2. レイヤ 2 Ethernet ベースの VPN - SoftEther VPN プロジェクト

2. レイヤ 2 Ethernet ベースの VPN

    2.1. Ethernet アーキテクチャの完全な仮想化

    SoftEther VPN による VPN の実現方法における最も中心となる概念は、Ethernet セグメント、レイヤ 2 Ethernet スイッチおよび LAN カードの完全な仮想化にあります。優良な VPN ネットワークを構築することができるようにするため、SoftEther VPN は世界中で最も普及している Ethernet を仮想化することを選択しました。

    最初に、Ethernet および Ethernet の制限について理解していただくことが、SoftEther VPN の利点を理解していただくことの助けとなります。そして、SoftEther VPN が遠隔地同士でプライベートな通信網を構築するために Ethernet の制限事項をどのように解決しているのかを理解することにつながります。

     

    2.1.1.jpg

    SoftEther VPN は Ethernet over HTTPS カプセル化を用いてインターネット経由でフレームを伝送します。

    Ethernet は LAN 上の標準規格である

    ご存じのように Ethernet は LAN (Local Area Networks) で使用されている技術です。Ethernet は複数のコンピュータを相互に接続するために大変便利で信頼性のある標準規格です。Ethernet を利用することにより、誰でもファイル共有、プリンタ共有、RDBMS (リレーショナルデータベースマネージメントシステム) を用いた大量のデータアクセスなどの数多くのネットワークプログラムを利用することができます。現代においてはオフィスで Ethernet を用いた LAN を保有していない会社などは存在しないでしょう。

    Ethernet を用いたネットワークの標準形態はハブ・アンド・スポークモデルです。中央に HUB (Ethernet スイッチとして知られています) が設置されており、各コンピュータは HUB にケーブルで接続されています。このとき、すべてのコンピュータ間は相互に通信が可能になります。Ethernet はこのように簡単にネットワークを構築することができるという利点があります。これが、Ethernet が世界中で利用されるようになった理由に違いありません。自由に通信ができるようになった各コンピュータおよび HUB は、「Ethernet セグメント」を構成します。これは「レイヤ 2 セグメント」または「ブロードキャストドメイン」と呼ばれることがあります。

    Ethernet には本来は離れた拠点間の接続に使用できない

    しかしながら、Ethernet は異なるオフィス間またはビル間にある障壁をまたいで利用することができません。通常の状況においては、複数のコンピュータを 1 個の単一の室内またはビル内で接続することはできます。しかし、例えば異なる拠点 A と拠点 B の 2 拠点間にあるコンピュータ動作を Ethernet のみで接続して通信させることはできません。その理由は、Ethernet によってネットワークを構築するためには有線 Ethernet ネットワークケーブルをデバイス間に敷設する必要があるためです。ネットワークケーブルはビル内でのみ配線することができます。一般人には道路上にケーブルを敷設する能力や資格がないため、ネットワークケーブルを 2 箇所以上の離れたビルの間に敷設することはできません。また、Ethernet には最大通信可能距離の制限もあります。この距離制限は Ethernet を拡張するために最近発明された無線 LAN や光ファイバケーブルを用いたとしても終局的には解決することができません。

