10.5 拠点間接続 VPN の構築 (ブリッジ接続を使用) - SoftEther VPN プロジェクト

10.5 拠点間接続 VPN の構築 (ブリッジ接続を使用)

    10.5 拠点間接続 VPN の構築 (ブリッジ接続を使用)

    ここでは、「ブリッジ接続」を使用して、2 つ以上の遠隔地にあるネットワーク同士を、レイヤ 2 で接続する方法について解説します。

    10.5.1 拠点間のブリッジ接続による VPN について

    VPN Server と VPN Bridge を用いると、ある場所にあるレイヤ 2 のセグメント (つまり Ethernet による LAN) を、インターネットなどの公共の IP ネットワークの先にある別の場所まで、レイヤ 2 レベルで接続することができます。

    このように、本来 2 つ以上の拠点をレイヤ 2 レベルで接続して同一のセグメント化するようなことは、従来は物理的に困難でした。その後、「広域 Ethernet サービス」などの通信サービスが登場し、通信事業者のネットワークを経由して、特定の場所の Ethernet セグメントを別の場所まで広げることができるようになりました。

    VPN Server と VPN Bridge を組み合わせると、「広域 Ethernet サービス」と同等のことを、既存の安価なブロードバンド回線を使用して、インターネット経由で実現することができます。また、SSL によって拠点間で暗号化を行うことができますので、通信事業者が提供する広域 Ethernet サービスやフレームリレーサービスと比較して、セキュリティが向上する場合もあります。

    10.5.2 ローカルブリッジ機能とカスケード接続機能

    拠点間接続 VPN を実現するためには、「ローカルブリッジ機能」(「3.6 ローカルブリッジ」 を参照) および「カスケード接続機能」(「3.4.11 カスケード接続機能」 を参照) の両方を組み合わせる必要があります。

    「ローカルブリッジ機能」は、「10.4 一般的なリモートアクセス VPN の構築」 のような接続方法でも登場した、仮想 HUB と物理的な LAN カードとの間を Ethernet レベルで接続する機能です。「カスケード接続機能」は、別々のコンピュータ内で動作している仮想 HUB 同士を Ethernet レベルで接続する機能です。この 2 つの機能を使用することで、SoftEther VPN を用いて極めて柔軟な VPN を構築することができます。

    10.5.3 ブリッジ接続を使用する場合のメリットとデメリット

    ここで解説しているように、複数の拠点をブリッジ接続のみで VPN 接続する場合の、メリットとデメリットについて解説します。

    ブリッジ接続を使用する場合のメリット

    SoftEther VPN を用いて 2 つ以上の拠点を直接レイヤ 2 (Ethernet) でブリッジ接続する方法は、非常に便利でかつ簡単に拠点間接続 VPN を実現することができます。2 つの拠点をレイヤ 2 によってブリッジ接続する場合は、以下のようなメリットがあります。

    • 相互に接続する拠点間すべてが、レイヤ 2 レベルで直接接続された状態になります。すわなち、複数の拠点の「スイッチング HUB 間」を、非常に長い LAN ケーブルでお互いに「カスケード接続」したのと論理的に同一の状態になります。
    • TCP/IP はもちろん、NetBEUI や IPX/SPX、汎用機用の古いプロトコルなど、Ethernet 上で動作するすべてのプロトコルが使用できます。
    • コンピュータに限らず、Ethernet に接続することができる電子機器であれば、ほとんどのものが VPN 経由でもそのまま通信することができます。特に TCP/IP ではない特殊なプロトコルを使用しているような機器や、防犯カメラなど、およびハードディスクレコーダなどのデジタル家電や VoIP 電話機なども、ブリッジ接続を用いて接続した拠点間で使用することができます。
    • IP ルーティングを使用せずに拠点間の通信を実現するため、シンプルなネットワークを形成できます。ブリッジ接続は、拠点間接続というよりもむしろ既存の拠点のセグメントの範囲を広げるというような意味で VPN を活用できます。

    ブリッジ接続を使用する場合のデメリット

    2 つの拠点をレイヤ 2 によってブリッジ接続する場合は、同時に以下のようなデメリットがあります。

    • レイヤ 2 で拠点間を結ぶため、TCP/IP を VPN 内で使用する場合は、原則としてすべての拠点が同一の IP ネットワークに所属することになります。遠隔地の拠点の LAN を新たに増設するというような場合は、その LAN とブリッジ接続する元の LAN を拡張するような形で、新たな LAN を構築することができますので問題ありませんが、すでに存在する 2 つの拠点をローカルブリッジ接続するような場合はネットワークトポロジや、IP アドレスの割り当てルールなどを変更する必要があります。特に、すべてのコンピュータに対して、IP アドレスを固定・手動で割り当てているような場合は、設定変更作業にコストがかかる場合があります。
    • ブリッジする複数の拠点の合計のコンピュータの台数が増えると、使用しているプロトコルによってはブロードキャストパケット数が増加する可能性があります。

