4-4. 広域ネットワ−ク敷設の実際 (1) IP-VPN での MPLS 網と経路制御 `22/10〜 * MPLS 網と経路制御について 例えば KDDI の IP-VPN では経路制御に関して、以下の 1)〜3) の条件がある。さらに足 周りに ADSL 回線を使う場合には、4)〜5) の制約が加わる。どうも、この制約は IP-VPN に対するNTTやアッカの意向のようである。そもそも ADSL は個人や小さな事務所で使 うことを前提とし、ネットワ−ク・セグメントが階層をなすような所は想定しないという ことだろうか。下記の図でメガデ−タネッツの回線のとこを、 ADSL にしてできるだけ安 くネットワ−クを構築したい。雑誌など見ていると十分できそうな気がするのだが、実際 はインタ−ネットへ抜けていく経路設定が、制約のためできないのである。本社への足周 りにも ADSL を使うと、MPLS 網からは 192.168.1 ネットワ−クしか見えないことになる。 ならば、いっそ IP-VPN からの本社ラインを 192.168.2 に持ってくるかだ。 そうでなければ 192.168.1 上に Proxy サ−バをおき、HTTP や FTP や SMTP パケットを 中継させる、やや強引なテクニックが必要となる。HTTP と FTP なら NetCache などプロ キシサ−バでいいが、メ−ルの SMTP それに POP3 を中継させるというのはやっかいであ る。NetCache では SMTP, POP3 は扱えない。とりあえず sendmailだけでもメ−ルリレ− 専用で設けるか。残る POP3 はどうする。このような SMTP, POP3 も通すプロキシサ−バ は、探したところフリ−ソフトで Windows 用の BlackJumboDog、市販ソフトのPROXY2002 が使えると思う。しかし IP-VPN ネットワ−クで使うような手だてとは思えない。一応そ んなやり方もあるということに留めたい。素直なネットワ−クにするには、本社へのライ ンだけは、専用線やメガデ−タネッツなどを利用する。それしかないだろう。 1) 1VPNグル−プに1つ、デフォルトル−トを設定できる。 2) 専用線やメガデ−タネッツなら、デフォルトル−トも設定できる。 3) 1VPNグル−プ当り、1拠点10個までスタティックル−トを設定できる。 4) NTTフレッツ・ADSL は1拠点1スタティックル−ト。Bフレッツも同様。 5) アッカ ADSL は1拠点2スタティックル−ト、ただし階層セグメントはだめ。 6) ただし ADSL にはデフォルトル−トは設定できない。 WWW :インタ−ネット [ R3 での申請経路テ−ブル ] Mail-Relay □ DNS □ Router | | デフォルトは r1 経由 デフォルト ---------------- 200.100.1 192.168.1 は r1 経由 \ さえ設定し | 192.168.2 は r1 経由 |ておけば無 Mail-Store □ □ 200.100.1 は r1 経由 / くてもいい。 | | ------------------- 192.168.2 [ R1 での申請経路テ−ブル ] | □ ▲PC 192.168.3 は r2 経由 本社・名古屋 | |.2 ----------------------- 192.168.1 [ R2 での申請経路テ−ブル ] |.1 CE □ 192.168.4 は r3 経由 r1|専用線やATMの 192.168.5 は r3 経由 |メガデ−タネッツ PE | [ MPLS 網内の経路テ−ブル ] ----------□----------------- | R3 | MPLS 網 デフォルトは R3 経由 | | 192.168.1 は R3 経由 | R1 R2 | 192.168.2 は R3 経由 ---□-------------------□--- 200.100.1 は R3 経由 PE |IPSec 暗号化 PE |暗号化なし |フレッツ・ADSL |アッカADSL 192.168.3 は R1 経由 |r2 |r3 CE □ CE □ 注. 192.168.4 は R2 経由 四国|.1 東京1 /\ 東京2 192.168.5 は R2 経由 ---------- -------- --------- 192.168.3 192.168.4 192.168.5 他にフルメッシュ経路 MPLS でのル−タの呼び名。MPLS 網の PE( Provider Edge Router )、 ユ−ザのところの CE( Custormer Edge Router )。CE のル−タでユ−ザが QoS 制御できる。PE でも業者に 依頼して QoS 制御してもらえる。CE のル−タは MPLS 対応でなくてよい。 MPLS 網の中では申請した経路はフルメッシュになる。 フレ−ムリレ−網みたいなイメ− ジでいい。そのため支店同士の通信もできる。支店のル−タは MPLS 網接続ル−タ PE を デフォルトル−トにしておけばいいだろう。四国なら R1 である。 PE と CE のIPアドレスは、KDDI IP-VPN ではプライベ−トIPの /30 を割り当てられ る。/30 は全部で4個、有効2個である。 ユ−ザが NIC で取得したパブリックIPも使 うことはできる。Arcstar IP-VPN ではパブリックIPが1個ずつ割り当てられる。 本社・名古屋の PC 192.168.1.2 から 例えば四国への経路は。IP-VPN の MPLS 網の中は VPNトンネルになっていてブラックボックスで見えない。そのため PC から途中のル− タ r1, R3, R1, r2 へ ping 打っても反応しない。ping は 192.168.3.1 は通る。 [ 注 ] アッカ ADSL は1拠点2スタティックル−トまで階層セグメントはだめ、と書いたが多分 誤り。聞き間違えたのだと思う。以下 `26/03 記述。アッカ ADSL のこと再確認したとこ ろ誤りだった、階層セグメントであることが正しい。こんな並列なセグメントはレイヤ3 スイッチでないとできない。フレッツ・ADSLの1拠点1スタティックル−トの制限は、2 個か3個までできるよう緩和されていた。料金はATMなど、ほとんど変わってなかった。 2006/07、改めて IIJ のメ−ルのサ−ビスを見ていた。IIJ が開発販売しているファイア ウォ−ルのボックス WatchGuard には SMTP プロキシ機能があると書いてあった。多分こ れでメ−ルリレ−からメ−ルストアへのアクセスで、内部ネットワ−クに実際にあるメ− ルストアでなく、WatchGuardのWAN側IPにアクセスすれば、中継してくれるのでない か。IIJ の人に聞いてみたが、あまりそういう使い方は聞いたことがないと言っていた。 2009年の夏から末。アッカの ADSL ならデフォルトル−トは設定できるようになって いるみたい。フレッツ・ADSLでもデフォルトル−トが要相談でできるかも知れない、ル− タを対応する?のに替えるとか。経路設定はNTTやアッカの意向と前に書いたが、KDDI の意向であるとその後知った。網に traceroute かけると最初の頃は返ってきたのに、い つからか反応しなくなった。どうも KDDI の IP-VPN 網は経路設定が不明である。 * IP-VPN の足周り回線の図 / ̄ ̄ ̄ ̄ ̄ ̄ ̄\ ----------------| インタ−ネット | | Provider網 | \_______/ -------------------------------------------◎-------------- | 通信業者の IP-VPN 網 | \ | | インタ−ネット Gateway Service | ATM Router IPSec Gateway | -----○-----------○-----------------○----- ※通信業者と Provider網 は同じ業者。 愛知県| | \ | \ | ------------ | ------------ | | |Provider網| | |Provider網| |IPSec。NTTのフレッツ・ADSL、B | ------------ | ------------ |フレッツは地域IP網を通る。 安全 ------------ | | | |のため IPSec でこの間を暗号化する。 |メガデ−タ| ------------ | ------------ | |ネッツ網 | |ACCA DSL網| | |地域IP網| |KDDI でのフレッツ・ADSLを使う場合 ------------ ------------ | ------------ |の料金は、ル−タ使用料やら IP-VPN | | | フレッツ| |ポ−ト使用料やらで月2.5万円。しか | ADSL| | | |も、最初にル−タの IPSec 設定料が 愛知県□ □ /ATM □ / 10万円程いる。アッカの KDDIでの | PPPoA| Cell PPPoE| 512 Kbps IP-VPNの方がいいかも。料 ------------ -------- -------- 金も分かり易い。 フレッツは格安か 本社・名古屋 東京支社 四国支社 と思いきや、案外そうでもないのか。 アッカ・ネットワ−クスやイ−・アクセスは、PPPoA( PPP over ATM ) の ADSL モデムを 使う。アッカでは 2002/07/15 からの 8 Mbps タイプでは、PPPoE( PPP over Ethernet ) タイプの ADSL モデムでもよくなった。NTTのフレッツ・ADSL は PPPoE タイプである。 KDDI IP-VPN について。2000/06 開始。 アッカ ADSL 対応開始 2001/06/15、VPN1ポ −ト3万円。