トップ 製品・サービス 導入事例 パートナー ダウンロード サポート 報道発表 企業情報 お問い合わせ
トップページ PacketiX VPN 3.0 Web サイト お客様別の使用方法 通信事業者・ISP のお客様Select Language:

 

通信事業者・ISP のお客様

インターネットサービスプロバイダや通信キャリアなどのお客様は、PacketiX VPN を用いたオンラインサービスをエンドユーザーに対して提供することができます。PacketiX VPN  は大量の同時接続セッション数や優れた管理性を備えており、ほとんどの想定される用途に適合させることができます。

  PacketiX VPN の詳細はこちら  導入事例はこちら

  

PacketiX VPN Server の機能をエンドユーザーに対して提供する
ASP 型 VPN サービス

インターネットサービスプロバイダ (ISP) は、保有する高速なバックボーン回線および多くのサーバーコンピュータを使用して、大規模な仮想 HUB のホスティングサービスを「PacketiX VPN Server」を使用して構築し、顧客に対して提供することが可能です。このような「大規模な仮想 HUB をホスティングするサービス」について、その実現方法について解説します。

ASP 型 VPN サービスの構成例

実際に ASP 型 VPN サービスを構成する際のネットワーク構成例や必要となるソフトウェアやサーバーの配置などについては、以下のリンクをクリックしてご覧ください。

 

仮想 HUB ホスティングサービスとは

ここで述べられている「仮想 HUB ホスティングサービス」とは、データセンターなどの回線速度が高速な拠点に高性能なサーバーコンピュータを設置し、そのサーバーコンピュータに VPN Server をインストールしていくつもの仮想 HUB を VPN Server 内で動作させ、その仮想 HUB を使用する権利を、顧客や自社の部署などに対して提供するようなサービスのことです。

仮想 HUB ホスティングサービスは「ホスティング型 VPN サービス」や「ASP 型 VPN サービス」などと呼ばれる場合もあります。

仮想 HUB ホスティングサービスの概念は、VPN Server のクラスタシステムを設置し、その VPN Server 内に大量の仮想 HUB を作成して、その仮想 HUB の管理者権限を仮想 HUB を主に使用・管理する者に委譲することにより、仮想 HUB の管理を任せると共に、その仮想 HUB を使用する複数のユーザーは、その VPN Server に対して VPN 接続して VPN 通信を行うことができるという形態のサービスです。

仮想 HUB ホスティングサービスの概要

ISP における仮想 HUB ホスティングサービスの用途

インターネットサービスプロバイダ (ISP) は、保有するインターネットへの高速なバックボーン回線を活用して、ホスティング型 VPN サービスを顧客に対して提供することができます。ISP のデータセンター内に VPN Server システムを設置し、仮想 HUB ホスティングサービスの利用を申し込んだ顧客のためにその顧客専用の仮想 HUB を作成し、その管理者権限を顧客に委譲することで、各顧客はその仮想 HUB を借り切って自由にユーザーの追加やセッション管理などの管理を行うとともに、インターネットを経由して複数の場所からその仮想 HUB を使用して PacketiX VPN の機能を使用することができます。

特に、このようなサービスは、自社や自宅などにグローバル IP アドレスを持っていなかったり、グローバル IP アドレスが固定でなかったりするようなオフィスや家庭などのユーザーが、安定した VPN Server 内の仮想 HUB をレンタルしたいと考えているような場合に需要があるものと考えられます。

