[文●鈴本薫平]
VPNといえば、IPsecに代表されるようにレイヤ3の技術と思われがちだ。しかし、もっと下位のレイヤ2のVPNもある。最近注目を集めるその仕組みと実際のソリューションを見ていこう。
本パートで紹介するレイヤ2 VPNは、インターネットなどの既存のIP網に、より下位のレイヤ2のプロトコルでカプセル化したパケットを流す技術を指す。多くのVPNはレイヤ3でカプセル化(トンネリング)を行なうので、IPしか利用できない。それに対してレイヤ2 VPNでは、いったんレイヤ2でカプセル化したパケットを再度IPでカプセル化するので、IPXやNetBIOS、SNA、FNA、AppleTalkといったIP以外のレイヤ3プロトコルがそのままIP網に流せる。
このレイヤ2 VPNを語る上で欠かせないのが、SoftEther(現PacketiX VPN、以下SoftEther)の存在だ。SoftEtherはソフトだけでレイヤ2 VPNを構築できるソリューションである。SoftEtherでは、「仮想ハブ」と「仮想LANカード」という2つのパーツをコンピュータ上に作成する。IPsecなどにたとえると、仮想ハブがVPNゲートウェイで、仮想LANカードがVPNクライアントだ。この仮想LANカードが、SoftEther固有のヘッダを付加しつつ、いったんレイヤ2のパケットを作る。次に、実際のLANカードにデータを渡す。当然ここでもカプセル化が行なわれるが、このLANカードが作成したEthernetパケットの宛先は仮想ハブがインストールされたPCである。仮想ハブは仮想LANカードが付加したSoftEtherヘッダを見て、次の転送先を決める。これにより、IPネットワークを使いながら、仮想ハブに接続されたコンピュータ同士が、より下位層にあたるレイヤ2のやり取りできるのだ。
 |
|---|
| 図1●レイヤ2 VPNの仕組み(画像クリックで拡大) |
当初のSoftEtherは、Windows XP以降に搭載された「LANカード同士をブリッジ接続する機能」を利用して、既存のLANと、SoftEtherを使って構築した仮想LANとの間を接続していた。ちなみに現在のバージョンでは、仮想ハブ側に既存のLANカードをブリッジする機能が搭載されている。
VPNゲートウェイに相当する仮想ハブの設定は、さほど難しいものではない。GUIが用意されているので、ちょっとネットワークの知識があれば、さほど時間はかからないだろう(画面1)。また、拠点間接続用として仮想ハブ間を直接接続する方法も用意されている。
 |
 |
|---|---|
| 画面1●PacketiX VPNの設定画面。左が仮想ハブ側で、右がクライアント側である。少しネットワークに詳しければ、容易に設定できる(画像クリックで拡大) | |
なお、SoftEtherはSSL(Secure Socket Layer)を使った通信にも対応しているので、多くのVPNプロトコルが苦労している「NAT越え」や「ファイアウォール越え」といった点もクリアできる。
そのため、外出先から本社のネットワークに接続するなどの用途で使われるリモートアクセス型のVPNとしてSoftEtherを使うのも有用である。ホテルなどの公共施設では、セキュリティの観点からさまざまなポートを閉じている場合があるが、SSLで使う443番を閉じるのは考えにくいからだ。
SoftEtherが登場した当初は「個人でも簡単に構築できるレイヤ2 VPN」という感覚で利用されていた。しかし最近は、商用化サービスも増えてきている。
たとえば、「セキュアイーサ・マーケティング」(ソフトバンク・テクノロジーと三菱マテリアルの合弁会社。URLはhttp://www.secm.co.jp/)は、SoftEtherの技術を利用した製品の販売や導入を行なっている。本家のSoftEther(http://www.softether.com/jp/)もPacketiXと名を変え、2005年末から製品の販売を開始している(個人用途であればフリーで利用できる)。
また、レイヤ2 VPNを構築できるアプライアンスとしては、マイクロ総合研究所の「UnifiedGate201」(写真1、http://www.mrl.co.jp/)や、NECのIX1000/ IX2000/IX3000シリーズ(写真2、http://www.sw.nec.co.jp/univerge/)などがある。
 |
 |
|---|---|
| 写真1●マイクロ総合研究所の「Unified Gate 201」。EthernetフレームをIPパケットで再度カプセル化する際、IPsecによる暗号化を施すこともできる(画像クリックで拡大) | 写真2●NECのUNIVERGE「IX 2004」。IPアドレスを動的に取得する拠点とのVPN構築にも対応する(画像クリックで拡大) |
さらに通信事業者の日本テレコムは、同社の独自IP網で「Ethernet over TCP/IP」を使ったVPNサービス「ULTINA Managed-Ether」を2006年3月から試験提供する。同種のサービスを、ソフトバンクBBが法人向けに「Managed-Ether」として提供していたが、法人事業は4月から日本テレコムに統合されることが決定している。また、プロバイダのインターネットイニシアティブ(IIJ、http://www.iij.ad.jp/)も「IIJ Internet-LAN」として、同種のサービスを提供している。利用するバックボーンはIIJのものだが、フレッツ・ADSLやBフレッツなど、ユーザー側の足回りを選択できるメリットがある。
次回
「WebブラウザがあればどこからでもSSL-VPNによるリモートアクセスの台頭
 |
|---|
企業向けIP電話最新事例
 |
||||
 |
 |
 |
|
 |
 |
||||