フレッツ・ADSL 対応開始 2002/02/01、VPN1ポ−ト7千円に値下げ。B フレッツ 2002/04/16 開始、1ポ−ト7千円。メガデ−タネッツ 2002/06/01 対応開始。 NTTフレッツ・ADSL を使う場合。KDDIでは Business-DSL エコノミ−、伝送速度(下り 最大/上り最大) 1.5 Mbps/512 Kbps、IPアドレス1個(/32)、月額料金 6,700 円。これ にNTTフレッツ・ADSL 月額料金がいる、電話共用タイプ 2,900 円または ADSL 専用タ イプ 4,550 円。企業では電話専用タイプに普通する。加えて IP-VPN 料金7千円がいる。 アッカ ADSL を使う場合。KDDI では Business-ADSL を契約するということのようだ。料 金は IP-VPN 512K( ADSL 下り最大 512 Kbps/上がり最大 224 Kbps ) で、電話共用タイ プ 29,800 円、モデムレンタル 500 円。DSL 専用タイプは 31,700 円、 モデムレンタル 500 円。IP-VPN のポ−ト料も含まれている。もう1つ IP-VPN 1.5M メニュ−もある。 KDDI の Business-DSL エコノミ−や Business-ADSL で付与される?パブリックIPアド レスは、IP-VPN では用いない。IP-VPN のユ−ザのネットワ−クは、基本的にはプライベ −トIPを使う。パブリックIPを使いたい場合は、 別途 NIC から取得したIPアドレ スを用いる。IP-VPN は閉域ネットワ−クなので、プライベ−トIPを使うのが望ましい。 * メガデ−タネッツ( MDN )について NTTのATMサ−ビスでも以前からあるATMメガリンクは高いが、メガデ−タネッツ なら格安で利用できる。通信業者の接続ポイントが、自社と同じ県にあればメガデ−タネ ッツが使える。ただし、通信業者がメガデ−タネッツ接続に対応していればである。メガ デ−タネッツには、速度保証と一部速度保証タイプとある。一部速度保証では、フレ−ム リレ−の CIR=0 でも十分というような訳にはいかないみたいである、 最低速度しか出な いと想定した方が無難らしい。一度NTTさんにも問い合わせてみたい。どこかに参考に なるのがないかなと思っていたら「N+I Network Guide」2002/12, P.85 に、ちょうどMDN の実測のグラフが掲載されていた。"特集:新型WANサ−ビス選択の極意"。MDN 1 Mbps 10% 保証でのスル−プット良好時と不安定時のグラフである。どちらも結構行けるのでな いか。内容は各自、どこかで見て確かめられたい。この雑誌は定期購読してないが、本屋 で気付いたら自前で時たま買っています。あまりどこばり置いてないみたいです。 毎月の基本額(アクセス回線) 3 Mbit/s 14,500 円。PVC(相手固定通信)の速度保証タイプ 1 Mbit/s が 35,800 円。ONU使用料がメタルの場合で 11,000 円。KDDI の IP-VPN ポ −トの利用料金、速度保証タイプ 1 Mbps が 104,000 円。全部で 165,300 円。 ともかく 500 Kbit/s 出ればいいとすれば、PVC(相手固定通信) の一部速度保証タイプの 最高 1 Mbit/s、保証速度 0.5 Mbit/s の 18,500 円の方が、速度保証タイプ1 Mbit/s よ りお得かも知れない。IP-VPN ポ−ト利用料金 76,000 円。全部で 120,000 円。 ※KDDI IP-VPN のVPN料金は http://www.kddi.com/release/2002/0528-1/index3.html にメガデ−タネッツとの接続提供料金の表がある。 DSL については ANDROMEGA IP-VPN サ−ビスに DSL 回線追加と、http://www.kddi.com/release/2001/0531-1/index2.html に記載されている、ただし、アッカの ADSL とか Business-ADSL とは書かれていない。 * 参考 「メガデ−タネッツのご案内」平成13年7月吉日、西日本電信電話株式会社。 > 2001年7月末、ビジネスユ−ザ営業部の営業マンさんが手作りの資料を持ってきた。 「KDD IP-VPN サ−ビスのご案内」平成12年5月、KDD株式会社。営業マンが持参。 > この時はまだ、KDD さんの IP-VPN を使ってみようという気持ちはまるでなかった。 (2) KDDI IP-VPN で営業所を接続する `23/04 * ネットワ−クの絵 ここは文章でネットワ−クのトポロジ−を説明する。各自、頭の中でネットワ−クの絵を 想像してもらいたい。あまり詳しく書くとSI業者さんの飯の種がなくなってしまうので、 さらっと流すに留める。広域ネットワ−クは、 KDDI の IP-VPN サ−ビスをSI業者を仲 介して引くことにする。名古屋が本社でメガデ−タネッツ、 東京支店がアッカ 512 Kbps、 四国の支店がNTTのフレッツ・ADSL 1.5 Mbps とする。情報系と基幹系のネットワ−ク、 その境界点にファイアウォ−ルの SonicWALL を入れてある。 支店は本社とは専用線やフ レ−ムリレ−などの接続性がないと仮定し、モデムで本社のホストコンピュ−タにアクセ スしているとする。IP-VPN は本社の基幹系ネットワ−クと支店を接続する。 支店からイ ンタ−ネットへのアクセスは IP-VPN 網から本社の基幹系ネットワ−クへ、SonicWALL を 経由して情報系ネットワ−クに入り、インタ−ネットへとなる。インタ−ネットヘは専用 線 128 Kbps で接続していて、NTTの対応待ちでBフレッツを別ラインで引くことにな っている。Bフレッツはもっぱら内から外へのWWWアクセスに使うつもりでいる。 技術的にクリアすべきことは、ル−ティングだけである。現状どう経路情報がなっている か。そして今回どうするか。デフォルト経路をどこへ向けるか。拠点が数箇所程度ならス タティック経路でいいのでないか。へたに動的経路を用いると、訳が分からなってしまう。 また KDDI の IP-VPN サ−ビスの中で、経路設定に制限があるのか。あるとしたらどのよ うに、どういう場合にあるのか。今回はこのことが肝だった。この分野、インタ−ネット VPNや IP-VPN と雑誌でにぎにぎしいがノウハウがちゃんと固まっている訳でない。業 者も間違った提案をもって来るケ−スだってままある。小生のとこではSI業者に全面的 にお任せするはずが、結局 KDDI のエンジニアに詳しく話を聞いて、ネットワ−ク設計を 自分でし直すことになった。もう一つの肝は人的な調整だった。社内のホスト系と営業系 部門。外部ではSI業者、電話工事会社、KDDI、NTT。社内の調整だけでも大変なのに、 いろんな所が絡む。行き違いが多々生じることとなった。 当初、全部NTTの ADSL で行こうと考えた。しかしアッカで DSLが引ける所は、安定性 重視で引くことにした。本社は ADSL は、KDDI IP-VPN の経路制御の制約で使えなかった。 そのためメガデ−タネッツを選ぶことになった。 最初SI業者もNTTさんも 1.0(0.1) でいいのでないかと言っていたが、小生は 1.0(0.5) を選ぶことにした。あらかじめ、ち ょっとオ−バスペックかなと思うぐらいで選んでおいた方がいい。料金もだんだんと値下 がりしてくる。その実、SI業者と詰めている間に改訂され安くなった。NTTのフレッ ツ ADSL 1.5 Mbps のこと。 NTTの中継局からの距離が何キロかあって速度が出るのか 心配だった。NTTの人がモデムを持って設置にきて。そこで速度がこれこれですが、い いですかと聞かれると思っていたら、速度についてはSI業者さんに聞いてくれと。結果 的に 400 Kbps 前後出ているとのことだったので、まあよかった。もしだめなら ADSL の 8 Mbps に変更するかと考えていた、それなりに速度は出るらしい。 注.例えば MDN 1.0(0.5) はNTTのメガデ−タネッツの一部速度保証タイプの相手 固定型( PVC )メニュ−で、最高速度 1.0 Mbps、保証速度 0.5 Mbps を意味する。 * 費用はどうだったか ざくっと費用を出そう。ATMル−タの設定料が10〜20万円。アッカとNTTのADSL 回線は、それぞれランニングが月3万円、初期回線設置費用が3〜4万円、電話工事会社 の電話線の引き回し工事が2万円程度。SI業者への全部での回線監視の費用が毎月1万 円弱というところか。その後、IP-VPN のサ−ビスでオプションを追加するとか、 経路設 定を変更するとか、これらは全てSI業者を窓口にすることになる。だいたい何でも、物 言ったら10〜20万円いると思ったほうがいい。Cisco のル−タでスタティックル−ト をちょっと追加する、デフォルトル−トを変えるとか、ものの数分で済むようなことでも いります。それに、現状ネットワ−クの調査料だとか、 IP-VPN のネットワ−ク設計料を 何十万円か、50万円位かな、心積りしておいた方がいい。広域ネットワ−クが最近は商 売のトレンドのようで、新興SI業者も参入してきている。飛び込みで営業にやってくる。 そうした業者ならル−タの設定程度なら、5万円も頂ければ結構ですと話していた。 [ メガデ−タネッツ( MDN )の料金 ] KDDI IP-VPN のVPNポ−ト料金は、MDN 1.0(0.5) は 52,600円、前は 76,000 円だった。 MDN 1.0(0.1) は 28,500 円、前は 33,000 円。 NTTに支払う分は MDN 1.0(0.5) のタ イプが 18,500 円、1.0(0.1) が 4,800 円。ONU使用料金がメタルタイプで 11,000 円。 