たとえば中小企業で、自社内 LAN に対するリモートアクセス VPN を構築したいが、自社がインターネットに接続する際の接続方法は、「変動型グローバル IP アドレス」(接続する度に IP アドレスが変化してしまう接続形態) であるような場合は、自社内に VPN Server を安定して設置することができません (「10.10.4 IP アドレスの割り当て方法と DDNS サービス」 で解説している DDNS サービスを用いると変動型グローバル IP アドレスでも VPN Server の設置は可能ですが、業務環境での安定性を重視する用途には推奨されていません)。もしくは自社に「固定グローバル IP アドレス」があったとしても、VPN Server を日々運用・管理するノウハウを持っていないような中小企業の場合もあります。これらの企業は、ISP が提供する仮想 HUB ホスティングサービスに申し込み、自社内に設置した VPN Bridge から ISP 側に用意された仮想 HUB に常時「カスケード接続」しておくことによって、「10.4 一般的なリモートアクセス VPN の構築」 で解説したような「リモートアクセス VPN」サービスを、VPN Server を自社内で持たない形で社員に対して提供することが可能です。このような接続方法は以下の図のようになり、リモートアクセス VPN を利用しようとする遠隔地の社員は、ISP 側の VPN Server に設置されている仮想 HUB に接続します。すると、ISP 側の VPN Server の仮想 HUB を経由して、社内のネットワークに設置された VPN Bridge のローカルブリッジ接続を通り、社内 LAN にリモートアクセスすることが可能になります。

ISP における仮想 HUB ホスティングサービス

また、この仕組みを応用すれば、それぞれ固定型グローバル IP アドレスを保有していない 2 拠点間を、ISP が提供する仮想 HUB ホスティングサービスを経由して接続することができます。これは 「10.5 拠点間接続 VPN の構築 (ブリッジ接続を使用)」 で解説した「拠点間接続 VPN」と同様の方法ですが、自社内に VPN Server を設置することなく実現することができます。

ISP 型仮想 HUB ホスティングサービスを利用した拠点間接続 VPN

仮想 HUB ホスティングサービスを提供する方法

大企業や ISP が、顧客に対して大規模な仮想 HUB ホスティングサービスを提供するにあたっては、特にソフトイーサ株式会社による特別な資格や許可は不要です。通常の VPN Server の製品ライセンスと、接続ライセンスを必要なだけ購入することにより、仮想 HUB ホスティングサービスをとても簡単に、短期間で構築することが可能です。

クラスタリングによるスケーラビリティの向上

大規模な仮想 HUB ホスティングサービスを構築するにあたっては、当然のことながら VPN Server 上で動作する仮想 HUB の数は非常に多くなり、またそれぞれの仮想 HUB に接続する VPN セッション (VPN Client または VPN Bridge) の数は、合計すると極めて多数になることが予想されます。

このような仮想 HUB ホスティングサービスを構築するためには、「10.8 大規模なリモートアクセス VPN サービスの構築」 と同様に「クラスタリング機能」を使用してください。クラスタリング機能を使用することにより、ダイナミック仮想 HUB を大量に作成しても全体のパフォーマンスは下がらず、また同時に大量の VPN 接続セッションが接続された場合でも、自動的にロードバランシングが行われ、各 VPN Server の負荷が調整されます。さらに、「フォールトトレランス機能」も自動的に働くため、稼働中の大量の台数の VPN Server マシンのうちの一部が、電源障害、ハードウェア交換、ソフトウェアアップデートおよびその他のメンテナンスのために停止した場合でも、その VPN Server に直前まで接続されていた VPN セッションはクラスタコントローラによって自動的に別の稼動している VPN Server にリダイレクトされます。このため、基本的に 24 時間 365 日無停止の大規模な仮想 HUB ホスティングサービスを構築することも可能です。

なお、ここでは大規模な仮想 HUB ホスティングサービスを構築するために VPN Server のクラスタを構築する方法を説明していますが、小規模な仮想 HUB ホスティングサービスを構築する場合 (目安としては、仮想 HUB の数が合計 100 個以下程度、同時接続セッション数が 200 セッション以下程度) の場合は特にクラスタリング機能を使用する必要がない場合もあります。また、最初はクラスタリング機能を使用せずに仮想 HUB ホスティングサービスを構築しておき、後に同時接続セッション数や仮想 HUB 数が増えてきて 1 台の VPN Server では負荷が問題となってきた場合は、後から 上位の Edition にアップグレードして、クラスタリング機能を使用し VPN Server の台数を増やすことも可能です。

 

