Category: VPN選択のポイント

RTX1200/RTX1100間でIP-VPN

Posted by on May 19, 2009

RTX1200/RTX1100はIP-VPN回線を使うことができます。先般IP-VPN回線でのイントラネット開通を行いました。通信事業者はKDDIです。

RTX1200-IP-VPN

利用したKDDIのIP-VPN網の場合は、ヤマハのホームページの事例の設定とは異なります。IP-VPNの良さは単一の通信事業者に閉じたネットワークなので、障害の少ないネットワークを構成することができます。

また「通信事業者の網」なので、応答時間の予測がつきます。今回の設定は東京都内ルーター間対向で5msec台で安定して推移し、回線越しとしては極めて安定した通信です。

IP-VPNで組むネットワークは、ルーター側で暗号処理をする必要がないことも特徴です。そのためルーターの負荷も低く抑えられます。

今回のIP-VPNの開通は現地設定以前に作成した設定のままで、問題なく接続ができました。実は開通済みの対向ルーターの接続設定を見ること以外は、回線事業者様が提供する接続要件をエンドユーザー様から一切提示していただけないという変則的状況でした。そういう中で無事開通でき、別途紹介しますがIP-VPNの障害時にはインターネットVPNへの自動迂回も予定通り実装しています。

自動迂回を実現するために対向ルーターの設定も調整しました。

IP-VPNとインターネットVPN

Posted by on February 11, 2009

よく混同されています。IP-VPNインターネットVPN

先ずはここをご覧になってください。
ITmediaでのIP-VPNとインターネットVPNの解説記事へ

「IP-VPN経由でインターネットに出て 。。。。」

IP-VPNの基本機能ではインターネットに出ることはできません。IP-VPNの良さは「インターネットとは無関係のIPネットワーク」です。基本的には通信事業者間(例:NTT東日本とKDDI間)の通信はできない「通信事業者内の閉域網」です。

インターネットに出るためには、一般にインターネット接続用の回線を用意し、その回線経由でインターネットに出ます。IP-VPN網の中にインターネットへの接続点を提供するサービスもあります。

IP-VPNは安定した通信速度が必要なソフトウエアを使う場合に役に立ちます。弊社の事例は

本社-倉庫間を接続。MetaFrameの画面転送方式端末を倉庫に置き伝票入力を実施

この場合「インターネットでは速度の安定度の面で不安がある(2004年当時)」とのことで、IP-VPNを主回線とし、インターネットVPNを副回線としました。

IP-VPNは信頼性も高く、利用料も高価です。もう少し安いサービスは無いかということで出てきたのが「フレッツ・グループアクセス」です。

フレッツ・グループアクセスはIP-VPNのように帯域保障のあるサービスではありませんがIP-VPN同様「通信事業者内の閉域網」です。インターネットに接続するときは、IP-VPN同様別途インターネット接続回線を用意します。

フレッツ・グループアクセスはNTT東日本、NTT西日本でそっくりのサービスを提供していますが、2008年からNTT東日本のフレッツ・グループ網とNTT西日本のフレッツ網をつなぐことができるようになっています(要接続料)。

即ち、フレッツグループアクセスで東京の本社と福岡の支社をつなぐことができるようになりました。フレッツグループアクセスは、他のBフレッツを用いたインターネット接続(プロバイダ接続)同様「地域IP網」を使っています。

それに対し

「インターネットVPNは不安が一杯。 インターネットだから遅い。。。。」

インターネットVPNはインターネットを通過するときに、暗号化したデータ通信を行い接続します。日本国内のインターネットの通信速度は年々向上しており、インターネットVPNの通信条件は年々改善しています。インターネットVPNはプロバイダに殆ど依存することなく接続できます。その特性上、世界中に接続することができます。事務所間を接続することに加えて、モバイルパソコンの接続にも使います。IP-VPNと比較して運用コストは安くなります。

殆どの企業団体が利用するインターネット回線を併用し、事務所間やモバイルパソコンをインターネットVPNで結んでしまいます。インターネットを使うので東京-福岡間でも問題ありません。日本と米国間をつないだこともあります。きちんとした設定をすれば「インターネットVPNだからここが問題」という経験はありません。

