− 第2回 −

リモートネットワーキング
分散拠点からのセキュアで高効率なリモートネットワークを構築

SSL-VPN なら、Webブラウザだけで詳細なアクセス制御が可能

　リモートアクセス時のセキュリティ確保の手段として注目されているのがSSL-VPNです。SSLは認証と暗号化機能を備え、Webブラウザ（クライアント）とWebサーバ間でデータをセキュアにやり取りするためのプロトコルとして、リモートアクセス時のID、パスワードの送信などでもおなじみです。HTTPのほか、メールブラウザで使用されるSMTPやファイルを転送するFTPなどTCPアプリケーションに適用できることから、最近は社内システムへのリモートアクセスにSSL-VPNを導入する企業も増えています。

　SSL-VPNが注目される理由は、Webブラウザを搭載したPCや携帯端末であれば、特別なクライアントソフトを用意することなく手軽にVPN通信が行えるからです。IT管理者にも利点があります。IPsec-VPNのように多数のユーザーにVPNクライアントソフトを配布したり、インストールするといった運用管理の手間が省けるのです。SSL-VPNはHTTPアプリケーションのほか、アクセス時にアプレットをダウンロードしてHTTP以外のクライアント/サーバ型のアプリケーションを利用することも可能です。

　また、一般にSSL-VPN製品はリモートアクセス時のユーザー認証や、ユーザーやグループ、アプリケーションごとのアクセス制御の機能も充実しています。取引先には公開サーバのみ、社員にはアクセス権に応じて社内システムの利用を許可するといった柔軟なコントロールが可能なのです。また、通信の終了時にPCのキャッシュを削除する機能を備えるタイプも多く、不特定多数が利用する公衆無線LANサービスなどからも安全にアクセスすることができます。

　IPsec-VPN、SSL-VPNともに利用するユーザー数や同時セッション数などに応じてさまざまな製品が提供されているほか、SSL-VPNサービスを提供する通信事業者も多く、自社に適したVPNを構築することが可能です。

　このほか、VPN構築の手段として注目される新技術にSoftEtherがあり、筑波大学の学生が2003年12月に無償のベータ版を公開したことで一躍有名になりました。SoftEtherは仮想HUBと仮想LANカードを用いてレイヤ2レベルでのVPN通信が行える技術で、PCにインストールされた仮想LANカードがIPパケットをカプセル化して仮想HUBに転送し、MACアドレスに従って転送先の仮想LANカードにIPパケットを送り出す仕組みです。SoftEtherはIPプロトコルやTCPプロトコルよりも下位のレイヤ2レベルでVPN通信を行うことで、イーサネットに対応する通信プロトコルはすべて利用できます。自宅のPCから社内システムにアクセスしたり、Windows XP/Windows Server 2003のブリッジ機能や、仮想HUBと物理的なLANを接続するローカルブリッジ機能を利用して本社とリモート拠点のLAN間接続が行えるなど、さまざまな用途に利用することができるのです。

トラフィックを適切に振り分ける負荷分散や帯域制御を活用

　リモート拠点や顧客、取引先などからの膨大なサーバアクセスを処理し、Webシステムの安定稼働をサポートするのが負荷分散装置です。同一サービスを提供するサーバに対して、入ってきたパケットのIPアドレスやMACアドレスを付け替えて複数サーバに割り振ることでサーバへの過負荷を回避したり、障害のあるサーバを検知して正常に稼働しているサーバへトラフィックを分配します。

　トラフィックの割り振り方法は、クライアントからのアクセスを順番に各サーバに分配するラウンドロビン、接続数が少ないサーバに分配するリーストコネクション、あらかじめ設定した接続数や重み付けに応じて分配するウェイトなどが知られています。

　また、クライアントとサーバ間で同一セッションを維持できるよう、IP情報やCookie、URLなどによるセッション維持機能を備えるタイプが一般的です。ヘッダーのIPアドレス情報によるセッション維持のほか、Cookie情報を元にセッションを維持し、プロキシサーバー経由でのクライアントに対してもセッション維持が可能です。