    このようなデメリットが問題となる場合は、「10.6 拠点間接続 VPN の構築 (IP ルーティングを使用)」 で紹介されているような、レイヤ 3 でのルーティングを取り入れた拠点間接続をお勧めします。

    10.5.4 ネットワーク構成

    ここでは、例として以下のようなネットワーク構成について解説します。

    10-5-1.png

    図10-5-1 ネットワーク構成

    上記のネットワーク例では、「東京」と「大阪」の 2 つの拠点の間を、レイヤ 2 (Ethernet) レベルでブリッジ接続することによって、本来物理的に離れている 2 つのセグメントを同一のセグメント化しています。

    ここでは東京を「メイン拠点」、大阪を「サブ拠点」と呼びます。東京には VPN Server をインストールしたコンピュータを設置し、適当な名前の仮想 HUB を作成して、ブリッジ接続したい LAN に接続している LAN カードに対してローカルブリッジ接続します。大阪には VPN Bridge をインストールしたコンピュータを設置し、"BRIDGE" という名前の仮想 HUB を、ブリッジ接続したい LAN に接続している LAN カードとローカルブリッジ接続します。また、大阪側から東京側に対して「カスケード接続」します。これによって、両側の拠点の、元々分離していたセグメント同士が同一のセグメントとして通信できるようになります。

    一度、両側のセグメントを 1 つのセグメント化させた後は、両方の LAN が同一のセグメントの LAN であるのと、理論的に同等の通信が行えるようになりますので、両方の LAN に接続する各コンピュータがあたかも 1 つの LAN に接続されている状態として設定し、通信させることができます。

    なお、もし 3 つ以上の拠点を接続する場合は、通常は「メイン」となる拠点に VPN Server を設置し、それ以外の拠点に VPN Bridge を設置して、各 VPN Bridge から VPN Server に対して「カスケード接続」することで拠点間を接続できます。この場合、VPN Server を経由して、それ以外の拠点間同士のコンピュータも、レイヤ 2 レベルで自由に通信できることになります。

    10.5.6 メイン拠点への VPN Server の設置

    まず、メイン拠点である東京に VPN Server を設置します。

    VPN Server をインストールするサーバーコンピュータは、東京拠点の社内 LAN に「ローカルブリッジ接続」する必要があります。したがって、当然のことながら東京拠点の LAN に対して物理的に近い場所にあり、直接 LAN ケーブルなどを用いて、東京拠点のレイヤ 2 セグメントに接続しなければなりません。

    また、VPN Server に対して、インターネット側の VPN Bridge から VPN 接続する必要があるため、その VPN Server はグローバル IP アドレスを持っているか、またはプライベート IP アドレスを持っている場合は、「10.2.1 VPN Server の設置場所」 で解説されているように NAT、ファイアウォール、またはリバースプロキシを経由してインターネット側からの TCP/IP 通信の到達性を持っている必要があります。これらのことについて不明な場合は、ネットワーク管理者に相談してください。

    メイン拠点側の VPN Server には、適当な名前の仮想 HUB を作成してください。デフォルトで持っている "DEFAULT" 仮想 HUB をそのまま使用しても構いませんし、"TOKYO" などの名称を付けて管理しやすくしても構いません。

    10.5.7 サブ拠点への VPN Bridge の設置

    次に、「サブ拠点」である大阪に VPN Bridge を設定します。

    VPN Bridge をインストールするサーバーコンピュータは、大阪拠点の社内 LAN に「ローカルブリッジ接続」する必要があります。したがって、当然のことながら大阪拠点の LAN に対して物理的に近い場所にあり、直接 LAN ケーブルなどを用いて、大阪拠点のレイヤ 2 セグメントに接続しなければなりません。

    また、VPN Bridge はインターネットを経由して東京拠点の VPN Server に VPN 接続する必要があるため、インターネットにも接続されている必要があります。ただし、VPN Server と異なり大阪拠点の VPN Bridge は、インターネット側にある VPN Server に対して VPN 接続 (カスケード接続) を行う側であるため、NAT やファイアウォール、プロキシサーバーはの内側などにあり、プライベート IP アドレスを持っていても問題ありません (ただし、経由する NAT やファイアウォール、プロキシサーバーの性能には十分注意してください。経由する機器がボトルネックとなり、VPN 通信速度が低下する可能性があります)。

