目次
インターネットVPNとは
インターネットVPNとは、インターネットを仮想的にプライベートネットワークとして利用するための技術です。プライベートネットワークとは、限られたユーザだけが利用するためのネットワークです。
インターネットVPNによって、インターネットを介して企業の拠点間のプライベートネットワークの通信ができます。また、外出先の社員がインターネット経由で拠点内ネットワークへアクセスして、プライベートネットワークの通信が可能です。拠点間の通信を行うためのインターネットVPNは、サイトツーサイトVPNと呼ばれます。外出先の社員が利用するインターネットVPNはリモートアクセスVPNです。
個人ユーザでもインターネットVPNを利用することがあります。外出先から、自宅の家電製品やファイルサーバ(NAS)などにアクセスするためにリモートアクセスVPNを利用します。
プライベートネットワークについて以下の記事をご覧ください。
単にインターネットに接続するだけではダメ
インターネットVPNによって、企業の拠点間を相互接続して通信することができます。ただし、ただ単に企業の各拠点をインターネットに接続するだけでいいわけではありません。拠点内のネットワークとインターネットで利用しているアドレスについて思い出しましょう。
企業の拠点内のネットワークは通常プライベートアドレスを利用しています。一方、インターネットはグローバルアドレスを利用しています。プライベートアドレスは閉じたネットワークで利用することが前提で、インターネット上で宛先がプライベートアドレスになっているパケットは転送されません。インターネット上のルータが破棄します。
宛先プライベートアドレスのときにパケットが破棄されることについての詳細は以下の記事をご覧ください。
VPNゲートウェイ
VPNゲートウェイは、インターネットVPNを構築するための機器です。VPNゲートウェイはインターネットVPNを実現するために、次のような動作を行っています。
- プライベートネットワークの通信のパケットを暗号化
- インターネット介してVPNゲートウェイ間でパケットを転送できるようにカプセル化
プライベートネットワークの通信の内容が第三者に漏れてしまうのは望ましくありません。そのため、プライベートネットワークの通信のパケットを暗号化して、第三者に漏れてしまわないようにします。
そして、暗号化したパケットをVPNゲートウェイ間で転送するために新しくIPヘッダを付加します。新しいIPヘッダの宛先IPアドレスはパケットを転送するべきVPNゲートウェイとします。
暗号化とカプセル化されたプライベートネットワークの通信のパケットは、インターネットを介して、対向のVPNゲートウェイへ転送されます。対向のVPNゲートウェイでは、カプセル化を解除して、暗号化されたデータを復号します。そして、本来の宛先にデータを転送します。
なお、通常のインターネットの通信のパケットは、VPNゲートウェイでの、暗号化やカプセル化を行いません。
インターネットVPNを実現するためのプロトコル
インターネットVPNを実現するためには、前述のように、データの暗号化とVPNゲートウェイ間を転送するためのカプセル化を行います。そのために以下のプロトコルがよく利用されています。
- IPSec
- SSL
- PPTP
インターネットVPN
- インターネットVPNの概要
- インターネットへの接続形態
- VPNサービスとは?
- NordVPN ~セキュアなVPNサービスを手軽に利用しよう~
- IPSecの概要
- IKE ~SAの生成と管理~
- IPSec サイト間VPNの動作
- IPSec サイト間VPNの設定 ~crypto mapによる設定~
- IPSec サイト間VPNの設定例
- [演習]サイトツーサイトIPSec-VPN(crypto map)
- [演習]サイトツーサイトIPSec-VPN(VTI)
- [演習]サイトツーサイトIPSec-VPN(VTI) トラブルシューティング
- IPSec 設定ミスの切り分けと修正 Part1
- IPSec 設定ミスの切り分けと修正 Part2
- IPSec 設定ミスの切り分けと修正 Part3
- DMVPNの設定例
- DMVPN設定演習[Cisco] NHRP Phase1
- DMVPN設定演習[Cisco] NHRP Phase2
- DMVPN設定演習[Cisco] NHRP Phase3
- SSL-VPNの実現方式
- SSL-VPN(クライアントレス)の設定例 (Cisco)