アットマーク・アイティ @IT@IT情報マネジメント@IT自分戦略研究所QA@ITイベントカレンダー  
 @IT > オーバーレイネットワーク新時代 手軽にセキュアなネットワーク環境を実現するL2Connect
 
@IT Special

 

PR

オーバーレイネットワーク新時代
手軽にセキュアなネットワーク環境を実現するL2Connect

 アプリケーションへの依存性が低いレイヤ2レベルの仮想プライベートネットワークを、実に簡単に張れると話題になったSoftEtherの登場以降、レイヤ2レベルで仮想ネットワークを構築する手法が一般によく知られるようになった。

 イーサネットのレベルから仮想化を行うことで、その中に通すトランスポートプロトコルやアプリケーションにまったく依存しないシステムを構築できることが、こうした技術の最も大きな魅力だろう。現在、運用しているアプリケーションをまったく変えることなくネットワークの仮想化を実現できるのだ。

 三菱マテリアルはそうしたトレンドにいち早く適応したベンダだ。L2VPNソフトウェアを開発・販売するとともに、さまざまなソリューションとしてユーザーに提案してきた。その三菱マテリアルが今年の秋、オリジナル開発の「L2Connect」を発売した。レイヤ2仮想ネットワーク製品を最もよく知るベンダの1つでもある同社は、なぜL2Connectの自社開発を決断したのだろうか。

 その背景を取材してみると、なるほど、例えばSoftEtherとは異なるアプローチの製品であることが見えてきた。三菱マテリアルは企業ユーザーからのニーズをくみ上げ、エンタープライズレベルの大規模案件にもスケーラブルに対応できるパフォーマンスと、多数のクライアントに対する管理性を重視してL2Connectを設計したのである。その発想は、いわゆる“VPN製品”とは一線を画すものだった。

 

オーバーレイネットワーク実現の提案

 三菱マテリアルがL2Connectを通してユーザーに提案しようとしているのは、簡便なインストールとシンプルな管理手法により、複数の異なるネットワークをまたがるレイヤ2レベルの仮想ネットワークを構築することだ。

 “オーバーレイネットワーク”という言葉を耳にしたことのある読者も多いだろう。既存ネットワーク上に上位レイヤのプロトコルで仮想ネットワークを創出する考え方だ。

 例えば自社内だけでなく、関連企業、外注先、顧客などとインターネットをまたいで仮想ネットワークを作り、その中でアプリケーションを動かす。あるいはサーバダウン時に、ミラーリングしてある別拠点のサーバを自動的に仮想ネットワークでつなぐことで業務停止を防ぐなど、さまざまな活用方法が考えられ、その応用範囲は非常に広い。

L2Connectの利用範囲

 L2Connectは、もちろん一般的なVPN製品としても利用価値の高い製品だが、もっと幅広い用途を見据えた、オーバーレイネットワーク構築のための、優れた解決策として開発されている。

 

L2Connectが必要な理由

 L2Connectがユニークな点は、L2レベルの仮想化を行う技術でありながら、クライアント/サーバの形式を採用していないところにある。

 SoftEther(PacketiX)に代表されるほかの技術は、イーサネットをエミュレートするために、イーサネットNICと同じ振る舞いをする仮想NICをクライアントにインストールする。別途、仮想ハブを立ち上げておき、そこに接続する(仮想的なツイストペアケーブルを接続するイメージ)ことで、仮想ネットワークを実現している。つまり典型的なクライアント/サーバ型ソリューションだ。

 仮想イーサネットであるため、トラフィックコントロールを行うには、ルーティングテーブルを作りパケットの流れをある程度制御しなければならない。その一方で、アプリケーションからは完全にNICとして認識されるため、既存アプリケーションに対する変更は不要となる。

 一方、L2Connectの仮想ネットワークも、アプリケーションから普通のイーサネットにしか見えない点は同じ。しかしL2ConnectはイーサネットNICやハブをエミュレートするのではなく、自身がスイッチのように振る舞う。

 L2Connectネットワークを構成するコンピュータは、すべて同じように仮想スイッチとして動作し、それぞれの仮想スイッチ間にケーブルをつなぐようにコネクションを張れば、MACアドレスを見て仮想スイッチがパケットを目的の仮想スイッチまで届ける。つまり、L2Connectにはクライアントやサーバといった概念がなく、すべての構成メンバーが等価に扱われるのである(ほかに、オープンソースであるOpenVPNが同様の形式を取っている)。

