5.3 VPN Server との相違点
「PacketiX VPN Bridge」は、PacketiX VPN Server から一部の機能を削除し、リモート拠点で仮想 HUB
と物理的な LAN カードとの間を接続する (ブリッジする) ための、専用ソフトウェアとして実装されています。PacketiX VPN
Bridge の使用方法や各種機能の動作原理、および管理のための知識などは、ここで挙げるような相違点を除き、「第3章 PacketiX VPN Server 2.0 マニュアル」 で解説されている
PacketiX VPN Server のための説明を、ほぼそのまま適用することができます。したがって、PacketiX VPN Bridge
に関する具体的な設定方法などについては、記述の「VPN Server」の部分を「VPN Bridge」に、「vpnserver」の部分を「vpnbridge」にそのまま置き換えてお読みください。
5.3.1 VPN Bridge の特徴と使用方法
VPN Server と VPN Bridge
「第3章 PacketiX VPN Server 2.0 マニュアル」 で解説されている「PacketiX VPN Server」は、VPN 接続元のコンピュータに対して VPN
サーバー機能を提供するソフトウェアです。1 台の VPN Server 内に複数の「仮想 HUB」を設置することができ、またその仮想 HUB
に対して、ネットワークを経由して遠隔地にある VPN Client や VPN Bridge などが VPN
接続することができるようになっています。また、VPN Server では、内部の仮想 HUB と、VPN Server
を動作させているコンピュータが物理的に持っている LAN カードとの間で「ローカルブリッジ接続」機能 (詳しくは 「3.6 ローカルブリッジ」 を参照してください)
や「SecureNAT」機能 (詳しくは 「3.7 仮想 NAT および仮想 DHCP サーバー」 を参照してください)
を使用して、仮想ネットワークと物理的なネットワークの間の接続を行う機能を持っています。
「VPN Bridge」は、上記のような特徴を持つ VPN Server から、以下の機能を削除したソフトウェアです。
- VPN 接続を受け付ける機能 (VPN サーバーとしての機能) や、それに付随する機能。
- 複数個の仮想 HUB を作成する機能。
- 仮想レイヤ 3 スイッチ機能。
- アクセスリストによるパケットフィルタリング機能。
技術的な VPN Bridge の位置付け
技術的には、「PacketiX VPN Bridge」は、PacketiX VPN Server
のソフトウェアプログラムから、他のコンピュータの PacketiX VPN Client および PacketiX VPN Server
からの接続を受け付ける機能や、複数の仮想 HUB を作成する機能などを削除し、ブリッジ拠点用に最適化したソフトウェアです。PacketiX VPN
Bridge をインストールすると、"BRIDGE" という名前の仮想 HUB が 1 つだけ作成されます。ネットワーク管理者は、その仮想
HUB をブリッジする拠点の LAN とローカルブリッジし、また接続先の PacketiX VPN Server の仮想 HUB へ接続します。
VPN Bridge の用途および使用方法
VPN Bridge は「VPN Server
へのカスケード接続」と「ローカルブリッジ接続による物理的なネットワークとの間のブリッジ」という 2
つの機能を使用することに最適化されており、その他の余分な機能の多くは排除されています。
たとえば、既設の VPN Server の仮想 HUB を本社に設置しておき、その仮想 HUB と接続したい各支店の拠点の LAN 内に
VPN Bridge をインストールし、インターネットを経由して本社の LAN と常に接続し続けているような構成の VPN
を構築することにより、VPN Bridge を有効に使用することができます。
一般的に必要になる VPN Server と VPN Bridge のコンピュータ台数
「10.5 拠点間接続 VPN の構築 (ブリッジ接続を使用)」 や 「10.6 拠点間接続 VPN の構築 (IP ルーティングを使用)」 などで別途解説されているような、一般的な規模における「拠点間接続 VPN」を構築する場合は、1 つの拠点に
VPN Server を設置し、その他の拠点に VPN Bridge を設置して、各拠点で仮想 HUB と物理的な LAN
カードの間を「ローカルブリッジ接続」すると同時に、VPN Bridge の仮想 HUB から VPN Server の仮想 HUB
に「カスケード接続」することになります。
このような場合は、1 台の VPN Server と、「接続したい拠点数の合計から 1 を引いた数の台数の VPN Bridge」を設置する必要があります。一般的に
「N 箇所の拠点」同士を拠点間 VPN 接続する場合は、「N - 1 台の VPN Bridge」を用意し、1
台の VPN Server に対して接続してください。

図5-3-1 各拠点での VPN Server と VPN Bridge |
コンフィグレーションファイル名
VPN Server ではコンフィグレーションファイル名は vpn_server.config という名前ですが、VPN Bridge
では vpn_bridge.config という名前になります。
5.3.2 VPN Bridge における仮想 HUB
VPN Bridge では、プログラム内に「1 つ」だけ仮想 HUB を持つことができます。その仮想 HUB の名前は"BRIDGE"
という名称に固定されています。