    「Ethernet (イーサネット) 」は「インターネット」とは異なります。インターネットは多数のプライベートネットワークや ISP が相互接続したネットワークです。一般ユーザーは ISP に安価な接続料金を支払うだけでインターネットへの接続を利用することができます。たとえば、東京のオフィスと、北京のオフィスとの両方をインターネットに接続することはとても簡単です。そして両方の拠点にあるコンピュータは、インターネットにアクセスすることができるようになります。しかしたとえ両方の拠点をインターネットに接続したとしても、それだけでは LAN 上で利用することを目的に開発されたソフトウェアを両方の拠点間で使用することはできません。2 拠点を両方ともインターネットに接続すれば次のことが可能になるだけです: 例えば、メールの交換、Skype やメッセンジャーソフトウェアによるメッセージや音声の交換、および共有のグループウェアにアクセスしたスケジュール帳の交換などです。これらの通信は確かに複数の拠点をそれぞれインターネットに接続すれば拠点間で利用可能になります。しかし、これだけではファイル共有、プリンタ共有、データベースプロトコルの利用、CRM、ERP やその他の特定目的の業務アプリケーションの利用をインターネット越しに行うことはできません。繰り返すと、Ethernet とインターネットとは異なるものであり、インターネットは決して Ethernet の代替となることはできないのです。たとえ 2 箇所の拠点を両方ともインターネットに接続したとしても、2 拠点が単一の Ethernet セグメントを構成することは決してありません。もし LAN 用のアプリケーションを拠点間で利用したいのであれば、あなたは各拠点のすべてのコンピュータを含有する単一の Ethernet セグメントを構築しなければなりません。

    SoftEther VPN により Ethernet セグメントを距離に関わらず延長することができる

    SoftEther VPN はインターネットを経由してトンネリング通信技術を用いることにより、1 個の Ethernet セグメントを 2 箇所またはそれ以上の複数の拠点間で構築することができるツールです。

    あなたはすでに Ethernet の利点および Ethernet とインターネットとの違い、およびその違いから来る制約についてご理解いただけているかと思います。そしてあなたは恐らく、もし Ethernet セグメントが、ビル間の道路などをまたいでいかなる距離を超えてでも他の拠点に延長することができれば良いのではないかと思案されていることでしょう。もしそういうことが可能であれば、LAN 上で利用されることを目的として開発されたいかなるアプリケーションでも、拠点間で利用することができるようになるはずです。

    あなたはいくつかの電話会社が「広域イーサネットサービス」と呼ばれる長距離通信サービスを提供していることについて聞いたことがあるかも知れません。広域イーサネットのようなサービスを利用すれば、2 箇所またはそれ以上のビル間で単一の Ethernet セグメントを構築することができます。しかしそのような専用線接続サービスはインターネットの接続コストと比較して極めて高価 (たとえば 100 倍以上) です。また、広域イーサネットはサービスエリアが限られており、当該サービスについていずれかの拠点がエリア圏外であれば利用することはできません。

    そのため、他の解決策が必要なのです。幸運なことに、拠点をインターネットに接続するためのコストは現代社会ではとても安価になっています。2 箇所またはそれ以上の拠点をインターネットに常時接続することはとても簡単です。そこでもしあなたが SoftEther VPN を各拠点にインストールすれば、各拠点にある Ethernet セグメントは相互に接続され、単一の Ethernet セグメントを構築することができます。VPN 確立前においては各拠点の Ethernet セグメントはそれぞれ独立しており、互いに完全に分離されていました。ところが VPN 接続が確立された後は、各セグメントは 1 つに結合し、1 つのセグメントを構成するのです。この状態において、あなたはどのようなプロトコルであっても各拠点間で利用することができます。たとえ拠点間の物理的な距離が離れていても大丈夫です。この方法は、リモートアクセス接続および拠点間接続の両方に活用することができます。

    Ethernet スイッチ、LAN カードおよび LAN ケーブルの仮想化

    上記の目的を達成するため、SoftEther VPN は Ethernet スイッチ、LAN ケーブルおよび LAN カードを仮想化します。

    Ethernet スイッチは HUB またはレイヤ 2 スイッチと呼ばれることもあります。Ethernet スイッチは Ethernet のホスト間でパケットを交換するためのデバイスです。スイッチには FDB (Forwarding Database) が搭載されており、あるポートに届いたパケットを転送すべき適切な出口のポートを決定することができます。この挙動は「スイッチング」と呼ばれ、Ethernet スイッチにおける重要な動作の 1 つとなっています。

