りんけーじ - ネットワーク - 広域 VPN

広域プライベートネットワーク

企業などで使用される VPN の用途のひとつに、２つ以上の社内ネットワークを接続するというものがある。 外部から直接アクセスできないようなプライベートネットワークを、インターネットを通してトンネル接続する ことで離れた２点のネットワークを接続するものである。
2005/11 現在、sylph ネットワークは SoftEther によって１つのネットワークと直接、２つと間接的にカスケード接続されている。
この文書はこのネットワークの構成についてまとめたものであり、構成の把握・改善のために作成されている。

2006/6/11 現在、このネットワークは OpenVPN を利用して構築されています。したがって、一部の IP アドレスや接続形態等が異なる場合があります。

基本構想

主に技術向上のための実験と各ネットワーク内のファイルサーバへのアクセスを目的としている。
ネットワークアドレスは 172.16.0.0/16 のクラス B の空間を分割して使用し、ひとつのネットワークには 172.16.x.0/24 のクラス C 相当のアドレスが割り振られる。
アクセス管理、接続形態はネットワーク所有者の自由であり、必ずしも物理 LAN とのブリッジを行う必要はない。
各ネットワークの接続は仮想ハブ同士のカスケード接続によって実現し、ルーティングを行うために 172.16.254.x/24 のルーティング用ネットワークが存在する。

接続形態

広域ネットワークに接続する各ノードは SoftEther 2.0 を使用し、それぞれ 2 つの仮想ハブを設定する。
ひとつはそのネットワークに接続するための VPN サーバとしての通常の仮想ハブ（仮想ハブ 1 ）である。 物理 LAN とのブリッジをする場合はこのハブとブリッジする。
もうひとつはルーティング用仮想ハブ（仮想ハブ 2 ）である。 この仮想ハブは広域ネットワーク内のほかのルーティング用仮想ハブ１つとカスケード接続する。 仮想ハブ 1 と 2 はレイヤ 3 スイッチによって接続され、プライベートネットワークの IP アドレスとルーティング用ネットワークの IP アドレスを割り振る。
ルーティング用ネットワークの IP アドレスには、各ネットワークの 172.16.x.0/24 に対して 172.16.254.(x+1)/24 を使用する。
このルーティング用ネットワークはスター型接続をしているため、仮想レイヤ 3 スイッチには 172.16.0.0/16 宛てのパケットをスターの中央にあるルータへ送信するように設定する。

概略図を以下に示す。

現状での問題点

• 既存 LAN とのブリッジを行う場合、物理 LAN 上のルータの設定が必要
• カスケード接続を使用しているため、ループ状の接続が発生した場合に問題が発生する
• ある２点を接続する経路が複数存在できないことから、ネットワークの負荷集中が発生する