VPNはここ数年間注目を浴び,試験にも出題されています。
平成13年午後2問1
平成14年午後2問2
ここでは、出題のキーワードとなる言葉を並べてみましたので、
参考にして下さい。
index
VPNとは
VPNの機能
1.トンネリング機能
2.暗号化機能
Security向上技術(L2TP,IP sec)
1.L2TP (Layer2 Tunneling Protocol)
仕組み:
2.IPSec(Internet Protocol Security)=>試験対策ノート:IPsecへ
分類
実現しているLayerで分類
L2ベースVPN(L2-VPN)
L3ベースVPN(L3-VPN)
L3ベースVPNの実現する手法の違いにより分類
InternetVPN
ATMベース型
MPLS(Multi Protocol Label Switching)型
MPLS(Multi Protocol Label Switching)型IP-VPN
構成
仕組み
特徴
7要素での比較
VPN VS Internet
VPN VS 専用線
参考資料/ページ
VPNに出てくる単語(すべてわかりますか?)
ATMベース型VPN
GMN-CL (Connectionless networking technologies for Global Mega-media Networks)
IP-VPN
L2ベースVPN(L2-VPN)
L2F(Layer 2 Forwarding)
L2TP(Layer 2 Tunneling Protocol)
L3ベースVPN(L3-VPN)
MPLS (Multi Protocol Label Switching)
MPLS (Multi Protocol Label Switching)型VPN
PPTP (Point-to-Point Tunneling Protocol)
VPN (Virtual Private Network:仮想閉域網)
VPDN (Virtual Private Dialup Network)型VPN
Internet VPN
エッジ ルータ
コアルータ
トンネリング機能
★総論(VPNとは)
公衆ネットワーク(Public Network)上で仮想的にユーザ専用のネットワークを実現したもの。
公衆ネットワークを利用して各地に点在している組織や企業間を接続するためのネットワーク
網を構築すれば、下記の利点がある。
・普及度
・経費
・運営
しかし、逆に下記の問題点もある。
・第三者に盗聴
・改ざん
そこで、
・Internetにデータを送出する前にデータを暗号化
・受信した側のノードでそのデータを復号化
して、目的のホストに届けるようにすれば、セキュリティを確保することが可能。
この暗号化をユーザーから透過的に行ない、かつユーザー認証によってある特定の
ユーザーだけしかアクセスできないようにしておけば、公衆回線網を使っても、
専用線接続と同じようなセキュリティを保つことができる。
これをVPN(Virtual Private Network:仮想閉域網)
という。Internetをバックボーンに使ったユーザーのネットワーク環境といえる。
つまり、Internetなど公衆ネットワーク(Public Network)を利用し、
セキュリティ確保のため、
・データの暗号化
・ユーザー認証
を行う技術のことである。
★VPNの機能
VPNの機能として、下記の2つがある。
1.トンネリング機能
VPNの通信用にパケットのヘッダを変換する機能。
本来はIPパケットのみしか通らないInternetに、たとえばプライベートアドレスや、
TCP/IPでないプロトコルを利用した通信も可能にする。VPN装置によって処理。
2.暗号化機能
トンネリングされたパケットの盗聴を防止し、かつ通信相手先(通信経路)を
隠蔽することができる。
★Security向上技術(L2TP,IP sec)
1.L2TP (Layer2 Tunneling Protocol)
L2TPは、ダイヤルアップ通信で用いられるPPP通信をトンネリングするための
データリンク層のプロトコル。
1995年当時には2つのトンネリングプロトコル仕様が存在
・PPTP(Point to Point Protocol tunneling Protocol)
Microsoft、Ascend Communications、3COMなどが策定。
・L2F(Layer 2 Forwarding)
Cisco SystemsがCisco IOS上で実装
これが統合され、IETFで標準となったのがL2TPである。
仕組み:
@リモートユーザーは端末からアクセスポイントにダイヤルアップPPP接続