    Ethernet で使用される LAN ケーブル、たとえば Cat5e または Cat6 の銅線ケーブルは、Ethernet デバイス、すなわち Ethernet スイッチや LAN カードなどの間を接続するための設備です。LAN カードは NIC (Network Interface Card) と呼ばれることもあり、コンピュータに装着されています。現代のコンピュータは LAN カードをマザーボート上に搭載しています。これは「オンボード」と呼ばれます。必要に応じて、PCI または USB バス上に複数の LAN カードを増設することはご存じかと思います。

    SoftEther VPN は Ethernet スイッチを仮想化し、エミュレーションします。仮想 Ethernet スイッチはソフトウェア内において「仮想 HUB」と呼ばれています。SoftEther VPN は LAN カードも仮想化しエミュレーションします。これはソフトウェア内において「仮想 LAN カード」と呼ばれています。SoftEther VPN は同様に LAN ケーブルも仮想化してエミュレーションします。これはソフトウェア内において「VPN セッション」または「VPN トンネル」と呼ばれています。

    上記の 3 つの要素は SoftEther VPN について理解する上で重要です。例えば、あなたが遠隔地から会社の LAN に対してリモートアクセス可能な VPN を構築したいと考える場合、会社の LAN 上にある VPN Server 上に仮想 HUB を 1 個作成することになります。当該仮想 HUB は 1 個の Ethernet セグメントを構成します。そして、仮想 HUB と、それが動作している VPN サーバーコンピュータ上にある物理的な LAN カードとの間を相互に接続します。すると仮想 HUB のセグメントと既存の物理的な LAN のセグメントとは結合され、一体となり、1 つの Ethernet セグメントを構成します。この状態で、VPN Client を遠隔地にあるノートパソコンなどのクライアントコンピュータにインストールします。VPN Client ソフトウェアはクライアント PC 上に仮想 LAN カードを作成することができます。そして VPN Client ソフトウェアの設定を行い、その仮想 LAN カードが、会社の VPN Server の仮想 HUB に対して接続されるように設定します。接続を開始する操作をすれば、仮想 LAN カードと仮想 HUB との間に新しい VPN セッションが確立されます。この状況は、物理的なスイッチング HUB と物理的な LAN カードとの間を LAN ケーブルで接続した状態ととても似ています。単に似ているだけではなく、これは Ethernet の挙動に関する論理的な側面と完全に一致しています。VPN 接続を確立した後は、Ethernet に対応した任意のプロトコルを送受信することができます。すべてのパケットは、VPN セッションまたは VPN トンネルと呼ばれる仮想的な LAN ケーブルの中を流れることになります。

    上記によって SoftEther VPN における VPN 実現方法の仕組みを理解いただけたかと思います。あなたは SoftEther VPN の活用の幅として潜在的に存在する可能性がほとんど無限であることを理解されたかと思います。上記の例示においては 1 つのリモートアクセス VPN を確立するための方法を示したに過ぎませんが、同じ方法を他の形態の VPN にも適用することができます。拠点間接続を実現することも簡単にできます。リモートアクセス VPN との唯一の違いは、VPN Server 側から見た対向側のデバイスが VPN Client の代わりに VPN Bridge であることです。

     

    2.1.2.jpg

    仮想 HUB はソフトウェアで実装された Ethernet スイッチです。VPN デバイス間のパケット交換を行います。

     

    ss2.1_1.jpg

    SoftEther VPN Server 上に多数の仮想 HUB を作成できます。各仮想 HUB は互いに分離しています。

     

    ss2.1_2.jpg

    SoftEther VPN Client がインストールされたクライアント側 PC には、いくつも仮想 LAN カードを
    作成できます。各仮想 LAN カードは「本物の」 LAN カードのように見えます。
     

