仮想プライベートネットワークと IPsec

仮想プライベートネットワーク (VPN) という用語は、多くの場合、インターネットなどのよりパブリックなネットワーク上に構築される、プライベートでセキュアなポイントツーポイントネットワークを説明するのに使用されます。このポイントツーポイントネットワーク、つまり VPN を使用して、プライベートネットワーク上のシステム同士、またはプライベートネットワーク上のシステムネットワーク同士を接続できます。

構成されたトンネルは、ポイントツーポイントインタフェースです。トンネルによって、IP パケットを別の IP パケット内にカプセル化できます。トンネルの構成には、トンネルソースとトンネル宛先が必要です。詳細は、Oracle Solaris 11.2 での TCP/IP ネットワーク、IPMP、および IP トンネルの管理 のIP トンネルを作成および構成する方法を参照してください。

トンネルは、IP への見かけ上の物理インタフェースを作成します。IP トンネルインタフェースを通過する IP トラフィックは IPsec で保護できます。

Oracle Solaris のトンネルインタフェースを使用すると、IP パケットを 1 つのシステムから別のシステムへカプセル化、つまりトンネルできます。トンネルされるパケットは、元の IP ヘッダーの前に IP ヘッダーを追加します。追加されたヘッダーは、パブリックネットワーク上でルーティング可能なアドレスを使用します。次の図では、これらのアドレスが net0 インタフェースで表されています。

次の図は、2 つのサイトで IPsec を使用してサイト間の VPN を作成する方法を示しています。イントラネット 1 とイントラネット 2 の間のトラフィックは、ESP 内 IP のカプセル化を使用してインターネット経由でトンネルされます。この場合、外側の IP ヘッダーでは net0 アドレスが使用され、内側の IP アドレスはイントラネットネットワークからトンネルされるパケットのアドレスになります。内側の IP アドレスには ESP が適用されているため、トラフィックがインターネットを通過する際、これらのアドレスは検査から保護されます。

図 6-6  仮想プライベートネットワーク

設定手順の詳細な例については、IPsec のトンネルモードで 2 つの LAN 間の接続を保護する方法を参照してください。