Virtual Private Network

出典: フリー百科事典『ウィキペディア（Wikipedia）』

Virtual Private Network (VPN) または仮想プライベートネットワークは、通信相手の固定された専用通信回線（専用線）の代わりに多数の加入者で帯域共用する通信網を利用し、LAN間などを接続する技術もしくは電気通信事業者のサービスである。

目次 1 概要 1.1 専用通信回線との違い 2 インターネットVPN 3 IP-VPN 4 広域イーサネット的に利用できるレイヤ2 VPN 5 VPNで利用される技術・手法 5.1 レイヤ2 VPN技術 5.2 レイヤ3 VPN技術 5.3 レイヤ4以上のVPN技術

[編集] 概要

企業などの信頼性の要求される通信網を構築するには、拠点間に帯域保障の回線を占有してきたが、これを第三者が進入・傍聴・改竄しにくくする技術により帯域共有型の開放された安価な通信網で実現しようというものがVPNと言える。

一言でVPNと言っても、様々なプロトコルが利用されるため、そのオプションによって様々な利用が可能である。 VPN=暗号化技術という誤解が多いが、それは利用するプロトコルやオプションによって異なるため注意が必要である。 VPNで利用されるプロトコルには、SSH/SSL/TLS/SoftEther/IPsec/PPTP/L2TP/L2F/MPLSなどがある。

現在VPNには、インターネットを介し自前でVPNを構成する『インターネットVPN』と、ISPが提供するIP網を利用する『IP-VPN』の二種類が主流である。

関連する拠点間接続のサービスには、広域イーサネットがある。

[編集] 専用通信回線との違い

専用線（専用通信回線）は導入コスト及びランニングコストが高価であるが、接続性及び帯域がSLAによって保証されており、安定性を考えると専用線を選択する企業も多い。 専用線ではアクセス回線に合わせ、ルータのインターフェースを選択するだけで対向間の接続が可能であるが、インターネットVPNの場合は、VPN対応のルータ及び専用機、専用クライアントソフトが必要である。

管理や運用保守に関してはVPNが不利であるが、回線コスト（ランニングコスト）や自由度でVPNが圧倒的に勝っているため、現在専用線からの移行（リプレース）が多く行われている。

[編集] インターネットVPN

インターネットを利用したVPNであり、IPsecやPPTPおよびSSLといったプロトコルが主流である。

IPsecやPPTP、SoftEtherなどを利用することで、インターネットを介した複数の拠点間で暗号化データをカプセリング・トンネリングし通信を行い、通信データの改竄・盗聴を抑えながら通信を行うことが可能となる。

インターネットVPNには、拠点のLAN同士が接続するLAN型VPNと、ノートPCなどにインストールしたVPNクライアントソフトを利用し、拠点のLANに接続するリモート型VPNがある。

また、最近ではSSLを利用したSSL-VPNも、その手軽さから注目されている。

インターネットVPNは、IP-VPNと比較すると以下のようなメリット・デメリットがある。

メリット

• アクセス回線にインターネットを利用することから生じるメリット
  • 通信回線のコストを抑えることが可能。
  • リモート型VPNの場合、出先からでもダイヤルアップ接続や公衆無線LANなど何らかの形でインターネットへのアクセスが可能であれば、拠点のLANへアクセスすることが可能となる。
• VPN機器の管理がユーザーに委ねられるため、自由なオプションが利用可能である。

デメリット

• VPNに対応した機器が必要で、異なるメーカーの機器同士では接続できない場合もあり注意が必要である。
• 管理者にある程度のスキルが求められる。
• 強固な暗号化ほど処理に機器のパフォーマンスが求められるため、利用スケールにあわせた機器の選択が重要である。
• 実効通信速度が不安定である。
• 暗号化を施しているとは言え、グローバルなインターネット経由である為通信の安全性を保証できない。

[編集] IP-VPN

MPLS対応のルータを使用し、インターネットとは別に構成されたIP網で、VPNを構成する通信事業者のサービスである。IP上に構築される専用線網であるが、従来の専用線に比べ低コストでの利用が可能である。ISPの閉域網（=外部公開されていない通信網）を利用することでの安全性は確保されるが、その信頼度はサービス提供者に委ねる形となるため、ラベル技術や暗号化技術でもってセキュリティを確保する形での専用線利用となる。

通信経路は、網内で他のユーザと共有している為ベストエフォートの傾向にあり、データの通信速度を厳密に保証しかねるがインターネットVPNのような極端な通信速度の低下はほとんど無いと言える。また、オプションで帯域保証を提供しているISPもある。

VPNに関しての機器の導入・管理をユーザ側で行う必要が無いため、導入や運用保守が容易な点も、IP-VPNの特徴の一つである。利用する際は、BGP対応のルータが推奨されるが、インターフェースさえ合わせればユーザの好みでルータを選択できる。

[編集] 広域イーサネット的に利用できるレイヤ2 VPN

広域イーサネットはイーサネット (レイヤ2) 通信が提供されており、利用するプロトコルがIPに依存しないため、LANと同じ感覚で利用可能である。

これと比較して、レイヤ3パケットのトンネリング通信のみをサポートするVPN技術 (IPsecやPPTP等) を用いたVPNの場合は、あらかじめ利用するサービスやプロトコルを考慮しながらネットワークの構築が行われ、構築後のサービスやプロトコルの変更は、VPN機器の変更が必要となる。

レイヤ2（イーサネット）パケットのトンネリング通信やブリッジ接続などをサポートしているVPN技術を用いることにより、前述した広域イーサネットのメリットと同等のことを実現でき、インターネットVPNを用いて安価に構築することができる。

特に、仮想LANカードと仮想HUBおよび既存の物理的なLANをVPNプロトコルで接続し、その上でブリッジ接続する手法により、広域イーサネットと同様に、既存のスイッチングハブやレイヤ3スイッチが使用されているLAN同士をVPN接続することができる。遠隔地の拠点間でVoIPやテレビ会議システムなどを利用する場合も、同一のイーサネットセグメント上にある機器とみなすことができるので、より容易・確実に利用可能となるメリットがある。

さらに、LANに対してイーサネットのレイヤでリモートアクセスすることが可能になる。

[編集] VPNで利用される技術・手法

• AH
• ESP
• GRE
• SSL
• 仮想HUB
• 仮想LANカード
• ブリッジ接続

[編集] レイヤ2 VPN技術

• OpenVPN (レイヤ3 IPルーティングも可能)
• PacketiX VPN (レイヤ3 IPルーティングも可能)、SoftEther 1.0
• TinyVPN

[編集] レイヤ3 VPN技術

• Hamachi
• IPsec
• PPTP

[編集] レイヤ4以上のVPN技術

• SOCKS
• SSH