2. PacketiX VPN の特徴

    PacketiX VPN が持っている特徴や長所などを紹介します。

    PacketiX VPN とは

    PacketiX VPN の基本は、クライアントは LAN カードをエミュレートする仮想 LAN カードを使用し、サーバーは HUB をエミュレートする仮想 HUB を使用します。

    PacketiX VPN は、現実の Ethernet の構成要素である、LAN カード、HUB、LAN ケーブル、IP ルータを、仮想 LAN カード、仮想 HUB、VPN セッション、仮想レイヤ 3 スイッチに対応してエミュレートしています。

    2-1.jpg

     

    VPN を構築すると、LAN の中に外出先からリモートログインできたり、離れている LAN と LAN 同士をキュアに拠点間接続することができ、大変便利です。

    また、VPN としての使い方ではないのですが、全ての通信を SSL で暗号化できるので、外出先の無線 LAN アクセスポイントなのでも、PacketiX VPN を使用することによって、盗聴を防止でき、セキュアに通信を行うことができるようになります。

    このように、VPN とは、専用線を使っていないのに、あたかも専用線を使っているかの様にみせるための技術です。つまり、とても長い LAN ケーブルを接続したような感じとなります。

    従来、VPN を構築するといえば、多くがレイヤ 3 の部分またはそれより上のレイヤでの VPN 構築というものでした。しかし、レイヤ 3 以上で VPN を構築すると、使用できないプロトコルなどが多数存在しました。

    しかし、PacketiX VPN では、レイヤ 2 で VPN を構築するので、プロトコルにとらわれずに通信をすることが可能となっています。

    しかも、従来であれば、ファイアーウォールの設定等を変更する必要がありましたが、PacketiX VPN では、ほとんど場合、ファイアーウォールの設定を変更したりする必要がなく、設定変更による脆弱性の出現を防止することができます。それに、ほとんどの NAT やプロキシを通過する事ができ、た高速に通信を可能としています。

    PacketiX VPN の通信スループットは、Pentium 4 2.8GHz 程度の性能のコンピュータを VPN Server にした場合でも、数百 Mbps のスループットが余裕で発揮することができます。

    PacketiX VPN は、他の VPN 構築ソフトウェアよりも、容易に高速な VPN を構築するこができるように作られた製品となっています。

    2-2.jpg

     

    PacketiX VPN の主な機能

    PacketiX VPN では、セキュリティを高めたり、利便性を高めたりする機能が多くあり、また多くの OS に対応してい ます。

    PacketiX VPN は、3 つのソフトウェアで構成されています。

    • 仮想 HUB を提供し、VPN 接続を受け付ける「PacketiX VPN Server」
    • 拠点間接続用の「PacketiX VPN Bridge」
    • 仮想 LAN カードを提供し、VPN 接続を行う「PacketiX VPN Client」

    基本的には、「PacketiX VPN Server」を 1 台設置し、拠点間接続する拠点には「PacketiX VPN Bridge」を設置し、VPN 接続を個々に行う場合には「PacketiX VPN Client」を使用するという形が一般的です。

    2-3.jpg

     

    GUI

    PacketiX VPN のサーバー (ブリッジも含む) もクライアントも全ての項目について GUI で操作することができ、VPN にそこまで詳しくない人であっても、容易に VPN を構築することができる ようになっています。

    もちろん、CUI での操作も PacketiX VPN のサーバー (ブリッジも含む) もクライアント両方で可能となっています。

    2-4.jpg

    認証

    VPN 接続を行う際に、正規のユーザーではない人が VPN に接続してしまうと、セキュリティ上大変危険なので、通常認証が必要となります。

    PacketiX VPN では様々な認証方法が使用でき、柔軟に VPN を構築することができるようになっています。使用できる認証方法は以下の通りです。
    • 匿名認証
    • パスワード認証 (CHAP)
    • Radius サーバーを使用した認証
    • NT ドメインコントローラまたは Active Directory を使用した認証
    • クライアント証明書認証
    • スマートカードを使用した認証

    IP アクセス制御リスト

    正規のユーザーでない人が VPN へ接続できなくするためには、IP アクセス制御リストによって、認証すらも受けられなくすることもできます。

    つまり、この機能により、VPN に接続できる IP を制限してしまえば、パスワード認証を使用していても、ブルートフォース (総当り攻撃) すらも悪意のあるユーザーはできなくなり、極端に言えば、パスワードがもれてしまっても、認証すら受けることができないので、セキュリティが向上します。

