サイト間接続型のネットワークトポロジー
サイト間VPN接続を構築する場合のネットワークトポロジーについて考える。構成するネットワークトポロジーには以下の2つのタイプが存在する(図4)。
- フルメッシュ型(Full-Meshed)
- ハブ・アンド・スポーク型(Hub-and-Spoke)
VPNゲートウェイは、VPNハブを経由してほかのVPN ゲートウェイに接続する。GW-AとGW-Cの間で通信する場合は、VPNトンネルA-BとB-Cの2本のコネクションを利用する。 GW-AはVPNハブとの1つのコネクションのみ生成。
すべてのVPNゲートウェイは、ほかのVPNゲートウェイと直接VPNコネクションで接続される。GW-Aは、ほかの3つのサイトとコネクションを確立する。
図4 2つのネットワークトポロジーのタイプ
1. フルメッシュ型トポロジー
最も典型的なVPNネットワークのトポロジーである。VPN接続する各サイト間を個々に相互接続するネットワーク構成(図4左側)で、1つのVPNゲートウェイはほかのサイトのVPNゲートウェイと直接接続される。以下に、フルメッシュ型トポロジーの特徴を示す。
- 各サイト間でそれぞれにVPNコネクションを確立しているため、1台のVPNゲートウェイが停止してもほかのサイト間のVPNコネクションに影響しない。
- 各サイトのVPNドメインのネットワークアドレスを重複しないように調整する必要がある。接続するサイト数が増加するに従いVPNドメインのネットワークアドレスの調整が困難となる。
- 各サイト間で送受信されるパケットに対するアクセス制御は、VPNコネクションを確立する2つのVPNゲートウェイ間で定義する必要がある。
- VPN接続に関連するルールベースが複雑になる。
- 各VPNゲートウェイが生成するVPNコネクション数が多くなる。接続するサイトの増加に比例して、生成されるVPNコネクション数が増加する。
- 新たにVPNゲートウェイを追加する場合、すべてのサイトにおいて設定変更が必要となる。
では、3つのサイトをフルメッシュ型のトポロジーで構成するVPN環境を考えてみよう(図5)。
この例では、VPNで相互接続のために3つのVPNトンネルが生成される。ここでは、VPNゲートウェイA上に定義されるVPN接続用のルールを以下に示す。
- 10.0.1.0 --- 10.0.2.0 --- ANY --- Encrypt(サイトAからサイトBへのVPN通信用)
- 10.0.2.0 --- 10.0.1.0 --- ANY --- Encrypt(サイトBからサイトAへのVPN通信用)
- 10.0.1.0 --- 10.0.3.0 --- ANY --- Encrypt(サイトAからサイトCへのVPN通信用)
- 10.0.3.0 --- 10.0.1.0 --- ANY --- Encrypt(サイトCからサイトAへのVPN通信用)
上記と同様なルールをVPNゲートウェイB、Cにも定義する必要がある。この例から容易に想像できるように、フルメッシュ型トポロジーでは接続するサイト数の増加に比例して定義するVPN関連ルールも増加し、VPNゲートウェイ上のルール全体が複雑になる。
2. ハブ・アンド・スポーク型トポロジー(スター型トポロジー)
VPN接続するサイトが中央のVPNゲートウェイ(VPNハブという)を経由して相互に接続されるネットワーク構成である(図4右側)。一般的に、本社のVPNゲートウェイをVPNハブとして各支店のVPNゲートウェイを接続する。以下に、ハブ・アンド・スポーク型トポロジーの特徴を示す。
- VPNハブが停止するとすべてのVPNコネクションが利用不可能となる。
- VPNハブを経由して送受信されるすべてのトラフィックに対してアクセス制御が可能である。各サイト間で送受信されるパケットは、VPNハブで一度復号され、VPNポリシーに従って再度暗号化されて送信される。そのためVPNハブ上で各サイトあてのパケットに対するアクセス制御を実現することが可能である。
- 各サイトが生成するVPNコネクションは、VPNハブとの間の1本のコネクションのみである。管理可能なVPNコネクション数に制限があるVPNゲートウェイ製品(SOHO向けの小型のVPN製品など)を利用して多数のサイトとVPNを確立するような場合に利用できる。
- 各組織のVPNドメインのネットワークをサイト全体で再構築する必要がある。
- VPNハブとなるVPNゲートウェイの高性能化および高可用性機能が必要となる。