図5-3-2 "BRIDGE" という名前の仮想 HUB |
VPN Bridge は、VPN Server と同様に、「VPN サーバー管理マネージャ」や「vpncmd
ユーティリティ」によって管理しますが、その際は "BRIDGE" という名前の仮想 HUB を選択して、管理を行うことになります。
この "BRIDGE" という名前の仮想 HUB と、コンピュータに物理的に接続されている LAN
カードとの間を「ローカルブリッジ機能」によって接続することにより、"BRIDGE" 仮想 HUB と物理的な LAN
のセグメントが結合されます。その状態で "BRIDGE" 仮想 HUB に「カスケード接続」を作成し、目的の VPN Server
に対して接続し続けるように設定することにより、「拠点間接続 VPN」を簡単に構築することができます。
5.3.3 VPN Bridge におけるカスケード接続機能
VPN Bridge の仮想 HUB も、VPN Server 内の仮想 HUB と同様に、他のコンピュータ上で動作している仮想 HUB
に「カスケード接続」することができます。カスケード接続については、「3.4.11 カスケード接続機能」 を参照してください。
VPN Bridge の仮想 HUB は、VPN 接続を受け付けることができないため、外部の VPN Server
に対してカスケード接続しない VPN Bridge は全く無意味なものとなります。VPN Bridge
を使用する際には、カスケード接続機能を「必ず」使用することになります。

図5-3-3 VPN Bridge におけるカスケード接続機能 |
5.3.4 VPN Bridge における接続の受け付け
VPN Bridge は VPN Server と異なり、VPN 接続を受ける機能を持っていません。PacketiX VPN
ソフトウェアシリーズの中で VPN 接続を受ける機能、つまり VPN サーバーとしての機能を持っている製品は PacketiX VPN
Server のみです。
ただし、VPN Bridge は VPN Server と同様に「TCP/IP リスナーポート」を持っています。初期状態で有効になっている
TCP/IP リスナーポートは「443 番」「992 番」および「8888 番」の 3 つで、VPN Server
と同様となっています。この TCP/IP リスナーポートは、VPN Bridge にローカルまたはリモートから「VPN
サーバー管理マネージャ」または「vpncmd ユーティリティ」で管理接続するために必要です。

図5-3-4 VPN Bridge への管理接続 |
5.3.5 VPN Bridge におけるローカルブリッジ機能
VPN Bridge 内の唯一の仮想 HUB である "BRIDGE" は、その VPN Bridge が動作しているコンピュータ上の物理的な
LAN カードとの間で「ローカルブリッジ接続」を構成することができるようになっています。この機能により、VPN Bridge の仮想 HUB
は、既存の拠点の LAN とレイヤ 2 で接続することができ、「ブリッジ」としての役割と機能を発揮します。
ローカルブリッジの設定方法については、VPN Server の場合と全く同様です。詳しくは 「3.6 ローカルブリッジ」 を参照してください。
なお、Windows、Linux および Solaris 以外のオペレーティングシステム用の VPN Bridge
では、ローカルブリッジ機能が搭載されていません。したがって、Windows、Linux および Solaris 以外の VPN Bridge
は、ほとんど役に立ちませんのでご注意ください。ただし、SecureNAT
機能を使用することができます。

図5-3-5 VPN Bridge でのローカルブリッジ設定画面 |
5.3.6 VPN Bridge における SecureNAT 機能
VPN Bridge 内の唯一の仮想 HUB "BRIDGE" は、VPN Server と同様に SecureNAT による仮想 NAT
機能、および仮想 DHCP
サーバー機能を持っており、必要な場合は、これらの機能を有効にすることができます。これらの機能の使用方法については、「3.7 仮想 NAT および仮想 DHCP サーバー」 を参照してください。
また、VPN Bridge の「SecureNAT 機能」を活用した PacketiX VPN の使用方法の例については、「10.11 SecureNAT 機能を用いた権限不要のリモートアクセス」
を参照してください。
5.3.7 VPN Bridge における仮想レイヤ 3 スイッチ機能
VPN Bridge には「1 つ」しか仮想 HUB が存在しないため、必然的に仮想レイヤ 3
スイッチの意味はなくなります。したがって、VPN Bridge からは、仮想レイヤ 3 スイッチ機能は削除されており、使用することはできません。
5.3.8 VPN Bridge と VPN Server の共存
PacketiX VPN の初心者がよく行う間違いとして、VPN Server と VPN Bridge
を、同一のコンピュータにインストールしてしまい混乱を発生させるというものがあります。VPN Server と VPN Bridge
に関する本マニュアルの説明でお分かりいただけるように、VPN Server と VPN Bridge
を同一のコンピュータにインストールする意味は全くありません。
VPN Server は、単体で仮想 HUB と物理的な LAN との間の「ローカルブリッジ機能」を有しているため、VPN Server の仮想
HUB を物理的な LAN カードとの間でレイヤ 2 接続することは、VPN Server
単体で実現できます。このような接続方法を行うために、VPN Bridge を使用する必要は全くありません。
VPN Server と VPN Bridge は、同一のコンピュータにインストールしないでください。
|