それにNTTのアクセス回線基本料が 3 Mbps までので 14,500 円である。基本料は最高 速度が 1Mbps、つまり MDN 1.0(0.5) と MDN 1.0(0.1) は、1Mbps を超える速度の 3Mbps を選ぶこと。MDN のVPN料金が安くなったのは、IP-VPNサ−ビスのライバルとも言うべ き、NTTコミュニケ−ションズの Arcstar IP-VPN の料金が 2003/02/01 から値下げさ れたからである。2003/01/09 発表。MDN 1.0(0.1) が 34,700 -> 28,500 円に。1.0(0.5) が 79,100 -> 52,600 円になっている。 Arcstar IP-VPN にメガデ−タネッツがメニュ− に入ったのは2002年4月上旬からである。http://www.ntt.com/ip-vpn/fee を参照さ れたい。MDN の料金はこれ以降2009年末時点まで変わってないようである。 * 接続機器の図 国産家電メ−カ製 ATMル−タ ------------------------------------- 背面 | LINE | | 電源スイッチ ―――□ | NTTのメガデ−タネッツやATMメガリ | --- | | ンクなどのATM接続サ−ビスでは、契約 | | | □ | LAN | 帯域に合わせてデ−タ送出量を調整するシ | --- CONSOLE | □□□□ | ェ−ピング機能( Shaping ) がATM装置 ---------------------|-------------- に必要である。 | |白のケ−ブル NTT ATM-ONT |ル−タに付属してた? ---------------------|-------------- | | | 背面 | IN/OUT 25 | | | ○ □――――― | ATM形OB加入者回線終端装置。 ---‖-------------------------------- 沖電気工業(株) ‖ ‖黄色の引き込まれた光ファイバ−ケ−ブル ‖ ---- |/| 青のスパイラル・ケ−ブル。光ファイバ− |/| ケ−ブルの単なる保護カバ−。MDF からず |/| っと付けてくる。 [ ATMル−タについて ] ATMメガデ−タネッツ用のル−タは、今のところ数社から出ている。ここではSI業者 の指示で、国産家電メ−カの某H社の製品を使うことになった。値引きで約20万円だっ たので購入することにした。えらい安く買えるようになったものだ。宅配が持ってきた箱 には、手作りの10ペ−ジ程度の "安全のしおり" と、 付属品として ATM 25M UTP ケ− ブル、3メ−トル1本が入っていた。取扱説明書やリファレンスマニュアルの製本版は別 売りである。設定は業者にやってもらうので、マニュアル類はいらないと言えばいらない が、そんなもんかね。一応、PDF 版は http://www.hitachi-it.co.jp/ から無償で取れる。 ・100BASE-TX 4ポ−ト。PPPoE サポ−トによりBフレッツにも対応する。 ・VRRP サポ−ト。最大2個の Secondary IP をサポ−ト。 ・暗号化機能、オプションで IPSec( DES/3DES) をサポ−ト。 ・優先制御機能( プライオリティキュ−イング )。 ・パケットフィルタリング。 ・スタティックル−ト、RIP1/RIP2、RIP 拡張( ユニキャスト RIP )、OSPF。 ・25 Mbps 以下の ITU-T I.432.5 準拠、UTP接続ができる。メタルは 24 Mbps まで。 * KDDI IP-VPN 接続のことの顛末 ATMメガデ−タネッツ、2002年に入ってからぐらい、えらい人気らしい。それで終 端装置のONTが品薄で入荷してこないのだと。それで回線の開通工事がNTTで待ちの 状態になっているとのことである。申し込みから開通まで、3ヵ月ぐらいはかかるという。 内もだいたい、そんなもんでした。余裕をもって計画したい。 ONTとATMル−タ、ラックの棚板にちょうど並べて置くことができた。パンツのゴム 紐で動かないようにした。幅広のゴム紐をラックの棚板ごとぐるっと回しました。ラック ゴム紐のような取り付け小物も、ラックのメ−カがパ−ツとしていろいろ揃えているので、 そっちから購入してもいいだろう。でも結構、そういうのはお値段もする。 ONTはレンタル。NTTネオメイトの人が開通前日にやってきて、メガデ−タネッツの 導通試験をした。ものの30分もかからずに終わった。ONTとル−タは繋いで行かなっ た。施工区分は端末直前まで。NTTのATM回線故障24時間受付の電話番号。専用サ −ビス工事完了報告書(お客様控え)、1枚の用紙。ハンコを求められた。 IP-VPN 開通予定当日。SI業者さんがやってきて、 ATMル−タの経路設定などをした。 1時間以上かかっていたような。ADSL 回線では、KDDI から依頼を受けた業者1人が、ル −タを持ってきて設置/設定した。東京の支店でのアッカ回線の方もSI業者さんがいっ て、モデムの設置/設定をした。ATMル−タと新たに買った安物のスイッチングハブと の相性が悪く、昔買ったアライドのただのリピ−タハブにしたらうまくいった。 Bフレッツ、メガデ−タネッツは両方とも光ファイバ−の1芯を使う。ちなみに ATM 1.5 Mbps は1芯、3 Mbps は2芯を使うとのこと。NTTが光ファイバ−の先行工事していた のが16芯だった。今回は、設置予定のNTTの FTTH であるBフレッツ分も含めて2芯 を MDF から引き回してもらうことした。回線は同じNTTだから、 工事業者も同じとこ ろがやる。NTTネオメイトさんです。 光ファイバ−の構内での引き回し工事。出入りの電話業者さんに聞いたら3〜40万円か かるとか。NTTさんは1〜2万円でやるので、太刀打ちできんと言っていた。支店の電 話工事は本社出入りの電話工事会社がやった。そんな大きな会社でないので、各地に支店 があるわけでない。出張して作業するのかと思いきや、電話工事会社同士が提携して遠方 の作業をするとのこと。 NTTネオメイトの作業員2人が、光ファイバ−を引き回す場所を確認しにきた。脚立に 乗って天井をはぐってみたり、小1時間ぐらいかかった。無事なんとか通すことができる でしょうということだった。直前になって、SI業者さんはこの確認作業と光ファイバ− の設置をこちらでやっておいてくれと言った。これは困ったな−と思っていたら、NTT さんがやってきて、確認していった。どうなっているの。段取りが無茶苦茶です。 場所の確認してから数日して、光ファイバ−の両端を加工して、樽木に巻付けたのを持っ てきた。2割ぐらい余分に長さをしていたようである。50メ−トルなら60メ−トル程 度。光ファイバ−は案外ふにゃふにゃ曲がる。直径10センチぐらい曲げても問題ないみ たい。天井に上がりケ−ブルフィッシャ−で這わせていきました。天井裏は一杯配管やケ −ブルが通っていて狭いです。 光ファイバ−は建物1階にある MDF から2階へ、 天井裏を這わせて階段脇のパイプスペ −スを通って来ます。1階と2階の壁、2階の壁から部屋の中のフロ−リングの下。これ らの壁は石膏ボ−ド。昔のビルはコンクリ−トでしょうが、この頃のビルは石膏ボ−ドで す。ドライバ−で少しつつけば穴があきます。幸いなことにすでに開けた穴を、周りをつ ついて少し大きくしたら通りました。 自社ビルなら、どのように電話線なり光ファイバ−なり引き込む工事しても問題ない。ビ ルの一室を借りているような場合、壁をぶち破るとか、へたすると貸ビルのオ−ナに工事 の了解を得なければならない。概ね、これまでやってもらっている電話工事会社がそこら 辺りのことは心得ているようである。まずは出入りの電話工事会社に相談してみよう。 フレッツ・ADSL はいわば公衆回線みたいなもので、IP-VPN ネットワ−クの中では、パケ ットは暗号化しておくのが普通である。モデムを持ってきて電話線につないだのはNTT さんのようだったが、暗号化の IPSecの設定をしたのは、NTTから委託を受けた別な業 者の男だった。どんな設定をしたのかまるで分からない。いつの間にか帰ってまったし。 * 回線設置場所の移動について ADSLや 128 Kbps 専用線の電話線は出入りの電話工事会社が作業できる。Bフレッツ やATMの光ファイバ−の線は、NTTの管轄で電話工事会社はやれない。NTTに言っ て先のNTTネオメイトさんにでも来てもらわないけない。以前、第二電電系の会社が光 ファイバ−引き込み工事をやらせてくれと来た。成端箱を1階と3階に設置して、どちら からでも光ファイバ−につなげる事ができると言っていた。成端箱には電気はいらない。 光ファイバ−を単純に何かアダプタをつけて延長できそうな気がするができない。アライ ドに電話したら女性が出てそのまま質問をどうぞと言うので、お宅の製品で何とかなりま せんかと尋ねたら、即できませんと言われた。らしい製品はあるが、それはイ−サネット としての光ファイバ−を中継させるハブであって、回線の中継に使うことはできない。出 入りの電話工事会社にも聞いてみたが、やはりないですね−と言っていた。`24/10 [ 成端箱はどうして必要か ] `2d/01/31 何となく分からなくなって放置していた。自問してはっと分かった。外からの光ファイバ は12芯とか24芯とかたくさんの光ファイバの芯が束ねられている。その内の1本か2 本を使うのだが、束ねた芯のケ−ブルを固定するとか保護するためのいわゆるカバ−、箱 である。この箱から多分長くてもケ−ブルを数メ−トルむいて、芯をだしてネットワ−ク 装置なりサ−バなりに接続する。送信と受信で別々の光ファイバケ−ブルを使う。 (2) SSL-VPN 製品のいろいろ `23/06〜 * SSL-VPN 製品について 2003年に入って、続々と SSL-VPN という新しい製品が出てきた。 