    SSL サーバー証明書の検証

    逆に、クライアント側から見ると、接続先のサーバーが本当に正規に接続したいサーバーなのかどうか、セキュリティ上不安になる場合があります。

    しかし、PacketiX VPN では、事前に管理者がユーザーにサーバー証明書を渡しておけば、ユーザーは VPN サーバーに接続する際、証明書により、正規に接続したいサーバーなのかどうかを正確に判断することが可能となっています。

    接続設定のインポート / エクスポート

    VPN サーバーの管理者にとって、PacketiX VPN Client で VPN 接続を行うのが容易であっても、実際に PacketiX VPN Client を使って VPN 接続するユーザーは必ずしもコンピュータに詳しい人が多いわけではありません。

    そこで、管理者が PacketiX VPN Client で接続設定を行い、その接続設定をエクスポートし、ユーザーに渡せば、ユーザーは数クリックで設定を PacketiX VPN Client にインポートする事ができ、すぐに VPN 接続を使用することが可能となります。

    スタートアップ登録

    接続設定をスタートアップ接続設定しておくと、コンピュータを起動した瞬間自動的に VPN 接続を行おうとするため、ユーザーは特に VPN に接続するという意識を持たなくても、シームレスに会社にあるファイルにアクセスしたりすることが出来 るようにするこが可能です。

    また、コンピュータが盗まれた場合でも、コンピュータがインターネットに接続できる状況であれば、自動的に VPN 接続を行うので、IP アドレスの逆探知的な事も可能となります。

    複数仮想 HUB

    PacketiX VPN では一つのプロセス内に複数の仮想 HUB を作成することができ、1 台のコンピュータで目的に応じた VPN を切り分けたりすることができます。

    例えば、社内で、部署ごとに VPN を切り分けたければ、部署ごとに仮想 HUB を作れば、他の部署には見られたくないファイルがあったりする場合などに便利です。

    ローカルブリッジ

    PacketiX VPN を使用し VPN を構築する場合、基本的にクライアントとなるコンピュータには、仮想 LAN カードを作成する必要があります。

    しかし、拠点間接続、つまり、LAN と LAN 同士を接続する形態で VPN を構築する場合、LAN 内にあるすべてのコンピュータに仮想 LAN カードをインストールするのは、大変手間がかかります。

    そこで、物理 LAN カードと仮想 LAN カードをローカルブリッジすると、LAN 内にあるすべてのコンピュータに仮想 LAN カードをインストールしなくても、VPN 通信を行えるようにすることが可能です。

    2-5.jpg

    クラスタリング

    PacketiX VPN では、複数のコンピュータにより、クラスタリングを構成することができます。これにより、大量の VPN 接続を受け付けることができたり、耐障害性を強くするとが可能となっています。

    カスケード

    PacketiX VPN では、仮想 HUB 同士をカスケード接続することができます。カスケード接続は拠点間接続によく使用する機能です。つまり、離れたところにある (もちろん同一のコンピュータ内でも)、仮想 HUB 同士を互いに接続することができます。

    2-6.jpg

    仮想レイヤ 3 スイッチ

    多くのコンピュータを VPN に接続すると、多くのブロードキャストが飛び交い、ネットワークのパフォーマンスが低下してしまう場合があります。その場合、仮想レイヤ 3 スイッチを使用することにより、ブロードキャストドメインが分割され、ブロードキャストがすべての VPN 接続しているコンピュータに飛ばなくなり、パフォーマンスを維持することが可能とな ります。

    また、拠点間接続をする際、すでに LAN を構成してある場合が多く、両拠点間で IP アドレス帯が違った場合も、仮想レイヤ 3 スイッチを使用することにより、IP アドレス帯を変更することなく、拠点間接続も可能とな ります。

    2-7.jpg

    セキュリティポリシー

    企業等で多くのユーザーがいる場合、ユーザーごとに様々な制限等をかけたい場合があります。その場合には、セキュリティポリシーを適用することによって様々な制限を設ける事が可能です。

