「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- Virtual Private Network、仮想プライベートネットワーク、仮想専用線とも呼ばれる。
- 公衆網に跨って、プライベートネットワークを拡張する技術、およびそのネットワーク。
- イントラネットなどのプライベートネットワークが、
- 本来公的なネットワークであるインターネットに跨って、
- 専用線で接続されているかのような管理上のポリシーの恩恵が実現される。
プロトコル †
暗号化通信 †
その他 †
MPLS
種類 †
# | VPN | 回線 | 構築 | アクセス回線 | 帯域 | 技術等 | レイヤ | プロトコル |
1 | 専用線 | 専用線 | 専用線を引く | 専用線 | ギャランティ型 (帯域を確保) | - | L2 | IP以外も可 |
2 | 広域イーサネット | 閉域網 | 各社サービスを利用 | 多種多様 (高速デジタル、Ethernet、ATM、フレッツ等) | VLAN、MPLS、PBB 等 |
3 | IP-VPN | MPLS | L3 | IPのみ (カプセル化によりIP以外も可) |
4 | エントリーVPN | ADSL、FTTH等 | ベストエフォート型 (トラフィック状況により変化) |
5 | インターネットVPN | 広域網 | インターネット契約 +VPN Gatewayなどの調達 | インターネット |
網での分類 †
IP-VPN †
- レイヤー3(L3)で使うプロトコルはIPだけ
- 通信事業者のIP網の中で、MPLS網を利用する。
- MPLSの付加機能により、ギャランティ型のVPNを実現する。
エントリーVPN †
インターネットVPN †
機器での分類 †
IPsec-VPN †
- IPsecによるVPN
- モードによって特徴とユースケースが異なる。
トランスポート・モード †
- データの暗号化(メッセージ認証)を、クライアントが直接行う。
- すべてのクライアントにVPNソフトウェアをインストールする必要があるが、
- モバイル端末からのアクセスなどには利用しやすい。
- 暗号化(メッセージ認証)
すべての通信で
- データは暗号化(メッセージ認証)されているが、
- IPヘッダの暗号化(メッセージ認証)は行われない。
トンネル・モード †
- データの暗号化(メッセージ認証)を、VPNゲートウェイで行う。
- ネットワークを構成する必要があるが、
- クライアント端末はVPNの存在を意識しない。
クライアントは、暗号化(メッセージ認証)されていないデータを送信する。
- 暗号化(メッセージ認証)
- ローカルネットワーク内の通信は暗号化(メッセージ認証)されない。
- VPNゲートウェイ間通信でのみ暗号化(メッセージ認証)される。
データ及び受信クライアントあてのIPヘッダはカプセル化される。
SSL-VPN †
- SSL/TLSによるVPN
- 特定ソフトウェアとSSL-VPNサーバ間のVPN
- SSL-VPNサーバ毎にデジタル証明書を組み込む必要がある。
方式 †
IPsecによる一般的なVPNとは異なる。
- リバースプロキシ方式
HTTPSのリバース・プロキシ
- SSL確立
Webブラウザを用いて、リモートアクセス端末とSSL-VPNサーバー間でSSLを確立。
- 仕組み
Webブラウザでリモートアクセス端末のユーザ認証
- 用途の制限
Webブラウザ上で動作するアプリケーションしか使用できない
- ポート・フォワーディング
プロトコル毎のクライアント(専用アプリケーション)を使用する。
これが、ローカル・プロシキとして動作するようなケースもある。
- SSL確立
JavaアプレットなどのクライアントとSSL-VPNサーバー間でSSLを確立。
- 仕組み
XXXX over SSL/TLSに変換する際にポート変換する。
- 用途の制限
通信中にポート番号が変わるアプリケーションは使えない。
- SSL確立
仮想NICとSSL-VPNサーバー間でSSLを確立。
- 仕組み
SSL-VPNクライアントソフトウェアをインストールし、
仮想NICでL2パケットを上位層のHTTPSでカプセル化する。
プロトコル †
SSL/TLSを使用するアプリケーション層プロトコルをサポート。
- メーラー系
ポートフォワーディングを行う専用アプリケーション。
- SMTPS(SMTP over SSL/TLS)
- POP3S(POP3 over SSL/TLS)
- IMAPS(IMAP over SSL/TLS)
- FTPS(FTP over SSL/TLS)
- ポートフォワーディングを行う専用アプリケーション。
- FTP、MSN Messangerなどのアプリケーションがある。
- LDAPS(LDAP over SSL/TLS)
・・・。
参考 †
暗号化通信 †
MPLS †
- 以下の様な付加機能を持つ
- 到達性の制御(VLAN的な機能)
- 障害回復機能(ルーティングによる)
- 多種のネットワークの集約(IP網以外のパケット網の集約)
- トラフィック・エンジニアリング(各種QoS制御)
- マルチキャスト(IPマルチキャスト)
Tags: :インフラストラクチャ, :セキュリティ, :暗号化, :通信技術