A着信を受けたVPN装置(LAC:L2TP Access Concentrator)は
・PAP
・CHAP
などでPPPのユーザー認証
Bアクセス側のVPN装置(L2TP Network Server)と通信してトンネルを生成。
Cダイヤルインした社内の認証サーバ(RADIUSなど)による正式な認証
DPPPのネゴシエーション
2.IPSec(Internet Protocol Security)
試験対策ノート:IPsecでまとめました。
★VPNを実現しているLayerで分類
1. L2ベースVPN(L2-VPN)
LAN技術であるEthernetを利用し拠点間通信を実現するサービス。
フレームリレーやATMもL2ベースのVPNに含まれる。
2. L3ベースVPN(L3-VPN)
IPネットワークをベースにしたVPNの総称
いわゆるIP-VPN。
 (参考)基礎講座:IP-VPN(キーマンズネット)
★L3ベースVPNの実現する手法の違いにより分類
1. インターネットVPN
インターネットをインフラとして利用し、インターネット上に仮想的なトンネルを設定して
ユーザ認証、データ暗号化等を実行することにより、あたかも専用線で構築されているかの
ようにセキュリティを確保したVPN。
(参考)運用コストを減らすワザ:インターネットVPN
- 基礎編(キーマンズネット)
2. ATMベース型
ATMネットワークのエッジ(アクセスポイント)にルータを配置し、ラベルスイッチング技術
であるGMN-CL
(Connectionless networking technologies for Global Mega-media Networks)
を用いて企業ユーザのイントラネット/エクストラネットを構築するVPNサービス。
3. MPLS(Multi Protocol Label Switching)型
エッジルータ及びコアルータで構成されるIPネットワーク上でラベルスイッチング技術である
MPLS(Multi Protocol Label Switching)を用いて企業ユーザのイントラネット/エクストラ
ネットを構築するサービス。
※IP-VPNのうち、最近になり大いに注目を集めているのが、このMPLSをベースとしたIP-VPN。
★インターネットVPNの仮想トンネリング技術による分類
1. IPsec(IP Security)型
仮想トンネリング技術として、IPsecを利用したVPN。
2. VPDN (Virtual Private Dialup Network)型
仮想トンネリング技術として、
PPTP (Point-to-Point Tunneling Protocol)/L2TP(Layer 2 Tunneling
Protocol)等
を利用したダイヤルアップ環境でのVPN。
MPLS (Multi Protocol Label Switching)型IP-VPN
IP-VPNのうち、最近になり大いに注目を集めているMPLSをベースとしたIP-VPNについて、
重点的に調べてみました。
1.
構成
コアルータ/エッジルータ
・コアルータ
IP-VPNバックボーンを形成し各々のIPパケットを中継転送するルータ。
高速・大容量回線に対応可能な高性能ルータで構成される。
・エッジルータ :
アクセスポイントにあたり、ユーザからのアクセス回線を収容するルータ。
多種多様のアクセス回線に対応可能な高性能ルータで構成される。
超高速・大容量バックボーン
DWDM等の最新技術を用いてギガビットレベルの超高速・大容量バックボーンを構築。
アクセス回線
専用線、CR/FR等のアクセス回線によりユーザ宅とAP(アクセスポイント)を接続。
(こんな感じ)
LAN ---アクセス回線 --- エッジルータ
---コアルータ --- エッジルータ
--- アクセス回線 --- LAN
2. 仕組み
IPパケットに「ラベル」(を含むMPLSヘッダ)を付加しそのラベルに基づいてパケットを分類、高速転送する。
2.1 エッジルータの仕組み
(1)IPパケットがエッジルータに入る。
(2)エッジルータでは、パケットのIPヘッダ情報や入力ポートあるいは送信元ルータ等
の様々な条件によりラベルの値を決定
(3)エッジルータでMPLSヘッダーをIPヘッダとレイヤー2ヘッダの間に挿入する。
ラベルには、
@ そのIP(MPLS)パケットが属するユーザグループのVPN-ID
A 転送先の次ホップルータID
が含まれる。
|
○ |
通常のパケット |
|
| L2ヘッダ(Ethernet ヘッダなど) |
IP ヘッダ |
TCP ヘッダ |
・・・ |
|
|
○ |
