第1回 インターネットVPN環境を構築するVPN実践導入講座(3/4 ページ)

» 2003年03月06日 00時00分 公開

VPNネットワークの原理

 VPNの機能を簡単に述べると、IPパケットの内容をVPN用のプロトコルでカプセル化して(仮想トンネルを通して)別の拠点まで届け、そこで元のIPパケットのデータを取り出してネットワーク上に再送信するというふうにして動作している。VPNは、IP+TCP/UDP層レベルで実現する技術であり、VPNの仮想トンネルによって通信が行われている部分以外は、通常のTCP/IPネットワークと全く同じように機能する。既存のTCP/IPネットワークにおいて、ルータを介して複数のネットワークを接続するのと同じように、ネットワークをVPN対応ルータに接続するだけである。VPN対応ルータは、仮想的な通信トンネルをインターネット上に構築し、LAN側から送信されたIPパケットを、トンネルを通じて目的のネットワークへ届け、逆方向もまた同じようにトンネルを通ってIPパケットの受信が行われる。社内ネットワークのユーザーは、その通信が仮想トンネルを通って行われるのか、それとも専用線を通じて行われているのかは意識する必要はないし、気付くこともないであろう(速度が少々遅いことを除けば)。

VPNによるLAN間接続
インターネット上にVPN用の仮想トンネルと作ることにより、ローカルのネットワーク上の通信をシームレスに別のネットワークへと届けることができる。インターネットを経由しているかどうかを意識することなく、同じ1つの社内ネットワークとして利用できる。トンネルの内容は暗号化されているし、IP以外のプロトコルもトンネルを通すことができる。またインターネットに対するアクセス(Webアクセスなど)はそのままインターネット側へ送ることにより、各拠点は高速なインターネット・アクセスを実現しつつ、安価なVPNネットワーク環境を構築することができる。

Active DirectoryとVPN

 この記事では、実際にVPN回線を使ったActive Directory環境を構築し、その設定手順について解説する。だが実際のところ、VPNを使うからといってActive Directoryに何か特別な設定方法や運用方法が必要になるわけではない。LAN内でActive Directory環境を構築するのとほぼ同じ手順で運用することができる。VPNは、間にある物理的なネットワークの形態によらず、LAN間の通信を透過的に行うための技術なので、これは当然のことであろう。だがインターネットを経由する分だけ、LAN(イーサネット)と比べると、通信路としての品質が劣るので(遅いだけでなく、通信の障害が発生する確率が高い)、それに対処する必要がある。Active Directoryでは、「サイト」という概念を使って、高速なローカルLAN上での通信と、低速なWAN経由での通信を区別し、低速なネットワーク上ではActive Directoryデータの複製の回数を減らすなどして、トラフィックを削減させるようにしている。

Active Directoryの概略設計

 Active Directoryの構造をどのようにするかは、組織の構成や規模、ネットワークの構成方法などに応じて大きく異なる。

 今回は、VPNを使ったActive Directoryドメインの構築例として、以下のように非常に単純な構成のドメインの例を考えてみることにする。本社と支社にある2つのドメインがVPNを介して相互に接続されているという構成である。ほかの支社も同様に、本社ドメインのサブドメインとして追加することにする。つまり、本社ドメインを中心とする、スター型のVPNネットワークを構築する。

今回構築するActive Directoryの構成
2つのドメインが、VPNを介して接続された構成のActive Directoryネットワークを構築する。全体は1つのフォレストであり、その中にドメイン・ツリーが構築されている。ほかの支社も同様に、本社ドメインの子ドメインとして作成し、同様にVPNを介して本社ドメインに接続するものとする。サイトはそれぞれのドメインごとに1つずつ用意する。

 Active Directoryでは、フォレストやドメイン、OU、サイトなど、さまざまな単位でコンピュータやユーザーなどのオブジェクトをグループ化して配置、管理することができる(Active Directoryの概要については「連載:管理者のためのActive Directory入門」を参照のこと)。だが現実の組織構造などに合わせてドメインやOUを多数作成すると管理が非常に面倒になるので(特に人事異動や組織変更などに伴う修正が大変になる)、なるべくシンプルなドメインやOU構成で運用するのがよい。

