SEILでのVPN構築

SEILはVPN (仮想プライベートネットワーク)を構築する手段として、IPsecをサポートしています。 ここでは、SEILで構築が可能なVPNについて解説します。

IP-IPトンネルインタフェース(IP over IP)

IP-IPトンネルインタフェース機能を使用し、拠点間でIP over IP(RFC2003)によるトンネリングが可能です。 非常に簡単な設定で任意の2点間結び、静的・動的なルーティングが可能です。トンネルインタフェースでは暗号化処理を行わないためSEILの転送能力をほとんど損ないませんが、通信内容は保護されません。VPNとして保護された通信を行うためには、IPsecを併用してIP-IPトンネルインタフェースでの通信を暗号化するよう設定します。 広域LANやフレッツ・グループアクセスのような閉域網中の任意の2点間を、隣接するネットワークセグメントのように見せたり、IPv4 over IPv6トンネル等として、IPv4(またはIPv6)ネットワーク上でルーティングされないプロトコルをトンネリングする場合等にも有効です。

ポリシーベースIPsec(トンネルモードIPsec/トランスポートモードIPsec)

一般的なIPsec対応機器で用いられる、トンネルモードまたはトランスポートモードのIPsecを使用して拠点間で暗号化トンネルを構成し、通信内容を盗聴などから保護します。ネットワーク対ネットワーク間またはネットワーク対ホスト間のVPNにはトンネルモードを使用し、ホスト対ホスト間のVPNにはトランスポートモードを使用します。暗号化対象とする通信は、送信元や宛先のアドレスやポート番号などに基づくセキュリティポリシーの設定により判別して暗号化トンネルへ通されます。 ブロードキャストやマルチキャストのパケットはセキュリティポリシーにマッチさせることができないため、拠点間でRIPやOSPFによるルーティングが必要な構成には向きませんが、ルーティング設定では扱えない、送信元情報による経路制御が可能です。(ルーティング設定では宛先情報により経路制御を行います)

ルーティングベースIPsec(IPsecインタフェース)

ルーティングベースIPsecではIPsecインタフェースを使用して2点間を結びます。 IPsecインタフェースはIP-IPトンネルインタフェースと同様に扱うことができ、通過する通信は暗号化により保護されます。ルーティングベースIPsecで構築されたIPsecトンネルでは、暗号化対象とする通信を、ルーティング設定により制御することができ、RIPやOSPFによる動的経路制御も可能です。

IP-IPトンネルインタフェース+トランスポートモードIPsec

IP-IPトンネルインタフェースによるトンネリングでは、ホスト間の通信はトンネルの始点－終点間でカプセル化され(暗号化はされず)、トンネル始点－終点間の通信としてパブリックネットワークを中継されます。このトンネル始点－終点間の通信にポリシーベースIPsec(トランスポートモード)を適用することにより、通常は保護されないIP-IPトンネルインタフェースでの通信をIPsecにより保護することができます。