仮想スイッチから構成されるL2Connect ネットワーク

 このため、大規模な仮想ネットワークを構築する際、トラフィックのコントロールをルーティングテーブルのメンテナンスで行う必要がなく、必要に応じてケーブルをつなぎ替えるようにコネクションを張るだけで運用できる。この運用の容易さがL2Connectの魅力の1つだ。

 またイーサネットNICではなく、スイッチをエミュレートする仕組みを採用したことでアーキテクチャがシンプルになり、パフォーマンスを向上させやすいというメリットもある。トラフィックの分散が容易という特徴も、パフォーマンスを向上させるうえで重要なポイントだろう。

 

大規模仮想ネットワークにおける高い管理性

 L2Connectを用いた仮想ネットワークの構築は、実に簡単だ。アプリケーションに依存しない仮想ネットワークを構築する手法としては、ほかにもIPsecがある。しかしIPsecはレイヤ3──すなわちIPの仮想化であり、ファイアウォールやNATなどのゲートウェイを通過させるには、ゲートウェイ上で何らかの設定を行わなければならないことが多い。

 しかし、レイヤ2をSSL経由IPネットワーク上で実現するL2Connectならば、そうした特別な設定を行うことなく、どこからでも、どんなアプリケーションでも透過的な通信が可能だからだ。

VPN としての L2Connect

 さらにL2Connectには組み込み機器向けライセンスもあり、実際にL2Connectが組み込まれた小型アダプタも発売されている。これを用いることで、自宅勤務や小規模のブランチオフィスもメンテナンスフリーで、簡単にネットワークに参加させることが可能になる。

 またWindows Mobile 5.0に対応しており、携帯電話やPHS網に直接つながるスマートフォン経由のモバイルソリューションを容易に開発できるのもメリットだろう。今後は一般的な携帯電話からも接続できるよう、BREWなどの携帯電話向けアプリケーションプラットフォーム向けのL2Connect開発も検討しているという。

 管理に関してもSNMPをサポートし、仮想スイッチをネットワーク全体の管理システムに組み込むことが容易だ。添付のスイッチマネージャを用いれば、別途、管理ツールを用意しなくとも集中管理が行える。

 ユーザーPCへのクライアントソフトウェアの配布・配置に関しても工夫されている。一般的なsetup.exeによるインストールはもちろんだが、オートラン機能を用いた光ディスクによる配布や、WebサイトからActiveXを用いてインストールする手法、USBメモリの挿入による自動インストールといった手法を選択できる。もちろん、サイレントインストールに対応しているため、管理者が適切な設定をしておけば、ユーザー側に特別なインストール作業は必要ない。

 

柔軟性と高いセキュリティレベル

 レイヤ2仮想ネットワークの経験が豊富な三菱マテリアルが開発した製品だけに、セキュリティ面でもいくつかの特徴的な部分がある。

 一般的なIDとパスワードによるRADIUS認証に対応するほか、電子証明書による認証もサポート。USBキーなど、外部の認証デバイスを活用することもできる。

 また、SoftEtherなどではWindows上からNICとしてクライアントソフトウェアが認識されるため、Windows自身の機能で簡単に社内ネットワークなどとブリッジすることが可能だった。しかし、L2Connectでは通常のアクセス用クライアント(L2Connect Remote Access)とブリッジが可能なクライアント(L2Connect Remote Bridge)のライセンスを分けている。

 加えて接続先がどちらのクライアントソフトウェアを用いているかを判別できるため、ブリッジ可能なユーザーや機器を限定し、クライアントPC側の運用によってセキュリティホールが発生しないよう工夫されている。もちろん、MACアドレスによるアクセス制御も可能だ。

 暗号化に関しても、OpenSSLを製品内部で用いており、万一、脆弱性が発見された場合でも速やかにアップデートできるというメリットがある。もちろん、幅広く使われているオープンソースのコードであるため、セキュリティレベルや暗号強度、バグなどの点が実証されている点も見逃せない。すでにパイロットユーザーによる大規模な試験運用も行われており、数千人規模の仮想ネットワークにおいても高いスケーラビリティを発揮しているという。

 レイヤ2仮想ネットワークのソリューションに初期から加わっていた三菱マテリアルだけに、過去の事例やサポートの実績も豊富だ。高いセキュリティレベルを維持したまま、オーバーレイネットワークを可能な限りシンプルに構築できる。それは製品に過去の経験が生かされているためだろう。