安価なインターネットVPNだけで用が済み、IP-VPNは要らないはずです。ところがIP-VPNにはIP-VPNのよさがあります。IP-VPNは通信系路上で暗号化を必要としません。暗号化しないことにより、インターネットVPNより少ない通信量でデータを送ることができます。同じ帯域が利用できる場合、通信網側で独立経路を保障するIP-VPNの方がルーターで暗号化しない分、通信効率は良く、ルーターにかかる負荷も少なくて済みます。

安定した応答速度が必要なアプリケーションでは、帯域保障付IP-VPNの方を選択し、速度変化が業務に影響しない場合はインターネットVPNを選ぶことが基本です。

IP-VPNやインターネットVPNではアプリケーションの応答性を改善するために、優先制御や帯域制御を活用します。これらの機能が含まれているルーターを選択することも大切です。

IP-VPNと帯域制御

Posted by on January 4, 2009

IP-VPNには特徴的な「帯域保障」があります。

帯域保障とはいえ、帯域を越える通信量が発生すると通信の両端を構成するサーバとクライアント間の通信速度は「無保証」です。例えば契約速度の1Mbpsを連続的に超えた場合は、超えた分を網側で任意に捨てます。どの通信が捨てられるか は判りません。

この状態はトンネルへ流入する車の量が限られていることに似ています。トンネルが二車線なら二車線を超える車はトンネルに入れずに渋滞します。実際の車の場合は、じわじわ待ってトンネルの入り口にたどり着きトンネルを通過します。通信では、ある一定時間内にトンネルに入れない車は黙って入り口の手前でぽいぽい捨てます。

その為、IP-VPN網につなぐルータなどで、優先制御機能を使い業務アプリケーションの通信を優先して送り出します。例えば伝票入力端末の通信は最優先し、グループウエアやインターネット向けの通信は優先しないようにします。これは優先車両である救急車は先にトンネルに入れることによく似ています。優先が約束された通信は捨てられることなくトンネルにたどり着きます。ただ火事の出動のように、多くの消防車、救急車、警察車両が二車線を超えるほどトンネルに押し寄せた場合は、二車線を超える進入は待たされます。通信の場合は優先だろうと容赦なく進入を待っている車両をぽいぽい捨てます。即ち、帯域保障を使うときは、優先に必要な通信量を勘案して決め、さらに通信機器の優先機能に反映させないと意味がありません。優先する通信で4車線分必要なのに、2車線の道しかなければ、空いているときの2車線の通過速度以下でしか通過できないのです。

「帯域保障」とは、各車の走行速度を保障しているわけではなく「車線数」を保障しているだけなのです。その車線数を効率よく使うには、ゆっくりでよい車はゆっくり、急ぐ車は急いで通してあげる選り分け交通システムが必要です。

ヤマハRTX1200などIP-VPN接続ルータにはこの選り分け交通システム「帯域制御」と「優先制御」がついていますが、その設定にはお客様の通信の分析が必要です。

EeePCとEMobileで事務所へVPN接続

Posted by on January 3, 2009

EeePC 901-XとEMobileを持ち歩いています。このセットがあると、出先から事務所のパソコンを呼び出して使うことができます。これは便利です。使い始めたら手放せなくなりました。

最初につなぐまで「モバイルでは無理だよね」と思っていましたが「画面だけ」を呼び出す方法を使うことで充分に実用的です。全国を移動したときの利用の記録は情報技術の四方山話に書いています。瀬戸内に浮かぶ島でも使うことができました。

■SSH VPNでのモバイルVPN構成図

SSH VPN構成図

■SSH VPN経由で事務所のWindowsパソコンのログイン画面を呼び出したところ

EeePC上に現れた事務所のパソコンのログイン画面

EeePC 901-XとEMobileの接続では、以下のVPNの方法を実用試験も兼ねて使っています。

1)PPTP VPN
PPTP VPNは広く普及している方法でWindows、Mac OS Xパソコンが標準で備えている機能です。パソコン側は設定だけですみます。事務所側はインターネット接続点のヤマハルータ(RT57i,RT58i,RTX1100,RTX1200,RTX1500等)を使っています。ヤマハルータではモバイルパソコンが事務所のLANの中にいるときと同じように接続できます。ホテルや自宅などのLAN経由では接続できないこともあります。

