■ 構築問題 第二十二問
おね〜さんと、
ほげたんのっ!!
3 Minutes Networking、
Step by Step !!
VPNね。
VPNだね。
WANマルチアクセスネットワークね。
WANマルチアクセスネットワークだね。
…。
こう、言った言葉を鸚鵡返しされると、なんか宗教とか独裁者っぽい?
へ? なんで?
Zeeek Zeon!!
Zeeek Zeon!!
ね?
いや、あのおね〜さん?
ん〜、まぁそれはともかくとして。WANがらみでまだまだいくよっと。
拠点や自宅からの接続をしなさい
[FigureSS22-01:第二十二問]
- 本社のネットワーク構成は第十四回の問題と同じとする
- 拠点には、PCが10台のサブネットが存在する
- 拠点からは拠点独自の回線を使用してインターネット接続が可能とする
- 営業課員は自宅から業務サーバやメールサーバなどとやりとりが可能とする
- 営業課員は配布されたノートPCを利用して、外出先からも業務サーバなどを使用する
- 配布されたノートPCはインターネットへの接続が可能とする
…自宅からアクセスしたい?
そゆことね。そこがキーワードかな?
■ 構築問題 第二十二問 解答
ダイヤルアップリモートアクセス、っていったらダメだよね?
なんで「インターネットへの接続が」って言葉が設問に入ってるのか考えなさいな。
あ〜う〜あ〜。
インターネットVPN !!
ん、そうよね。普通そうよね。
さて、構成考えてね?
ん、ん〜っと。インターネットVPNって何がいるんだっけ?
ルータ。どうでもいいけど、普通に家庭用でIPsecのVPNルータ売ってたりするのよ。高いけど。
あれ、一般の人買うのかなぁ。小規模拠点向けよね、たぶん。
ほんとどうでもいい話だね、それ。
[FigureSS22-02:ほげたんの解答]
こんな感じ?
ん、まぁそうね。
インターネットVPNのポイントは何、ほげたん?
トンネリング!!
そう。インターネットというパブリックアクセス網の中に、あたかも専用線のようにセキュリティに守られた回線を擬似的に作り出すのが、トンネリング。
なんか必殺技の解説みたいだよ、おね〜さん。
まぁ、要約すると、拠点間で暗号化してデータのやりとりを行うだけなんだけどね。
IPsecトンネリングモードやL2TPだねっ。
ん、まぁそういうこと。IPsecトンネリングモードやL2TPについての解説は、そこらへんの解説書読んでもらうとして。
なんつーか、投げやり?
(ギロリ)
あははははははは、技術解説は別でやるべきだよね、うんうんうんうんうん。
この講座は「ネットワーク構築」なんだから!!
お互い理解しあえてうれしいわ、ほげたん。
で、その構築面をもうちょっと説明しましょ。さっきの図を分解して説明していくと。
[FigureSS22-03:本社側VPNルータの配置]
まず、ポイントは通常はFWとVPNルータを並列に並べること。イメージ的にはインターネットVPNによるアクセスはVPNルータへ迂回するって感じね。
つまり、拠点・自宅側は、この例で言うと200.100.10.13だけど、VPNルータの外側のIPアドレスあてへデータを送るってこと?
そゆことね。まぁ、最近はFWとVPN一体型のセキュリティアプライアンスも珍しくないから、一緒にしてる場合もあるけど…。
けど?
ポイントはグローバルIPアドレスを持つ場所かつFWの内側には配置できないからね。DMZもダメよ。
「グローバルIPアドレスを持つ」ってのはわかるよ、インターネットからのアクセスが必要なんだから。
でも、DMZもダメ? FWの内側の方が安心できるけどなぁ。
FWではIPsecやL2TPで暗号化された中身をチェックできないでしょ。ポート番号や中身が暗号化されてると、「解読不能」でFWはじいちゃうわよ?
あ、あぁ、そうか。パケットフィルタリングできないんだ、暗号化されてると。
そゆこと。ポート番号はIPsec、L2TPどっちでも暗号化されちゃうからね。
だから、FWと並列にVPNルータを並べるか、FW一体型セキュリティアプライアンスじゃないとダメってことね。
了解了解。
でもって、次の図。
[FigureSS22-04:拠点側の構成]
一方の拠点、自宅、ノートPC側ね。
IPsec、L2TPを実施するために、自宅やノートPCは専用のVPNソフトが必要なの。
暗号化して、トンネルを作るためのソフトだね?
そうね。それと、IPアドレスを管理することも必要ね。
IPアドレスの管理?
それはちょっと先で話すわ。
で、拠点はVPNルータを使って暗号化する。営業課員の自宅のBBルータもVPN機能があるならそれを使うって手もあるけどね。
なるほどね。
でもって、IPアドレスがらみの話ね。
インターネットVPNはVPNなんだから、拠点側ホストにローカルIPアドレスを割り振る必要があるわけ。
んと、ローカルIPアドレスってことは、本社内で使われてるアドレスってことかな?
そうそう。例えばこう。
[FigureSS22-05:拠点側IPアドレス]
拠点側はローカルの、この例だと172.16.0.0/16のIPアドレスをもらうわけだけど。
VPNルータや、VPNソフトはあて先がこのローカルだった場合、矢印のように本社側VPNルータへのアクセスに変えて、暗号化して送信するわけね。
ローカル以外だったら?
ローカル以外だったら、それは普通のインターネットアクセスなんだから、普通にインターネットへ送るわよ。
あぁ、そうだね。
ん〜っと、あと営業課員自宅のPCって、192.168.0.1と、172.16.101.1なんて2つ持ってるけど、これなに?
ん〜、これちょっとややこしいけど。192.168.0.1は自宅ネットワークでのアドレス。で172.16.101.1はVPNソフトが持つ、VPN時に使うアドレス。172.16.101.1を送信元としてVPNを実行するってことね。
うぅ〜ん。わかったようなわからないような。
送信元を172.16.101.1にして、IPsecトンネリングモードでカプセル化するってこと。
2つのIPアドレスを持つって考えればいいわよ。
なんとなくわかったかな?
一方の本店側は、内部ルータで設定が必要ね。
[FigureSS22-06:本店側ルーティング設定]
例えば、172.16.100.0/24と172.16.101.0/24をVPN拠点側に割り振っている場合、ルータでそのあて先はVPNルータに行くように設定するわけね。
あ〜、確かにその設定は必要だね。
さて、今回は、「簡単SOHO、お手軽VPN」としてインターネットVPNを使うとよいよって話ね。
お手軽VPNって。
インターネットを経由するため、帯域保障がまったくない状態になってしまうから、あまりシビアなのはできないけど、逆に言えばインターネットさえ繋がっているならば可能であるって点ですごく使い易いわけ。
そうだね、インターネットさえ繋がっているならば、ってのは強いよね。
そゆことね。ま、その話は次でもでてくるから、また次回ね。
あい、おね〜さん。
おね〜さんと、
ほげたんのっ!!
3 Minutes Networking、
Step by Step !! でした〜〜〜っ!!
まったね〜〜〜!!