PacketiX VPN 3.0 の新機能
PacketiX VPN 3.0
の新機能や性能強化の内容は数多くありますが、主なものをまとめると、以下のようになります。
全体的なソフトウェアアップデート
ソフトイーサ株式会社は、PacketiX
VPN 3.0 の開発において、ソフトウェアの内部構造 (ユーザーモードおよびカーネルモードのプログラムの両方)
を細かく見直し、多くの部分を再構築し、さらに徹底したテストを行うことにより、性能・品質・信頼性を大幅に強化しました。
Windows 7 / Windows Server 2008 R2 に正式対応
Windows 7 および Windows Server 2008 に正式に対応しました。
これらの新しい Windows での動作が保証されただけではなく、Windows 7 / Windows Server 2008 R2
の新機能である「JumpList」(ジャンプリスト) にも対応しました。JumpList を使用すれば、タスクバーから VPN
クライアント接続マネージャのアイコンを右クリックするだけで、接続マネージャを起動することなく、素早く VPN セッションを接続 /
切断することができます。
Windows 7 上で動作中の VPN Client および VPN Server
Windows 7 の新機能「JumpList」に対応
VPN Server / Bridge も Windows 7 / Server 2008 R2 に対応
IPv6 による VPN 通信に対応 (Ethernet over IPv6 トンネリングが実現可能)
インターネットで利用されている IPv4 アドレスは枯渇する傾向にあり、将来は固定のグローバル IPv4
アドレスの割り当てを受けにくくなる可能性があります。そのため、インターネット上での通信には今後 IPv6 を利用する機会が増えると想定されます。
しかしながら、企業内 LAN においては、速やかにすべてのネットワーク機器やサーバー、クライアント等のコンピュータを IPv6
に完全対応した最新の OS、アプリケーションおよび機材に置換することは困難です。企業内 LAN では今後も IPv4
を用いた通信が必要となると予測されます。
ソフトイーサ株式会社は、PacketiX VPN 3.0 の VPN通信スタック (物理的なネットワークを流れる実際の TCP/IP
の通信) を IPv6 に完全対応しました。これにより、たとえば、企業内 LAN において、複数拠点の IPv4 を用いた Ethernet
セグメント同士を、IPv6 インターネットを経由してブリッジ接続することができるようになります。また、自宅や出張先の PC から企業内 LAN
へのリモートアクセスも、IPv6 インターネットを経由して接続することができるようになります。IPv6 固定 IP アドレスが VPN
サーバーに割り当ててあれば、IPv4 固定 IP アドレスは不要になります。 まとめると、PacketiX VPN 3.0
により、「IPv4 over IPv6」 (より厳密に表現すると、「Ethernet over IPv6」) を実現する VPN
の構築が極めて簡単にできるようになります。
物理的な IPv6 ネットワークを経由して VPN を構築可能
IPv6 の VPN 通信に対応 (IPv6 over IPv4 トンネリング等に利用可能)
PacketiX VPN 3.0 では、仮想 HUB を流れるパケットが IPv6 である場合でも、それらのパケットを正しく解釈し VPN
通信することができるようになりました。
単に仮想 HUB 内を IPv6 パケットが Ethernet フレームとして流れるだけではなく、仮想 HUB はリアルタイムに IPv6
パケットを解析し、仮想 HUB
に設定されているセキュリティポリシーやアクセスリストによるセキュリティ制限を自動的に適用したり、パケットログを保存したりすることができます。
これにより、PacketiX VPN 3.0 を用いることによって、「IPv4 over IPv6」の逆の「IPv6 over
IPv4」も容易に実現することができます。
仮想 HUB 内を IPv6 パケットが通過した場合の IP アドレステーブル
NTT 東日本の「B フレッツ」を用いて ISP を経由せずに直接 2 拠点間で VPN 接続が構築可能に
従来は、拠点間を PacketiX VPN 2.0 を用いてブリッジ接続するためには、両拠点に NTT
のフレッツ回線が設置されていた場合でも、それぞれの拠点のフレッツ回線を用いて、まず ISP
に接続してインターネットに到達できる状態にしてから、インターネットを用いて IPv4 を用いて拠点間の VPN
接続を構築する必要がありました。せっかく広域で高品質・低遅延な単一の巨大な IP ネットワークであるフレッツ網 (地域 IP 網) を NTT