    2.2. VPN を経由していかなる Ethernet パケットも伝送可能に

    SoftEther VPN がインターネット上にトンネルを確立し、Ethernet パケットを送受信することができる能力を有する VPN セッションがリモート拠点との間で構築された後は、SoftEther VPN は物理的な Ethernet セグメントと全く同様の無制限のプロトコル透過性を実現します。ご存じのとおり、Ethernet 上では多様なプロトコルが使用されています。例えば、IPv4 (TCP, UDP, ICMP, ESP, GRE など)、IPv6 (次世代 IP プロトコル)、NetBEUI、IPX/SPX、PPPoE、RIP、STP といったプロトコルがあります。これらのすべてのプロトコルは SoftEther VPN によって構成されたトンネル内を流れることができます。

    レガシーな VPN プロトコル、たとえば L2TP や PPTP などは、事実上 IPv4 パケットしか伝送することができません。なぜならば、これらの VPN プロトコルはレイヤ 3 またはそれ以上のパケットしか伝送することができないためです。一方、SoftEther VPN はレイヤ 2 またはそれ以上のいかなるパケットでも伝送することができます。

    あなたはこの特徴から利益を引き出すことができます。すなわち、レガシーなプロトコルであっても最新のプロトコルであっても、Ethernet 上で利用できるプロトコルであれば何でも SoftEther VPN の VPN セッション上で利用することができます。これは他の VPN では不可能なことです。あなたの会社が製造装置の制御用に使用している専用プロトコルであっても、SoftEther VPN セッションを経由して利用することができます。レイヤ 2 VPN 上でそのようなプロトコルを利用する上で既存のソフトウェアの修正は一切必要ありません。

     

    2.2.jpg

    レガシー IPsec または PPTP VPN と異なり、SoftEther VPN プロトコルは任意の種類のパケットを伝送できます。
    LAN 上で動作するように設計されたいかなるアプリケーションでも修正なしに利用可能です。

    2.3. リモートアクセスにおけるレイヤ 2 VPN の利点

    IPsec、PPTP または L2TP に対応したほぼすべてのレガシーな VPN 製品は、これらの VPN プロトコルがレイヤ 3 VPN プロトコルであるため、VPN サーバー側において仮想 IP サブネットを定義する必要があります。たとえば会社の既存の LAN が IP サブネット 192.168.3.0/24 である場合、リモートアクセスクライアント PC は当該 IP サブネットに直接接続することはできません。代わりに、最初にまず例えば 192.168.100.0/24 などの仮想 IP サブネットを VPN サーバー上に作成しておく必要があります。そうすれば VPN クライアントは VPN サーバーに接続できるようになります。VPN サーバーはこの異なる 2 つのサブネット間の IP ルーティングを行うことになります。このリモートアクセス VPN 手法においては、ネットワーク管理者は LAN のルーティングポリシーを設計して変更しなければならないため、複雑な導入作業が必要になります。さらにこの手法はトラブルの発生の原因となる場合があります。例えば、多くのプロトコルやアプリケーションは任意のブロードキャスト IP パケットはすべての LAN 上のコンピュータに渡されると仮定しています。レガシーな VPN の手法を利用する場合、これらのアプリケーションは正しく動作しません。誰でも知っている有名な例として Windows のファイル共有プロトコルがあります。この CIFS (Common Internet File System) または SMB (Server Message Block) と呼ばれるプロトコルは、事実上名前解決のために IP ブロードキャストパケットに頼っています。しかし IP サブネットが異なる複数のネットワーク間ではブロードキャストパケットが伝達されません。したがって、レガシーな VPN 環境においては Windows によるコンピュータのブラウズ機能は正常に動作しません。この問題を解決するためだけに、WINS または DNS サーバーを構築する必要が生じます。上記で言及した以外にも、任意のパケットに対する透過性を欠いたレガシーな VPN プロトコルに起因するリモートからのプロトコル利用における色々なトラブルに直面することになるでしょう。いくつかのレガシーな VPN デバイス、たとえば Cisco のルータなどはこの問題をつぎはぎ的に解決するためにプロキシ ARP などの仕組みを採用しています。しかしこれはレアケースであり、また任意の状況において互換性に欠けています。