    PacketiX VPN でかけられるセキュリティポリシーは以下の事が設定できるようになっています。

    • アクセスを許可
    • DHCP パケットをフィルタリング
    • DHCP サーバーの動作を禁止
    • ブリッジを禁止
    • ルータ動作を禁止
    • MAC アドレスの重複を禁止
    • IP アドレスの重複を禁止
    • ARP・DHCP 以外のブロードキャストを禁止
    • プライバシーフィルタモード
    • TCP/IP サーバーとしての動作を禁止
    • ブロードキャスト数を制限しない
    • モニタリングポートを許可
    • TCP 接続数の最大値
    • タイムアウト時間
    • MAC アドレスの上限数
    • IP アドレスの上限数
    • アップロード帯域幅
    • ダウンロード帯域幅
    • ユーザーはパスワードを変更できない

    アクセスリスト

    また、仮想 HUB 内を流れるパケットに対して,パケットフィルタリングを行うことが可能です。

    パケットフィルタリングは、

    • すべての IP プロトコル
    • TCP/IP プロトコル
    • UDP/IP プロトコル
    • ICMP プロトコル

    に適用でき、指定した IP やポートに対して通過や破棄することが可能です。

    グループ

    PacketiX VPN では、ユーザーをグループに所属させることができます。

    これにより、グループ事にセキュリティポリシーを設定する事ができ、部署ごとにポリシーを変えたりする事が容易に可能となっています。

    ログ

    仮想 HUB 内を流れるパケット全てに対して、また、サーバーの操作に対してログに記録することができ、パケットログであれば、TCP コネクション、TPC パケット、DHCP パケット、ICMP パケット、IP パケット、ARP パケット、Ethernet パケット、をそれぞれのパケットログに対して、保存無し、ヘッダ情報のみ、パケット内容すべて、のいずれかで記録することが可能となってい ます。

    SecureNAT

    SecureNAT は、PacketiX VPN Server 内で動作している仮想 HUB 内で動作する仮想的なホストを起動し、簡易 DHCP サーバー機能および NAT ルーティング機能を提供します。

    SecureNAT 機能を適切に使用すると、VPN を経由した安全なリモートアクセスが実現できます。

    また、本格的な DHCP サーバーを用意できなくとも、IP と DNS とデフォルトゲートウェイを配布するだけであれば、SecureNAT の簡易 DHCP を使用すれば実現することが可能です。

    ただし、SecureNAT は誤った方法で使用すると、ネットワーク全体を危険な状態にする可能性があるので注意が必要となります。

    2-8.jpg

    複数 TCP/IP コネクションによる高速化

    PacketiX VPN では、高速なスループットを実現するために、様々な工夫が行われています。

    複数 TCP/IP コネクションによる高速化もその 工夫の一つで、VPN サーバー (仮想 HUB) と VPN クライアント (仮想 LAN カード) との間で最大 32 本のコネクションを確立し、それらを独自のアルゴリズムと組み合わせることによって、TCP/IP を使用した場合に発生しやすいスループットの低下をおこしやすいネットワークにおいても、安定して通信することが可能としています。(つまり、1 VPN セッションに複数の TCP/IP セッションを使用している)

    また、この TCP/IP コネクションの数は、ユーザーが 1 ~ 32 本の間で任意に決める事ができ、環境に合わせて本数を変えてやることにより、安定したスループットが得られるようになっています。

    2-9.jpg

     

    以上の様に、PacketiX VPN には様々な機能があり、その機能を組み合わせたりすることにより、柔軟でセキュアな VPN が構築することができるようになっています。

    より詳細な特徴

    次に、PacketiX VPN の中でも重要となってくる機能などについて詳しく解説します。

    認証方法使い分け

    VPN 接続を行う際、セキュリティの面からしてもっとも重要で必須であるのがユーザ認証です。

    PacketiX VPN の認証方法にはサーバーから見ると、以下の 6 つが使用可能となっています。

    • 匿名認証
    • パスワード認証
    • 固有証明書認証
    • 署名済み証明書認証
    • Radius 認証
    • NT ドメイン認証 (Active Directory)

    また、証明書を使用する場合に、スマートカードに証明書を保存して証明書認証を行うことも可能となっています。スマートカードとは、身近な所でいえば、住民基本台帳カードと同種のものであり、PacketiX VPN では、住民基本台帳カードの使用も可能です。