東日本/西日本が敷設しているにもかかわらず、フレッツを用いて拠点間接続するためには、一旦 ISP
までパケットを往復させる必要があったのです。これにより、ISP の月額契約料金および 1 個以上の固定 IPv4
アドレスの費用が必要となるだけではなく、スループットの低下、パケットロスおよび遅延の発生等の品質低下を招くことがありました。
PacketiX VPN 3.0 では、VPN 通信の物理的な接続を、IPv6 を用いて行うことができます。これにより、NTT の B
フレッツ網において現在提供されている「フレッツ・ドットネット」サービス (月額わずか 315 円) を用いることで、B フレッツが設置されている
2 拠点間を ISP に依存せずに直接、最短経路で IPv6 通信することができます。PacketiX VPN 3.0 の機能により、どのような
Ethernet フレームでも、IPv6 パケットとして物理ネットワーク上を伝送することが可能です。これにより、NTT の B
フレッツが設置されている 2 拠点間で VPN 接続を行う場合のコストを下げることができ (ISP との契約が不要になります)、さらに、ISP
を経由しないため、NTT 網内だけでパケットが折り返されることになり、これまで約 10msec 以上の遅延が発生していたところが、約 1 ~
5msec 程度の遅延に短縮することができます。それだけではなく、これまで ISP を経由すると VPN 通信のスループットは約 25 ~
40Mbps 程度しか出なかった場合でも、新しい方法を利用することにより約 50 ~ 95Mbps 程度を実現することができます。
また、2011 年 4 月以降に提供開始となることが予定されている NTT 東日本/西日本の NGN
サービス「フレッツ・ネクスト」における網内 IPv6 通信サービス (B フレッツにおけるフレッツ・ドットネットと同等のサービス)
においても同様に PacketiX VPN 3.0 を用いた VPN 通信が利用できるようになる予定です。
NTT 東日本のフレッツ網を利用して Ethernet over IPv6 による VPN を構築する方法の例
IPv6 に完全対応したアクセスリストやセキュリティポリシー
PacketiX VPN 3.0 は、仮想HUB内を流れる通信 (仮想化の対象となる通信) の処理においてもIPv6に完全対応しています。
例えば、これまで IPv4 のみをサポートしていた「アクセスリスト」や「セキュリティポリシー」機能は、PacketiX VPN 3.0
により、IPv6 にも対応します。VPN で IPv6 パケットを利用する場合においても、ネットワーク管理者は、IPv6
パケットのトラフィックをセキュリティ制御することができます。 また、仮想 HUB
を流れるすべてのパケットをログに書き出すことができる「パケットログ」機能も IPv6 に対応しました。
アクセスリストにおける IPv6 アドレスの指定 (1 項目)
アクセスリストにおける IPv6 アドレスの指定 (リスト)
暗号強度を 2,048 ビットから 4,096 ビットに強化
PacketiX VPN 2.0 では RSA 証明書として 1,024 ~ 2,048 ビットの鍵を用いる必要がありました。しかも、PacketiX
VPN 2.0 の GUI で生成することができる証明書は 1,024 ビットの鍵に制限されていました。
PacketiX VPN 3.0では暗号強度が強化されており、新たに 1,536 ビット、2,048 ビット、3,072 ビットおよび
4,096 ビットの鍵を持つ X.509
証明書を作成したり、これらの証明書を用いてサーバー認証およびユーザー認証を行うことができます。これにより、セキュリティが飛躍的に向上しました。
4,096 ビットまでの RSA 暗号化に対応
64 bit システムへの対応強化
PacketiX VPN 3.0では、64 bit
版を特別な高価な追加料金を支払うことなく、通常版のライセンスのみで利用することができます。
また、PacketiX VPN 2.0 では 64 bit OS に 32 bit 版 VPN
をインストールすると一部機能が利用できませんでしたが、PacketiX VPN 3.0 では 64 bit OS で 32 bit 版 VPN
プログラムを支障なく動作させることが可能となっています。
Linux、FreeBSD、Mac OS X 対応強化
以下の OS および CPU に新たに対応し、動作可能なプラットフォームが増加しました。
- Linux
ARM および ARM-EABI に新たに対応
- FreeBSD 7.x
x86 および x64
に新たに対応
