士が通信を行うことができますが、ここで各コンピュータは Ethernet に対して接続するための専用の周辺機器である「LAN カード」(またはネットワークアダプタと呼ぶ) を使用して、物理的に Ethernet に接続します。

具体的には、LAN カードから UTP ケーブルや光ファイバーなどの「LAN ケーブル」と呼ばれる物理的な信号線によって、接続したい Ethernet のスイッチング HUB に接続します。

図1-4-1 Ethernet におけるスイッチング HUB と LAN カード

MAC アドレス

Ethernet に参加するコンピュータは、お互いに重複しない ID をもって通信を行う必要があります。そこで、各 LAN カードには固有の 48bit の ID が割り当てられています。この 48 bit の ID のことを「MAC アドレス」と呼びます。物理的な LAN カードの MAC アドレスは原則として世界中で重複しないように割り当てられます (PacketiX VPN の「仮想 LAN カード」のような、ソフトウェア的な LAN カードデバイスの場合は、MAC アドレスは実用上重複が発生する可能性が極めて低いように適切なアルゴリズムで生成され重複を防いでいます)。

Ethernet 内を流れる通信パケット (Ethernet フレーム)

Ethernet 内を流れる通信データのパケットのことを、一般に「Ethernet フレーム」や「MAC フレーム」、「Ethernet パケット」などと呼びます (このマニュアルでは、「Ethernet フレーム」として表記を統一しています)。Ethernet フレームには、いくつかのヘッダと実際に通信したいデータ (ペイロード) が含まれていますが、そのうち重要なものは下記の 4 つの項目です。

図1-4-2 Ethernet フレーム (MAC フレーム)

「宛先 MAC アドレス (48bit)」は、Ethernet フレームを送信する元のコンピュータが、どのコンピュータに対してその Ethernet フレームを届けたいのかを示す、受信者の MAC アドレスが入っているフィールドです。Ethernet 内でのスイッチング HUB などの中継機器は、宛先 MAC アドレスの値を見てその Ethernet フレームを中継します。

「送信元 MAC アドレス (48bit)」は、その Ethernet フレームを送信したコンピュータの、LAN カードの MAC アドレスが入っているフィールドです。

「プロトコル種類 (16bit)」は、この Ethernet フレーム内のデータ (ペイロード) が、レイヤ 3 におけるどのプロトコルのものであるかを示す 16bit の値です。たとえば、IP の場合は 0x0800、ARP では 0x0806 などといった値が決められています。なお、このフィールドは、場合によってはプロトコル種類ではなくペイロードの長さなどを示す値が入る場合もありますが、現在ではあまり使用されていません。

「ペイロード (最大 1,500 Bytes)」は Ethernet を使用して実際に通信したいデータ本体が入ります。

ユニキャストとブロードキャスト

Ethernet においては、Ethernet フレームを送信する際にそのフレームが特定の相手の LAN カードの MAC アドレスを指定して送信される場合 (ユニキャスト) と、Ethernet に参加している自分以外のすべての LAN カードに対して送信される場合 (ブロードキャスト) の 2 種類の送信方式を選択することができます。

「ユニキャスト」のフレームを送信する場合は、「宛先 MAC アドレス」に宛先 LAN カードの MAC アドレスを指定しますが、「ブロードキャスト」のフレームを送信する場合は、「宛先 MAC アドレス」として特殊な MAC アドレスである「FF:FF:FF:FF:FF:FF」を指定します。この FF:FF:FF:FF:FF:FF という MAC アドレスを宛先としたフレームは「ブロードキャストフレーム」または「ブロードキャストパケット」と呼ばれ、原則としてその Ethernet ネットワークに参加しているすべてのコンピュータ (LAN カード) が受信します。