    10.5.8 ローカルブリッジの設定

    ローカルブリッジは、東京拠点の VPN Server と大阪拠点の VPN Bridge の両側で設定します。それぞれ、「3.6 ローカルブリッジ」 を参照しながら拠点の LAN に対して仮想 HUB をローカルブリッジ接続してください。

    ローカルブリッジ接続を行う際の注意点は下記のとおりです。

    3.6.3 ローカルブリッジ用の LAN カードの準備」 で解説されているように、できる限りローカルブリッジ専用に LAN カードを新しく用意して、それを用いて「ローカルブリッジ接続」を行ってください。また、ローカルブリッジ専用の LAN カードの設定としては、「ローカルブリッジ用の LAN カードではプロトコルスタックを使用しない 」で解説されているように、TCP/IP の IP アドレスを割り当てないことをお勧めします。

    ローカルブリッジ接続に使用する LAN カードは、高性能で信頼できるメーカーのチップを使用しているものを選択することをお勧めします。詳しくは、「3.6.5 対応する LAN カードの種類」 および 「3.6.6 プロミスキャスモードに対応していない LAN カードの使用」 を参照してください。

    10.5.9 カスケード接続の設定

    大阪拠点の VPN Bridge の仮想 HUB から、東京拠点の VPN Server に「カスケード接続」を「常時接続」するように設定を行うことによって、拠点間 VPN 接続の設定は完了します。

    まず、東京拠点の VPN Server の仮想 HUB にカスケード接続用の新しいユーザーを作成します。ユーザー名は "osaka" など適当なものを使用してください。また、カスケード接続の設定は、エンドユーザーではなくシステム管理者が自ら行うことが多いので、ユーザー認証の方法としては十分に長いパスワードを用したパスワード認証を使用すれば問題ありません (なお、より高いセキュリティを求める場合はクライアント認証およびサーバー認証に X.509 証明書を使用することをお勧めします)。

    次に、大阪拠点の VPN Bridge の仮想 HUB から、東京拠点の仮想 HUB に対して「カスケード接続」を作成します。この際のユーザー認証情報として、先ほど東京拠点の仮想 HUB に登録したカスケード接続用のユーザー名とパスワード (またはクライアント証明書認証に使用する X.509 証明書および秘密鍵) を指定します。そして、作成したカスケード接続をオンラインにします。カスケード接続の接続設定の状態が「オンライン (接続済み)」になっていることを確認してください。

    10.5.10 拠点間の VPN 接続と通信のテスト

    拠点間 VPN 接続が完了すると、両側の拠点が論理的には 1 つのレイヤ 2 (Ethernet) セグメントになっているはずです。これを確認するためには、両側の拠点間で通常同一の LAN に接続していないと通信することができないような方法を用いて、通信テストを行ってみてください。

    10.5.11 補足事項

    レイヤ 2 ブリッジを使用して、遠隔地の拠点間をブリッジ接続 (カスケード接続とローカルブリッジの組み合わせ) する場合、以下のような注意事項があります。

    • 拠点間接続 VPN を構成する複数の拠点は、ブリッジ接続後は論理的には 1 つの Ethernet ネットワーク (プロードキャストドメイン、セグメント) として通信できるようになります。したがって、コンピュータが VPN を使用して拠点間通信を行うときは、通常同一の LAN に所属しているのと同等の設定を行って VPN 経由の通信を利用してください。
    • 元々、複数の拠点それぞれで DHCP サーバーが動作している場合は、VPN によって論理的に 1 つのセグメント化した場合は、1 つの Ethernet ネットワーク内に複数の DHCP サーバーが存在することになります。これは、「10.2.9 拠点間接続時のプロトコルの競合への注意」 で解説されている「プロトコル競合」の原因となり、ネットワークの不安定化の要因となりますのでご注意ください。
    • すでにある程度のコンピュータの台数を有する拠点間を、ブリッジ接続のみを使用する方法で拠点間接続 VPN を構成する場合は、ネットワークの構成 (特にそれぞれのコンピュータに対して、静的に IP アドレスを割り当てている場合) によっては、設定変更作業が必要になります。もともと複数の IP ネットワークで構成される複数の拠点が存在している場合は、「10.6 拠点間接続 VPN の構築 (IP ルーティングを使用)」 の方法によって IP ルーティングと組み合わせて拠点間接続 VPN を構成することを推奨します。

    参考リンク

    拠点間接続 VPN

    banner1_3.jpg

    地理的に分散した複数の支店間は、通常はネットワーク的には分離されています。SoftEther VPN はすべての拠点間に仮想的な LAN ケーブルを敷設します。各支店のすべての PC は単一の LAN に接続されているのと同様に通信可能になります。