ダイナミック仮想 HUB の使用

クラスタ内には 1 個以上の仮想 HUB を作成することができます。クラスタ環境での仮想 HUB には「スタティック仮想 HUB」と「ダイナミック仮想 HUB」の 2 種類があります。

仮想 HUB ホスティングサービスの用途に最適な仮想 HUB は、「ダイナミック仮想 HUB」です(「3.9.8 ダイナミック仮想 HUB」 を参照)。

ネットワーク構成

ここでは、例として以下の図のようなネットワーク構成について解説します。

ネットワーク構成

この例では、データセンター内に 5 台のサーバーコンピュータを設置し、これにより 5 台の VPN Server クラスタを構築します。すべてのサーバーには、固定のグローバル IP アドレスが割り当てられていることを仮定します。

なお、上記の例ではクラスタの台数は 5 台ですが、実際に運用を開始した後、各 VPN Server の負荷が予想以上に高くなった場合は、クラスタメンバサーバーの台数を増やすだけでクラスタ全体のスループットを向上させ、各 VPN Server の負荷を減らすことができます。

クラスタコントローラの設置と設定

複数台の VPN Server でクラスタを組む場合は、まず最初に 1 台目の VPN Server を「クラスタコントローラ」として設定します。用意した複数台の VPN Server 用のサーバーコンピュータに性能の違いがある場合は、最もメモリ容量が大きく、ハードウェア的に動作が安定したものをクラスタコントローラにすることをお勧めします。

VPN Server をクラスタコントローラにする方法については、「3.9.2 クラスタコントローラ」 を参照してください。

クラスタメンバサーバーの設置と設定

2 台目以降の VPN Server は、1 台目のクラスタコントローラに対して接続する「クラスタメンバサーバー」として設定します。VPN Server をクラスタメンバサーバーにする方法については、「3.9.3 クラスタメンバサーバー」 を参照してください。

ダイナミック仮想 HUB の作成

運営している仮想 HUB ホスティングサービスにおいて、新しい仮想 HUB を作成する場合は、「ダイナミック仮想 HUB」として仮想 HUB を作成してください。たとえば、企業で新しい仮想 HUB の作成が必要になった場合や、ISP でサービスに新しい顧客が申し込んだ場合などは、新しい仮想 HUB を作成します。

仮想 HUB の管理権限の委譲

新しい仮想 HUB を作成したら、その仮想 HUB の管理権限を実際に仮想 HUB を管理するユーザーに対して委譲します。企業の場合は、仮想 HUB の作成を IT 部門に対して申請した担当者に対して権限を委譲することになります。ISP の場合は、新しくサービスを申し込んだ顧客に対して権限を委譲することになります。

「権限の委譲」とは、仮想 HUB の管理パスワードをユーザーに対して通知する、あるいはユーザーが最初の登録時に希望する初期パスワードを仮想 HUB の管理パスワードとして登録するということです。仮想 HUB の権限委譲に関しての詳細は、「3.3.4 管理権限」 を参照してください。

これにより、権限を委譲されたユーザーはその管理パスワードを使用してクラスタコントローラに自ら「VPN サーバー管理ツール」や「vpncmd」で接続することによって、その仮想 HUB を自由に管理することができるようになります。その仮想 HUB に新しいユーザーやグループを追加したり、アクセスリストやログの保存方法を変更したりするなどといった、仮想 HUB 管理者に許可されているすべての操作が可能です。なお、この操作内容のうち一部を禁止することも可能です。詳しくは 「10.9.13 仮想 HUB 管理オプションの設定による管理権限の限定」 を参照してください。

クラスタ環境での VPN セッションの管理

一度クラスタ環境を構築した後は、クラスタ内のクラスタメンバサーバーに対して直接管理接続を行い管理をする必要は基本的にはありません。ログファイルのダウンロード、ログ保存設定の書き込み、現在接続されているセッション一覧の表示、ユーザーの追加 / 削除 / 編集、使用する外部認証サーバーの設定、信頼する証明書の設定などの、ほぼすべての管理設定はクラスタコントローラに対してのみ行うことで、自動的にクラスタコントローラが各 VPN Server に対して設定の更新を通知し、クラスタ全体の状態は常に整合性が保たれた状態になります。