    SoftEther VPN は VPN クライアント PC と VPN サーバーの LAN セグメントとの間において任意のパケットを伝送することができるという利点を提供します。レイヤ 2 VPN セッションを VPN クライアントと VPN サーバーとの間で確立することができ、LAN 内で使用される目的で設計されたアプリケーションをトラブルなく使用することができます。VPN セッションは、論理的なレイヤにおいて、社内 LAN のスイッチング HUB に直接ノートパソコンの LAN ポートを接続した場合と同等の接続を実現します。これは SoftEther VPN が極めて長い LAN ケーブルをインターネット越しに実現したということができます。この特徴により、あなたは、あなたのノートパソコン、いつでもどこからでも、常に会社のデスクの上で社内 LAN に直接接続されているのと同等の環境を実現できます。

     

    2.3.jpg

    SoftEther VPN Client は LAN に物理的に接続されたコンピュータと同様に振る舞います。
    一例として、レイヤ 3 ベースの VPN と異なり、自宅の Windows クライアント PC が
    社内 LAN のコンピュータに接続されているコンピュータの一覧を列挙することもできます。

    2.4. 拠点間接続におけるレイヤ 2 VPN の利点

    SoftEther VPN を使用すれば、リモートアクセス VPN を構築するだけではなく、2 拠点またはそれ以上の拠点間の間で信頼性の高い通信リンクを構築することができます。たとえ 2 拠点が物理的な下位レイヤとしては ISP が提供する安価な回線でインターネットに接続されていたとしても、SoftEther VPN によって仮想的に生成される通信リンクはあたかも専用線のように使用することができます。インターネットへの接続の物理メディアの種類は VPN 通信の可否とは無関係です。いったん拠点間で VPN 接続を構築してしまえば、その後は両方の拠点にいる人は誰でももう一方の拠点に対して任意のパケットを送信することができます。

    IPsec や L2TP のようなレガシー VPN プロトコルにおいては、レイヤ 2 トンネルによって 2 箇所またはそれ以上の拠点間を接続することはできません。それらのレガシー VPN プロトコルにおいては、プロトコルの制限事項により、レイヤ 3 トンネルを構築する必要があります。そうすると、リモートアクセス VPN の場合とよく似た問題が発生します。すなわち、両方の拠点の IP サブネットが異なる必要が生じます。例えば、東京拠点においては 192.168.1.0/24 を使用し、北京拠点においては 192.168.2.0/24 を使用し、上海拠点においては 192.168.3.0/24 を使用するといった具合になります。そのため、例えば SMB または CIFS 上で実装されている Windows ファイル共有プロトコルにおける名前解決などのブロードキャストパケットに依存したプロトコルは使用することができません。同様に、非 IP プロトコルも一切利用することができません。これらの制約に加え、各拠点の IP サブネットが異なるようにネットワークを設計しなければならないという必要性も生じてしまいます。ある拠点の IP サブネットは、他の拠点の IP サブネットと重複してはならないことになります。トラブルなく複数拠点の IP サブネット設計を行う必要性は、特に小規模の企業において追加コストと能力の問題を引き起こします。また大規模な企業の場合で、多数の拠点を相互に接続したい場合は、その作業は悪夢のようになるでしょう。たくさんの数のサブネットを、それぞれ他のサブネットと衝突しないように維持するために膨大な努力を必要とします。拠点間 VPN を構築する際にレガシー VPN を使用すると、レガシー VPN を使用するために要求される技術的制約事項に伴う特別な苦労が生じます。