スイッチング HUB の仕組み

Ethernet で用いられている「スイッチング HUB」(レイヤ 2 スイッチ) は、Ethernet によりネットワークを構築し、通信を行う上で重要な周辺機器です。スイッチング HUB は複数のポート (通常は 8 ポートなど、大きいものでは数十~数百ポート) があり、そのポートと Ethernet に参加したいコンピュータとの間を LAN ケーブルなどで接続することによって、スイッチング HUB とコンピュータの LAN カードとの間で物理的にネットワークが接続され、レイヤ 2 における Ethernet の通信が行えるようになります。

また、スイッチング HUB のポートを、別のスイッチング HUB のポートに接続することも可能です。この場合、接続したスイッチング HUB 同士は元々別々の Ethernet ネットワークであったのにもかかわらず、その間を LAN ケーブルで接続することにより、同一の Ethernet ネットワークであるように動作するようになります (これを「カスケード接続」と呼びます)。

下の図において、左側と右側の 2 つのスイッチング HUB に接続されているコンピュータ同士は、自由に通信することができます。

図1-4-3 スイッチング HUB 同士のカスケード接続によるセグメントの結合

スイッチング HUB による MAC アドレスの学習とフレーム交換

スイッチング HUB は、それぞれのポートの先にどのような MAC アドレスを持ったコンピュータが接続されているのかを常に認識し、内部にデータベースとして持っています。これを「MAC アドレステーブル」と呼びます。

スイッチング HUB は Ethernet フレームを受け取ったら、その Ethernet フレームの宛先 MAC アドレスを見て、宛先 MAC アドレスが MAC アドレステーブルに登録されている場合は、関連付けられているポートに対して送出します。宛先 IP アドレスが MAC アドレステーブルに登録されていない場合や、ブロードキャストフレームである場合は、すべてのポートに対して送出します。

なお、スイッチング HUB が新しい MAC アドレスを学習し、それを内部で保持している MAC アドレステーブルに登録する処理は、新しい Ethernet フレームを受信するたびにその Ethernet フレームの送信元 MAC アドレスを読み取ることによって自動的に行っています。

これによって、ユニキャストパケットが不必要なポートに流れずに、必要最低限のポートに対してのみ送出される機能を実現しています。これをスイッチング HUB による MAC アドレスの学習およびフレーム交換機能と呼びます。

Ethernet セグメント (ブロードキャストドメイン)

これまでの例で「Ethernet ネットワーク」と表現していたような、参加したコンピュータ同士が自由に通信することができるような 1 つのネットワークのことを、「Ethernet セグメント」または「セグメント」、あるいは「ブロードキャストドメイン」と呼びます。通常、1 台のスイッチング HUB で構成される Ethernet ネットワークは 1 つのセグメントです。また前述のように、元々分離した 2 つのセグメントの間を LAN ケーブルなどによって接続することによって 1 つのセグメントにすることもできます。

カスケード接続

前述のように、2 つのスイッチング HUB によって構成されていた 2 つのセグメント同士を接続して、1 つのセグメントとして運用する方法を「カスケード接続」と呼びます。カスケード接続は、Ethernet が定める物理的な限界を超えない限り、何段でも行うことができます。カスケード接続を容易に行うことができるということが Ethernet を使用する上での最も大きな特徴の 1 つであり、ポート数が足りなくなったスイッチング HUB に、別のスイッチング HUB をカスケード接続することによってポート数を増やし、ネットワークに接続できるコンピュータの数を増やすことができます。

ブリッジ接続

カスケード接続のうち、特にもともと物理的に分離されて運用していた 2 つの Ethernet セグメント同士を、カスケード接続またはそれに似た仕組みによってお互いに自由にフレームを交換することができるようにすることを「ブリッジ接続」といいます。

「カスケード接続」と「ブリッジ接続」は技術的には同等の接続方法ですが、カスケード接続は「最初から 1 つの大きなセグメントを構築するためにスイッチング HUB 間を接続して行くこと」を示すのに対して、ブリッジ接続は「もともと物理的にも管理的にも 2 つのセグメントとして運用していたネットワーク間を接続する」という意味で使用されています。