- Mac OS X Tiger, Leopard, Snow
Leopard
Intel CPU (x86 および x64) に新たに対応
Windows、Linux、Solaris の他、FreeBSD でもローカルブリッジが利用可能に
これまでローカルブリッジ機能 (仮想 HUB と物理的な LAN カードとを接続する機能) は Windows, Linux および
Solaris でのみ利用可能でしたが、PacketiX VPN 3.0 では新たに FreeBSD
でもローカルブリッジ機能が完全に利用可能になりました。
VPN Server / VPN Bridge の仮想 HUB の通信速度の高速化
VPN Server / VPN Bridge の仮想 HUB の CPU
使用率およびメモリ使用量を削減し、より遅延を抑え、スループットを増大することができるようになりました。仮想 HUB
に新たに以下の高速化オプションが追加されました。
- IPv4 / IPv6 パケットのヘッダ部をソフトウェアでパースしないようにするオプション。
- IP アドレステーブルにおいてプライベート IP アドレスのみを管理するオプション。
- IP アドレステーブルを構築・維持しないオプション。
- 仮想 HUB で受信した MAC
フレームを他のセッションにストアした後にフォワード処理を先に実施させるように CPU
を一瞬アイドル状態にしてイールドするオプション。
- その他のオプション。
ローカルブリッジのパフォーマンスが約 20% 高速化
VPN Server / VPN Bridge のローカルブリッジのカーネルモードモジュールをさらに最適化したことにより、CPU
使用率を削減することに成功しました。これにより、以前のバージョンと比較して最大 20% 程度のスループットの高速化を実現できます。
VoIP / QoS 機能、syslog 機能、多重ログイン数制限機能などを標準搭載
PacketiX VPN 2.0 では追加のオプション料金を支払うことで利用できた「Option Pack」の全機能が、PacketiX
VPN 3.0 では標準で付属しています。
IP 電話 (VoIP) を快適に利用するための VPN 内での QoS 対応機能、ログの syslog
送信機能、単一ユーザーの同時ログイン数の制限機能などが付加されています。
PacketiX VPN 2.0 の Option Pack の全機能が標準で利用可能
タグ VLAN (IEEE802.1Q) 透過対応
仮想 HUB 内に VLAN (IEEE802.1Q) タグが付いた MAC フレームが流れている場合において、仮想 HUB の MAC
アドレステーブル (FDB) は MAC アドレスだけではなく、対応する VLAN ID (0 ~ 4095)
を元に構築・検索されるようになりました。
また、物理 LAN カードと仮想 HUB との間のローカルブリッジもタグ付き VLAN に対応しました。これまでは 1,514 バイト
(FCS を加算すると 1,518 バイト) の MAC フレームしかブリッジにより伝送できませんでしたが、PacketiX VPN 3.0
では 1,560 バイト (FCS を加算すると 1,564 バイト) の MAC フレームまで伝送することができます。
この機能により、1 本の拠点間 VPN 接続に複数の VLAN
をトランキングすることができ、大企業における拠点間 LAN 接続を容易く実現することができるようになりました。 VLAN
(IEEE802.1Q) タグの EtherType ID (TPID) はデフォルトでは 0x8100
ですが、これを任意の値に変更することも可能です。
MAC アドレステーブル (FDB) に VLAN ID が追加され、 タグ VLAN フレームを仮想 HUB で透過することが可能に
タグ VLAN パケット透過設定ツールが追加された
ユーザーまたはグループごとのタグ VLAN ID の設定やタグ付加・除去が可能に
仮想 HUB
に登録するユーザーやグループのセキュリティポリシーの設定で VLAN ID を指定することができるようになりました。
VLAN ID を指定されたユーザーが VPN 通信を行う際、そのユーザーが VPN クライアントから送信したすべての
Ethernet フレームには自動的にその VLAN ID のタグが付与されます。また、そのユーザーは同じ VLAN ID
のタグが付与された Ethernet フレームしか受信することができなくなります。ユーザーが VLAN タグが付与された
Ethernet フレームを受信する場合は、そのタグは自動的に除去されます。
この機能により、1 個の仮想 HUB およびローカルブリッジ先の物理的な Ethernet セグメント内に、複数の VLAN