最初に名前を聞い たのは6月、SWANStor だった。WWWブラウザさえあれば、 外部から内部へアクセスで きるという。ファイアウォ−ルの設定変更もない。ユ−ザのパソコンに特にソフトを入れ ることもない。最近 SWANStor の売り込みが多い。国内でも、もうかなりの導入実績があ るみたいである。Java アプレットを使うタイプもある。この場合、パソコンの Javaの実 行環境が問題になるかも知れない。 ここにきて俄然 SSL-VPN が注目をあびてきたのには、 IPSec はやっぱりややこしかったのだ。 ユ−ザの各パソコンにも IPSec 用のソフトを入 れて、設定も必要だった。IPSec の仕様なんぞ何度読んでも頭に入らなかった。IPSec の 他 L2TP も PPTP も仕組みは似たようなものである。 それにしても、FireWall-1 のリモ −ト・クライアントのソフトの設定のややこしかったこと。あんなことを1台1台のパソ コンにやるのは、実際問題できるものではない。 SWANStor http://www.areabe.com/jp/ > セキュア・リモ−トアクセス・ソフトウェア。エリアビジャパン(株)、2000/12 米国法 人設立、国内は 2001/11設立。SWANStor Suite 2.0J 日本語版、50ユ−ザ158万円 から。この価格は HTTP のみで、他プロトコル用のオプションがある。保守費用はパッ ケ−ジ価格の20%。2002/08 出荷開始。ASP版サ−ビスというのもある。プロバイ ダに設置した SWANStor Gateway を使う。20ユ−ザ年約30万円〜。どうも同時10 ユ−ザ以上なら、自前で SWANStor Gateway を立てた方がレスポンス上いいとか。 AEP SureWare A-Gate, AG-50 http://www.sc-comtex.sse.co.jp/ > SSL VPN アプライアンス。アイルランドの AEP システムズ社開発。対応 SSL バ−ジョ ン SSL3.0, TLS1.0。対応プロトコル HTTP, POP, SMTP, IMAP, RDP にも対応する。 最 大50ユ−ザ同時接続、89.8 万円。サ−バ側の証明書発行機能あり。 細かなアクセス 制限は設定できないみたい。住商エレクトロニクス系の SC-Comtex も扱う。 パンフレ ット紙切れ1枚だけで、他に資料がまるでない。注、RDP( Remote Desktop Protocol )。 Alteon SSL VPN http://www.alteon.co.jp/ > Nortel Networks 社開発。セッション・プロキシ機能により HTTP,FTP,POP3,SMTP,IMAP, Telnet にも対応する。認証は LDAP,RADIUS などサポ−ト。デジタルIDクライアント 証明書も対応。同時アクセス100ユ−ザのライセンスで181万円など。Alteon SSL Accelerator のオプションとしてある。つまりアクセラレ−タ装置も必要のようである、 300万円以上。「NETWORK MAGAZINE」2003/11, P.164〜165 も参照されたい。 NOKIA Secure Access System http://www.nokia.co.jp/ > 2003 N+I で発表。NOKIA IP シリ−ズとプラットフォ−ムは同じ。アプライアンス製品。 DMZ に設置するタイプ。IP130/IP350/IP380。IP130 の同時10コネクションで 61.5万 円、初年度の保守料込。2003年7月下旬から出荷。デジタルIDほか各種認証方式 に対応する。HTTPS, FTP, SMB 対応。メ−ルやグル−プウェアは Java アプレットによ るプロキシ( Port Forwarding Proxy )機能で利用可能。日本語対応している模様。 米国 Neoteris Access ファミリ http://www.networks.macnica.co.jp/neoteris/ > Linux ベ−スのアプライアンス製品。対応プロトコルは HTTP など上記の通り扱う。認 証も同様扱う。Neoteris Access 1000 Series は最大同時250ユ−ザ。2003/04/07発 表。50同時ユ−ザで250万円から。2003/10、NetScreen社が買収した。以下その後 追記:国内はマクニカが販売。NEOTERIS IVE Access と言う名前に変わった?。DMZ 上に設置しファイアウォ−ルを通さず、直に内部ネットワ−クに入る図が出ていた。 FirePass http://www.f5networks.co.jp/ad/ > BIG-IP という負荷分散装置で有名なF5ネットワ−クスジャパン(株)の製品。 もとは レイヤ7スイッチ?。FirePass 1000 Series 1Uの FirePass-1010 は同時25ユ−ザ で250万円。 4000 Series 2Uの FirePass-4110 同時100ユ−ザが600万円超。 これらiモ−ドにも対応とか、どういうことかな。同時ユ−ザ数だから、SSL-VPN の利 用者が100人位いても同時25ユ−ザのでいいのでないか。CTC扱い。 [ SSL-VPN アクセスの仕組み ] WWWブラウザ HTTPS HTTP, SMB とか □---------------->■---------------->◆ SSL 対応アプリ SSL-VPN 装置 WWW, SMB サ−バ 外からは SSL-VPN 装置へ HTTPS でアクセスし、 SSL-VPN 装置 が HTTP,SMB, SMTP など それぞれのプロトコルに変換しアクセスし、 また HTTPS にしてユ−ザにパケットを返す。 早い話、SSL-VPN 装置というのはリバ−スプロキシとアプリケ−ションゲ−トウェイが合 わさったようなものかな。WWWのプロキシサ−バでも、FTP サ−バへの代理アクセスが できる。WWWブラウザで見ることができるように変換している。これはまさにアプリケ −ションゲ−トウェイの機能である。Telnetなど特殊プロトコルの場合、多くの SSL-VPN 装置は Java アプレットなどをダウンロ−ドしてアクセスするようにしている。 SSL-VPN サ−バが、代理で Telnet アクセスして HTTPS に変換してもいい。 まあ、変換ソフトを 作る手間より Java アプレットでアクセスする方が汎用的で簡単ということなのだろう。 * とりあえずこんなんでどうかな telnet もしたいとか Notes サ−バにもアクセスしたいとか、社内のメ−ルサ−バにその ままアクセスしたいとか。これらは Java アプレットをダウンロ−ドしないといけないと か、ActiveX がいるとか。製品によってまちまちで、オプションで別途お金もいったりす る。とりあえず自分とこのファイルサ−バにアクセスできればいい。 社内で Windows の ファイル共有しているのが、外からでもできるということ。 そうなると SSL-VPN 装置は、 SMB プロトコルもブラウザで見れるのがいい。SMB の対応はディレクトリ名やファイル名 も、ちゃんと日本語対応していることが必要である。 SSL-VPN 装置とクライアント用のデジタルIDを発行できること。SSL-VPN 装置は、つま るところ SSL 対応暗号化WWWサ−バである。 クライアント用のデジタルIDはなくて も暗号化アクセスはできる。しかし安全性を考えるとクライアント側もデジタルIDで認 証した方が望ましい。クライアント用デジタルIDがないと、どなたさんでもアクセスで きてしまう。アクセスしたら、SSL-VPN サ−バからロッグイン画面が出る。この際の認証 も問題である。ただの8文字のパスワ−ドでなく、パスワ−ドより長いパスフレ−ズやワ ンタイムパスワ−ドにするかである。ここら辺りは、よく装置を見てみないと分からない。 パソコンは SSL-VPN装置を使うため、社内と社外で設定を変えるようなことはしたくない。 Java アプレットを使うようなアクセスの場合、パソコンのIPアドレスを localhost の 127.0.0.1 にせないけない、そんな話を聞いたような。SSL-VPN 装置ヘのアクセスはドメ イン名にするまでもない、IPアドレスのままでいいだろう。外のパソコンのブラウザか らは https://202.241.128.4/ へアクセスする。認証画面が出てパスワ−ドなんか入れる と、その人用のメニュ−画面が出る、そのユ−ザは社内WWWへアクセスが許されている としよう。https://202.241.128.4/http/192.168.1.8/index.html というアクセスになる。 SSL-VPN 装置は小生としては、アプライアンス製品を使いたい。 SWANStor はなるほどよ さそうだが、2つもコンピュ−タが必要で、ちょっと費用がかかってしまう。小生の勘だ が、NOKIA Secure Access System がよさそうである。 同時10ユ−ザで、価格も手頃だ し。海のものとも山のものとも分からない物に、最初から高い買い物はできない。 NOKIA これを一つ買って、いろいろ試してみようかと思う。多分ファイル共有は問題ないだろう。 ユ−ザ認証とアクセス制限がキ−だ。クライアント用のデジタルIDの扱いはどうなるか、 簡易発行機能があるとか。ともかく実際に触ってみないことにはよく分からない。 * SWANStor について 小生が初めて SSL-VPN という名前を聞いたのが SWANStorで、面白い製品だなとは思った。 しかし実際に購入したのは A-Gate だった。もうその時でも SWANStor というのは製品と してあったかどうか定かではない。そして今日、まるで跡形もなくなった。