基本は同じだが中身は大きく変化
PacketiX VPN2.0は,このSoftEtherの後継版として開発されたソフトである。両者とも,仮想的にイーサネットLANを構築するという基本は同じ。ただし,PacketiX VPNは,(1)通信効率の向上,(2)セキュリティや安定性の強化,(3)使い勝手の向上,(4)新機能の追加,(5)対応OSの増加——といった改良によって,ほとんど別物といえるソフトに仕上がっている(図2[拡大表示])。
例えば,セキュリティを強化するための認証機能一つとっても,新たにRADIUS(ラディウス)*や電子証明書,ICカードなどを使う方式が選べるようになった。VPN通信に使う暗号化アルゴリズムの選択肢も増えた。
導入時のソフト構成も変わった。SoftEther1.0では一つのソフトから必要に応じて仮想LANカードと仮想HUBを導入する方式だった。それに対してPacketiX VPNでは,仮想LANカードによるVPNクライアント機能を提供する「PacketiX VPN Client」,仮想HUBによるVPNサーバー機能を提供する「PacketiX VPN Server」,さらにローカルブリッジ機能だけを提供する「PacketiX VPN Bridge」と,役割ごとに三つのソフトに分かれた(図2)。
PacketiX VPNで追加/強化された機能をすべて解説するのは難しいので,今回はこの中でもとくに大きく変わった五つのポイントに注目して調べてみた。具体的には,図2に示した新機能/強化点のうち,(1)「仮想レイヤ3スイッチ」機能の搭載,(2)「SecureNAT(セキュアナット)」機能の搭載,(3)専用サーバー管理ツールの追加,(4)TCP最適化ツールの追加,(5)ライセンス方式の変更——について見ていく。
仮想HUBを仮想的にルーターでつなぐ
まずは(1)の仮想レイヤ3スイッチ(以下,仮想L3スイッチと表記)機能から見ていこう。
PacketiX VPNやSoftEtherは,1台のサーバー上で複数台の仮想HUBを運用できる。これらの仮想HUBは,初期状態では独立して動く。つまり,仮想HUB1につないだパソコンAと,仮想HUB2につないだパソコンBは別々のLANに属するので通信できない*。
この別々の仮想HUBにつながるパソコンAとBを通信させる一つの手段が,従来からあった「カスケード接続」だ。カスケード接続とは,仮想HUB同士を仮想的なLANケーブルでつなぐ機能のこと。複数の仮想HUBが一つのLANに収容されるイメージになる。
それに対して,PacketiX VPNでは,仮想L3スイッチを使って仮想HUB同士を接続する方法を新たに用意した。こちらの接続方法では,カスケード接続時と異なり仮想HUB同士は別々のLANとして分かれたまま。それぞれは,仮想L3スイッチが実現するルーター機能*を介して通信する(図3[拡大表示])。
仮想L3スイッチは「仮想インタフェース」を複数持つことができ,それぞれのインタフェースにはユーザーが任意のIPサブネット*情報を設定できる。仮想インタフェース1は10.0.0.1/24,同2は10.0.1.1/24という具合だ。これら仮想インタフェースに仮想HUBを接続すれば,それぞれの仮想HUBにIPサブネットを割り当てられる。そして,仮想L3スイッチの仲介によってIPサブネット間でIPパケットをルーティングできるというわけだ。
外付けのルーターが不要になる
でも,SoftEtherはそもそもイーサネットLAN同士をそのままVPNで接続できることがウリだったはず。それなのに,どうしてわざわざIPしか通せないルーター機能を追加したのだろうか。
追加した理由は開発した本人に教えてもらうしかない。そこで,ソフトイーサ社を訪ねて登大遊社長に直接聞いた。すると,「SoftEther1.0のときから仮想HUB同士を別々のIPサブネットとしてつなぎたいという要望が多くあったので入れたんです」という答えが返ってきた。
イーサネットVPNといっても,実際はほとんどのユーザーがプロトコルにTCP/IPを使っている。このため,拠点のLAN同士を接続するときも,必ずしも全拠点を一つのLANとしてつなぐ必要はない。それどころか,すべてを同じLANとしてカスケード接続してしまうと,ブロードキャスト・フレーム*が隅々まで流れてしまい帯域が無駄になるうえ,IPアドレスも管理しにくい。
SoftEther1.0では,IPサブネットを区切るには仮想HUB同士を外付けのルーターでつなぐしか手がなかった。今回PacketiX VPNに仮想L3スイッチ機能が加わったことで,ようやく追加の外付けルーターが不要になった。
| < | 前回へ | 目次 | 次回へ | > |