(最大 4,094 個まで) を共存させ、ユーザーごとに別々の VLAN
に収容することを容易に実現できるようになりました。大企業のバックボーンネットワークなどのスイッチに VPN Server / VPN
Bridge を直結することにより、特定の VLAN に自動的にユーザーが接続するように設定することができます。
これにより、大規模な環境における VPN サーバー構築のコストが削減でき、セキュリティも維持することができます。
ユーザーごとのセキュリティポリシーへの VLAN ID の指定
アクセスリスト機能の強化
アクセスリスト機能は IPv6
に完全対応したことに加え、新たに以下の 3 つの機能をサポートしました。
- MAC アドレスによるフィルタ機能。
これまでの IP ヘッダや
TCP/UDP ヘッダの指定に加え、新たに MAC ヘッダにおける送信元/宛先 MAC
アドレスをフィルタリングルールに追加できるようになりました。これにより、特定の MAC
アドレスのみ通信を許可/禁止することができます。
- TCP ステートによるフィルタ機能。
TCP パケットの状態
(コネクション確立前/確立済みフラグ)
をフィルタリングルールに追加できるようになりました。これにより、より柔軟で高セキュリティなトラフィックコントロールが可能になります。
- 遅延・ジッタ・パケットロスの設定機能。
後に説明するように、遅延・ジッタ・パケットロスの発生設定をアクセスリストのルールとして設定することができるようになりました。
送信元 / 宛先 MAC アドレスや TCP のコネクション状態による条件付けをサポート
遅延・パケットロス生成機能の追加
業務アプリケーションや IP
電話システム等を導入前に試験環境で検証する場合、机上のテスト環境 (たとえば、実験室にスイッチング HUB
やルータ等で接続したテスト用ネットワークを構築した場合)
では、ほとんど遅延・ジッタ・パケットロスは発生しません。そういったテスト環境で新システムが快適に動作したとしても、実際の環境 (インターネット
VPN や WAN 回線など)
にシステムを導入した場合は、テスト環境には存在しなかった遅延・ジッタ・パケットロスが発生することになり、予期できなかった問題が多数発生することがあります。
そこで、ネットワーク管理者は、可能であれば机上のテスト環境で遅延・ジッタ・パケットロスを発生させたいと考えています。これまでは非常に高価な
(数十万円~数百万円) 装置を導入すれば、遅延・ジッタ・パケットロスをシミュレーションにより発生させることが可能でした。
PacketiX VPN 3.0 の仮想 HUB には、遅延・ジッタ・パケットロスを発生させる機能が標準で付属しています。遅延は
msec
単位、ジッタおよびパケットロス率はパーセント単位で細かく指定することができます。また、アクセスリスト機能と組み合わせることにより、特定の条件に一致した
IP
パケットに対してのみ遅延・ジッタ・パケットロスを発生させることもできます。これにより、ネットワーク管理者は非常に安価な費用を負担するだけで、業務アプリケーションや
IP 電話システム等を導入前に試験環境で実際に遅延等を発生させてネットワーク品質を悪化させた状態でテストすることができます。
遅延・パケットロス生成機能の設定画面 (アクセスリストの条件ごとに指定可能)
赤: 遅延を 100ms 挿入した様子 緑: さらに 50% のジッタを挿入した様子
仮想 HUB で Spanning-Tree, IPv4, IPv6, 非 IP, OSPF および PPPoE を選択的に遮断可能
仮想 HUB で以下のように Spanning-Tree, IPv4, IPv6, 非 IP, OSPF および PPPoE を選択的に遮断可能になりました。これにより、特定目的の
VPN サーバーを簡単に構築することができます。また、複数セグメント間で PPPoE や STP
のパケットが混ざってしまいネットワークに支障が生じることを防止できます。
- BPDU (スパニング・ツリー) パケット。
- すべての IPv4 および ARP パケット。
- すべての IPv6 パケット。
- OSPF (Open Shortest Path First) パケット。
- PPPoE (PPP over Ethernet) パケット。
業界標準の TLS 1.0 への対応
PacketiX VPN 2.0 では
VPN 通信は SSL 3.0 を用いて行っていました。現在、SSL 3.0 をもとに改良され標準化された TLS (Transport
Layer Security) 1.0 が業界標準となっています。
PacketiX VPN 3.0 では標準で TLS 1.0 を用いて VPN
通信を行います。これにより、品質・セキュリティが強化されます。また、一部のプロキシサーバーやファイアウォール等では SSL
