![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
「ブリッジ接続」と「IP ルーティング」の両方を組み合わせて使用することにより、2 つ以上の遠隔地にあるネットワーク同士を、レイヤ 3 で接続する方法について解説します。
拠点間接続 VPN の構築 (ブリッジ接続を使用)」の方法では、複数の拠点を 1 つのレイヤ 2 (Ethernet) セグメントとして結合することにより拠点間接続 VPN を構成しています。
この方法と、VPN Server に搭載されている「仮想レイヤ 3 スイッチ」機能の両方を組み合わせることにより、複数拠点間でレイヤ 3 (IP) ルーティングを使用した拠点間接続 VPN を構築することができます。
VPN Server には、同一の VPN Server 内に存在する複数の仮想 HUB 間で、IP ルーティングを行うことができる機能である「仮想レイヤ 3 スイッチ」機能が搭載されています。この機能を使用すると、大規模な拠点間接続 VPN を構築する際に、それぞれの拠点の IP ネットワークを分離した状態のままで、拠点間の通信を VPN を経由して行うことができます。
ここでは、例として以下のようなネットワーク構成について解説します。
上記のネットワーク例では、3 箇所の拠点を「拠点間接続 VPN」によって接続し、それぞれの拠点のコンピュータ同士が、IP ルーティングを用いた VPN によってお互いに通信できるようになっています。それぞれの拠点が、日本の「東京(センター拠点)」、「大阪」および「筑波」の 3 箇所にあると仮定します。
ここでは、東京拠点を「センター拠点」とし VPN Server を設置することにします。また「サブ拠点」としては大阪拠点、および筑波拠点の 2 箇所があり、それぞれ VPN Bridge を設置することにします。
東京拠点(センター拠点)のプライベート IP ネットワークは 192.168.1.0/24、大阪拠点のプライベート IP ネットワークは 192.168.2.0/24、筑波拠点のプライベート IP ネットワーク 192.168.3.0/24 というように、それぞれ IP ネットワーク的には分離されている状態で、それぞれの拠点が別の拠点の IP アドレスのホストに対して通信を行おうとしたとき、自動的に VPN 経由で通信が行われるようにします。
上記のネットワークでは、仮想レイヤ 3 スイッチは東京拠点(センター拠点)の VPN Server 内で動作させます。東京拠点(センター拠点)の VPN Server には、下記の 3 つの名前の仮想 HUB を作成すると良いでしょう。
東京拠点(センター拠点)の VPN Server に、上記のように 3 つの仮想 HUB を作成したら、次に新しい仮想レイヤ 3 スイッチを 1 つ作成し、次にその仮想レイヤ 3 スイッチから 3 つの仮想 HUB に対して仮想インターフェイスを定義します。
仮想レイヤ 3 スイッチは、ネットワーク上のコンピュータから見ると 1 台の IP ルータのように見えます。したがって、それぞれの仮想インターフェイスには、接続する仮想 HUB の受け持つ IP ネットワークに属する IP アドレスを 1 つ割り当てます。IP アドレスは、各仮想 HUB が直接的または間接的に接続する、既存の IP ネットワーク上に存在しないものである必要があります。たとえば、以下の表のように設定します。
| 仮想 HUB 名 | 仮想インターフェイスの IP アドレス |
| TOKYO | 192.168.1.254 / 255.255.255.0 |
| OSAKA | 192.168.2.254 / 255.255.255.0 |
| TSUKUBA | 192.168.3.254 / 255.255.255.0 |
なお、今回の例では、仮想レイヤ 3 スイッチが VPN 通信を行うすべての拠点に直接仮想インターフェイスで接続されるようなネットワークとなりますので、仮想レイヤ 3 スイッチにルーティングテーブルの設定は必要ありません。
大阪拠点および筑波拠点に 1 台ずつ設置した VPN Bridge について、まずそれぞれの "BRIDGE" 仮想 HUB と、各拠点の物理的な LAN との間を「ローカルブリッジ接続」します。