    このサーバーから見るとというのは、クライアント側としたら認証方法は 5 つであり、匿名認証、パスワード認証、クライアント証明書認証、Radius または NT ドメイン認証、スマートカード認証のいずれかにしか見えず、サーバー側で設定をする場合に 6 種類の個別の設定が必要となるということです。

    つまり、クライアント側から見て、固有証明書認証と署名済み証明書認証は、クライアント証明書かスマートカード認証のいずれかに該当し、サーバー側からみると、証明書を使うのに、スマートカードを使っているのか、コンピュータ内にある証明書を使っているのかは関係なく、固有証明書なのか、署名済み証明書なのかだけが関係するということとなります。

    匿名認証

    匿名認証とは、パスワードを必要とせず、VPN 接続を行うことができる認証であり、通常の企業等で使用する事はありません。

    パスワード認証

    パスワード認証は、一般的に多く使用される方法で、ID とパスワードによる認証となります。PacketiX VPN では、管理者がユーザー作成時に決定したパスワードを、ユーザーが PacketiX VPN Clinet を通じて変更することができます。

    つまり、初期パスワードを配布し、その後ユーザーが自分の好きなパスワードに変更するこということが可能となっています。ただし、変更させる場合にはある程度規則をもけるべきで (何文字以上など)、ユーザーが好き勝手に短いパスワードなどを設定してしまうと、そこから悪意のある第 3 者がブルートフォースアタックで用意にパスワードが破ってしまう恐れ が出てきてしまいます。もちろん、後で解説するセキュリティーポリシーという機能を使用すれば、ユーザーが勝手にパスワードを変更できなくすることも可能 となっています。

    2-10.jpg

    証明書認証

    パスワード認証を使用していると、パスワードが短かかったり、パスワードを紙にメモしてどこかに張ってしまうユーザーもいるかもしれません。このような事が心配であれば、証明書認証を使用することをおすすめします。 証明書を使用すれば、パスワードよりも認証強度が強く、証明書の内容をメモに書き写すという事もありません。

    ただし、例えば、ノートパソコンに証明書と秘密鍵を保存して、VPN 認証に使用しており、コンピュータ自体のパスワードがかかっていなかった場合、ノートパソコンが盗難にあった際に用意に VPN に不正に侵入されてしまう恐れはあります。

    これを防ぐには、秘密鍵を読み込む際にパスフレーズ (パスワード) を求めるようにしたり、証明書と秘密鍵をスマートカードに入れて、コンピュータと分離したりすることにより防ぐことが可能 です。もちろん、コンピュータ自体にパスワードをかけたり 、ハードディスクを暗号化するのは当然です。

    証明書の認証には 2 種類の方法があり、固有証明書認証と、署名済み証明書認証の方法があります。

    2-11.jpg

    固有証明書認証

    固有証明書認証とは、ユーザー事に証明書を設定する方法で、ユーザー事に使用する証明書を読み込み設定する方法です。ただし、この固有証明書は人数が少ない場合はいいのですが、ユーザーの人数が多くなった場合、人数分だけの証明書を読み込む必要があります。

    このような場合は、署名済み証明書認証を使用すると便利です。

    署名済み証明書認証

    署名済み証明書認証は、ある証明書機関 (ベリサインや会社の証明書局) の発行した証明書を、信頼する証明書機関の証明書と設定しておけば、管理者はユーザーにその証明書機関で署名された証明書をわたしお けばよく、ユーザーを作る毎に証明書の読み込み設定が不要となります。

    ただし、そうなるとその信頼する証明書機関で署名された証明書をもっていれば、誰でも認証がっ通ってしまうので、範囲が大きくなりすぎてしまう場合があ ります。その場合は、ユーザー作成時に、証明書の Common Name またはシリアル番号により、そのユーザー認証時に設定した証明書の Common Name またはシリアル番号とユーザーが提示してきた証明書の Common Name またはシリアル番号が一致しないと認証が通らない様にすることができます。

    このように、証明書を使用すると、かなりセキュアの認証を行う事が可能です。

    ただし、ユーザーに証明書と秘密鍵を渡す場合は、安全な方法で渡す必要があります。ここで、危険な渡し方をしてしまうと、何の意味もなくなってしまいます。

    具体的には、フロッピーや USB メモリ にいれて直接渡したり、社内 LAN 内の電子メール、または、スマートカードを使用するのであれば、スマートカードに管理者が書き込み渡すのが良いと思われます。つまり、インターネット越しでのメール等での渡し方は厳禁です。

