Q. インターネットVPNは固定アドレスを必ず使う?

A. すべての拠点が固定アドレスでなくても構築可

 インターネットVPNの構築では、インターネット上で各拠点を識別する情報としてグローバルアドレスが必要になる。このグローバルアドレスとして、常に同じ値の固定アドレスを使うべきか、それとも接続のたびに値が変わる動的アドレスでもよいのかは悩みがちなポイントだ。プロバイダーに固定アドレスを割り当ててもらうとコストが高くつくため、動的アドレスを使いたいというニーズは強い。

 VPNの接続先を指定するには固定アドレスを使うのが基本だが、構成によっては動的アドレスも利用できる。よくあるのは、サーバーなどを集約したセンターとなる拠点を固定アドレスにし、そこに接続する他の拠点を動的アドレスにする構成。対向のルーターには共通のパスワード(事前共有鍵)を設定して認証する。動的アドレスを使うには、(a)ダイナミックDNSサービスまたは(b)IPsecのアグレッシブモードを使う必要がある。このほかVPNルーターによっては、ベンダーの独自技術を使う方法もある。

動的アドレスと固定アドレスを組み合わせて構築
動的アドレスと固定アドレスを組み合わせて構築
インターネットVPNの構築では、固定のグローバルアドレスと動的なグローバルアドレスを組み合わせて利用することが多い。動的アドレスを使う場合は、アドレスの変更に対応できるようにダイナミックDNSサービスまたはIPsecのアグレッシブモードなどを使う必要がある。ダイナミックDNSを使う場合、センター拠点でも動的アドレスを利用できるが、アドレス変更が発生した際にすべての拠点とのIPsecトンネルの張り直しが発生してしまうので、避けたほうが無難だ。
[画像のクリックで拡大表示]

 ダイナミックDNSサービスでは、ダイナミックDNSのサーバーで、クライアント(拠点のVPNルーター)のホスト名と最新のグローバルアドレスを対応付けて管理する。対向のVPNルーターは宛先となるVPNルーターのホスト名を接続時にサーバーに問い合わせ、ホスト名に対応するグローバルアドレスに向けて接続する。

 IPsecのアグレッシブモードは、IPsecで利用する鍵をやり取りする手順の一つ。認証時に相手を識別する情報(ID)として、管理者が設定したIDを使える。IDにIPアドレスを使わずに済むため、動的アドレスの場合も通信相手を認証できる。

 アドレスに関しては、「拠点のブロードバンドルーターの配下にVPNルーターを置く構成で通信できるのかもよく聞かれる」(ユニアデックス システムサービス第二統括部 システムサービス三部 グループマネージャーの高橋 友也さん)。ブロードバンドルーターがあっても、構成によっては通信可能だ。このときも、センター側が固定のグローバルアドレスであれば、その他の拠点は(a)や(b)などを使うことで接続できる

▼グローバルアドレス
インターネットで一意のIPアドレス。一方で、LAN内で使うのがプライベートアドレスである。
▼ダイナミックDNSサービス
サービスに登録したホストのホスト名とIPアドレスを管理し、IPアドレスの問い合わせに答えるサービスのこと。ホストのIPアドレスが変わったときは、DNSサーバーにあるIPアドレスとホスト名の対応情報(Aレコード)を書き換えて、常に最新のIPアドレスを応答する。
▼アグレッシブモード
IPsecの暗号化通信に必要な情報をやり取りする鍵交換プロトコル「IKE」(Internet Key Exchange protocol)で規定されている手順の一方式。IKEのフェーズ1(制御用の通信路を作るフェーズ)の手順を短縮したもの。認証に共通のパスワード(事前共有鍵)を使う場合、パスワードは通信相手を識別する情報(ID)と対応付けて管理する。アグレッシブモードではユーザーが設定したIDを利用できる。
▼ベンダーの独自技術
シスコシステムズ製品の場合、DMVPN(Dynamic Multipoint VPN)を利用すると、動的アドレスでVPNを構築できる。DMVPNは、センターと拠点間のVPNだけでなく、拠点同士のVPNも実現でき、フルメッシュ構成が可能になる。
▼接続できる
ここではブロードバンドルーターは動的グローバルアドレスを使い、LAN内の複数の機器との間でアドレス変換(IPマスカレード)を実施しているケースを想定。注意点として、ブロードバンドルーター配下にVPNルーターを設置する場合、ブロードバンドルーターのNATテーブルがクリアされる前に通信を発生させる(keepAliveを実施する)必要がある。