昔は Ethernet における「ブリッジ」とは、「ポート数が 2 個しかないスイッチング HUB」というような機器を指す言葉でした。以前はスイッチング HUB があまり普及しておらず、MAC アドレス学習機能がない「リピータ HUB」や「ダム HUB」と呼ばれる HUB が主流でしたが、リピータ HUB やダム HUB では 1 つのポートから受け取った Ethernet フレームを、ブロードキャストおよびユニキャストにかかわらず、常にすべてのポートに対して送出するため、ネットワーク全体の負荷が高くなってしまいます。そこでこのフラッディングドメインを分割するために、間に「ブリッジ」と呼ばれる LAN カードが 2 枚刺さったコンピュータ (または専用機器) を用意して、2 方向のセグメントの間で MAC アドレスの学習を行いながら不要なフレームを通過させないようにすることによって 1 つのセグメントを分割する場合がありました。

近年ではスイッチング HUB が十分安価に普及したため、Ethernet の「ブリッジ」と呼ばれるサーバーや専用機器は使用されなくなりました。現在は「ブリッジ接続」というのは分離されていた 2 つのセグメントをカスケード接続などの技術を用いて 1 つのセグメントに結合するための接続方法を意味します。

 

1.4.2 仮想 HUB

PacketiX VPN では、前述の「スイッチング HUB」や「LAN カード」を仮想化することによって、Ethernet を仮想化した VPN 通信を実現しています。ここでは仮想 HUB について簡単に解説します。「1.6 VPN 通信の詳細」 により具体的な仮想 HUB に関する解説があります。

仮想 HUB の機能

「仮想 HUB」は、PacketiX VPN における最も重要な機能の 1 つです。仮想 HUB は既存の一般的なレイヤ2 スイッチング HUB と同等機能をソフトウェアとして実装したものです。仮想 HUB は MAC アドレス学習機能や学習に基づくフレームの交換・配送機能を有しています。しかしながら、従来のスイッチング HUB が、ハードウェアとしてこれらの処理を行っていたのに対して、PacketiX VPN の仮想 HUB ではすべてソフトウェアとしてこれらの処理を行います。

仮想 HUB による VPN 通信の実現について、詳しくは 「1.6 VPN 通信の詳細」 および 「3.4 仮想 HUB の機能」 をお読みください。

PacketiX VPN Server には、1 つ以上の複数個の仮想 HUB を作成することができます。仮想 HUB は、メモリの空き容量や CPU 速度および仕様が許す限り、いくつでも作成することができます。それぞれの仮想 HUB は VPN を経由して流れてきた仮想の Ethernet フレームに対して、MAC アドレス学習を行い、その結果によって対応する別の VPN に参加しているコンピュータに仮想 Ethernet フレームを送出することによって、仮想のレイヤ 2 Ethernet セグメントを実現しています。

図1-4-4 仮想 HUB と仮想 HUB または仮想 LAN カード同士の接続

複数個の仮想 HUB の作成および管理

1 台の VPN Server 内に複数の仮想 HUB を作成した場合、それらの仮想 HUB 同士は通信を行うことはできません。したがって、複数個の仮想 HUB を作成すると、VPN Server 内に仮想の複数個の Ethernet セグメントができることになります。

PacketiX VPN の仮想 HUB には、通常の Ethernet における物理的なスイッチング HUB と異なり、LAN ケーブルで直接接続するのではなく、既存の IP ネットワーク (インターネットなど) を経由した TCP/IP ベースのトンネリングプロトコル (PacketiX VPN プロトコル) によって接続することになります。つまり、仮想 HUB には、物理的なスイッチング HUB にある LAN ケーブルを接続するポートと同等に、仮想的なポートが接続を待ち受けているような機能があり、別のコンピュータからその仮想のポートに対して、まるで LAN ケーブルを接続するかのように PacketiX VPN プロトコルによって VPN 接続することが可能なのです。