    もし SoftEther VPN を使用して拠点間接続 VPN を構築するのであれば、レガシー VPN を使用する場合に発生する数々の厄介な問題に対応する努力の量を容易に削減することができます。前に言及したとおり、SoftEther VPN による拠点間の通信リンクは常に Ethernet の長距離 LAN ケーブルをエミュレーションしていることになります。そのため、拠点間ネットワーク接続を設計する場合には、伝統的な Ethernet におけるハブ・アンド・スポークモデルと全く同様にネットワークを設計し、要求を実現することができます。伝統的な Ethernet におけるネットワーク設計以上に特別な知識や設計作業は必要なくなります。あなたがすでに知っている常識的な知識だけで SoftEther VPN による VPN セッションを構築することができます。たとえば次のように 3 箇所の拠点があることをイメージしてみてください: 東京、北京および上海。これらの拠点にはそれぞれ Ethernet スイッチがあるとします。あなたはこれらのスイッチの間を LAN ケーブルで接続したとします。すると各拠点のすべてのコンピュータは、他の拠点にあるコンピュータにアクセス可能になります。拠点間 VPN を構築するという作業は、この想像上のネットワーク接続と全く同じです。あなたは物理的な LAN ケーブルを拠点間に張り巡らすイメージと同様に、拠点間において仮想的な LAN ケーブルである VPN セッションを相互に接続すれば良いのです。各拠点のサーバーコンピュータの設定変更その他の一切の調整なしに、拠点間の VPN 通信が利用可能になります。たとえ VPN を構築する拠点間の距離が離れていたとしても、すべての種類のサーバーデバイスやクライアント PC 間の通信アプリケーションは、あたかも 1 箇所の拠点内にすべてのコンピュータがある場合と同様に正しく動作します。

     

    2.4.jpg

    拠点間接続 VPN は、「拠点間に敷設されたとても長い距離の LAN ケーブル」として扱うことができます。

    2.5. 仮想 HUB、カスケード接続およびローカルブリッジ

    SoftEther VPN Server および SoftEther VPN Bridge には、仮想 HUB、カスケード接続およびローカルブリッジ接続という概念があります。

    仮想 HUB

    仮想 HUB は物理的な世界における Ethernet スイッチの挙動をエミュレーションする目的で SoftEther VPN Server および VPN Bridge に実装されているコンポーネントです。仮想 HUB にはそれぞれ FDB (Forwarding Database) があります。多数の VPN セッションが 1 個の仮想 HUB に接続することもあります。すべての VPN セッションのエンドポイントは、任意の Ethernet パケットを送受信することができます。

    仮想 HUB は、VPN Client からの接続を受付けることができるほか、他の仮想 HUB からの接続を受付けることもできます。VPN Client はユーザーのクライアントエンドポイント PC で動作しているソフトウェアプログラムです。

     

    2.1.2.jpg

    仮想 HUB は多数の VPN セッションを保持することができ、MAC アドレスを学習するための
    Forwarding Database (FDB) も仮想 HUB 上に実装されています。

     

    ss2.5_1.jpg

    物理的な Ethernet スイッチ製品と同様に、
    仮想 HUB は各 VPN セッションの MAC アドレスを自動的に学習します。

    カスケード接続

    SoftEther VPN Server 上では、好きなだけ仮想 HUB を作成することができます (最大 4,096 個まで作成可能)。すべての仮想 HUB は、それぞれ独自の Ethernet セグメントを構成し、たとえ同一の VPN Server コンピュータ上であっても他の仮想 HUB の Ethernet セグメントとは完全に隔離されています。これは、例えると 1 つの机の上に何個かの Ethernet スイッチが置いてあるのと同様の状況です。それぞれの Ethernet スイッチは他の Ethernet スイッチに相互に接続されている訳ではない場合は、各 Ethernet セグメントは独立しているということができます。しかし、この状態であなたがそれぞれの Ethernet スイッチのポート同士を相互に LAN ケーブルで接続すると、各 Ethernet セグメントは 1 つの Ethernet セグメントに結合することになるでしょう。これは同様に、あなたは同一の VPN Server 上にある複数の仮想 HUB 間にリンクを確立することができます。これは「カスケード接続」または単純に「カスケード」と呼ばれています。カスケードは Ethernet においてよく知られている技術用語です。カスケード接続が確立された場合は、それぞれの仮想 HUB の Ethernet セグメントは結合され、1 個のセグメントになります。

