トンネルの正体はカプセル化
そもそもVPNは、インターネット(公衆網)上にプライベートな「トンネル」を作る技術だ。下図3では、公衆網の雲にトンネルが作られ、そのトンネルをユーザーのパケットがやり取りされている様子を示している。インターネットにはさまざまなユーザーのパケットが飛び交っているが、トンネルは入り口と出口が固定されている。他のユーザーのパケットは入ってこないし、トンネル内のパケットを第三者が盗聴することもできない。
図3 トンネルで構築する安全なネットワーク
それでは、このトンネルはどのように作るのか。そのキーワードはズバリ「カプセル化」である。トンネルを通過しているパケットを拡大してみたのが図1-②だ。実はトンネルに入るパケットは、トンネルの役割を果たすプロトコルで運ばれているのである。逆にいうと、カプセル化という技術が使われ、トンネルが作られるのだ。
カプセル化という技術は、OSI 参照モデルの通信機能の階層にとらわれることなく、OSI 参照モデルに準拠した通信の仕組みを実現する技術である。何やら矛盾する話に思われたかもしれない。だが、カプセル化を説明した図4を見てほしい。この図が示すのは、IPアドレスAのクライアントからIPアドレスBのサーバーへ、VPNトンネルを通って通信する様子である。VPNトンネルは、IPアドレスXとYを持つVPNゲートウェイによって作られている。
図中のクライアントAが他の拠点にあるサーバーBに宛てたパケット(オリジナルパケット)は、VPNゲートウェイXに届く(図4- ①)。VPNゲートウェイXは、オリジナルパケットをまとめ、宛先がVPNゲートウェイYとなるIPヘッダを追加。VPNゲートウェイY へ送信する(図4- ②)。このパケットをOSIモデルの機能階層で表わすと、TCPの上位にIPがあり、トランスポート層とネットワーク層が逆転した形となる。しかしこれは、OSIモデルと矛盾はしていない。なぜならTCPより上位は「1つのデータ」として扱われていて、IPアドレスYのVPNゲートウェイまでの転送に何ら影響を与えないからだ。この仕組みをカプセル化と呼んでいるのである。ではIPパケットをIPパケットでカプセル化をしている様子で説明しているが、応用すればEthernetフレームをIPパケットでカプセル化することもできる。
図4 カプセル化によるトンネルの構築
このカプセル化されたIPパケットは、公衆網経由でVPNゲートウェイYに到着。ここでオリジナルのIPパケットが取り出され、サーバーへと転送される(図4 ③)。
これから具体的なVPNを実現するプロトコルの解説をしていくが、トンネルが情報セキュリティの機密性・完全性・可用性の三要素を意味していること、「カプセル化」という技術で実現していることをここで確認しておいてほしい。
次回はVPNを実現する代表的なプロトコルとして、遠隔地のネットワーク間を接続するインターネットVPNに広く使われている「IPsec」、リモートアクセスVPNを実現する「PPTP」と「SSLVPN」、そして通信事業者の提供するIP-VPNや広域Ethernetサービスなどで用いられている「MPLS」について解説していこう。
この連載の記事
-
第5回
TECH
通信事業者のVPNサービスを学ぶ -
第4回
TECH
VPNを実現するさまざまな製品 -
第3回
TECH
インターネットVPN構築を実践 -
第2回
TECH
VPNのプロトコルを知る - この連載の一覧へ