 今回は2つの拠点(本社と神戸支社)に対して、それぞれ1つずつドメインを割り当て、さらにサイトも2つに分けて構築することにする。ドメインやOUは論理的な境界を決めるためのものであるが、サイトはネットワークの物理的な境界を定義するためのものである。Active Directoryのドメイン・コントローラ間やログオン時のネットワーク・トラフィックは、同一サイト内と比べると、サイト間では少なくなるようになっている。サイトを適宜配置・分割することにより、ネットワークの論理構造を保ったまま、ネットワークのトラフィックを適切に制御することができる。

 今回構築するActive Directoryの概要を次に簡単にまとめておく。

東京本社側ドメイン
フォレスト 単一フォレスト
ドメイン・ツリー ルート・ドメイン
ドメイン名 sample.co.jp
サイト 本社サイト
サーバ ドメイン・コントローラ、DNS、DHCP
ネットワーク・アドレス 10.100.1.*/24
インターネット接続 100Mbps光ファイバ(固定IP)
神戸支社側ドメイン
フォレスト 単一フォレスト
ドメイン・ツリー ルート・ドメインのサブドメイン
ドメイン名 kobe.sample.co.jp
サイト 神戸支社サイト
サーバ ドメイン・コントローラ、DNS、DHCP
ネットワーク・アドレス 10.101.2.*/24
インターネット接続 8Mbps ADSL回線(固定IP)
サイト間リンク
VPNプロトコル PPTPもしくはL2TP+IPSec
構築するActive Directoryドメインの概要
Active Directtory関連の用語については「連載:管理者のためのActive Directory入門―第3回 Active Directory関連用語集」を参照のこと。

 インターネットへのアクセス回線は、本社側は100MbpsのFTTH(光ファイバ)接続、支社側は8MbpsのADSL回線を想定する。いずれも安価なブロードバンド接続の手段として、現在の主流となっているものである。一般的な個人ユーザー向けのブロードバンド接続サービスを使ってもよいのだが、可能ならば、ビジネス用で、かつ固定IPアドレスが割り当てられるサービスを利用しておきたい。

 ビジネス用が望ましいというのは、一般の個人ユーザー向けサービスよりもネットワークの混雑が少ないというだけでなく、例えば障害発生時の対応などが素早いというメリットがあるからだ。ブロードバンド・インターネット接続を実際に使っているユーザーならば実感していると思うが、常時接続とはいっても、これらのサービスは工事や障害などでネットワークが利用できなくなる率が意外と高い。プロバイダにもよるが、2、3カ月に1回は増強工事や設備変更工事などでネットワークが停止することがあるし、突発的にインターネットが混雑したり障害が発生したりして、利用できなくなることもしばしばである。個人用では、障害が発生してもすぐには直らず、特に夜間などでは次の日にならないと復旧しないこともある。ビジネスで利用する場合は、コストだけではなく、信頼性や安定性なども加味して選んでいただきたい。

 なお、通常のインターネット接続サービスでは、ユーザー側のIPアドレスは動的に決まるものが普通である。だが、企業におけるインターネットVPN接続用ならば、できるだけ固定IPアドレスが割り当てられるサービスを利用するべきだろう。特に本社側(VPN接続を受け付ける側)は固定IPアドレスは必須であろう。さもないと、支社側からVPN接続を確立する場合に、接続先を指定するのが困難になるからだ。動的IP+ダイナミックDNSのような手段でも不可能ではないが、安定したサービスが受けられなくなる可能性を考えると固定にしておくのが望ましい(これらは個人向けのサービスと考えるべき)。ダイナミックDNSのサーバが利用できなくなると、それだけで接続できなくなってしまう。

 支社側のIPアドレスは動的でも構わないが(本社側から着信する必要がない場合)、可能ならばやはり固定IPアドレスが割り当てられるサービスを利用したい。このようなサービスはビジネス向けということで、回線の品質やサービス、障害発生時などの対応がよいというだけでなく、固定IPアドレスを使ってセキュリティ設定を強固にすることができるからだ。常に固定IPアドレスが割り当てられることが分かっているのなら、そこからの通信だけを通すようにIPパケット・フィルタを設定しておくことができる。これにより、VPN用のサービス・ポートに対するインターネットからのDOS攻撃などを防ぐことができる。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。