`27/07 外のユ−ザはWWWブラウザから SWANStor Gateway に HTTPSでアクセスする。SWANStor Server が Gateway を定期的に監視していて、Gateway にアクセスが来ていれば、Server と接続し、ユ−ザ認証をするという仕組みになっている。Gateway はただアクセスの窓口 としての機能しかない。ユ−ザ認証するためのパスワ−ド情報は、内部ネットワ−ク内の Server にしかない。そのため他の SSL-VPN 製品より安全性が高いとセ−ルスポイントに している。Gateway と Server 間も 128 bit SSL 暗号化通信をする。HTTPS(TCP/443) パ ケットをファイアウォ−ルで Gateway と Server 間を通せばいい。これ以外にSSL-VPNに 関して設定することはない。まとめると、内部ネットワ−ク側の専用サ−バから SSL-VPN 装置にポ−リングして接続する。ファイアウォ−ルの HTTPSを外から内向きに穴を開けな くていいので安全である。ということである。しかし2台もマシンを維持管理しなければ ならないのはいやらしい。内から外ヘのパケットを横取りされることだってある。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ この絵は安全なリモ−トアクセスす \___________/インタ−ネット る場合である。どこでもWWWブラ : : ウザさえあれば、内部のWWWサ− □ Router ▲ 外のユ−ザ バなとにアクセスできる。取り引き | ↑ 会社など複数の拠点で、同様設置す ---------------- ↓ れば、安全なエクストラネットのシ | ■ SWANStor Gateway ステムを構築することができる。 ------ | アクセスの窓口。 |Fire|--------- DMZ がパブリックIPならそのまま ------ ■ SWANStor Server 外からアクセスする。プライベ−ト | | ここでユ−ザ認証 IPなら仮想IPを設定する。 --------------------- と利用制限をする。 | | 両サ−バは Red Hat Linux 7.2以上。 ◆ ◆ 内部のWWWサ−バなど Windowsでは NT/2000 など各種対応。 オプションには Muti Protocol Option と言って、 タ−ミナルクライアント(FTP,Telnet, RDP)、E-mailクライアント(POP,SMTP,IMAP4)、それに Notes、MetFrame、Oracle DB クラ イアント用のがある。それぞれ148万円。年間保守料15%。本当かや、オプションの 方が俄然高いぞ。これらは Java か ActiveX のプログラムをダウンロ−ドして使う。 ブ ラウザさえあればOKという SSL-VPN の旨みがなくなってしまう。 ユ−ザ認証にはICカ−ド ARCACLAVIS 本人認証モデル、ベリサイン社クライアント認証、 FOMA の SSLクライアント認証サ−ビス FirstPass (無料,NTTドコモ 2003/06/20発表)、 RSA SecurID ワンタイム・パスワ−ド認証、RADIUS 認証、Windows 認証(ドメイン/ワ− クグル−プ/AD)。ユ−ザ管理ツ−ル LDAP Manager エクスジェン・ネットワ−クス社。 Qシグナル方式という双方向ワンタイムID認証技術SKIP-Q。九州大学が開発、エイシ− エスが製品化した。ワンタイムID、ワンタイムパスワ−ドを通信の度に動的に生成する。 SKIP サ−バとクライアントは Windows か Linux。SKIPクライアントのキ−を入れる媒体 はフロッピ−、USBキ−、ICカ−ドでも何でもいい。2003/05/15、日商エレクトロニ クス扱い。SWANStor にアクセスする前のユ−ザ認証に利用する事例がある。 * 参考 「日経インタ−ネットソリュ−ション」 2003/05, P.56〜60。 > 製品急増する SSL-VPN。リモ−トアクセスに向くVPN製品、 "クライアントレス" で運用が手軽に。SWANStor, Alteon SSL VPN, FireWall-1 VPN 等。 「N+I NETWORK Guide」2003/09, P.98〜127。"第2特集 SSL VPN 導入「超」入門"。 > なかなかタイムリ−な特集記事だ。Alteon SSL Accelerator 310 での導入例。 「N+I NETWORK Guide」2004/08, P.74〜135。"第1特集 SSL VPN:導入・構築・運用時の疑 > 問に答える"。1) リバ−スプロキシ方式、2) Java ポ−トフォワ−ディング方式( Java アプレットを装置からダウンロ−ド)、3) SOCKS+SSL 方式、4) ActiveXカプセル化方式。 「SSL VPN を安全に運用する為のユ−ザ認証技術」2005/06, 12ペ−ジ, "SSL-VPNリモ− > トアクセス分科会ホワイトペ−パ"。東京の展示会でもらった。 (4) SSL-VPN 装置を設置する ( SureWare A-Gate AG-60 での例 ) `25/03 * 結局どのメ−カの SSL-VPN 装置を選んだか AEP Systems 社の SureWare A-Gate タイプ AG-60 にした。これは2004年1月リリ− スされたもので、同時接続ユ−ザ数はメ−カ推奨値50、定価169万円である。 AG-50 は2003年春に発表されていて、VPN機能がないWebブラウザだけのアクセスであ る。VPN機能があるのは当時 AG-600 になり、定価は298万円だった。SSL 処理がハ −ドウェアになるということで、ちょっとばかり高くなる。AG-60 はその中間の製品であ る。2004年2月ファ−ムウェア Ver 3.0 リリ−ス。 PKIでないクライアント認証 機能、Anti Virus ソフトや Personal FireWall ソフトとの連携。ポ−タル画面のカスタ マイズができる。購入したのは Version: 3.1.0.0 だった。 実際の運用では、複数のユ−ザがアクセスできるようにダイアルアップ回線が必要である。 主に営業マンさんが携帯電話などからインタ−ネットに接続し、この装置にアクセスする。 IIJ のサ−ビスでどうか。50ユ−ザ分で月1万円。1ユ−ザ月2時間までの利用分が含 まれていて月1万円である。越えた分は1分5円。海外でのロ−ミングなどもオプション であり。アカウント管理画面も用意されている。メ−ルアドレスはない。IIJ では同じア カウントで同時にダイアルアップ接続できる。TCP では複数ユ−ザ用のダイアルアップ接 続のメニュ−はなく、同時接続はできなかった。ちなみ A-Gate へのロッグインも試した ところ、同じアカウントで同時にアクセスできた。 [ A-Gate の特徴と機能 ] ・A-Gate Anywhere Webブラウザ 通常のWWWサ−バへのアクセス。HTTPの 80/TCP ポ−トへのアクセスができる。た だしこれだけでは Outlook などメ−ルソフトは使うことはできない。 ・A-Gate Central TCP/UDP アプリケ−ション専用ソフト クライアントのパソコンにダウンロ−ドする。873KB のソフト。一度インスト−ルし たらいい。パソコンの画面に {A-Gate Central VPN} というアイコンができる。 ・Windows Terminal Service (RDP) の利用 Windows に入りこんでそのパソコンを操作する。デスクトップを公開する。RDP 用の クライントソフトの Java Applet を A-Gate からダウンロ−ドする。 * A-Gate のアクセス制限の機能と利用 グル−プ単位でのアクセス制限。ユ−ザ単位ではできない。ユ−ザ1つに対して1つのグ ル−プを作れば、実質ユ−ザ単位でアクセス制限できることになる。ユ−ザは複数のグル −プに属すことができる。小生は一般ユ−ザのグル−プ、それに特権ユ−ザのグル−プを もうけ、特権ユ−ザは一般ユ−ザに加えてできることを追加するようにした。 ユ−ザ認証の種類。Windows ドメインコントロ−ラ(139/TCP)、Radius (1812/UDP)、LDAP (389/TCP)、Active Directory などなど利用できる。デジタルIDも可能、プライベ−ト なCA用デジタルIDを作成し、SSL-VPN 装置と各パソコンに入れる。本体に内臓されて いるユ−ザ認証デ−タベ−スも利用できる、最大ユ−ザ数250、これを使うことにする。 クライアント側パソコンの設定。A-Gate にはIPアドレスではアクセスできない。 パソ コンの hosts ファイルに A-Gate のホスト名を記述すること。 または自社のDNSサ− バにこのエントリを記述するかである。小生はDNSには記述しないとした。パソコンに 対応を記述しなければいけないのを、最初のアクセス制限に利用することにした。 PKIでないクライアント認証機能とは。パンフレットによれば2004年2月対応予定、 A-Gate 独自の方式により、 高価なPKIシステムを利用することなくクライアントPC を特定できる。 メニュ−では [Client Policy]->[Machine ACLs] のところがそうである。 ぜひ、この機能も利用しよう。アクセスできるパソコンを制限することができる。 CAPTCHA というフレ−ズ入力機能。パスワ−ドを自動生成するソフトからの攻撃を阻止で きる。もちろんこれも利用する。実運用では上記のこと全部やって、ダイアルアップ接続 に A-Gate へのロッグインは、それぞれユ−ザ個々にアカウントを設ける。1つのアカウ ントでやることも考えたが、異動や退社のことを考えると個々に管理した方が安全である。 