    Radius 認証または NT ドメイン認証

    Radius 認証または NT ドメイン認証は、企業等ですでにユーザーの認証に Radius または NT ドメイン (Active Directory) を使用している場合に、それをそのまま使用することが可能となります。(もちろん、新しく設定しても良い)

    すでに、上記の方法でなんらかのユーザー認証をおこなっているのであれば、PacketiX VPN に大量の新たなユーザーを作成する手間が必要なくなります。

    個々のユーザーで限定して、Radius または NT ドメイン (Active Directory) を使用して認証する場合は、個々にユーザーを作成する必要がありますが、Radius または NT ドメイン (Active Directory) に登録されているすべてのユーザーを VPN に参加させるのであれば、ユーザー名 * (アスタリスク 1 文字) というユーザーを作成するだけで、Radius または NT ドメイン (Active Directory) に登録されているユーザーが VPN を使用することが可能となります。

    2-12.jpg

    2-13.jpg

     

    このように、多種類の認証方法が用意されていることによって、セキュアに、または、スピーディーに VPN を既存の環境に導入することが可能となってい ます。

    認証さえ受けさせない

    PacketiX VPN の IP アクセス制御リスト機能を上手く設定すると、悪意のあるユーザーは認証さえ受けることができなくなります。
     つまり、パスワード認証を使用している時に、悪意のある物がブルートフォース等でパスワードを破ろうとしても、認証の段階にもすすめないので、より強固な VPN ネットワークを作り上げる事が可能となります。

    例えば、VPN を接続する場所が決まっていれば、この IP アクセス制御がかなり威力を発揮します。

    接続する場所がきまっていれば、まず、すべての IP から (0.0.0.0/0.0.0.0) の接続を拒否するルールを優先度を低く設定し、その決まっている IP からの接続を優先度を高くし、許可するルールを設定すれば、認証自体がその許可した IP アドレスからしかおこなわれなくなります。

    また、ログをみていて、同じ IP から何度も認証に失敗しているの発見したら、攻撃である可能せいが高いのでその IP アドレスを IP アクセス制御リストのルールで拒否を設定すれば、攻撃され、パスワードが破られてしまったりする可能性が低くなります。

    2-14.jpg

    接続先の信頼性

    これまでは、サーバーが接続要求を出してきたユーザーが正規のユーザーかどうかという事を確かめる ユーザー認証について解説しました。

    しかし、昨今、サーバーがユーザーを認証すれば良いというのは悪意のある者の攻撃にあう可能性があります。このような攻撃の事とを「中間攻撃」や「Person in the Middle Attack」と言います。

    つまり、ユーザーがサーバーを認証する必要があるのです。

    ユーザー認証は、サーバーがユーザーが正規のユーザーがどうかを見定めるのに対して、サーバー認証は、ユーザーが接続先のサーバーが正規のサーバーかどうかを見定める認証です。このサーバー認証を行わなかった場合、悪意のある者が回線の途中に特殊なソフトウェアを仕掛けることによって、あたかも本物のサーバーに接続しているようにみせかけられてしまったりしまうことがあります。

    こうなると、通信の内容が盗聴されてしまったり、内容を書き換えられたりしてしまいます。これを防ぐために、サーバー認証を行う必要があるのです。PacketiX VPN では、サーバー認証に証明書を使用します。 つまり、ユーザー認証で解説した、固有証明書認証や、署名済み証明書認証を逆に行う形となります。これによって、双方で確認しあうので、確実にセキュアな通信が可能となります。

    2-15.jpg

    ユーザーへの規制

    VPN を運用して行く上で、ユーザーに行って欲しくない事がでてくることが多くあります。

    例えば、VPN に接続してきたコンピュータに仮想 LAN 内用の IP アドレス等を DHCP で配布していた場合に、ある VPN に接続しているユーザーが DHCP サーバーを立ててしまうと、新たに接続してきたユーザーがどちらの DHCP の設定を取得すれば良いのかわからず、ネットワークが混乱してしまう事があります。