特に、各仮想 HUB の管理者はクラスタコントローラに対してのみ管理接続を行うことができます。クラスタ内のクラスタコントローラ以外の各クラスタメンバサーバーに対して、直接管理接続を行うことはできませんのでご注意ください。

ユーザーの利用状況および課金

VPN Server 全体の管理権限を使用して VPN Server に接続すると、その管理権限を持った管理セッションは、すべての仮想 HUB を管理したり、各仮想 HUB の通信量を取得したりすることができます。特に ISP では、ユーザー (仮想 HUB) ごとの課金を通信量によって行う必要がある場合もあります。このような場合は、VPN Server および各仮想 HUB が自動的に作成し管理している統計情報を取得することによって、必要なデータを収集することができます。また、クラスタコントローラに生成される vpn_server.config コンフィグレーションファイルの内部にもこれらの情報が構造化されて記録されていますので、このファイルを必要な際に読み取る方法によっても各ユーザーの通信量などを測定し課金することが可能です。なお、VPN Server および各仮想 HUB が自動的に作成し管理している統計情報に関しては 「3.3.10 統計情報の管理」 を参照してください。また、簡単なプログラムを作成して、これらの処理・記録・課金計算などを自動化することも可能です。

仮想 HUB 管理オプションの設定による管理権限の限定

VPN Server 全体の管理権限を持っている管理者 (つまり ISP や企業の IT 部門の管理者) は、管理権限を委譲した各仮想 HUB の管理者 (つまり顧客など) が行うことができる管理作業などの一部を、制限することが可能になっています。

この機能は「仮想 HUB 管理オプション」と呼ばれ、VPN Server の標準機能として搭載されています。設定することができる項目の一覧など、詳しくは 「3.5.12 仮想 HUB 管理オプション」 を参照してください。

この仮想 HUB 管理オプションを、特定の仮想 HUB に対して設定することによって、たとえば仮想 HUB に設定されている最大同時接続セッション数の値にかかわらず、その仮想 HUB に対して同時に接続することができる VPN セッション数の最大値を制限することができます。また、仮想 HUB に対して登録することができるユーザーやグループ、アクセスリストなどの数の最大値を設定することも可能です。これらの機能によって、特に ISP は、顧客に対していくつかの料金プランを提示し、顧客が選択した料金プランに応じたオプションサービスとして、同時に接続することができるユーザー数や最大の通信速度、アクセスリストなどの付加機能を使用可能または 使用不可にするといった「仮想 HUB ホスティングサービス」におけるビジネスモデルを使用することができます。

 

VPN Server SDK for .NET 2.0 を用いたオンラインシステムの構築

VPN Server SDK for .NET 2.0 とは

VPN Server SDK for .NET 2.0 は、稼働中の VPN Server ソフトウェアを自動制御するための Microsoft .NET Framework 2.0 用 DLL ファイル (プライベートアセンブリ) です。

通常、VPN サーバー管理マネージャや vpncmd などを用いて手動でシステム管理 (仮想 HUB やユーザーの作成、削除、動作状況の確認など) を手動で行う場合の操作のすべてを、例えば C#.net や VB.net などで作成した .NET プログラムから関数を呼び出す形で自由自在に行うことができます。これにより、管理用ユーティリティや ASP.NET 上などで動作する Web アプリケーションなどから VPN Server の管理や操作、動作チェックなどを自動的に行うことができます。

また PacketiX VPN Server Carrier Edition を使用してエンドユーザー向けの ASP 型 VPN サービスを提供する場合には、ユーザーのオンラインサインアップシステムやオンライン設定ページなどのシステムと連動して VPN Server 側の状態をリアルタイムに操作することができるようなシステムを簡単に構築できます。

VPN Server SDK for .NET 2.0 を用いて、ASP 型 VPN サービス (仮想HUBのレンタルサービス) を提供するサービスプロバイダが、例えばオンラインサインアップ処理やユーザーによる設定ページからのバックエンド処理などを自動化するためのバックグラウンドシステムを開発することができます。