　負荷分散装置はサーバのほか、ファイアウォールの負荷分散やSSLアクセラレーションも行えます。また、ファイアウォールのフィルタリング処理を代行することで、ネットワークのパフォーマンスを高めることもできます。例えば複数のファイアウォールを設置する大規模なWebサイトの場合、ファイアウォールを挟んでインターネット側とサーバ側にそれぞれ負荷分散装置を設置することで、パケットは上り下りとも同一セッションを維持しつつファイアウォールの負荷分散が行えます。Webサーバが行っているSSL処理を負荷分散装置に代行させるのがSSLアクセラレーションで、Webサーバの負荷軽減とレスポンス向上も可能としています。

　また、リモート拠点のブロードバンド化に伴い、本社のサーバファームやデータセンターへあらゆるトラフィックが集中し、基幹データやVoIPなどのミッションクリティカルなアプリケーションのデータ送受信に影響を与えることも少なくありません。

　こうしたトラフィックの問題を回避するのが帯域制御装置です。サービスの重要度やアプリケーションの種類、ユーザーやグループなどに応じて、クラス分けと呼ばれる優先順位を設定し、必要な帯域を確保。例えば、アクセスが集中する時間帯にHTTPトラフィックの帯域を絞り、基幹データに大きな帯域を割り当てるといった制御により、リモートネットワークの安定運用が行なえます。

　クラス分けは、IPアドレスやMACアドレス、TCPポート番号、URLなどに基づいて設定するほか、アプリケーションを識別する定義ファイルを用い、あらかじめ設定した優先順位に従って自動的にクラス分けできる機能を備える帯域制御装置も各種提供されています。

　このほか、リモートネットワークのゲートウェイに設置されるルーターやLANスイッチのQoS（Quality of Service）機能を用いてパケットの優先制御を行うことも可能です。IPパケットのヘッダーに格納されるTOS（Type of Service）や、Diff-Serve（Different Service）と呼ばれる制御技術を用いてフロー毎の優先順位を決め、例えば、ルーターがVoIPの音声パケットをHTTPパケットより優先的に送信するなど、優先度の高いフローのスループット低下を回避する制御が行えます。LANスイッチの優先制御では、送信パケットの優先順位をクラス分けするCoS（Class of Service）があり、IEEE802.1pとして標準化されています。

リモートネットワークの運用管理や迅速な障害回復

　リモートネットワークの構築・運用に際し、留意すべきことは少なくありません。一般にリモートの小規模拠点に専任のIT担当者がいないことが多いため、万一の障害に対応できるよう本社などからネットワークを一元管理できる仕組みが必要です。

　例えばトラフィック管理の場合、リモートのネットワーク機器のトラフィック状況やエラー情報などを管理するRMON(Remote Network Monitoring)情報を収集し、ポートごとの帯域使用量などを管理。また、パフォーマンス管理により、サーバのCPUや各種アプリケーションの稼動状況を監視し、障害を未然に防止することも可能です。これにより、パフォーマンス低下の原因がネットワーク側にあるのか、サーバ側にあるのかといった原因の特定が行え、ネットワークを拡張するなどの対策を施すことも可能です。

　リモート拠点のネットワーク機器やサーバの障害回復作業に役立つのがKVMスイッチです。一組のキーボード(K)、ビデオモニター(V)、マウス(M)を用いて、複数サーバやPCをBIOSレベルで制御。IPネットワーク経由でサーバのON/OFFや設定操作がデジタルKVMスイッチも各種提供されています。

　このように、VPNや負荷分散などネットワーク機器から管理までさまざまな技術が提供され、リモートネットワークの安定運用を可能にしています。

　ビジネスのインフラとしてネットワークが不可欠になる今日、主要拠点のみならず、遠隔地の小規模拠点や社外からのタイムリーなアクセス環境をいかに構築するかが生産性の向上や競争力の強化に直結する時代を迎えています。基幹系、情報系を問わず、リモートユーザーのシステム利用を促進するWebシステム化や、音声・データの統合などが加速する中、企業の情報システム担当者は大容量のトラフィックに対応し、セキュアかつ快適なアクセスを可能にするリモートネットワークキングの動向に注目しつつ、全社的なIT環境を構築していく必要があるのです。

次のページ「ネットワーク・トリビア 」では、ネットワークに関する様々な雑学やトリビアネタを紹介します。さて、今回のトリビアは・・・？