動的IP環境でVPNを利用可能
最初は,オフィス向けブロードバンド・ルーターの基本機能といってよいVPNを取り上げよう(図2[拡大表示])。VPNを実現する技術として広く使われているのがIPsec(アイピーセック)である。IPsecとは,やりとりするパケットをIPのレベルで暗号化する技術だ。そのため,IP対応のアプリケーションならば,特に手を加えずにインターネット上でのやりとりを暗号化できる。
オフィス向けブロードバンド・ルーターのIPsec機能で特徴的なのは,暗号化したデータをやりとりするために使うトンネルを開設する認証の部分である。認証にメイン・モードだけでなくアグレッシブ・モードを用意することで,通信コストを抑えられるようにしている。
接続サービスのコストを削減
拠点間をIPsec接続する際にこれまでよく使われてきたメイン・モードの認証は,お互いを区別するIDを暗号化してやりとりする。このため,通信の安全性は高まるが,認証の前にお互いのIPアドレスを知っておく必要があり,固定IPアドレスを使っている拠点間でしか利用できなかった。これに対し,アグレッシブ・モードを使った認証では,VPNトンネルの開設を要求する発信側(つまりブロードバンド・ルーターを設置する拠点側)は動的IPアドレスを使っていてもよい。
インターネット接続サービスで固定IPを使うと,動的IPアドレスでの利用に比べて数倍の利用料金がかかる。例えば,NTT PCコミュニケーションズのInfoSphere(インフォスフィア)でBフレッツを使うケースでは,固定IPアドレスでは月額2万4675円なのに対し,動的IPアドレスなら月額1万1130円で済んでしまう(ベーシック・コース)。
支店や営業所といった各拠点が契約するインターネット接続サービスが動的IPアドレスでよければ,運用コストを大幅に節約できる。ブロードバンド・ルーターは会社の各拠点に設置するため,支店や営業所の数が多くなるほど,その効果は大きい。
動的IP同士で接続できる製品も登場
説明したように,アグレッシブ・モードを使うとき,着信側は固定IPアドレスである必要があった。両方の拠点で動的IPアドレスを使っていると,そもそも最初の要求が送れず,VPNを開設できなかったからである。
つまり,動的IPアドレスを使っている拠点の間では直接VPNトンネルを開設することはできない。そのため,動的IPアドレスの拠点間でデータをやりとりする場合は,固定IPアドレスの拠点に設置したルーターを経由するのが一般的だった。ただし,この方法では,VPNの暗号化をいったん解除して再び暗号化するため,中継を担当するルーターに大きな負荷がかかっていた。
だが,最近になって動的IPアドレスの拠点同士でもIPsecが使える製品が出てきた。例えば,富士通のSi-Rシリーズは「ダイナミックVPN」という名称でそのしくみを提供する。
この機能は,まず通信したい相手の拠点に関する情報をSIP(シップ)*でセンター拠点にあるルーターに問い合わせる。問い合わせを受けたルーターは,相手のルーターのIPアドレスや暗号化に使う鍵といった必要な情報を返答する。それを受け取ったルーターが,その情報を使って通常のアグレッシブ・モードの手順で直接相手先となるルーターとIPsecの認証をしてVPNトンネルを開設する。
つまり,センター側で各拠点の情報をまとめて保存し,必要に応じてそこに問い合わせることで,固定IPを使っている場合と同じようにVPNが利用可能になるというわけだ。必要となる情報は,各拠点がセンターとIPsecの認証をする際に自動登録されるので,特に利用者としての作業は必要ない。
| < | 前回へ | 目次 | 次回へ | > |