図1-4-5 VPN Server 内の仮想 HUB ごとのセグメント分離

管理単位の分割

前述のように、仮想 HUB には遠隔地から PacketiX VPN プロトコルによって接続することができますが、この際に誰にでも接続を許してしまった場合は、許可されていない第三者が仮想 HUB に接続できてしまいます。これを防ぐために、管理者は仮想 HUB に接続することができるユーザーを定義し、そのユーザーの「ユーザー認証」 (パスワード認証や証明書認証など希望するものが利用可能) が成功したものだけを受け入れるように設定することが可能です。また、仮想 HUB 内の通信についても、デフォルトではすべての通信内容が許可されますが、パケットフィルタリングやセキュリティポリシーの適用などによって、一部の種類の通信を遮断することもできます。

これらの設定内容は、仮想 HUB ごとに完全に独立しており、それぞれ別々の管理者が管理可能なように管理単位が分割されています。VPN Server 全体の管理者は、すべての仮想 HUB を管理することができますが、VPN Server の管理者から、一部の仮想 HUB に関する管理者権限を委譲された管理者は、その仮想 HUB の管理のみを行うことができ、他の仮想 HUB の管理を行うことはできません。

 

仮想 HUB 間の接続方法

仮想 HUB は、同じ VPN Server または別のコンピュータの VPN Server で動作している仮想 HUB に対して「カスケード接続」を行うことができます。カスケード接続を行った仮想 HUB 同士は、もともと別々のセグメントであった状態から結合されて 1 つのセグメントとして動くようになります。

また、同じ VPN Server が動作している仮想 HUB に対して「仮想レイヤ 3 スイッチ」を経由して、IP ルーティングによって仮想 HUB 間のネットワークをレイヤ 3 で接続することもできます。

 

1.4.3 仮想 LAN カード

PacketiX VPN では、物理的なスイッチング HUB を仮想化して仮想 HUB を実現しているのと同様に、物理的な LAN カードをソフトウェアによって仮想化して「仮想 LAN カード」を実現しています。仮想 LAN カードは、TCP/IP ベースの PacketiX VPN プロトコルを経由して、ネットワークを通じて遠隔地にある PacketiX VPN Server 内で動作している仮想 HUB に接続することができます。

PacketiX VPN Client および仮想 LAN カードに関する詳細は 「第4章 PacketiX VPN Client 2.0 マニュアル」 をお読みください。

図1-4-6 オペレーティングシステムによって LAN カードデバイスとして認識される PacketiX VPN の仮想 LAN カード

仮想 LAN カードは、現在 Windows および Linux に対応したソフトウェアが「PacketiX VPN Client」として提供されています。PacketiX VPN Client をインストールしたコンピュータは、VPN クライアントとして VPN Server への接続を行うことができます。PacketiX VPN Client の設定として、複数個の仮想 LAN カードをクライアントコンピュータ上に作成することができます。作成された仮想 LAN カードは、Windows などのオペレーティングシステムや、そのシステム上で動作しているほぼすべての任意の通信アプリケーションから、物理的な LAN カードと同様の 1 枚の LAN カードとして認識されるため、原則として Ethernet での通信に対応したほぼすべてのネットワークプロトコルや TCP/IP プロトコルが PacketiX VPN プロトコルによって仮想 HUB を経由し、VPN を通じて通信することが可能となります。

図1-4-7 仮想 LAN カードのプロパティ画面

 

1.4.4 カスケード接続と仮想レイヤ 3 スイッチ

PacketiX VPN Server では、複数の仮想 HUB を作成し同時に稼動させることが可能ですが、初期状態では仮想 HUB 同士はそれぞれ独立したレイヤ 2 セグメントを有しているのみであり、同一の仮想 HUB に接続しているコンピュータ同士は自由に通信を行うことができるものの、それぞれの仮想 HUB に別々に接続しているコンピュータ同士は一切通信することはできません。