    同様に、離れた場所にある VPN Server 動作でカスケード接続を作成することも可能です。たとえば東京と北京の 2 箇所に VPN Server があり、各 VPN Server には 1 個ずつ仮想 HUB が作成されているとします。この状態で 2 個の仮想 HUB の間にカスケード接続を作成することができます。すると、両方の HUB は単一のセグメントになります。そして、東京の仮想 HUB に接続されているコンピュータは北京の仮想 HUB と通信できるようになります。

    1 個の仮想 HUB に 3 つ以上のカスケード接続を作成することもできます。

     

    ss2.5_2.jpg

    GUI を用いてカスケード接続を簡単に定義できます。とっても簡単です。

    ローカルブリッジ

    仮想 HUB、カスケード接続および VPN Client のみが存在する状況はあまり便利であるとは言えません。なぜならば、コンピュータの間で相互に通信ができるようにするためには、各コンピュータに VPN Client をインストールしてそれぞれが仮想 HUB に VPN 接続する必要があるためです。このような使用方法では、仮想 HUB のセグメントに接続されていないコンピュータは通信の仲間に入ることができません。この使用方法は、一応は利用可能ではあるものの、企業における VPN 利用形態としては適していません。

    ローカルブリッジ機能を使用すると、仮想 HUB 内の Ethernet セグメントを、外側にある物理的な Ethernet セグメントに延長することができます。

    ローカルブリッジは仮想的な Ethernet セグメントと物理的な Ethernet セグメントとを結合するための技術です。あなたの会社には、恐らく物理的な Ethernet スイッチがあり、既存の Ethernet セグメントがあると思います。もし便利なリモートアクセス VPN を構築したいのであれば、あなたは仮想 HUB 内の Ethernet セグメントと物理的な Ethernet スイッチとの間を何とかして接続しなければなりません。そのための解法がローカルブリッジです。ローカルブリッジを使用すると、これら 2 つのセグメントの間で Ethernet パケットを送受信することができるようになります。あなたがローカルブリッジを物理的な Ethernet セグメントと仮想 HUB によるセグメントとの間で構築すれば、仮想 HUB に接続されているすべてのコンピュータは、物理的な LAN に接続されているすべてのコンピュータと通信することができるようになります。実際には、ローカルブリッジは、仮想 HUB と、物理的な Ethernet スイッチに接続されている物理的な LAN カードとの間に作成されることになります。そのため、ローカルブリッジを使用するためには専用の LAN カードが 1 枚必要です。(実際には、LAN カードはその他の目的での使用と共有することもできます。たとえば、VPN セッションを維持するためにインターネットとの間で物理的な通信を行うための LAN カードをローカルブリッジのためにも使用することができます。しかしながら、パフォーマンス上の問題によりローカルブリッジ専用の LAN カードを用意することが強く推奨されています。)

    このように、ローカルブリッジはリモートアクセスおよび拠点間 VPN 接続を実現するために必要な主要な機能の 1 つです。

     

    2.5.1.jpg

    ローカルブリッジは、仮想セグメントと物理セグメントとの間でリンクを確立する機能です。

     

    2.5.2.jpg

    ローカルブリッジとカスケード接続とを組み合わせることにより、広域の拠点間 VPN が構築できます。
    世界中にある多数の拠点同士を接続できます。

     

    ss2.5_3.jpg

    ローカルブリッジを定義するために要する操作は、仮想 HUB および物理的な LAN カードを選択し、ボタンをクリックするだけです。 

    2.6. IEEE802.1Q VLAN サポート

    大規模な企業環境では IEEE802.1Q VLAN を用いて 1 個の物理的な Ethernet 装置の上に複数の IP サブネットを多重化させることにより、管理コストと配線コストとを削減しています。これは同時に Ethernet スイッチにおける必要なポートの数を減少させることにも役立っています。