詳細

VPN Server SDK for .NET 2.0 はAdministration Pack に含まれています。Carrier Edition のユーザーは、VPN Server SDK for .NET 2.0 を用いて作成したシステムや Web サイトなどを、サービスを利用する対象ユーザー (不特定多数のユーザー) に対してインターネットを経由して公開することができます。

 

ブランド化開発ツールキットを使用した独自ブランドの VPN クライアントソフトウェアの作成

PacketiX VPN ブランド化開発ツールキットを使用すると、PacketiX VPN に含まれるすべてのソフトウェア内の画面 (ウインドウ) やメッセージ文字列、ビットマップ画像、ソフトウェア名称、インストーラなどを完全に独自にカスタマイズすることができます。

ブランド化開発ツールキットとは

PacketiX VPN シリーズのうち、以下のソフトウェアおよびインストーラ内のソフトウェアタイトル、表示メッセージ文字列や Windows 上のユーザーインターフェイス (ダイアログボックスのレイアウトや表示されるアイコン、バナー、イメージなどのビットマップ) を自由にカスタマイズし、自社専用にカスタマイズした PacketiX VPN ソフトウェアを作成することができるツールです。

ASP 型 VPN 接続サービスを提供しようとするサービスプロバイダは、VPN クライアント接続マネージャをカスタマイズして、あたかも自社製の専用ソフトウェアであるかのように改造した専用ソフトウェアを配布することができます。

詳細

 

簡易インストーラおよび Web インストーラの作成

PacketiX VPN Server Carrier Edition には簡易インストーラ作成キット、Web インストーラ作成キットおよび VPN Server SDK for .NET 2.0 が含まれ、VPN クライアントソフトウェアのエンドユーザーへの配布や初期設定を容易にしたり、VPN サーバーの管理・操作をプログラムから呼び出すことにより自動化したりすることができます。

簡易インストーラの作成

サービスプロバイダがエンドユーザーに対して配布することができる 独自の「簡易インストーラ」を作成することができます。

従来の VPN Client のインストーラと異なり、ユーザーはインストーラの実行可能ファイル (EXE ファイル) をダブルクリックして起動するだけで、あとは何も入力しなくても VPN Client ソフトウェアがコンピュータにインストールされ、また必要な場合はインストーラに含まれた接続設定ファイルを用いて VPN サーバーへの接続が開始されるようにすることができます。

これによりエンドユーザーは VPN Client ソフトウェアのインストールや初期設定の手間をかけずに、サービスプロバイダが運営している VPN サーバーにクリック 1 回だけで簡単に接続することができます。

また、PacketiX VPN ブランド化開発ツールキットと組み合わせて使用することにより、ブランド化した自社専用の VPN Client をインストールするための簡易インストーラを作成することもできます。

Web インストーラの作成

エンドユーザーが Web ページを開いて ActiveX コントロールを 1 回クリックするだけで、自動的に VPN Client ソフトウェアがコンピュータにインストールされ、また必要な場合はインストーラに含まれた接続設定ファイルを用いて VPN サーバーへの接続が開始されるようにすることができます。

これによりサービスプロバイダはエンドユーザーに対して事前に VPN Client のインストーラファイルを配布する必要がなくなり、メールで指定した URL を Internet Explorer などの Web ブラウザで開いてもらうだけで、VPN Client をインストールさせることができます。
また、PacketiX VPN ブランド化開発ツールキットと組み合わせて使用することにより、ブランド化した サービス専用の VPN Client をインストールするための Web インストーラを作成することもできます。

詳細

 

 

  • なお、上記の様な形態でのサービス提供をご検討中のお客様は、ライセンス・費用等、お気軽にお問い合わせください。
 

Copyright © 2004-2021 SoftEther Corporation. All Rights Reserved.
 Web サイトについて | 個人情報の管理 | SoftEther VPN プロジェクト | お問い合わせ

SSL 暗号化通信中