カスケード接続

「カスケード接続機能」を用いると、同じ VPN Server または別のコンピュータの VPN Server で動作している仮想 HUB に対して「カスケード接続」を行うことができます。「カスケード接続」と「ブリッジ接続」機能を組み合わせて拠点間接続 VPN を簡単に構築することもできます。カスケード接続に関して詳しくは 「3.4.11 カスケード接続機能」 をお読みください。また、カスケード接続とブリッジ接続機能を組み合わせた VPN 構築例については、「10.5 拠点間接続 VPN の構築 (ブリッジ接続を使用)」 をお読みください。

仮想レイヤ 3 スイッチ

仮想レイヤ 3 スイッチ機能は、「レイヤ 3 スイッチ」や「IP ルータ」と呼ばれる、IP プロトコルにおける「IP ルーティング」を行う通信機器をソフトウェア的に仮想化したものです。

レイヤ 3 スイッチや IP ルータは、物理的に切り離されている別々のレイヤ 2 セグメント同士を、ブロードキャストドメインを分割したままレイヤ 3 の IP ネットワーク的に結合することができます。この場合、レイヤ 3 スイッチやルータを経由して通信を行う「IP ルーティング」により、離れたレイヤ 2 セグメント間を、レイヤ 3 スイッチやルータを順番に経由していくことによって、IP パケットがネットワーク間を渡り歩き別のネットワークに到達することができます。なお、インターネットのような巨大な IP ネットワークはいくつものレイヤ 3 スイッチやルータが組み合わされて実現されています。

PacketiX VPN Server の仮想レイヤ 3 スイッチ機能を用いると、複数の仮想 HUB 間での IP ルーティングが可能となります。以前のバージョンの「SoftEther 1.0」などでは、複数の仮想 HUB 間で IP ルーティングを行う場合には、複数の仮想 HUB について、それぞれの仮想 HUB のセグメントを物理的な Ethernet セグメントにブリッジ接続し、物理的なレイヤ 3 スイッチやルータ専用機を用いて IP ルーティングを行う必要がありました。しかし、PacketiX VPN Server が仮想レイヤ 3 スイッチ機能をサポートしたことによって、ネットワーク管理者は複数の仮想 HUB 間で IP ルーティングを行うことによる仮想 HUB 間通信を簡単に実現することができるようになっています。

図1-4-8  仮想レイヤ 3 スイッチによる仮想 HUB 間の IP ルーティング

通常、PacketiX VPN で複数のネットワークを拠点間接続 VPN で接続する場合、「ローカルブリッジ機能」と「カスケード接続機能」の組み合わせで十分ですが、大規模なネットワーク同士を VPN 接続する場合は、仮想レイヤ 3 スイッチ機能による IP ルーティングも組み合わせて使用する必要があるかも知れません。仮想レイヤ 3 スイッチ機能を用いた VPN の構築例については、「10.6 拠点間接続 VPN の構築 (IP ルーティングを使用)」 をお読みください。

 

1.4.5 仮想ネットワークと物理ネットワークとのブリッジ接続

PacketiX VPN Server および PacketiX VPN Bridge には、「ローカルブリッジ機能」が搭載されています。ローカルブリッジ機能を用いると、仮想 HUB と物理的な LAN カードとの間を、ブリッジ接続することができます。つまり、任意の仮想 HUB と既存の物理的なネットワークという、もともと分離された 2 つのセグメント同士を同一セグメントにすることができます。詳しくは 「3.6 ローカルブリッジ」 をお読みください。

複数の拠点で、仮想 HUB と物理的な既存の LAN との間をローカルブリッジ接続し、さらに仮想 HUB 同士をカスケード接続することによって、インターネットを経由して、複数の拠点の既存の物理的な LAN 同士を 1 つのセグメント化して通信することが簡単にでき、拠点間 VPN を実現することができます。

図1-4-9 PacketiX VPN による拠点間接続の例

 