2)SSH VPN
SSH VPNはWindowsは標準で備えていないので、SSHソフトウエアをインストールする必要があります。Windows上のSSHソフトは無償で入手できます。Mac OS Xでは標準の機能です。事務所側では事務所内にあるLinuxをゲートウエイとしています。もちろん多機能な有償SSH製品もあります。SSHの良さは、別項にあるPPTP VPNやL2TP/IPsec VPNよりも手元のパソコン側の通信条件の影響を受けにくく、ホテルや自宅等でLAN経由で接続するときも多くの場合使うことができます。PPTP VPNよりも接続認証を強化することができること、通信制限が容易なことが特徴です。インターネットサーバや通信機器の遠隔管理の分野では広く使われています。

3)L2TP/IPsec VPN
混乱しやすいところですが「IPsec VPN」も存在しますがL2TP/IP VPNとは別です。
L2TP/IP sec VPNはWindowsは標準で備えています。PPTP VPNよりセキュリティの強度が高いとされています。事務所側にはインターネットにつないだ専用のLinuxを使っています。この接続もPPTP同様ホテルや自宅のLAN接続ではつながらないこともあります。

もっぱらPPTP VPNを使うことが多いのですが、EMobileを使う場合は手元のパソコンが直接インターネットにつながるので、インターネット側からパソコンが攻撃を受けないよう、正しく設定する必要があります。手元のパソコンに追加ソフトが不要というてんでは、PPTP VPN、L2TP/IPsec VPNなのです。一方、モバイルPCはホテルや自宅のLAN経由で使うことも多いので、もっとも接続性の高いSSH VPNが良いのですが、これはWindowsパソコン側にソフトのインストールと、細かな設定が必要です。また事務所側にSSH VPNサーバが必要です。

モバイルパソコンの使い方に応じて適材適所でVPNの実現方法を選択する必要があります。事務所側のネットワークとの整合性も必要です。また事務所側のVPNゲートウエイの同時接続数の制限も考慮する必要があります。

この相似形として、在宅勤務者のパソコンの接続、一箇所にパソコン一台だけを多数展開するなどがあります。事務所のパソコンの画面を呼び出す方式であれば手元のパソコンに情報が残らないので、情報セキュリティ管理上もたいへん優れており、今後の接続方法の主流になります。

VPNの種類:概要

Posted by on January 2, 2009

VPNを使うと複数の事務所間や、モバイルパソコンと事務所間をつなぐことができます。ところがVPNにもいろいろあります。多くの場合混同して語られるので一体何が良いのやら判断がつきません。さらに、通信事業者でサービス名称が異なります。

一般企業・団体で選択の範囲は以下の範囲になるでしょう。

1)インターネットVPN
インターネットに接続したVPNルータ(ヤマハRT58i,RTX1100,1200など)との間でIPsec,PPTPとSSH等で暗号化し安全な通信トンネルを作り、事務所間、モバイルPCなどを結びます。企業内ネットワークの最も一般的な方法です。インターネットを利用するので基本的に世界中何処でもつながります。通信相手が異なるアクセス回線でも問題なく、フレッツADSLとBフレッツ間等、回線の状況に応じて選択することができます。インターネットを使う都合上、通信速度の保障はできません。インターネットにつなぐのでアクセス回線契約とプロバイダ契約が必要です。

2)フレッツ・グループアクセス
フレッツグループアクセスは、アクセス回線にインターネットアクセス回線として普及しているフレッツADSLやBフレッツを使い通信速度保証のない安価な自社専用IP通信網を提供します。アクセス回線がインターネット用なので、インターネットにもつながると誤解されがちですが、インターネットとは関係ありません。NTT東と西は接続料金を払えば接続できるようになりました。東京を大阪がつながります。NTT東と西内でインターネットを使わない閉じたネットワークを作るには良い方法です。Bフレッツのアクセス回線契約とフレッツ・グループアクセス契約が必要です。

3) IP-VPN
IP-VPNは様々な専用アクセス回線と接続用のルーターを使って高品質の自社専用IP通信網を提供します。基本的にインターネットとは関係ありません。「高品質」の最大のポイントは通信帯域の保障があることです。「帯域の保障」とは「指定の通信速度に達するまではIP-VPNの通信上で通信パケットが捨てられることがない」ということです。例えば帯域1Mbpsの契約では、1Mbpsに満たない通信が行われている間はほぼ一定の応答速度で通信できます。業務アプリケーション等で端末入力などサーバーとの間で一定の応答性が必要な場合に使います。アクセス回線契約とIP-VPNの契約が必要です。

その他の回線は、ほとんどの場合大企業で必要になります。中小企業ではほぼ必要ありません。