MPLSヘッダを付加したパケット |
|
| L2ヘッダ(Ethernet ヘッダなど) |
MPLS ヘッダ
(32bit) |
IP ヘッダ |
TCP ヘッダ |
・・・ |
|
|
○ |
MPLSヘッダの中身 |
|
| VPN-ID |
Next-Router ID |
Exp
(3bit) |
S
(1bit) |
TTL
(8bit) |
| <=== Label(20bit) ===> |
|
|
|
|
VPN-ID : IPパケットが属するユーザグループの識別子
Exp:実験用
S :ラベルスタックの最後を指定
TTL: Time To Live
(4)エッジルータはMPLSヘッダー挿入後、次ホップルータに対してパケットを送信
2.2 コアルータの仕組み
(5)コアルータが、パケットを受信。
(6)MPLSヘッダー中のラベル(NextRouter-ID)を参照
(7)MPLS対応表に基づいて次の転送先を決定。
(8)パケットを送信。
2.3 通信例
Tomネットワーク会社の名古屋本社 Tomから東京営業所 Jerryに
MPLS (Multi Protocol Label Switching)型IP-VPNを使用して
送信するパケットの流れを見てみましょう。
送信元PC(名古屋本社 Tom IPアドレス192.168.1.11/24)
あて先PC(東京営業所 Jerry IPアドレス192.168.2.22/24)
|
TomPC(192.168.1.11/24) |
|
↓ 名古屋本社LAN |
|
(アクセス回線) ----------------- |
|
↓ IP-VPN |
|
パケット:← [ Ethernet Header ][ IP Header ][ DATA ] |
|
↓ |
|
↓ Port 1 |
|
エッジルータ(イ) |
|
↓ Port 0 |
|
パケット:← [ Ethernet Header ][ Tom ][
200 ][ IP Header ][ DATA ] |
|
↓ |
|
↓Port 0 |
|
コアルータ(ロ) |
|
↓Port 1 |
|
↓ |
|
パケット:← [ Ethernet Header ][ Tom ] [
220 ][ IP Header ][ DATA ] |
|
↓ |
|
↓Port 0 |
|
エッジルータ(ハ) |
|
↓Port 1 |
|
↓ |
|
パケット:← [ Ethernet Header ][ IP Header
][ DATA ] |
|
↓ IP-VPN |
|
(アクセス回線) ----------------- |
|
↓ 東京営業所LAN |
|
JerryPC(192.168.2.22/24) |
| |
エッジルータ(イ)
Tomネットワーク会社用
<VPN ID:Tom>MPLS対応表 |
|
In Label |
IP Prefix |
Out I/F |
Out Label |
|
100 |
192.168.1.0/24 |
1 |
- |
|
- |
192.168.2.0/24 |
0 |
200 |
|
| |
コアルータ(ロ)
MPLS対応表 |
|
In Label |
IP Prefix |
Out I/F |
Out Label |
|
110 |
192.168.1.0/24 |
0 |
100 |
|
200 |
192.168.2.0/24 |
1 |
220 |
|
300 |
192.168.3.0/24 |
1 |
330 |
|
| |
エッジルータ(ハ)
Tomネットワーク会社用
<VPN ID:Tom>MPLS対応表 |
|
In Label |
IP Prefix |
Out I/F |
Out Label |
|
- |
192.168.1.0/24 |
0 |
110 |
|
220 |
192.168.2.0/24 |
1 |
- |
|
|
|
No. |
手順 |
|
@ |
名古屋本社のTom(192.168.1.11/24)から、東京支社(192.168.2.22/24)宛て
のIPパケットを送信 |
|
A |
エッジルータ(イ) はIPパケットの入力ポートによりTomネットワーク会社-VPN
と判断 |
|
B |
エッジルータ(イ) はTomネットワーク会社-VPN用MPLS対応表を参照して次ホッ
プルータID=200を特定し、
VPN-ID [ Tom ],次ホップルータID [
200 ] のラベルをIPパケットに挿入 |
|
C |
エッジルータ(イ) はラベルを挿入したIPパケットをインターフェース0へ転送 |
|
D |
コアルータ(ロ) はIPパケットの次ホップルータIDラベル [