    SoftEther VPN はレイヤ 2 VPN 技術であり、IEEE802.1Q タグ VLAN パケットの伝送を完全にサポートしています。これは、企業のネットワークが各拠点において多数の Ethernet セグメントを保有している場合にとても便利です。IEEE802.1Q VLAN 技術により、各 Ethernet セグメントからのパケットには VLAN タグが付加され、多重化されます。SoftEther VPN は拠点間 VPN を構築する際にこのようなタグ付き VLAN パケットをそのまま伝送することができます。そのため、企業においてはタグ付き VLAN セグメントを遠隔拠点に延長することができます。

    SoftEther VPN はまた、VLAN 伝送のサポートに加え、パケットに対する自動的な VLAN タグの付加と除去を行う機能も有しています。この機能は各ユーザーオブジェクトに関連付けられたセキュリティポリシーにより個別に設定することができます。たとえばユーザー A は VLAN 123 にのみアクセスすることができ、ユーザー B は VLAN 456 にのみアクセスすることができるといった設定が可能です。この場合、ユーザーが送信しようとしたパケットは指定された VLAN ID タグが透過的に付加されます。またユーザーがタグ付き VLAN パケットを受信する際には VLAN ID によるフィルタリングが実施され、タグは透過的に除去されます。

     

    2.6.jpg

    仮想 HUB は IEEE802.1Q VLAN タグを付加・除去できます。VLAN 設定はユーザーまたはグループごとに可能です。

     

    ss2.6_1.jpg

    「VLAN ID (IEEE802.1Q)」セキュリティポリシーをユーザーまたはグループごとに設定します。

     

    ss2.6_2.jpg

    仮想 HUB は MAC アドレスおよび VLAN ID の関連付けを学習します。

    2.7. 仮想レイヤ 3 スイッチ機能

    VPN Server 上には仮想的なレイヤ 2 スイッチ (仮想 HUB) だけではなく、仮想レイヤ 3 スイッチも作成することができます。レイヤ 3 スイッチは IP ルータと同様に動作するデバイスでは。現在のバージョンの SoftEther VPN はレイヤ 3 スイッチにおいて IPv4 プロトコルのみをサポートしています。仮想 HUB と同様に、VPN Server 上に複数個の仮想レイヤ 3 スイッチを作成することができます。

    1 個の仮想レイヤ 3 スイッチは複数の仮想インターフェイスを有します。それぞれの仮想インターフェイスは同一の VPN Server 上で動作している仮想 HUB に接続されます。これにより仮想 HUB 間における IPv4 サブネットルーティングを実現することができます。あなたがセキュリティ上または管理上の都合の理由などで複数の仮想 HUB の間を分離させておきたいけれども、同時にそれぞれの仮想 HUB の間において伝統的な IPv4 ルーティングを利用可能にしたいと考える場合は、仮想レイヤ 3 スイッチを作成するのが最も簡単な解決策です。物理的な IP ルータやレイヤ 3 スイッチを物理的なネットワーク上に設置するには高額な費用が必要ですが、仮想レイヤ 3 スイッチにはコストはかかりません。

    仮想レイヤ 3 スイッチには何行でもスタティックルーティングテーブルを記述することができます。IP ルータやレイヤ 3 スイッチの設定を行うことができる知識を持っている方であれば誰でも、容易に仮想レイヤ 3 スイッチを設定して色々な目的のために活用することができます。

     

    2.7.jpg

    仮想レイヤ 3 スイッチはソフトウェアベースの IP ルータです。

     

    ss2.7.jpg

    仮想レイヤ 3 スイッチは、いくつでも作成することができます。
    1 個の仮想レイヤ 3 スイッチには、いくつでも仮想インターフェイスとルーティングテーブルエントリを作成できます。