 こうしたL2Connectの機動性、機能性、安全性などに呼応して、L2Connectとともに動作するサードパーティ製品との組み合わせも可能になってきた。

 例えばカオスウェアと共同開発中のファイル暗号化ソフトは、特定ネットワークに接続している場合のみ、暗号を解いてファイルを参照可能にする機能を実現するという。ユーザーはL2Connectで仮想ネットワークにアクセスしている時には、通常どおりにファイルを扱えるが、コネクションが切れるとファイルが開けなくなる。

 またMVNO(仮想移動体通信事業者)の日本通信と協業し、持ち出しPCのインターネットアクセス時に、L2Connectを経由しなければ通信が行えないよう制限を掛けるソリューションも開発されている。

 

使えば分かる利便性

 三菱マテリアルがL2Connectを開発した目的は、2年にわたって企業向けVPNソリューションを販売してきた経験(約200社に販売)を活かし、ユーザーからの声を拾い上げ、セキュアで管理性の高いオーバーレイネットワーク構築ツールを、新しい考え方で再構築するためだ。

 そのシンプルな構成と簡単な運用。それに柔軟性と安全性に富んだセキュリティ機能などは、すべてソフトウェアのみで実現されているうえ、既存ネットワーク機器の再設定が不要であるため、小規模な導入試験から徐々にネットワーク構成を変更していくことが可能。システムやアプリケーションの再構築を一気に進める必要はない。

 まずは評価。その利便性の高さは一度評価で試用してみれば、あっという間に理解できるに違いない。

追加機能 
Windowsケータイに広がるオーバレイネットワーク

 発売後半年を経て、リモートアクセスと拠点間接続とを中心に使われてきたL2Connectは新たな展開を示している。

 新しく追加された「L2Connect Mobile」は、その名のとおり、“Winodowsケータイ”と呼ばれるWindows Mobileを搭載したスマートフォン上で動作するが、同種の製品とは異なり、「常時接続」と「PUSH型配信」という独自のメリットを持っている。

 下図を見ていただきたい。さいたま新都心から新橋まで高崎線と山手線を乗り継いで移動しているWindowsケータイに対し、サーバから送信し続けた結果である。パケットロスが発生したのは赤い×をつけた場所で、6回のみであった。ロス率は0.5%を下回っており、L2Connectの提供するオーバレイネットワークを経由して安定した通信が可能であることを示している。これは、サーバからWinodowケータイに対してPUSH型のデータ送信を行うことができ、LAN内と同じようにアプリケーションを開発することが可能となったことを意味する。

さいたま新都心から新橋まで、パケットロスは6回のみだったクリック >> 図版拡大) [地図はCraftMAPより引用]

 パートナー企業からの新しいソリューション提供も続いている。その代表格がセキュアイーサ・マーケティング株式会社から提供される「BizMobile 2.0」である。L2Connectのオーバレイネットワークをさらに進化させる技術で、その上で動作するアプリケーションに対し、「シングルサインオン機能」や「バージョン管理機能」を提供し、特にWebシステムからWindows Mobileへのアプリケーション移植を容易にするミドルウェアである。これにより、さまざまな既存システムを容易にWindowsケータイへ移植することが可能となる。

 また、株式会社ワールドスカイの「用心坊」は、L2Connectを用いて遠隔バックアップを安価に提供するソリューションであり、ネプロジャパングループの「ワンセキュ」は、ファイルの暗号化とウィルス対策を組み合わせたソリューションである。そのほかにも、L2Connectのオーバレイネットワークを活用してユーザに対してマネージドサービスを提供する準備が進められている。

 パッケージ販売から、マネージドサービスあるいはSaaSへとビジネスモデルの変更を考えている場合、自社製品の作り込みを行うよりも、L2Connectと組み合わせる方が効率的であろう。

▲ページ上部へ戻る

提供:三菱マテリアル株式会社
企画:アイティメディア 営業局
制作:@IT編集部
掲載内容有効期限:2007年7月2日
 
 
関連リンク

三菱マテリアル

三菱マテリアル 戦略事業開発室
L2Connect
 
@IT 記事リンク
 

もう接続するまで待たなくていい!? レイヤ2VPN接続アプライアンス(@IT News)

一家に1つのレイヤ2ネットワークの時代はやってくるか(@IT Master of IP Network)
特別企画:レイヤ2トンネリング(@IT Master of IP Network)
 


印刷プリンタ用ページ表示
kee<p>oint保存kee<p>ointで保存

 
@ITトップ@IT Special インデックス会議室利用規約プライバシーポリシーサイトマップ