200 ] とMPLS対応表を参照して
次ホップルータID=220を特定し、次ホップルータIDラベル [
200 ] を [ 220 ]へ差替え |
|
E |
コアルータ(ロ) はラベルを差替えたIPパケットをインターフェース1へ転送 |
|
F |
エッジルータ(ハ) はIPパケットのVPN-ID [
Tom ]からTomネットワーク会社-VPN用MPLS対応表を参照し、
IPパケットからラベルを削除 |
|
G |
エッジルータ(ハ) はラベルを削除したIPパケットをインターフェース1へ転送 |
|
3. 特徴
(A) ルータによるIPパケットの高速転送が可能
もともとこれが目的で開発。
現在ではLSI技術等の進歩によりワイヤスピードでのルーティング処理が可能なルータが
登場し、そのメリットが失われつつある。
(B) 企業ユーザ毎のVPNが構築可能
今はこれが一番の特徴
(C) IPパケット毎に廃棄しきい値や優先度等のCoS (Class of Service)定義が可能。
CoSは、MPLSの特徴だが、現状のIP-VPNでは活かされてないのが実情。
(D) IPのみではなく複数のプロトコル(IPXやATM/フレームリレー) に対応可能。
4. 7要素での比較
4.1 VPN VS Internet
(a) 機能性
(b) 運用性
・IPアドレス体系は自由に設定可能(グローバル/プライベートともに可能)
(c) 性能
・DWDM等の最新技術を駆使したギガビットレベルの高速
・大容量バックボーンにより、ストレスのない低遅延
(d) 安全性
・仮想トンネリング技術(IP sec,PPTP,L2TP)を使用してUser認証、暗号化
・MPLSを使用してATM/FRと同等のセキュリティを確保
(e) 信頼性
・ノード自体
IP-VPNサービスが他サービスよりもノードの機能するレイヤが高い
(IP-VPN=ネットワーク層、広域イーサネット/フレームリレー=データリンク層、専用線=物理層)分、
信頼性は低い。
・ノードや回線等
網内ではどのサービスも完全冗長構成が実現。
IP-VPN網内設備(ネットワーク機器や回線等)を全て二重化することにより、高い冗長性・信頼性を確保
(f) 経済性
・専用の機器が必要なので、初期費用が発生。
(g) 拡張性
4.2 VPN VS 専用線
(a)
機能性
(b)
運用性
・IPアドレス体系は自由に設定可能(グローバル/プライベートともに可能)
(c)
性能
(d)
安全性
・仮想トンネリング技術(IP sec,PPTP,L2TP)を使用してUser認証、暗号化
・MPLSを使用してATM/FRと同等のセキュリティを確保
(e)
信頼性
・ノードや回線等
網内ではどのサービスも完全冗長構成が実現。
(f)
経済性
・公衆回線網を利用するので安価 <=これがVPNの最大の売り
(g)
拡張性
・アクセス回線:専用線、ATM、FR/CR、
・キャリア:モバイル等からのダイヤルアップ接続、LAN(Ethernet)接続、FWA接続、ADSL接続も利用可能
参考資料/ページ
IPnet基礎技術講座シリーズ Vol.3
IP-VPNを利用した企業内ネットワーク構築ポイント
古河電工VPNソリューション「VPNガイダンス:VPNってなんだろう?」
標準LAN教科書(上)改訂3版(4-7561-1797-X)
 マスタリングTCP/IP
入門編 第3版(4-274-06453-0)
通信・ネットワーク用語ハンドブック(2002年度版) (4-8222-1388-9)
誰も教えてくれなかったインターネットのしくみ(4-8222-2301-9)
アスキー デジタル用語辞典
 日経ネットワーク2002年9月号
基礎講座:IP-VPN
その1(キーマンズネット)
基礎講座:SSL-VPN
その1) キーマンズネット)
基礎講座:SSL-VPN_その2(キーマンズネット)
基礎講座:ファイアウォール/VPNアプライアンス(キーマンズネット)
基礎講座:広域イーサネット
ネットワーク早分かり講座:公衆を専用線に!インターネットVPN(キーマンズネット)
ネットワーク早分かり講座:IP-VPN(キーマンズネット)
ネットワーク早分かり講座:イーサネット専用線と広域イーサの差(キーマンズネット)
ネットワーク早分かり講座:広域LANサービス(キーマンズネット)
ネットワーク早分かり講座:TCP/IPでのカプセル化とVPNの基本
運用コストを減らすワザ:インターネットVPN
(キーマンズネット)
すご腕アナリスト市場予測:プラスに転じるIT投資の注目株「インターネット/IP-VPN、VoIP」(キーマンズネット)
|
ネットワーク関連試験対策ノート