前回は、2拠点間VPN接続以外の代表的なVPN構成として、「リモートアクセスVPN」「3拠点間VPN(メッシュ型)」「センター・拠点間VPN(スター型)」の3つを紹介しました。これらのうち、「リモートアクセスVPN」について、VPNルータ「RTX1210」を使う場合の構築方法を説明しました。

今回は、「3拠点間VPN(メッシュ型)」と「センター・拠点間VPN(スター型)」の2つについて、概要と構築方法を説明していきましょう。

3拠点間VPN(メッシュ型)の概要

「3拠点間VPN(メッシュ型)」は、それぞれの拠点でインターネットを使用しながら、拠点間すべてにIPsecトンネルを構築し、拠点同士をセキュアに通信させるという構成です。拠点を網の目のように接続することから、一般的に「メッシュ型」と呼ばれます。

例えば、企業の事業規模が拡大して、新たな支店が作られるといった場合に採用するケースが多いでしょう。

新たな拠点を追加する場合、その拠点から既存のすべての拠点に対して、IPsecトンネルを確立させます。よって、拠点が増加すればするほど、確立すべきIPsecトンネルの数は増加していきます。3拠点間でのIPsecトンネルは3本ですが、4拠点になると6本、5拠点では10本にもなります。

実際の設定作業や、構築後の管理運用を考えると、メッシュ型をスムーズに運用できるのは、3、4拠点ではないでしょうか。

センター・拠点間VPN(スター型)の概要

対する「センター・拠点間VPN(スター型)」は、中心となる拠点(センター)から各拠点に向かって、放射状にIPsecトンネルを確立させる構成です。一般的に「スター型」と呼ばれます。

新しく拠点が増えた場合は、センターと拠点をつなぐIPsecトンネルを1つ確立させればよいので、構築の負担は、メッシュ型よりも少なく済みます。

デメリットは、拠点から拠点に通信したい場合に、経路情報が複雑になることと、トラフィックがセンターに集中することです。したがって、センターに設置するルータは高性能であることが求められます。

メッシュ型でもスター型でも、IPsecトンネルを確立させることに変わりはないので、どちらもセキュアなネットワークを構築できます。

一方、多拠点間VPNを構築する場合は、各拠点で使用するローカルIPアドレスが、VPN網の中で重複できないということに注意が必要です。特に、クライアントが多くなると、IPアドレスが枯渇してしまうおそれもあります。

また、すでにLANが敷設されている拠点同士をVPN接続する場合は、その時点でIPアドレスが重複している可能性もあります。運用中のネットワーク構成の変更は、大きなリスクを伴います。IPアドレスが重複しているようでしたら、NATの導入も検討しましょう。

RTX1210に多拠点VPN接続の設定をする

メッシュ型もスター型も、すでに構築されている「2拠点間VPN接続」に、新たなIPsecトンネルを追加すればよいので、構築はさほど難しくありません。

本連載第3回で、本社と支社1の間に、拠点間VPNの設定を行いました。その結果、正常にVPNが確立できると、「TUNNEL[01]」が表示されることも確認しました。この状態から、新たに支社2とのVPN接続の設定を追加していきます。

まず、3拠点のネットワーク構成を整理しましょう。

本社

  • LAN側のIPアドレス … 192.168.100.0 / 24
  • ネットボランチDNSホスト名 … shiolab.aa0.netvolante.jp

支社1

  • LAN側のIPアドレス … 192.168.200.0 / 24
  • ネットボランチDNSホスト名 … shiolab.aa1.netvolante.jp

支社2

  • LAN側のIPアドレス … 192.168.150.0 / 24
  • ネットボランチDNSホスト名 … shiolab.aa2.netvolante.jp

新たに追加される支社2では、「192.168.150.0 / 24」のIPアドレスでLANを敷設し、インターネットに接続しておきます。また、ネットボランチDNSホスト名も登録しておきましょう。

事前準備ができたら、本社のルータからVPNの設定をします。この手順は、2拠点間接続の設定とほとんど同じです。

(1)Webブラウザを起動し「http://192.168.100.1/」にアクセスします。 (2)ユーザー名とパスワードを入力してログインします。 (3)「かんたん設定」タブから「VPN」-「拠点間接続」ボタンの順でクリックすると、拠点間接続VPNの設定画面が表示されます。 (4)「新規」ボタンをクリックします。 (5)「接続種別の選択」で「IPsec」をチェックして、「次へ」をクリックします。 (6) IPsecに関する設定を行います。先に決定した情報を入力して、「次へ」をクリックします。

  • ネットワーク環境 … 両方ともネットボランチDNS名を持っている
  • 接続先のホスト名 … shiolab.aa2.netvolante.jp
  • 認証鍵 … test
  • 認証アルゴリズム … HMAC-SHA256
  • 暗号アルゴリズム … AES256-CBC (7) 経路に関する設定を行います。接続先(支社2)のLAN側のアドレスである「192.168.150.0」を入力して、「次へ」をクリックします。 (8) 「入力内容の確認」画面が表示されるので、確認したら「設定の確定」ボタンをクリックします。 (9) 接続設定の一覧に、「TUNNEL[02]」として表示されます。

支社2のルータにも、上記と同様の設定をすると、本社と支社2の間にVPN接続が確立されます。

ここまでの設定で、本社と支社1の間、本社と支社2の間にIPsecトンネルが確立しました。つまり、スター型を構築できたことになります。 さらに、支社1と支社2の間でもルータに対して同様に操作を行い、IPsecトンネルを確立させれば、メッシュ型を構築できます。

今回は、多拠点間VPNとして、「3拠点間VPN(メッシュ型)」と「センター・拠点間VPN(スター型)」の概要と構築方法について説明しました。次回は、最終回となります。これまでの内容を振り返ってみましょう。