での通信が正常に行えず、TLS での通信のみがサポートされていますが、PacketiX VPN 3.0
を用いることにより、これらのゲートウェイ機器を経由する場合でも、VPN 通信を安定して行うことができるようになります。
PacketiX VPN 3.0 のソフトウェアが PacketiX VPN 2.0 に接続する場合や、逆に PacketiX
VPN 2.0 が PacketiX VPN 3.0 に接続する場合は、いずれも SSL 3.0 に自動的にダウングレードして VPN
通信が行われます。
各種サーバーサービスへの対応の強化
PacketiX VPN Client
2.0 の仮想LANカードを用いて SQL データベースや HTTP 等のサーバーサービスを提供する場合、一部のサーバーソフトウェアは OS
の起動時に仮想 LAN カードがリンクダウンしている場合はその仮想LANカードを対象とした TCP
ポートのリッスンを行わないような動作をすることがありました。
PacketiX VPN Client 3.0 では、オプション設定により、VPN サーバーに接続中か否かに関わらず、常に仮想
LAN カードがリンクアップしているものとして OS
に報告されるようにすることができます。これにより、各種サーバーサービスへの対応が強化されます。
"Keep Link" オプションを "On"
にすることによる各種サーバーのための互換性の強化
Radius サーバーへの対応強化
PacketiX VPN 2.0
は外部サーバーによるユーザー認証として Radius と NT ドメインをサポートしています。しかし、PacketiX VPN 2.0
では一部の Radius サーバーとの相性に問題がありました。また、単一のRadiusサーバーしか指定することができませんでした。
PacketiX VPN 3.0 では Radius サーバーとの相性問題を大幅に解決したほか、複数台の Radius
サーバーを指定することができるようになり、フォールトトレランシーが強化されました。
複数の Radius サーバーのアドレスや再試行間隔を細かく指定可能に
ユーザーインターフェイスの停止頻度の大幅な低下
PacketiX VPN 2.0 では、たとえば VPN
サーバーへの接続を開始した後に接続処理をキャンセルしようとした場合、キャンセルが完了するまで長時間待つ必要があり、その間ユーザーインターフェイスは停止してフリーズしたようになってしまうことが多々ありました。
PacketiX VPN 3.0
では、内部構造を新たに見直し、ほぼすべての処理に実行中のキャンセレーションを組み込みました。これにより、ユーザーはいつでも実行中の接続処理を途中でキャンセルすることができ、エクスペリエンスの向上につながります。
VPN 3.0 ではほぼすべての名前解決 / 接続操作を UI から中断可能に
速度・信頼性の向上および自動回復機能
VPN
通信エンジン全体にわたる最適化が施され、動作速度および信頼性が全体的に向上しました。 また、VPN Server および VPN
Bridge において内部データ構造の整合性を一定時間ごとに自己検証し、コンピュータの物理メモリの不具合やソフトウェア・OS
の不具合などで破綻が発覚した場合は、直ちに自己プロセスを強制再起動するコードを格納し、24
時間連続稼働を要する業務用システムでより安心して利用することができるようになりました。
VPN ユーザーの自動切断機能
仮想 HUB のユーザーまたはグループのセキュリティポリシーで、接続元の VPN Client が VPN Server
に接続した場合に、一定期間が経過すると接続を強制的に切断するように設定することができるようになりました。
これにより、VPN サーバーの管理者は、ユーザーが無意味に VPN サーバーに接続し続けることによる VPN
サーバーのリソース逼迫の問題を解決できます。
VPN クライアントが接続後、一定時間経過すると強制的に自動切断することができるように
VPN クライアントの品質強化
Windows 版の PacketiX
VPN Client 3.0
では、全体的な動作速度が向上したほか、ユーザーインターフェイスが大幅に改良され、必要な操作を素早く行うことができるようになりました。
たとえば、最近使った VPN サーバーの一覧から、頻繁に利用する接続先を容易く指定することができるようになりました。また、Windows
Vista および Windows 7
のテーマに対応し、エクスペリエンスが向上しました。さらに、タスクトレイに表示されるアイコンを非表示にできるようになっています。
VPN Client は VPN Server への VPN 接続時の仮想 LAN カードの状況等を細かく表示可能に |