1.4.6 コンピュータ間 VPN

PacketiX VPN で実現することができるネットワークには、大きく分けて以下の 3 つの形態があります。

  • コンピュータ間 VPN
  • リモートアクセス VPN
  • 拠点間接続 VPN

これらの形態を使い分け、または組み合わせて複雑な VPN を構築することも可能です。実際のネットワーク構築例については、「第10章 VPN ネットワークの構成手順および構成例」 をお読みください。

「コンピュータ間 VPN」は PacketiX VPN を用いて構築することができる最も簡単な VPN の形態です。非常に簡単に構築することができますが、VPN を経由して通信することができる範囲はそれほど広くありません。

コンピュータ間 VPN では、どこか一箇所に設置した PacketiX VPN Server の仮想 HUB に対して、複数のコンピュータが PacketiX VPN Client の仮想 LAN カードを、その仮想 HUB に VPN 接続した状態にすることにより、VPN に参加しているコンピュータ間で任意の Ethernet フレームを送受信することができるようになり、物理的なネットワークの形状に依らず自由な通信が安全に行えます。すべての VPN 通信は暗号化され、盗聴および改ざんができなくなり安全です。

ただし、コンピュータ間 VPN では PacketiX VPN Client をインストールしているコンピュータ同士は自由に通信を行うことができますが、それ以外のコンピュータを VPN に参加させることはできません。

具体的な接続方法については、「10.3 コンピュータ間 VPN の構築」 をお読みください。

図1-4-10 コンピュータ間 VPN

 

1.4.7 リモートアクセス VPN

「リモートアクセス VPN」は PacketiX VPN を用いて構築することができる VPN の一種です。通常、社内 LAN などのインターネットからは直接アクセスすることができないネットワークに、出張先や自宅などのコンピュータから自由にアクセスし、任意のアプリケーションで通信を行うことができます。

以前から、社内 LAN へのリモートアクセスには、電話回線や ISDN などのダイヤルアップネットワークによる PPP プロトコルを用いたリモートアクセスが用いられることが多くありました。しかしながら、これらの方法は通信速度が低速であり、課金も従量制であったため、大量のデータを長時間にわたり通信することは困難でした。

PacketiX VPN による「リモートアクセス VPN」では、PacketiX VPN Client をインストールすることによって、原則としてインターネットに接続することが可能な環境であれば世界中どこにいても、容易に会社の社内 LAN に設置した PacketiX VPN Server に VPN 接続して、社内 LAN にリモートアクセスすることが可能です。すべての VPN 通信は暗号化され、盗聴および改ざんができなくなり安全です。

リモートアクセス VPN を実現するためには、社内 LAN に PacketiX VPN Server を設置し、その VPN Server 内に作成した仮想 HUB と、既存の物理的な Ethernet セグメントとの間を「ローカルブリッジ接続」によってブリッジ接続します。その後、当該仮想 HUB に、リモートから VPN Client をインストールしたコンピュータで接続すると、社内 LAN にリモートアクセスすることができます。

従来型の VPN プロトコルでは利用が困難であった TCP/IP 以外のプロトコルでも、多くの場合、仮想の Ethernet 経由で利用可能になります。さらに、従来の VPN プロトコルが通過することができなかったプロキシサーバーやファイアウォール、および NAT を経由して VPN セッションを確立することも簡単にできます。

具体的な接続方法については、「10.4 一般的なリモートアクセス VPN の構築」 をお読みください。

図1-4-11 リモートアクセス VPN

 

1.4.8 一般的規模の拠点間接続 VPN

「リモートアクセス VPN」は、1 つの拠点に対して、インターネットを経由で外部から複数台の VPN Client をインストールしたコンピュータが、その拠点にリモートアクセスすることができるような VPN の形態です。

