VPN のバックアップ(No.10) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

概要 †

Virtual Private Network、仮想プライベートネットワーク、仮想専用線とも呼ばれる。

公衆網に跨って、プライベートネットワークを拡張する技術、およびそのネットワーク。
- イントラネットなどのプライベートネットワークが、
- 本来公的なネットワークであるインターネットに跨って、
- 専用線で接続されているかのような管理上のポリシーの恩恵が実現される。
  - 機能的
  - セキュリティ的

プロトコル †

暗号化通信 †

SSH
SSL/TLS
IPsec

トンネリング †

PPTP
SSTP
L2TP
L2F

その他 †

種類 †

#	VPN	回線	構築	アクセス回線	帯域	技術等	レイヤ	プロトコル
1	専用線	専用線	専用線を引く	専用線	ギャランティ型（帯域を確保）	－	L2	IP以外も可
2	広域イーサネット	閉域網	各社サービスを利用	多種多様（高速デジタル、Ethernet、ATM、フレッツ等）		VLAN、MPLS、PBB 等	L2	IP以外も可
3	IP-VPN			多種多様（高速デジタル、Ethernet、ATM、フレッツ等）		MPLS	L3	IPのみ（カプセル化によりIP以外も可）
4	エントリーVPN			ADSL、FTTH等	ベストエフォート型（トラフィック状況により変化）	MPLS
5	インターネットVPN	広域網	インターネット契約＋VPN Gatewayなどの調達	ADSL、FTTH等	ベストエフォート型（トラフィック状況により変化）	インターネット

網での分類 †

IP-VPN †

レイヤー3（L3）で使うプロトコルはIPだけ
通信事業者のIP網の中で、MPLS網を利用する。
MPLSの付加機能により、ギャランティ型のVPNを実現する。

エントリーVPN †

IP-VPN とインターネットVPNの中間
網はベストエフォート型のセキュアな閉域網だが、
- QoS制御を除くMPLSの制御を受けている。
- モノによってインターネットの場合もある。

インターネットVPN †

拠点間の経路にインターネットを含むVPN
ベストエフォートで別途VPN Gatewayが必要になるが廉価

機器での分類 †

IPsec-VPN †

IPsecによるVPN
モードによって特徴とユースケースが異なる。

トランスポート・モード †

データの暗号化（メッセージ認証）を、クライアントが直接行う。
- すべてのクライアントにVPNソフトウェアをインストールする必要があるが、
- モバイル端末からのアクセスなどには利用しやすい。

暗号化（メッセージ認証）
すべての通信で
- データは暗号化（メッセージ認証）されているが、
- IPヘッダの暗号化（メッセージ認証）は行われない。

トンネル・モード †

データの暗号化（メッセージ認証）を、VPNゲートウェイで行う。
- ネットワークを構成する必要があるが、
- クライアント端末はVPNの存在を意識しない。
  クライアントは、暗号化（メッセージ認証）されていないデータを送信する。

暗号化（メッセージ認証）
- ローカルネットワーク内の通信は暗号化（メッセージ認証）されない。
- VPNゲートウェイ間通信でのみ暗号化（メッセージ認証）される。
  データ及び受信クライアントあてのIPヘッダはカプセル化される。

SSL-VPN †

SSL/TLSによるVPN
特定ソフトウェアとSSL-VPNサーバー間のVPN
IPsec の NAT / NAPT問題が無い。

方式 †

IPsecによる一般的なVPNとは異なる。

リバースプロキシ方式
HTTPSのリバース・プロキシ
- SSL確立
  Webブラウザを用いて、リモートアクセス端末とSSL-VPNサーバー間でSSLを確立。
- 仕組み
  Webブラウザでリモートアクセス端末のユーザ認証
- 用途の制限
  Webブラウザ上で動作するアプリケーションしか使用できない

ポート・フォワーディング
プロトコル毎のクライアント（専用アプリケーション）を使用する。
これが、ローカル・プロシキとして動作するようなケースもある。

SSL確立
JavaアプレットなどのクライアントとSSL-VPNサーバー間でSSLを確立。

仕組み
XXXX over SSL/TLSに変換する際にポート変換する。

用途の制限
通信中にポート番号が変わるアプリケーションは使えない。

L2フォワーディング

SSL確立
仮想NICとSSL-VPNサーバー間でSSLを確立。

仕組み
SSL-VPNクライアントソフトウェアをインストールし、
仮想NICでL2パケットを上位層のHTTPSでカプセル化する。

用途の制限
殆どのアプリケーションを使用できる。

プロトコル †

SSL/TLSを使用するアプリケーション層プロトコルをサポート。

HTTPSの場合
リバース・プロシキ的なSSL-VPNサーバーを配置すれば、
ブラウザ（クライアント）から直接アクセス可能。

メーラー系
ポートフォワーディングを行う専用アプリケーション。
- SMTPS(SMTP over SSL/TLS)
- POP3S(POP3 over SSL/TLS)
- IMAPS(IMAP over SSL/TLS)

FTPS(FTP over SSL/TLS)
- ポートフォワーディングを行う専用アプリケーション。
- FTP、MSN Messangerなどのアプリケーションがある。

LDAPS(LDAP over SSL/TLS)
・・・。

VPN Gateway †

トンネル・モードが用いられる。
トランスポート・モードや、SSL-VPNは用いられない。

以下の様なパターンがある。

参考 †

Virtual Private Network - Wikipedia
https://ja.wikipedia.org/wiki/Virtual_Private_Network

様々なVPNの比較（IPsec-VPN，SSL-VPN） - Qiita
https://qiita.com/yuyasat/items/81c32d7e235af97515c0

在宅勤務を実現するリモート・アクセスVPN構築術：
最終回　Windows OSで作るVPNサーバ (1/8) - ＠IT
http://www.atmarkit.co.jp/ait/articles/1109/01/news146.html
- IPsec
- PPTP
- SSTP

暗号化通信 †

IPsec †

SSL/TLS †

トンネリング †

VPNプロトコルの比較と特徴 - PPTP, L2TP, SSTP, IKEv2, OpenVPN | べすとVPN.jp
https://bestvpn.jp/vpn-protocol/

PPTP †

L2ネットワーク間

SSTP †

L3(IP)ネットワーク間

L2TP †

L2ネットワーク間

VPN Gateway（Azure） †

MPLS †

以下の様な付加機能を持つ
- 到達性の制御（VLAN的な機能）
- 障害回復機能（ルーティングによる）
- 多種のネットワークの集約（IP網以外のパケット網の集約）
- トラフィック・エンジニアリング（各種QoS制御）
- マルチキャスト（IPマルチキャスト）

参考
- Multi-Protocol Label Switching - Wikipedia
  https://ja.wikipedia.org/wiki/Multi-Protocol_Label_Switching
- MPLS - MPLSの概要
  https://www.infraexpert.com/study/mpls1.html

Tags: :インフラストラクチャ, :通信技術, :Windows