自前で構築するVPNの構築手順をUTM試す

インターネットVPN構築を実践

2010年02月08日 06時00分更新

文● SonicWALL日本支社　奥山剛央

低価格で利用できるインターネットVPNだが、正しく運用するには事前の設計が重要になってくる。ソニックウォール製UTM機器の設定を中心に、設計から構築までの方法を見ていこう。

事前設計が大事

　インターネットVPNを構築する上で、もっとも重要な最初の作業は事前設計だ。基本的な知識と「どのようにVPNを構成するのか」という設計ポリシーが明確でなければ、意図した通りのVPNは構成できない。また、正しく通信できないなどのトラブルに見舞われる可能性もある。

　この点をふまえながら、どのようにVPNを設計するのかを見ていこう。今回は例として、本社と支社2拠点の合計3拠点でVPNネットワークを構築することをゴールとする。

　まずは、これから構成するインターネットVPNの論理ネットワーク図を作成してみよう。たとえば今回の例のように3拠点をVPNで結ぶ場合、考えられる構成は大きく2通りある。1つはメッシュ型VPN、もう1つはハブ＆スポーク型VPNだ（図1）。

図1　メッシュ型とハブ＆スポーク型

　3拠点であれば、どちらを選択しても構築時の作業量はそれほど違いがない。しかし、拠点数が多くなればなるほど、メッシュ型では設定作業に莫大な時間がかかる（表1）。そのため、各拠点同士の通信が必要な場合でも、拠点が多ければハブ＆スポーク型を選択するケースが多くなる。

表1　メッシュ型とハブ＆スポーク型の特徴

VPNの設定例

　それでは、実際に図2の論理ネットワークマップを参考にインターネットVPNの設定を行なってみよう。

図2　今回、設定を行なう3拠点でのVPN構成例

写真1　ソニックウォールのUTM「NSA 240」

　今回は、ソニックウォールのUTM製品である「NSA240」を例に設定を行なう。メーカーごとに細かい用語や設定方法は異なるが、基本的な設定の流れや必要な設定項目などはおおむね共通といえる。そのため、他社の機器を使う場合でも参考になるはずだ。なお、今回はより設定の流れや各項目がわかりやすいように、ウィザードは使用せず手動ですべての項目を設定してみる。

　それでは、SonicWALLのWebインターフェイスにアクセスして、VPNポリシーの「追加」ボタンをクリックしてVPN 設定画面を起動しよう。最初の「一般」タブ（画面1）で設定する内容は、VPNの識別情報だ。ここで設定するのは、これから作成するVPNポリシーの認証種別、ポリシーの名前、VPNの接続先ホスト、そしてIKEを使用する場合の事前共有鍵などである。名前は機器側で設定ルールが決まっているわけでないので、管理する上でわかりやすい名前にするとよいだろう。それ以外の項目は、接続先の機器と内容を合わせる必要がある。

画面1　「一般」タブのVPN識別情報設定では接続先や共有鍵などを登録する

　続いて認証種別の設定だ。SonicWALLでは「マニュアルキー」、「IKE（事前共有鍵を使用）」、「IKE（サードパーティ証明書を使用）」が選択可能だ。マニュアルキーは、鍵情報が固定化されてしまうため使用されるケースは少ないだろう。そこで今回は、鍵交換が自動で行なわれるIKEの中でも一般的な、「IKE（事前共有鍵を使用）」を使用することにする。

　IKE（事前共有鍵を使用）を選択したら、IKEの鍵交換で使用する事前共有鍵を定義する。事前共有鍵は、これからVPNを構成する2台の装置がお互いに持つ共通のパスワードのようなものなので、2台のVPN装置でまったく同じパスフレーズを設定する。最後に相手先の装置のグローバルIPアドレス、もしくはFQDN（完全修飾ドメイン名）情報を入力して一般タブの設定は完了だ。

（次ページ、ネットワークの設定は要注意）

前へ 1 2 3 次へ

ツイートする

カテゴリートップへ