Windows XP だと RDPが利用できるはず?。HTTPS(TCP/443) -> A-Gate -> RDP(TCP/3389)。 シンクライアントアクセス( RDP )とパンフレットに記載。プリコネクトチェック機能(今 でいうホストチェッカ−のこと)。CPUクロック数はパソコンを省電力モ−ドにすると落ち る、このため A-Gate にアクセスできないということがあったらしい。`28/04 追記。 * 設定その1 アクセスの図 先ず最初にすることは、A-Gate にRS-232C接続して装置のIPアドレス、デフォルトゲ− トウェイなどを設定する。そして自己署名したサ−バ用のデジタルIDを作成する。社内 だけで使うので Verisign なんかからデジタルIDをとる必要は全くない。一応、この装 置を借してもらった時に自分でデジタルIDの生成もやってみたが、特に難しいことはな かった。国名、県、市、会社名、部署名とかデジタルIDを作る際に記入するが、内輪だ けの利用なので別にどんな名前でも構わないと言えば構わない。とりあえず、設置にきた 業者さんにヒアリングシ−トに記入して、やってもらったそのままでよしとする。デジタ ルIDは有効期間は1年間のができる。さて、1年過ぎたらどうなるのか。SSL-VPN 装置 設置のポリシ−は Windows の hosts ファイル利用、パスワ−ド認証利用、Machine ACLs 利用、CAPTCHA 利用。A-Gate Central VPN ソフトを利用して、 内外で操作性を変えるこ となく社内WWWやメ−ルサ−バにアクセスすることとする。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\インタ−ネット \_______________/ ファイアウォ−ルでは SSL-VPN : | 装置から内部ネットの特定のホ : ▲Windows 2000/XP ストのサ−ビスにアクセスでき : ↑ るよう、フィルタリングのル− : 仮想IP ↓HTTPS 暗号化 ルを設定する。FireWall-1では Router□ □ ■A-Gate A-Gateの仮想IPアドレスの設 | | .4| 定もしておくこと。"Workstati --------------------------- 202.241.128.0 on Properties" で"NAT Static | 202.241.128.4" とする。 | □WWW ■A-Gate ___ ___ ------------ | | \ \ \ |FireWall-1|------------- \ | | ------------ |POP3 |HTTP |Telnet, Syslog | | | | -----------------------------↓--------↓--------↓------------- 192.168.1.0 | .7| .8| .9| | □ □ □ □ □ ファイル共有 NetCache Mail-Store イントラ 管理用ホスト | | 192.168.1.7 | 192.168.1.8 | 192.168.1.9 グル−プ| ユ−ザ | POP3 | HTTP | Telnet --------|-------------------|-------------|-------------|------------ ippan | yasu, yosi, ikken | ○ | ○ | admin | ikken | | | ○ ユ−ザ yasu, yosi, ikken はメ−ルを受ける、イントラにアクセスできる。 イントラは 社内用WWWである。加えて ikken は管理用ホストに telnet もできるようにする。 メ −ルを出すのもやりたければ SMTP を追加する。Samba などのファイル共有サ−バにアク セスしたければ 139/TCP を追加する、FireWall-1 では nbsessionである。ちょっとばか り注意、telnet したホストから他のホストへも telnet をかけることができる。 ファイル共有については。先ずパソコンの Windowsへのログオン( ユ−ザ名 katou, パス ワ−ド passA ) --> A-Gate へのロッグイン( ikken, passB ) --> Sambaのアクセス制限 ( katou, passA )。 Windows へのログオンした時のアカウントが Samba のファイル共有 に適用される。つまりユ−ザ katou のアクセス権限があるところに、 アカウントを入れ ることなく、そのままファイルにアクセスできる。 * 設定その2 A-Gate の [Remote Access] 部の設定 エントリされたマシン GUID を "Default" から "nix" にする。これで実際エントリされ たマシンから A-Gate で許可指定したサ−ビスが使えるようになる。□ IKKEN-PC にチェ ック〆をして、右上の[Assign] をクリックすると Assigned ACL は nix になり、すぐに 有効になる。[Save Changes]をクリックしなくても有効になる、装置の電源を入れ直すと 変更前の状態に戻り有効ではなくなることに注意。マシンの登録を一旦消して、再度登録 したら GUID は違った文字列になった、マシンのIPアドレスには依存してない。それで このパソコンを他のネットワ−クに持って行っても、つながるということ。マシンの登録 を消さずに同じマシンを登録すると、これも IKKEN-PC になった。 GUID は違った文字列 になった。パソコンに再度VPNソフトをダウンロ−ドすると新しい GUID のをとってく る。どうも前の GUID での登録はこの時点で有効ではなくなるみたいである。 Machine Name, GUID の出所は?。Machine Name は Windows 2000 パソコンで見たところ、 [コントロ−ルパネル]の[システム]->[システムのプロパティ]->[ ネットワ−クID] の 画面に出てくる "コンピュ−タ名"、"フルコンピュ−タ名"、[詳細] をクリックして出て 来る "NetBIOS コンピュ−タ名" が皆同じ名前で、IKKEN-PC だった。GUID の方はVPN ソフトをダウンロ−ドしてパソコンにインスト−ルする際に、このパソコンからいろいろ 情報を取得して、それをハッシュ値にして A-Gate 内に記録したのがそうである。このパ ソコンを A-Gate にアクセスできるようにするには、一つ登録する作業が必要である。上 記の、マシンGUID を "Default" から "nix" にすることである。A-Gate の SSL-VPN装置 の安全性の要がこの GUID である。他のメ−カの装置にはこの機能はない。Machine Name の注意、パソコンの"コンピュ−タ名"に日本語を使う輩がいる、登録文字は化けてしまう。 * 設定その3 パソコン側での操作設定 C:\WINNT\system32\drivers\etc\hosts 手元のパソコン Windows 2000 の場合で ------------------------------------ は先ず左のように記述する。IEのバ−ジ |127.0.0.1 localhost ョンは 6.0.x 代である。 |202.241.128.4 ag60.nix.co.jj パソコンは社内ネットにつないだままで、IEで https://ag60.nix.co.jj にアクセスする。 セキュリティの警告の画面メッセ−ジが出てくる。このセキュリティ証明書は信頼する会 社から発行されていません。続行しますか?、はい(Y) を押す。次に A-Gate のロッグイ ン画面が出てくる。ユ−ザ名 ikken とパスワ−ドを入れる。A-Gate のポ−タル画面が出 てくる、"Install Central VPN Client" をクリックする。 VPNソフトをインスト−ル する画面が出るので [Install] をクリック。 ファイルのダウンロ−ドの画面が出るので [開く] をクリック。セキュリティの警告の画面メッセ−ジが出てくるが、はい(Y)を押す。 これで {A-Gate Central VPN} のアイコンが画面にできる。アイコンをクリックするとロ ッグイン画面も出てくるが、ここまでのままでは先にアクセスできない。 {A-Gate Central VPN} のアイコンをクリックして、パスワ−ドなど入れ[Connect]を押す と、初めての場合 "Security Alert" 証明書に問題があるうんぬんと書いてある画面が出 てくる。[View Certificate] をクリックする。証明書という画面がでてくる。[証明書の インスト−ル] をクリック、{証明書のインポ−トウィザ−ドの開始}と言う画面が出てく る。次へ、ハイとか完了とかを押していく。 IE に A-Gate のデジタルIDがこれで入る。 IE の [ツ−ル]->[インタ−ネットオプション]->[コンテンツ]->[証明]->[証明書]の [信 頼されたル−ト証明書] にある。発行先 ag60.nix.co.jj、発行者 ag60.nix.co.jj、有効 期限がいつからいつまでの1年間。この証明書 [コントロ−ルパネル]->[インタ−ネット オプション] でも辿ることができる。 これで社内にいるときと同じように使える。社内WWWやメ−ルサ−バなどにアクセスで きる。もちろん A-Gate でマシンを登録してアクセスを許可したサ−ビスだけだが。終わ る時はアイコン {A-Gate Central VPN} 画面の [Disconnect] をクリックする。VPN接 続している間は、Windows の画面右下のちいさなアイコンに鍵マ−クがついている。テス トする際の注意点。