    または、あるポートに対しての通信を行って欲しくない時もあります。

    このような事に対応するために、PacketiX VPN 2.0 では、セキュリティーポリシーとアクセスリスト (パケットフィルタリング) が用意されています。

    セキュリティーポリシー

    セキュリティーポリシーは、ユーザーやグループごとに 20 の項目についてユーザーに規制をかけることができる機能です。例えば先ほど述べた、DHCP サーバーの動作を禁止することができ ます。(正確には、DHCP の設定配布のパケットを遮断する)

    他にも、TCP/IP サーバーとしての動作を禁止したり、ルーターとしての動作を禁止、または、アップロード・ダウンロード帯域幅を制限することも、VPN セッション同士の通信を禁止したり、仮想 HUB 内を流れるパケットすべてキャプチャさせる事も可能です。ユーザー認証の時に説明した、パスワード変更をできなくするのも、このセキュリティーポリシーで設定することが可能です。

    アクセスリスト

    アクセスリストとは一般的に「パケットフィルタリングルール」と呼ばれており、ネットワーク機器を通過する IP パケットを指定されたルールによって通過させたり破棄させたりする機能です。

    アクセスリストを使用することにより、仮想 HUB 内に流れる IP パケットに対して、特定のポートに対する通信や、特定またはすべての IP アドレスに対する、送信元からのパケットを破棄または通過させることができます。

    また、設定したルールを特定のユーザーから発しられたパケットまたは、受信するパケットに対して、適用ということも可能となっています。

    すべてのルールには優先度をつけることができ 、優先度を一番低く設定し、ルールとしてすべてのパケットを破棄するように設定し、優先度を高くして、あるポートだけに対しての通信だけを許可するというような事が可能となります。

    もちろん、ある特定の IP アドレスに送信するパケットだけを破棄等という運用も考えられます。

    拠点 to 拠点

    VPN を使用する場合、外から LAN 内にリモートアクセスするだけでなく、拠点間接続を行う事も可能です。 拠点間接続とは、ある離れた LAN 同士をあたかも一つの LAN にしたかのようにすることです。

    拠点間接続を行うには、ローカルブリッジとカスケード接続を使用して行うのが基本となります。

    ローカルブリッジを行うと、VPN サーバーがある LAN 内すべてのコンピュータが VPN に何もせずに参加できた事にとなり、これを、拠点間接続を行う両拠点で行い、カスケード接続を行えば、拠点 A のコンピュータから拠点 B のコンピュータにあたかも同一の LAN 内にいるかのように通信することが可能となります。

    カスケード接続とは、仮想 HUB 同士をつなげる事であ り、今回であれば、両端でローカルブリッジを行っているので、ローカルブリッジを行っている HUB どうしで接続し合えば、両端のすべてのコンピュータが同じ VPN に参加したことになります。

    カスケード接続にも、認証が必要となります。

    カスケード接続の認証の設定や認証方法は、PacketiX VPN Client とほぼ一緒であり、一度、PacketiX VPN Client を使ったことがあれば容易に設定できる内容となっています。

    カスケード接続される側は、普通のユーザーを作成するようにユーザーを作成します。

    仮想レイヤ 3 スイッチ

    仮想レイヤ 3 スイッチを使用するとより柔軟な拠点間接続が可能になります。

    仮想レイヤ 3 スイッチとは、VPN サーバー内の仮想 HUB 間で IP ルーティングを行う機能です。

    仮想レイヤ 3 スイッチは、複数の仮想 HUB をカスケード接続しており大量の VPN セッションが張られてしまった場合、多くのブロードキャストが飛び交い、そのブロードキャストで帯域を圧迫してしまう場合が あります。そこで、仮想レイヤ 3 スイッチを仮想 HUB 間にはさんでやることにより、ブロードキャストドメイン分け ることができ、ブロードキャストがすべての仮想 HUB に行きかうことがなくなり、快適な VPN の運用を行うことができます。

    この仮想レイヤ 3 スイッチをどのように、拠点間接続に応用していきるのかというと、例えば、拠点事にネットワークアドレスが異なった場合、拠点間接続を行っても上手く通信ができません。

    そこで、仮想レイヤ 3 スイッチを入れてやれば、各拠点の IP アドレス帯を変更することなく、拠点間接続が可能となります。

    SecureNAT

    SecureNAT という機能は大きく分けて 2 つの機能を持っています。「仮想 NAT」と「仮想 DHCP」です。

    SecureNAT を使用すると、PacketiX VPN Server 内で動作している仮想 HUB 内で動作する仮想的なホストが起動し、仮想 DHCP サーバ機能および NAT ルーティング機能を提供します。

