多拠点VPNの構築と他社製品との相互接続

これまでの解説で、2拠点間を結ぶLAN間接続VPN、あるいは外部からLAN内部にアクセスするためのリモートアクセスVPNについて、基本的なところは押さえてきた。しかし実際には、さらに追加の課題が生じることがある。

今回はそうした課題の中から、多拠点VPNの構築と、他社製品と対向させて相互接続する際の注意点について取り上げてみよう。

多拠点VPNはスター型がお勧め

3カ所以上の拠点があり、それらを相互にインターネットVPNで接続する場合、拠点同士をすべて直結させる「メッシュ型」と、どこかひとつの拠点をハブにして他の拠点に向かう通信路を放射状に分岐させる「スター型」の2種類が考えられる。

メッシュ型は考え方こそ分かりやすいが、拠点数が増えると、設定すべきVPNトンネルの数が急速に増大する。そのため、実際に設定するとなると、あまり分かりやすとはいえない。ただし、どの拠点でも他の拠点とワンパスで接続するため、経路情報の設定はやりやすい。

スター型は、センタールータでは分岐する拠点の数だけVPNトンネルの設定を行う必要があるが、分岐した先の拠点ルータではセンタールータと結ぶVPNトンネルを1つ設定するだけで済むため、VPN設定の負担はどちらかというと少ない。ただし、経路情報の設定は複雑になる。

しかも、拠点ルータ同士のルーティングでは必ずセンタールータを経由することになるため、経路がワンパスでは済まない。経由するルータすべてで正しい経路情報を設定しなければ通信が成立しないので、経路設定については特に注意を払う必要がある。

また、VPNを通じて行き来するすべてのトラフィックがセンタールータを経由することになるため、センタールータにかかる負荷が大きくなる。そのため、センタールータには高い処理能力を備えた機材が必要になる。

こういった点にさえ注意すれば、多拠点のVPN網の構築は実現可能だ。たとえば3拠点のスター型VPN網を構築する場合、設定すべき項目は以下のようになる。使用する3台のルータを、「センタールータ」「拠点ルータ #1」「拠点ルータ #2」と呼ぶことにしよう。

・センタールータ : 拠点ルータ #1に対するVPNトンネルの設定と経路設定、拠点ルータ #2に対するVPNトンネルの設定と経路設定
・拠点ルータ #1 : センタールータに対するVPNトンネルの設定と経路設定、拠点ルータ #2に対する経路設定
・拠点ルータ #2 : センタールータに対するVPNトンネルの設定と経路設定、拠点ルータ #1に対する経路設定

さらに拠点ルータが増えた場合、個々の拠点ルータでは経路設定の数だけが増えていくことになる。

ちなみに、これがメッシュ型の場合にはどうなるか。以下のリストでは、使用するルータを順番に「ルータ #1」「ルータ #2」「ルータ #3」と呼ぶことにしよう。

・ルータ #1 : ルータ #2に対するVPNトンネルの設定と経路設定、ルータ #3に対するVPNトンネルの設定と経路設定
・ルータ #2 : ルータ #1に対するVPNトンネルの設定と経路設定、ルータ #3に対するVPNトンネルの設定と経路設定
・ルータ #3 : ルータ #1に対するVPNトンネルの設定と経路設定、ルータ #2に対するVPNトンネルの設定と経路設定

3拠点のメッシュ型だと大した手間には見えないが、4拠点になると設定すべきVPNトンネルの数は6本、5拠点になると10本、と急増していく。しかもそれぞれについてVPNトンネルの設定と経路設定が必要になるので、設定すべきコマンドの数が増えて、その分だけミスが入り込む可能性も高くなる。全体の見通しの良さや保守性を考慮すると、スター型の方がお勧めだ。

他社製品との相互接続

何もインターネットVPNに限った話ではないが、同一ベンダの製品同士で組み合わせるのが、もっともトラブルが少ない組み合わせといえる。これはヤマハルータでインターネットVPNを利用する場合にも共通する原則だ。しかし、どうしても何か事情があって、他社製品と対向させなければならない場合があるかもしれない。

他社製品と相互接続する際に問題になるのは、主として「利用可能な設定項目の違い」「個々の設定項目の既定値の違い」「実装の違い」といえる。ヤマハ製品同士を対向させる場合に、指定を省略して既定値同士で済ませることができる設定であっても、相手が他社製品の場合は既定値や実装が異なる場合が多く、結果として追加の設定が必要になったり、相手の既定値、あるいは利用可能な設定項目に合わせてヤマハルータ側で既定値以外の設定を行わなければならない場面が出てくる。

たとえば、WindowsサーバでIPセキュリティポリシーを設定してIPsecをトンネルモードで動作させた上で、さらにRRAS(Routing and Remote Access Service)を動作させれば、VPNルータとして機能させることができる。しかし、Windows Server 2003のIPsecでは暗号化アルゴリズムとしてAES(Advanced Encryption Standard)を選択できないため、対向するヤマハルータ側でも譲歩してDES(Data Encryption Standard)あるいは3DES(Triple DES)を指定しなければならない。

このほか、SA(Security Association)の寿命、IDペイロード送信の有無や送信するペイロードの内容、Diffie-Hellmanグループ、一方向ハッシュ関数など、問題になりやすい項目はいろいろある。

そのため、他社製品と対向させる際には「設定可能な項目」「それぞれの項目で利用可能な値の一覧」「それぞれの項目ごとに定められている既定値」をリストアップした上で、項目ごとに「どの値を使用するか・どちら側で譲歩するか」を決める必要がある。

ヤマハのWebサイトでは、他社製品とIPsecの相互接続を行う際の一例として、Cisco製品とNetScreen製品に関する情報を掲載しているので、これらの製品を使用する場合には参照するようにしたい。

Cisco製ルータとの相互接続
シスコルータとRev.4系の相互接続事例集
シスコルータとRev.6系の相互接続事例集

NetScreenとの相互接続
NETSCREEN製品との相互接続事例

ヤマハルータでつくるインターネットVPN ［第3版］

著者:井上孝司　協力:ヤマハ　価格:4,515円

本書は、ヤマハ社のVPNルータ NetVolante/RT/RTXシリーズを対象に、セキュリティの高いVPN環境を構築する手法を解説。VPN、IPsec利用環境の基礎知識から実構築・有効活用まで、「ヤマハルータ」の機能を活用した、さまざまなVPNの有効活用がこの1冊でできるようになる。また、QoS、バックアップ機能からルータの管理・メンテナンスもわかりやすく解説する。