社内ネットワ−クの自分のパソコンから A-Gate にアクセスして動作 確認をしてみる場合のこと。 自分のパソコンにフリ−ソフトの windump とか入れてパケ ットの様子を見れば、どこからどこへ通信しているかは分かる。 A-Gate でそのパソコン に許可した所へしかアクセスできないと分かりやすいのだが。許可されてない所へは通常 のまま A-Gate を介さずにアクセスできてしまう。 * 装置の設定内容のバックアップ バックアップでは幾つかの設定などを取ることができる。Web画面からの操作、CLI で しかバックアップを取れないのもある。CLI とはここでは RS-232C接続のことである。バ ックアップするには幾つか方法はあるが、RS-232C 接続し通信ソフトで Zmodem プロトコ ルを使うのがやり易いということだ。A-Gate とパソコンとは Cisco の黒のペラペラのモ ジュラ−ジャック付きのケ−ブルで RS-232C接続した。通信ソフトは Windows 2000 のハ イパ−タ−ミナルを使った。新しい接続 [A-Gate] で適当に名前を打って、接続の設定で COM1 とかの RS-232C を選ぶ、パラメ−タは 38400,8,なし,1,Xon/Xoff。画面でリタ−ン キ−を押すと Password: と出てくる。ロッグインは出て来ない。A-Gate は稼働中でもい い。ハイパ−タ−ミナルを閉じる際、セッション A-Gate を保存しますか?と聞いてくる。 [はい] を選ぶと、[スタ−ト] メニュ−から辿って行くと、あらかじめ A-Gate アクセス 用に設定されたハイパ−タ−ミナルのメニュ−、A-Gate.ht が出てくる。 HyperTerminal [転送]->[ファイルの受信] で -------------------------------------------- HyperTerminal での Zmodem プロト | 受信するファイルの保存先 コルによるファイルの送受信は、少 | [ C:\Documents and Settings\ikken\agate ] し分かりにくい。直感的な操作では | ない。HyperTerminal で先ず、保存 | 使用するプロトコル する先のフォルダを指定する。そし | [ Zmodem (クラシュ回復機能付き) ] て >export xxxx とコマンドを叩い | て、zmodemでやりますかと聞いてき | [受信] [閉じる] [キャンセル] たところで、y を押すとパソコンに -------------------------------------------- SYSTEM.OUT とかファイルができる。 * Windows Terminal Service (RDP) の利用 `28 A-Gate を購入した当時から、ついこないだまで SSL-VPN装置の RDP 機能というのはよく 分からなかった。Windows OSに実装されているリモ−トデスクトップのアクセス機能を SSL-VPN 装置でエミュレ−ションするというものらしい。外のパソコンから A-Gate へは HTTPS アクセスする。A-Gate から社内の Windows Terminal Server へは 3389/TCP でア クセスする。Windows Terminal Server は Windows Server 他 Windows XP Professional にも入っている。A-Gate へアクセスしてその際に Java Applet( RDP用クライアント )を ダウンロ−ドする。Windows の認証画面がでてきて、アカウントをいれると手元のパソコ ンの画面がそうなる。A-Gate Anywhere Remote Desktop Access (Adesk) 機能。 (5) 全体ネットワ−クはどうなったか `25/02 * 2005年こんな絵になりました この後の続きは "3-1. 基本ネットワ−クの設計, (5)2005年からのネットワ−ク" へ。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\インタ−ネット \______________________/ | | | |既存ISP |新規ISP |iDC レンタルサ−バ □―/ ̄ ̄ ̄\ / ̄ ̄ ̄\ / ̄ ̄ ̄\―● フレッツ・オフィス DNS-2\___/ \___/ \___/ -------- 取引先ネット : : | 従来回線 TCP: :新規回線 IIJ | ̄ ̄ ̄ ̄ ̄|地域IP網 フレッツ・ADSL: モデム◇フレッツ・ADSLモア24 |_____| モアスペシャル: / : RTX1000■ ■RTX1000 :フレッツ・ADSL --|-------|-- LinkProof マルチホ−ム装置 : | ◆ ◆ | ◇モデム | DNS DNS | 仮想IPアドレス | --------------- □hostA' □ □ ■ CentreCOM AR230E 202.241.128.0 | | | | | 最大 45.6 Mbps ------------------------------------------------------------- (BB-Router) パブリックIP| Web-Mail SSL-VPN | □hostA □Qube3 □ hostA( WWW,DNS-1,Mail-Relay ) NAT変換 ------------ | | | hostB( Mail-Store,InterScan ) |FireWall-1|--------------------------- DMZ ------------ | □hostB □全社WWWと | | |ファイル共有 192.168.1.0 ----------------------------------------------------------- プライベ−トIP 部門ファイル共有 | △ △ Qube3□ | △ △ | | | ---------------- 無線LAN | | ----------------------| |---■………………■------ 隣接工場 |Layer-3 Switch| ブリッジ接続 △ △ Qube3□ | | △ △ | | | | Summit24 | ----------- | | ----------------------| |---|SonicWALL|----------- 事務系ネット | ---------------- ----------- | ■ダイアルアップ | NAT変換 ■ : □Proxy Server :MDN 1.0(0.5) : (NetCache) : :取引先ネット / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\KDDI IP-VPN ------------- \___________/閉域IP網 AT&TセキュアIP : : ネットワ−クなど フレッツ・ADSL:1.5Mbps :アッカ 512Kbps △ △ ■ ■ △ △ | | |四国 東京| | | --------------- --------------- [ IIJ 回線のル−タ RTX1000 の設定 ] 外から内への SMTP と HTTP を許可するようにすること。RTX1000 は稼働させたままでも 構わないので RS-232Cで接続し、次のようにコマンドを打つ。即座に有効になる。フィル タリングはざくっとしたル−ルにしてみた。 FireWall-1 でおかしなパケットはブロック するし、TCP 側の RTX1000 はレンタルでそもそもフィルタリングはされていない。 # ip lan1 address 192.168.50.25/29 ※ filter 4 は UDP パケットの 53 番だけ入り # ip filter 1 pass * * established を許すということ。他の UDPパケットは入っ # ip filter 2 pass * * icmp てこれない。NTP が使えないとか IPsecのパ # ip filter 3 pass * * tcp ftpdata * ケットが通らないとかいろいろ出てくる。そ # ip filter 4 pass * * udp domain * れで、後に全部入り許可の udp * * とした。 # ip filter 5 pass * * tcp * smtp # ip filter 6 pass * * tcp * 80 ※ 80 は www でもいい、http というのはダメ。 # pp disable 1 # pp select 1 pp1# ip pp secure filter in 1 2 3 4 5 6 pp1# pp select none # show config ※ 他よい子では Cobalt Qube3 でWebメ−ル # pp enable 1 をサ−ビスしている。このためのポ−ト 444 # save も外から内へ開ける。 Saving ... CONFIG0 Done . * ネットワ−クのデフォルト経路などの模式図( 取り引き先と支店は除いた ) :TCP :IIJ IIJ割当IPアドレス 192.168.50.24/29。 Router ■ ■ 有効IPアドレスは 192.168.50.25〜30。 128.1| |50.25 | | ↑50.27 で外へ TCP のル−タの設定は変わらずそのまま。 128.9| |50.26 TCP 側回線は 202.241.128.9 で、IIJ側 ----------- 192.168.50.28 回線は 192.168.50.27 で外へ出ていく。 |LinkProof| □ hostA" | | 仮想IP FireWall-1のデフォルト経路は変更する。 | Branch | □ hostA' 202.241.128.1 から 202.241.128.9 へ。 ----------- 202.241.128.3 |128.9 hostA'は実IPアドレス 192.168.2.1を | ↑d FireWall-1 で 202.241.128.3 にマップ。 |128.2 d □ hostA NAT ------------2.2 ←― |2.1 hostA"の192.168.50.28 は LikProof で |FireWall-1|------------ 192.168.2.0 202.241.128.3 からマップ。 ------------ d □ hostB |1.2 ←― 1.1| ================== 192.168.1.0 ↑ ‖ \d ‖1.9 ===は同じセグメントを表す、 d ------□-------- d △ △ 同じネットワ−クIPアドレス。 ---------- →1.9| |3.9 ← | | |NetCache|===□ レイヤ3 □―――――― 192.168.3.0 << `2c/01 修正、前は ----------1.5 | スイッチ | 192.168.2.0だった。 | | NAT-----------200.1 ========□ □===|SonicWALL|――――― 192.168.200.0 | | → 1.9| |1.8 ← ----------- d | | △ △ d ---------------- ← △ △ * 取り引き会社との専用のネットワ−ク `24/12 営業部門で取り引き先の要望により、何社かダイアルアップIP接続をしてきた。安全な ネットワ−クということで、AT&TのセキュアIPサ−ビスを使ってきた。AT&T独 自の閉域ネットワ−クである。1社がそれを見直すということで、営業の人が取り引き先 から、今年中に切り替えてネとポ−ンと資料を渡されたという。これからはフレッツ・オ フィスを使うという。すでにBフレッツかフレッツ・ADSL を引いていても、 別途引いて くれという。どうもその資料分かりにくい。プロバイダと契約さえすれば、インタ−ネッ トとの接続もできるはずである。フレッツ・オフィスは地域IP網を使う。クロ−ズした ネットワ−クである。アクセス先WWWはIPアドレス指定、暗号化なしで行う。 BB-Router はどこに設置すればいいのか。ファイアウォ−ルの外か内か。ル−タでは NAT 変換を使うと、取り引き先の今回の担当者から聞いた。つまり内側からの発信はWANポ −トのIPアドレスでの発信になる。ファイアウォ−ルの外に設置すれば、特に NAT変換 する必要はないのだが、お互いそうする方が望ましいのかも知れない。一応、これで外か ら中へは入れない。NAT 変換すれば、ファイアウォ−ルの内側にル−タを設置しても関係 ない。考えた結果ル−タはファイアウォ−ルの外に設置することにした。このためのパブ リックIPアドレスが1個必要だが。取り引き先網は、いろいろな会社が繋がっているの だから、それなりに安全策は取って置いた方がいいだろうと小生は判断した。 しかしアクセス先のWWWサ−バのホストは、パブリックIPアドレスだった。インタ− ネットとは別な場所に、バブリックIPアドレスの空間ができている。そんなことになっ ている。フレッツ・オフィスを利用する設定はどのようにするのか。ル−タはやってきた 業者がその場で設定をしていた。設定リストは見せるなと指示書の表紙には書いてあった。 設定は開示できないそうだ。指示されたことは、2つネットワ−クアドレスを静的経路と して設定してくれという。FireWall-1のマシンで経路設定した。ル−タの設定は完全ブラ ックボックスである。内部ネットのマシンから traceroute やっても反応は返って来なか った。ル−タが通さない設定になっていたようである。 [ メモ:AT&TのセキュアIPサ−ビス ] AT&T独自の閉域IPネットワ−クを使ったエクストラネットなどへの利用。セキュア IP WANとセキュアIPリモ−ト・アクセスのサ−ビスがある。 弊社で利用していた のはリモ−トの方でダイアルアップして接続する。専用ダイヤラ−というソフトがあって、 専用画面でアクセスする。ユ−ザIDとパスワ−ドは暗号化する。オプションに IPSecに よるVPN接続、Radius認証、ワンタイム・パスワ−ド認証、USBキ−によるパスワ− ド自動入力など。世界60ヵ国、約2500のアクセス・ポイントがある。 [ メモ:フレッツ・オフィス用 BB-Router ] ル−タは業者指定のを買い取り、CentreCOM AR230E と NTT-ME BA8000Pro、設定料込みで それぞれ6万円前後だった。保守が9時〜5時で月に千円位だったか。因に AR230E のお 値段は 2002/02 発売になっていて 20,800 円、その後 2002/08 に 15,800 円になってい る。NTTの Web Caster AR230 はこのOEMである。保守料にはADSLモデムも入ってい た。NTT ADSLモデム-MNШだった。ADSLモデムはレンタルでいい。どんどん製品が変わ る。モデムとル−タが一緒になった製品もあるが、別にした方が信頼性は高いようである。 * レンタルサ−バ `24/02 (株)リフレクションのを借りることにした。FreeBSD のサ−バ1台まるごと占有使用でき る。契約回線速度にもよるが月約10万円程度。帯域 1Mbps、保証 256 Kbps で契約して みた。料金は実はだいぶ勉強してもらった。ディスク容量は40ギガ以上。使用サ−バは HP ProLiant など使用。サ−バは CTC の名古屋デ−タセンタ−に設置される。 セキュア シェルで telnet、ftp する。 WWWサ−バを外に出し24時間ノンストップで安定稼働 させる、メ−ルサ−バの MX にする。あるいは重要デ−タの外部保管場所など多目的な利 用が考えられる。今後は、外にもサ−バを置くことも含めてネットワ−ク環境を構築する ことがデファクトになって行くだろう。`25/02追記、DA128 を ADSL にあっけなく変更が できて、デュアル ADSL になった。こうなると、このレンタルサ−バの意味合はいかがな なものか。一方の ADSL を発信WWWサ−バや動画デ−タ専用にする。もう一方は内から 外への利用にする。LinkProof とDNSを組み合わせば、どんなんにでもできるのだ。 ------------------------------------------------------------------------------------ [ 付録 ] 続 KDDI IP-VPN で営業所を接続する * いろいろ細かいこと MDF の場所はNTTさんは知っていることになっている。NTTさんが電柱から電話線を 引き込む工事をしているのだから。しかし分割民営化されて、NTT工事会社とかいろい ろ分かれている。そのため、知らない場合もあることを念頭に置いた方がいい。NTTは 2002年の12月に大がかりな組織変更/人事異動を行った。自分とこに来て名刺交換 した何人かの人は皆、どこかへ行ってしまった。 支店など各拠点で担当者をあらかじめ決めておいた方がいい。電話線の工事や ADSL モデ ムの設置など、業者さんが支店にやってきていろいろ作業する。その時に対応する窓口で ある。一応その人には、モデムやル−タの設置場所、電源コンセントの場所の確認、ハブ のポ−トの空の確認などやってもらうことになる。 支店3ヵ所の ADSL の電話線引き込み工事は、5万円ぐらいだった。工事代金は幾らかか るか分からないと言うことで、見積りには入ってなかった。電話工事会社からの直接請求 だった。光ファイバの引き込み工事も、見積りに入ってなかった。これも特にややこしい ことがなければ、NTTでの通常工事費の数万円というところらしい。 もし、支店がこれまでのホスト系ネットワ−クと専用線などで接続性がある場合、今回の IP-VPN ネットワ−クと調整が必要である。 そもそも従来の専用線の速度アップで対応す るかの検討から始まり、ついでだから VoIP も含め音声統合ネットワ−クを検討するかだ とか。話は拡がって行くことになる。ともかく VoIP はまだ早いと、含めなかった。 * こうすればよかったかも モデムやル−タのパスワ−ドはこちらから指定する。お任せの場合は、SI業者さんが勝 手にパスワ−ドを設定してしまう。全部の機器で安易な同じパスワ−ドを付けていく場合 が往々にしてあるみたいである。幾ら IP-VPN だとかいっても、日の丸工業という会社名 でパスワ−ド hinomaru とか付けられたら安全とは言えない。 モデムやル−タは買い取りにした方がいいと思う。モデムなんか数万円、ATMル−タで さえ20万円程度だ。レンタルだとマニュアルも何もない場合が常識らしい。一体どこの メ−カのどういう製品が設置されたのかも分からないことになる。それに万が一、SI業 者の関与を切るような場合、レンタルだと引き揚げられてしまう。 SI業者さんを通す場合、通信業者など広域LANを組むサ−ビスをしている業者とは自 社の名義にした方がいいかも知れない。黙っていると、SI業者名義で回線やサ−ビスの 契約をして、それを借りるという形になる。料金の支払いや保守の窓口を一本化するため SI業者さんを窓口にするのはいいが。契約まで首根っこを押えられることはない。 回線契約での問題。アッカやNTTなどの通信業者、それに KDDI などVPNサ−ビスす る会社との契約は、SI業者さんとの間で結ばれる。両者の契約上、約款か何かあるらし く、VPNや接続の設定などは出してもらえないことになってしまう。これはちょっと困 る。経路設定がどのようになっているのか、確認できないことになる。