これに対して、「拠点間接続 VPN」は、物理的に離れた場所にある複数の拠点同士を接続することができる VPN 接続方法であり、2 つ以上の拠点がすでに存在するか、またはこれから拠点を増設したいと考えている企業や部署にとって最適な VPN の利用方法と言えます。

拠点間接続 VPN では、複数拠点に VPN Server または VPN Bridge をインストールしたコンピュータを設置し、それらの VPN Server または VPN Bridge 内の仮想 HUB と、各拠点の既存の物理的な Ethernet セグメントとの間を「ローカルブリッジ接続」します。そして、複数の拠点のうち 1 つの拠点の VPN Server に対して、他の VPN Bridge などの仮想 HUB から「カスケード接続」します。これにより、複数の離れた拠点の物理的なレイヤ 2 セグメント同士が 1 つのセグメントとして認識されます。複数の拠点間の物理的なネットワークが、PacketiX VPN によって 1 つのセグメントとして使用できるように相互接続された後は、まるでそれらのネットワーク間を、極めて長い LAN ケーブルによって相互に物理的なカスケード接続したのと同じように使用することができます。すべての VPN 通信は暗号化され、盗聴および改ざんができなくなり安全です。

拠点間をブリッジすることよる拠点間接続 VPN 機能は、旧来利用されてきた通信キャリアの「広域イーサネットサービス」などと同様の機能を、インターネット経由で安価かつよりセキュアに実現することができます。

具体的な接続方法については、「10.5 拠点間接続 VPN の構築 (ブリッジ接続を使用)」 をお読みください。

図1-4-12 一般的規模の拠点間接続 VPN

 

1.4.9 大規模の拠点間接続 VPN

「一般的規模の拠点間接続 VPN」で説明したような複数の拠点の物理的な Ethernet セグメント同士を VPN 接続する方法は、VPN 接続する各拠点の合計のクライアント数が数百台程度であればうまく機能しますが、拠点間を合計するとそれ以上の台数のコンピュータがある場合で、それぞれのコンピュータ同士を接続したい場合は、以下のような、いくつかの制限事項が発生する可能性があります。

  • コンピュータ数が数百台を越えると、ARP や NetBIOS などのブロードキャストフレームを使用するプロトコルによる通信量が増え、拠点間の VPN 接続の負荷が高くなる。
  • レイヤ 2 でセグメント同士を接続する方式では、もともと分離されていたネットワーク同士が 1 つの大きなネットワークセグメントになるため、原則としてそれらのセグメント内のコンピュータは同一の IP ネットワークに属していることが望ましいが、コンピュータの合計台数が多い場合は構成を変更するのにコストがかかる場合がある。

このような制限事項が問題となるような場合では、PacketiX VPN Server の「仮想レイヤ 3 スイッチ機能」と「レイヤ 2 のローカルブリッジ機能」、および「カスケード接続機能」の 3 つを組み合わせることによって、各拠点のネットワーク間をレイヤ 2 で直接カスケード接続するのではなく、レイヤ 3 で IP ルーティングすることが可能です。特に大規模な拠点間接続 VPN を実現する場合には、この方法の使用が効果的な場合があります。ただし、設計や構築作業に IP ルーティングの知識が必要となり、難易度が向上します。具体的な接続方法については、「10.6 拠点間接続 VPN の構築 (IP ルーティングを使用)」 をお読みください。

この方法により、旧来の PPTP や L2TP/IPSec などの VPN プロトコルがサポートしていた IP ルーティングを活用した拠点間の VPN 通信と同等の VPN 接続を、より優れた PacketiX VPN ソフトウェアによって簡単に実現することができます。

図1-4-13 大規模の拠点間接続 VPN

 

 

 

< 1.3 PacketiX VPN 2.0 の製品構成およびライセンス1.5 セキュリティの強化>

PacketiX VPN 2.0 オンラインマニュアル (Web 版) バージョン 2.20.5280.01
Copyright © 2004-2007 SoftEther Corporation. All Rights Reserved.
 www.softether.com | サポート情報 | 使用条件