| エンタープライズ:ニュース | 2003/10/30 23:30:00 更新 |
シスコが語る、これからのリモートアクセスVPNの姿とは
「NETWORKERS 2003」の2日目となる10月30日、これまでとこれからのリモートアクセスVPNの姿について紹介するセッションが開催された。
シスコシステムズが開催しているプライベート技術カンファレンス「NETWORKERS 2003」の2日目となる10月30日、これまでのリモートアクセスVPNの問題点を技術的な面から再確認し、現在のCisco VPNソリューションおよび今後の拡張機能/ソリューション展開について、サービスプロバイダの視点から紹介するセッションが行われた。スピーカーは、シスコシステムズ マーケティング アドバンストテクノロジー本部 ネットワークソリューション部 マーケティングプログラムマネージャ横田 直人氏だ。
あらためて説明するまでもないだろうが、VPNはトンネリング、暗号化、認証など複数のテクノロジを組み合わせたものである。この技術を使って、リモートから共有ネットワーク経由でプライベートネットワークと同じポリシーやパフォーマンスでネットワークコネクションを確立するのがリモートアクセス(RA)IPSec VPNである。
この技術以前は、アクセスポイントにダイヤルアップで接続してVPNを確立、という手段をとっていたが、RA IPSec VPNの登場で、ネットワーク環境さえあればどこからでもリモートアクセスVPNを構築可能になったことを考えると、大きく進化/拡張したと同氏は話す。
そして現在、RAソリューションで求められるKeyデザイン機能としては、回復力、拡張性、認証サポート、管理、クライアントOSサポート、統合ソリューションが挙げられるという。
Ciscoでは「Cisco Easy VPN」というソリューションを提供することで、顧客のVPN展開を容易なものにしようとしているが、既存のデザインシナリオは次のような種類に大別できるという。
- VPNクライアント with VPNアプライアンス
- VPNクライアント with ファイアウォール
- VPNクライアント with Cisco IOS VPNルータ
それぞれの違いは主にVPNトンネルの終端となる部分がどのような構成をとっているかである。ここで同社の製品ラインアップとマッピングして考えるなら、それぞれCisco 3000シリーズ、PIXファイアウォール、Cisco IOSがその場所に位置することになる。
それぞれ優位点、留意点は存在するとしながらも、Cisco社が開発したトンネリング・プロトコルである「GRE」をIPSecの中に通して利用することで、ルーティング情報やマルチキャストを通すことが可能となり、将来的なサービスも柔軟に対応できるとしている。
これからのRA VPNはどうなるか?
同氏は今後のRA VPNがどのようになるかについては、そのキーワードとして「VPNSM」、「VRF Aware IPSec」を主に取り上げた。
VPNSMの「SM」というのは、「Service Module」の略。同社のCatalyst 6500用のVPNSMが日本でもこの12月から販売予定で、これを使用することでより広帯域に対応したVPN終端装置として動作可能となる。
「既存のCisco 3000シリーズの上位機種に相当するものとなるだろう」(横田氏)
VPNSM1枚で、最大1.9GbpsものVPNスループット、8000もの同時IPSecトンネルにも対応可能だとしている。しかも、Catalyst 6500には同モジュールを最大10枚搭載可能だとしており、その場合は14Gbpsものスループットを実現するという。
同氏によると、最近は金融系などで社内ネットワークも暗号化を行いたいというケースが増えてきており、広帯域に対応したVPN終端装置はこうしたニーズを満たすとしている。
VRF Aware IPSecは、すべてのVPN接続を1つのインタフェース/パブリックIPアドレスで対応可能にするもの。ルータ部分でクライアントのID(ID_KEY_ID)をプロファイルリストで確認し、VRF(Virtual Routing and Forwarding)にマッピングする。そして各VRFは、MPLSにラップされたパケットをMPLS VPNにフォワードする。
VRF Aware IPSecを使用することで、各事業所、各拠点といった個別のポリシーを設定に組み込むことができ、サービスプロバイダにとってはメリットが大きいという。
同氏は最後に、これからのVPNソリューションは、IPSec SessionとMPLS VPN間の処理がCisco IOSのような多機能な機器1台にによって行われる、いわゆる「One Box ソリューション」になるとしてセッションを終えた。
関連リンク
NETWORKERS 2003シスコシステムズNETWORKERS 2003レポート[西尾泰三,ITmedia]