次に、
これによって、3 箇所の異なる IP ネットワーク内のコンピュータ同士が、仮想レイヤ 3 スイッチを経由してルーティングしながら、VPN 接続した別の拠点に対して通信を行うことができるようになります。
まず、センター拠点である東京に VPN Server を設置します。
VPN Server をインストールするサーバーコンピュータは、東京拠点(センター拠点)の社内 LAN にローカルブリッジ接続する必要があります。したがって、当然のことながら東京拠点(センター拠点)の LAN に対して物理的に近い場所にあり、直接 LAN ケーブルなどを用いて東京拠点のレイヤ 2 セグメントに接続しなければなりません。
また、VPN Server に対してインターネット側の VPN Bridge から VPN 接続する必要があるため、その VPN Server はグローバル IP アドレスを持っているか、またはプライベート IP アドレスを持っていても、NAT、ファイアウォール、またはリバースプロキシを経由してインターネット側からの TCP/IP 通信の到達性を持っている必要があります。
VPN Server をインストールしたら、"TOKYO"、"OSAKA"、"TSUKUBA" の 3 つの仮想 HUB を作成し、"TOKYO" 仮想 HUB を東京拠点(センター拠点)の LAN とローカルブリッジし、また仮想レイヤ 3 スイッチの設定も完了させてください。
サブ拠点である大阪拠点と筑波拠点に、それぞれ VPN Bridge を 1 台ずつインストールし、各拠点の接続したい LAN を「ローカルブリッジ接続」してから、東京拠点(センター拠点)の VPN Server の "OSAKA" および "TSUKUBA" 仮想 HUB に対して「カスケード接続」してください。
各拠点をレイヤ 2 でブリッジ接続した場合と比較して、IP ルーティングによって各拠点間の通信を実現するような VPN 接続方法を使用した場合は、何もしなくても各拠点のコンピュータ間が自動的に通信できるようになる訳ではありません。
このネットワーク構成例では、各拠点のコンピュータが他の拠点に対して IP で通信を行おうとした際には仮想レイヤ 3 スイッチを経由して IP ルーティングを行ってもらうことによって他の拠点に対する IP ルーティングによる通信が可能なように、各拠点の機器の「ルーティングテーブル」を適切に設定する必要があります。
各拠点の機器のルーティングテーブルの調整方法は、仮想レイヤ 3 スイッチや仮想 HUB を、通常の物理的なレイヤ 3 スイッチやルータやスイッチング HUB と同じようなものと考えると簡単です。このネットワーク構成例での設定方法として、簡単な例としては以下のようなものがあります。
上記のような設定を行うと、たとえば大阪支店のコンピュータ (例: 192.168.2.3) が、筑波支店のコンピュータ (例: 192.168.3.5) に対して IP パケットを送信しようとすると、192.168.2.3 のコンピュータはそのネットワークのデフォルトゲートウェイに対して IP パケットを送信し、デフォルトゲートウェイはルーティングテーブルに従って 192.168.2.254 (東京(センター拠点)の VPN Server 内で動作している仮想レイヤ 3 スイッチの仮想インターフェイス) に対して IP パケットを転送し、仮想レイヤ 3 スイッチは 192.168.3.254 の仮想インターフェイスを用いてそのパケットを TSUKUBA 仮想 HUB に対して送出し、それが筑波拠点の 192.168.3.5 の目的のコンピュータに到達するということになり、IP ルーティングを使用して、拠点間 VPN 接続が行われることになります。
なお、各拠点でデフォルトゲートウェイとして使用されているルータに対して、静的ルーティングテーブルを追加することができないような場合は、各コンピュータに 「route」コマンドなどで静的ルーティングテーブルを追加することによって代用することも可能です。ただし、この方法では VPN 通信を行うすべてのコンピュータのルーティングテーブルを編集する必要が生じるため、管理の手間を考えると、通常は推奨されません。
