「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- Virtual Private Network、仮想プライベートネットワーク、仮想専用線とも呼ばれる。
- 公衆網に跨って、プライベートネットワークを拡張する技術、およびそのネットワーク。
イントラネットなどのプライベートネットワークが、本来公的なネットワークである
インターネットに跨って、専用線で接続されているかのような、
機能的、セキュリティ的、管理上のポリシーの恩恵が実現される。
などがある。
種類 †
# | VPN | 回線 | 構築 | アクセス回線 | 帯域 | 技術等 | レイヤ | プロトコル |
1 | 専用線 | 専用線 | 専用線を引く | 専用線 | ギャランティ型 (帯域を確保) | - | L2 | IP以外も可 |
2 | 広域イーサネット | 閉域網 | 各社サービスを利用 | 多種多様 (高速デジタル、Ethernet、ATM、フレッツ等) | VLAN、MPLS、PBB 等 |
3 | IP-VPN | MPLS | L3 | IPのみ (カプセル化によりIP以外も可) |
4 | エントリーVPN | ADSL、FTTH等 | ベストエフォート型 (トラフィック状況により変化) |
5 | インターネットVPN | 広域網 | インターネット契約 +VPNルータなどの調達 | インターネット | インターネット |
IPsec-VPN †
- IPsecによるVPN
- モードによって特徴とユースケースが異なる。
トランスポート・モード †
- データの暗号化(メッセージ認証)を、クライアントが直接行う。
- すべてのクライアントにVPNソフトウェアをインストールする必要があるが、
- モバイル端末からのアクセスなどには利用しやすい。
- 暗号化(メッセージ認証)
すべての通信で
- データは暗号化(メッセージ認証)されているが、
- IPヘッダの暗号化(メッセージ認証)は行われない。
トンネル・モード †
- データの暗号化(メッセージ認証)を、VPNゲートウェイで行う。
- ネットワークを構成する必要があるが、
- クライアント端末はVPNの存在を意識しない。
クライアントは、暗号化(メッセージ認証)されていないデータを送信する。
- 暗号化(メッセージ認証)
- ローカルネットワーク内の通信は暗号化(メッセージ認証)されない。
- VPNゲートウェイ間通信でのみ暗号化(メッセージ認証)される。
データ及び受信クライアントあてのIPヘッダはカプセル化される。
SSL-VPN †
方式 †
IPsecによる一般的なVPNとは異なる。
- リバースプロキシ方式
HTTPSのリバース・プロキシ
- SSL確立
Webブラウザを用いて、リモートアクセス端末とSSL-VPNサーバー間でSSLを確立。
- 仕組み
Webブラウザでリモートアクセス端末のユーザ認証
- 用途の制限
Webブラウザ上で動作するアプリケーションしか使用できない
- ポートフォワーディング
プロトコル毎のクライアント(専用アプリケーション)を使用する。
これが、ローカル・プロシキとして動作するようなケースもある。
- SSL確立
JavaアプレットなどのクライアントとSSL-VPNサーバー間でSSLを確立。
- 仕組み
XXXX over SSL/TLSに変換する際にポート変換する。
- 用途の制限
通信中にポート番号が変わるアプリケーションは使えない。
- SSL確立
仮想NICとSSL-VPNサーバー間でSSLを確立。
- 仕組み
SSL-VPNクライアントソフトウェアをインストールし、
仮想NICでL2パケットを上位層のHTTPSでカプセル化する。
プロトコル †
SSL/TLSを使用するアプリケーション層プロトコルをサポート。
- メーラー系
ポートフォワーディングを行う専用アプリケーション。
- SMTPS(SMTP over SSL/TLS)
- POP3S(POP3 over SSL/TLS)
- IMAPS(IMAP over SSL/TLS)
- FTPS(FTP over SSL/TLS)
- ポートフォワーディングを行う専用アプリケーション。
- FTP、MSN Messangerなどのアプリケーションがある。
- LDAPS(LDAP over SSL/TLS)
・・・。
参考 †
暗号化通信 †
トンネリング †
MPLS †
Tags: :インフラストラクチャ, :通信技術, :Windows