このページの本文へ

前へ 1 2 次へ

VPN完全制覇 ― 第1回

仮想の専用線で通信が変わった

VPNはなぜ必要になったのか?

2010年01月12日 07時00分更新

文● 遠藤哲

  • この記事をはてなブックマークに追加
  • 本文印刷

トンネルの正体はカプセル化

 そもそもVPNは、インターネット(公衆網)上にプライベートな「トンネル」を作る技術だ。下図3では、公衆網の雲にトンネルが作られ、そのトンネルをユーザーのパケットがやり取りされている様子を示している。インターネットにはさまざまなユーザーのパケットが飛び交っているが、トンネルは入り口と出口が固定されている。他のユーザーのパケットは入ってこないし、トンネル内のパケットを第三者が盗聴することもできない。

図3 トンネルで構築する安全なネットワーク

 それでは、このトンネルはどのように作るのか。そのキーワードはズバリ「カプセル化」である。トンネルを通過しているパケットを拡大してみたのが図1-②だ。実はトンネルに入るパケットは、トンネルの役割を果たすプロトコルで運ばれているのである。逆にいうと、カプセル化という技術が使われ、トンネルが作られるのだ。

 カプセル化という技術は、OSI 参照モデルの通信機能の階層にとらわれることなく、OSI 参照モデルに準拠した通信の仕組みを実現する技術である。何やら矛盾する話に思われたかもしれない。だが、カプセル化を説明した図4を見てほしい。この図が示すのは、IPアドレスAのクライアントからIPアドレスBのサーバーへ、VPNトンネルを通って通信する様子である。VPNトンネルは、IPアドレスXとYを持つVPNゲートウェイによって作られている。

 図中のクライアントAが他の拠点にあるサーバーBに宛てたパケット(オリジナルパケット)は、VPNゲートウェイXに届く(図4- ①)。VPNゲートウェイXは、オリジナルパケットをまとめ、宛先がVPNゲートウェイYとなるIPヘッダを追加。VPNゲートウェイY へ送信する(図4- ②)。このパケットをOSIモデルの機能階層で表わすと、TCPの上位にIPがあり、トランスポート層とネットワーク層が逆転した形となる。しかしこれは、OSIモデルと矛盾はしていない。なぜならTCPより上位は「1つのデータ」として扱われていて、IPアドレスYのVPNゲートウェイまでの転送に何ら影響を与えないからだ。この仕組みをカプセル化と呼んでいるのである。ではIPパケットをIPパケットでカプセル化をしている様子で説明しているが、応用すればEthernetフレームをIPパケットでカプセル化することもできる。

図4 カプセル化によるトンネルの構築

 このカプセル化されたIPパケットは、公衆網経由でVPNゲートウェイYに到着。ここでオリジナルのIPパケットが取り出され、サーバーへと転送される(図4 ③)。

 これから具体的なVPNを実現するプロトコルの解説をしていくが、トンネルが情報セキュリティの機密性・完全性・可用性の三要素を意味していること、「カプセル化」という技術で実現していることをここで確認しておいてほしい。

 次回はVPNを実現する代表的なプロトコルとして、遠隔地のネットワーク間を接続するインターネットVPNに広く使われている「IPsec」、リモートアクセスVPNを実現する「PPTP」と「SSLVPN」、そして通信事業者の提供するIP-VPNや広域Ethernetサービスなどで用いられている「MPLS」について解説していこう。

前へ 1 2 次へ

カテゴリートップへ

この連載の記事
ピックアップ