    仮想 NAT は管理者が適切に設定を行うと安全にリモートアクセスが実現できますが、誤った設定をおこなってしまうと、そこがセキュリティホールになってしまう可能性があります。

    仮想 DHCP は、簡易の DHCP サーバーとなり、VPN 内のホストに IP や DNS 等の簡単な配布をすることができます。

    しかし、Windows Server 等の高機能な DHCP を用意できるのであれば、そちらの方がさまざまな設定ができるのそちらを使用するが良い方法ではあります。

    大規模運用

    PacketiX VPN Server は理論的には、1 つのプロセスで最大同時に 4096 の VPN 接続を受け付けられるように設計されています。
    しかし、実際には、1 台のマシーンで 4096 セッションの VPN を処理を行うことはできず、マシーンのスペックや必要とする帯域幅にもよりますが、200 セッションぐらいが限界だと思われます。

    しかし、大企業となると、200 人以上の人が同時に VPN に接続する必要性がある場合も多くあります。

    また、ASP サービスを行うのにも、200 では少なすぎます。

    このような場合、PacketiX VPN で、クラスタリングを行うことによって対応することができるようになっています。

    クラスタリングとは、複数台のマシーンに VPN 処理を分散させ、より多くの VPN の 処理を行ったり、障害に強くしたりすることです。 クラスタリングは、コントローラとメンバーと呼ばれる物で構成されており、コントローラは、ユーザーからの最初の接続を受付、どのメンバーにリダイレクションするかを決定し、リダイレクションを行います。

    メンバーはリダイレクションされてきた VPN セッションの処理を担当します。

    コントローラがどのメンバーに VPN セッションをリダイレクションさせるかは、各メンバーから来る、メンバーの付加情報を数値化し、その数値化したポイントにより、一番負荷の軽いメンバーへとリダイレクションを行うようになっています。

    仮に、メンバーの 1 台が何かの原因で故障し、通信ができなくなった場合でも、VPN セッションはいったん切れてしまいますが、すぐに別のメンバーへと 自動的につなぎかえられます。

    クラスタリングを使用するにあたって、もう一つ重要な概念があります。 それは、「スタティック仮想 HUB」と「ダイナミック仮想 HUB」です。 どちらも仮想 HUB には違いはないの ですが、おのおの性質が若干ことなります。「スタティック仮想 HUB」は、コントローラで定義されるとすべてのメンバーにその仮想 HUB が作成されます。

    一方、「ダイナミック仮想 HUB」は、定義された時点では、どのメンバーにもコントローラにも仮想 HUB の実態はなく、誰かが VPN 接続を行ってきた瞬間に一番負荷の低いメンバーに仮想 HUB の実態が作られ、それ以降の VPN 接続はそのメンバーへとリダイレクションが行われます。その後、1 本も VPN コネクションがなくなると仮想 HUB の実態がそのメンバーから消えるとう仕組みになっています。

    「スタティック仮想 HUB」は、同時に数千 ~ 数万単位の大量のユーザーが同時に接続する可能性があるリモートアクセス VPN 用に利用等をします。

    「ダイナミック仮想 HUB」は、社内において部課ごとに仮想 HUB を定義しておき,各社員が自分が所属している部課の仮想 HUB に接続して作業を行うといったことに利用したりするのに使用します。

    基本的にクラスタリングを必要とするのは、大規模な VPN や、フォールトトレランス (耐障害性) を確保するために使用します。

     

    2-17.jpg

    2-18.jpg

    柔軟でセキュア

    PacketiX VPN は様々な面からみて、かなりのスケーラビリティを持っています。

    しかも、ここではすべての機能を解説できたわけではありませんが、ここで解説してきた主要な機能を組み合わせるだけで簡単にセキュアに VPN を構築できるようになってい ます。

    つまり、まだ紹介できていない機能があるという事はさらなる、セキュアで便利で柔軟な VPN が構築することが可能ということになります。

    ここでは、ライセンス体系についての説明はできませんでしたが、ライセンス面からみても、機能面から見ても、PacketiX VPN は、小さな VPN から大きな VPN まで幅広く対応できる VPN ソフトウェアとなっています。