 |
 |
 |
 |
 |
       |
"VPN"とは、Virtul Private Network(仮想プライベート網、仮想分散オフィスなどと訳される)の略でブイピーエヌと読みます。
そもそもVPNとは
VPNとは、Virtul Private Network(仮想プライベート網、仮想分散オフィスなどと訳される)の略で、通信事業者が提供する通信回線や、インターネットを利用してあたかも利用者の専用線であるかのように、拠点間を結ぶネットワークのことです。
インターネットを利用して構築するVPNは、インターネットVPNと呼ばれます。
|
専用線 |
インターネットVPN |
||||
専用線 |
広域イーサネット | IP-VPN |
IPSec-VPN |
SSL-VPN |
レイヤ2VPN |
|
解 説 |
通信事業者が設定した拠点間を結ぶ通信専用回線。 | 通信事業者が提供する、LANスイッチをベースに構築されたWANサービス。拠点間をEthernetで接続する。(レイヤ2) | 通信事業者が提供する、閉域IP網を利用したIP伝送のみに絞ったWANサービス。(レイヤ3) | レイヤ3(ネットワーク層)でパケットをカプセル化し、拠点間のLAN同士をつなぐ。 | レイヤ5(セッション層)。WWWなどに標準的に用いられている暗号化技術SSLを用いたVPN。 | レイヤ2(データリンク層)でEthernetフレームをカプセル化し、拠点間のLAN同士をつなぐ。 |
商用化 |
1970年~ |
1985年~ |
1990年~ |
1995年~ |
1998年~ |
2005年~ |
| セキュリティ | ◎ |
○ |
○ |
○ |
○ |
○ |
費 用 |
100万円以上/月 | 数十万~数百万円/月 | 数十万~数百万円/月 | 数万~数百万円 機器代のみ (運用専任者必要) |
数十万円 機器代のみ (運用専任者必要) |
数万円または 数千円~/月 |
利 用 |
構築ネットワーク内 | 構築ネットワーク内 | 構築ネットワーク内 | 機器があればどこでも | 機器があればどこでも | 機器があればどこでも |
そもそもインターネットVPNとは
安価なインターネットを利用して、離れた拠点間をあたかも専用線で結ばれているようにするネットワーク構築を、インターネットVPNと呼びます。公衆ネットワークであるインターネット上に仮想のトンネルを構築し、私用の専用線のようなネットワークを実現します。
インターネットVPNは、さらに利用する階層によって、IPSec-VPN・SSL-VPN・レイヤ2VPNの3つに分類することができます。それぞれ対応する層でデータを暗号化、カプセル化しそれを仮想のトンネルを通すことで通信を行います。トンネル内部は外部から不可視なため安全な通信が確保されています。
- IPSec-VPN ( アイピーセック・ブイピーエヌ ) ~レイヤ3(第3層 ネットワーク層)まで利用可能~
IPSec-VPNは、OSI階層モデルでいう第三層での暗号化技術、IPSecを利用してトンネルを構築するインターネットVPNです。 暗号化のためにトンネルの両端には専用の装置もしくはソフトウェアが必要です。
導入には認証や暗号化などの複雑な設定、拠点ごとに異なるIPアドレスの管理をするための知識が必要で、ユーザに多くの負担がかかります。
第三層での暗号化のため、ほとんどのアプリケーションを利用できることが利点ですが、一部対応していないプロトコル(通信のための約束ごと。通信は互いに同じプロトコルでないと成立しない。)があり、アプリケーションによっては障害が起こる可能性があります。IPSec-VPNの最大の問題としてはNATを越えて接続ができないことです。
- SSL-VPN ( エスエスエル・ブイピーエヌ ) ~レイヤ5(第5層 セッション層)まで利用可能~
IPSec-VPNから派生して誕生したVPN技術。Webブラウザに用いられるHTTP(レイヤ6,7)の通信をSSL(レイヤ4~5間のプロトコル)で暗号化することでやり取りを可能にしたインターネットVPN。サーバ側には専用の機材が必要ですが、クライアント側にはWebが利用できる環境さえあれば利用可能です。そのためリモートアクセス等のアプリケーションに最適です。ただし、その場合利用できるアプリケーションのプロトコルはHTTPのものに限られ、HTTP以外のプロトコルを利用するためにはクライアント側にも専用の機材が必要となります。
- レイヤ2VPN ( レイヤツー・ブイピーエヌ ) ~レイヤ2(第2層 データリンク層)まで利用可能~
2005年ごろから商用化され始めた新しいVPN技術。レイヤ2のイーサネットフレームをカプセル化することでIPSec-VPNで伝送不可能だったプロトコル(NetBIOS,AppleTalk等)を伝送可能にしたインターネットVPN。トンネルの両端に専用の装置もしくはソフトウェアが必要となりますが、イーサネットのやり取りですので、IPSec-VPNでは利用できなかったプロトコル(NetBIOS,AppleTalk等)が利用でき、アプリケーションに制限がありません。NAT越えも実現していますから複雑なIPアドレスの管理もありません。ですから、既存のネットワーク内に、設定を大幅に変えることなく、安全なネットワークを構築することができます。必要な装置も拠点数と同じだけなので、コストもIPSec-VPN・SSL-VPNに比べて安く、小規模の拠点間でもVPNの構築がしやすくなりました。
階層 |
OSI参照モデル |
各VPNが利用できる階層 |
||
第7層(レイヤ7) |
アプリケーション層 |
レイヤ2VPN |
IPSec-VPN |
SSL-VPN |
第6層(レイヤ6) |
プレゼンテーション層 |
|||
第5層(レイヤ5) |
セッション層 |
|||
第4層(レイヤ4) |
トランスポート層 |
|||
第3層(レイヤ3) |
ネットワーク層 |
|||
第2層(レイヤ2) |
データリンク層 |
|||
第1層(レイヤ1) |
物理層 |
|||
※OSIとはOpen Systems Interconnectionの略でISOが定めた国際標準のこと。
上位層になればなるほど(数字が大きくなればなるほど)、制約が生じてきます。
 |
 |
 |
 |
 |