3つのサイトをハブ・アンド・スポーク型トポロジーで構成するVPN環境を考えてみよう。以下の例では、サイトBがVPNハブとして動作し、サイトAとサイトCがそれぞれサイトBに接続する。このトポロジーにおいてサイトAからサイトCに通信する場合の動作を説明する。
- VPNドメインA上のホストAからVPNドメインC上のホストCへのパケットは、VPNゲートウェイAで暗号化パケットとしてVPNハブBに送信される。
- VPNゲートウェイBでは、ホストAからの暗号化パケットを復号する。
- 復号されたパケットはVPNゲートウェイBに定義されたルールベースと経路情報に従って処理され、再び暗号化されてサイトCに送信される。
- VPNゲートウェイCでは、復号してホストCに送信する。
ハブ・アンド・スポーク型トポロジーのVPNハブとして利用できるVPNゲートウェイには以下のような要件が存在する。
●特別なVPN機能
前述したように、VPNハブでは一方のVPNトンネルからのパケットを復号し、VPNポリシーに従って別のVPNトンネルに送信するために暗号化するような特別な処理が実行できる必要がある。また、オーバーラップするVPNドメインを管理するSAに対してアクセス制御ルールを正しく解釈できる機能が必要となる。
以下の例では、支店サイトのVPNドメインのネットワークアドレスが、VPNハブの背後のVPNドメインのネットワークアドレスのサブネットとなるように割り当てられている。ハブ・アンド・スポーク型トポロジーでは、IPsecのSAに関する仕様上、SAにおいて複数のVPNドメインを扱えないこととVPN ルールを複雑にしないためにも、前述のようにVPNドメインのネットワークアドレスを割り当てることが推奨される(図6)。
サイトAにおけるVPN接続用のルール定義を以下に示す。
- 10.0.1.0/24 --- 10.0.0.0/8 --- ANY --- Encrypt(サイトAからサイトA以外へのVPN通信用)
- 10.0.0.0/8 --- 10.0.1.0/24 --- ANY --- Encrypt(サイトA以外からサイトAへのVPN通信用)
サイトCにおけるVPN接続用のルール定義を以下に示す。
- 10.0.2.0/24 --- 10.0.0.0/8 --- ANY --- Encrypt(サイトCからサイトC以外へのVPN通信用)
- 10.0.0.0/8 --- 10.0.2.0/24 --- ANY --- Encrypt(サイトC以外からサイトCへのVPN通信用)
サイトB(VPNハブ)におけるVPN接続用のルール定義を以下に示す。
- 10.0.1.0 --- 10.0.2.0 --- ANY --- Encrypt(サイトAからサイトBへのVPN通信用)
- 10.0.1.0/24 --- 10.0.0.0/8 --- ANY --- Encrypt(サイトAからサイトBへのVPN通信用)
- 10.0.1.0 --- 10.0.3.0 --- ANY --- Encrypt(サイトAからサイトCへのVPN通信用)
- 10.0.2.0/24 --- 10.0.0.0/8 --- ANY --- Encrypt(サイトCからサイトBへのVPN通信用)
●高性能、高可用性
ハブ・アンド・スポーク型のVPNハブとなるシステムには、すべてのサイト間のVPNトラフィックに対して暗号化/復号処理を実現するための高い処理能力が要求される。また、VPNハブが停止した場合にすべてのサイト間のVPN通信の停止を回避するために、VPNゲートウェイのクラスタ化などの高可用性を実現する必要がある。
今回は、2つのタイプのVPNネットワークトポロジーについて説明してきたが、どちらの構成を選択すべきかの指標としては構築するVPNネットワークの規模に基づいて検討する必要がある。少数のサイト間を接続する場合であれば、定義されるVPNポリシー数もそれほど多くならないため、フルメッシュ型でも十分である。大規模なVPNネットワークを構成する場合には、VPNポリシーの単純さや新規サイト追加時のメンテナンス性を考慮して、ハブ・アンド・スポーク型の構成を検討すべきである。
後編では、ブロードバンド環境の普及でますます利用シーンが増加するリモートアクセスVPNで実現するIPsec機能の現状と問題点について説明する。
Copyright © ITmedia, Inc. All Rights Reserved.