インターネットVPNについて教えてください

ネットワークに詳しくないので、変な質問かもしれませんが、おしえてください。
インターネットVPNは、インターネット網を使ってVPNを構築するんですよね？　で、データは専用ルータなどで暗号化してインターネット経由でやり取りするわけですよね？
たとえば、インターネットVPNを使って会社の本社と支社を結んでイントラネットを構築した場合、本社と支社の間にはF/Wは必要なのでしょうか？
F/Wが必要な場合、穴をあけるポートは通常のインターネットと同様に80ポートとかしか通らないのでしょうか？
IPアドレスの体系はどうなるのでしょうか？　間にNATやIPマスカレードが必要なのでしょうか？ それとも本社と支社は同じセグメントでいいのでしょうか？

今現在専用線でつながっている本社と支社のNWをインターネットVPNに変更したいのですが、特殊な業務アプリ等の関係や本社から支社のシステムを遠隔コントロールしたりで、UTPプロトコルを使ったり沢山のポートを使ったりしてデータのやりとりをしています。インターネットVPNに変更しても、現状の環境はそのまま継続したいのです。可能でしょうか？
また、専用線と違ってインターネットを経由することでNW帯域が保証されず、パケットロスなどが発生してしまうのでは？と心配です。　NW帯域は2Mbps程度保証されるでしょうか？　パケットロスなどは発生しないのでしょうか？

よろしくお願いします。

No.3 ベストアンサー 回答者： bship 回答日時： 2003/08/07 23:10

VPN, FireWall,QoSと問題が混ざっています。

これらは独立した課題なので、まず問題を切り分けましょう。

1)VPN
RFC的な標準の話と、各製品の実装の話があります。
1-1)標準の話
ご質問のVPNはサイト間VPNを想定していると思われます。これはVPN装置を各サイトに置くもので、この方式だとVPNを意識する必要があるのはVPN装置だけなので、各ホストやアプリケーションは全くVPNを意識ぜずに済みます。
VPNを導入しても、プロトコル（ポート番号等も）に独立です。しかしデファクトスタンダードであるIPSecではIPを使用するという前提が必要です。IPさえ使用していればあとはなんでもありで、且つ、各ホスト、サービスはシームレスにつながります（IPSecの世界ではポート番号という概念がありません。Key交換ではデフォルトでUDP/500を使用しますが、暗号化パケットはESPでカプセル化暗号化されているのでUDPとかTCPとかの概念がないのです）。
アドレス体系に制限はなく、VPN対象とする範囲(VPNドメイン）は自由に設定可です。しかし当然ですが、サイトが異なればネットワークアドレス(サブネット)は異なるのが自然です。また、NAT, NAPTが必須ということでもありません。

1-2)実装の話
しかし実際に使用する機器やソフトウェアがどこまで標準に準拠しているかは具体的な仕様を調べないと判りません。ただ今日のVPN装置はほとんどの機能をカバーしているようですし、更に独自の拡張もしてあることもあり、一般にVPNが不得意とする部分を補う機能があることもあります。

2)FireWall
一般にFireWallというものが過大評価されていまして、無くても、要求される必要十分なセキュリティを確保することは可能です。ですから、FireWallそのものの必要性を考えてもいいですね（おきまりでアリというのでもいいでしょうが....）。あってもなくてもVPNは可能ですので、ポイントはVPN以外の一般的なインターネットアクセスの必要性ではないでしょうか。もちろんFireWallを使用すればVPN用の設定は必要です。また、CheckPoint社のVPN-1/FireWall-1のような一体型のものもあります。

3)QoS(品質保証)
いわゆるインターネットでは保証されません。しかし各社プロバイダが一般のインターネット接続ではなく、専用線との相の子のようなサービスを提供していますので、代表的なNTT, KDDI等のサイトを調べてみるとよいと思います(Keyword:IP-VPN)。割高にはなりますが、帯域保証もあるはずです。

結論：
いろんな構築が可能です。小規模であれば、Windowsを各拠点に設置・設定するだけで済むでしょうし、大規模であれば、それこそ様々な機器、スペック、配置方法があります。
ただいずれにしても、現在使用しているサービスをそのままでVPNを導入ということは、ほぼ間違いなく可能です。
好きずきや環境によりますが、ハードウェアが一台で済み、設定も一括してできる、VPNとFireWallの一体型が個人的にはお勧めです（さらにこれがハードウェアと一体化しているアプライアンスが流行りです）

No.2 回答者： zenzen99 回答日時： 2003/08/07 17:32

こんにちわ。

わたしもインターネットVPN興味ありますが、
今回の質問では専用線で行っているような業務の移行ということで、
頼りにならないわたしの情報はしないでおきます。

参考URLだけ紹介しておきますが、自社内でやるにはそれなりの知識が必要と考えられます。
ベンダやSIさんの意見も取り入れつつ考えていかないといけないかなと思います。

参考URL：http://www.atmarkit.co.jp/fnetwork/rensai/vpn01/ …

No.1 回答者： masakatyan 回答日時： 2003/08/07 17:31

会社でインターネットＶＰＮの管理・運営をしています。

>インターネットVPNは、インターネット網を使ってVPNを構築するんですよね？　で、データは専用ルータなどで暗号化してインターネット経由でやり取りするわけですよね？
そうです。IPSec もしくは PPTP を使えるものを使用します。

>本社と支社の間にはF/Wは必要なのでしょうか？
セキュリティポリシーによると思います。それと流されるデータにもよるでしょう。
有ればなお安心だと思いますが、設定が複雑になる場合が多いと思います。

>穴をあけるポートは通常のインターネットと同様に80ポートとかしか通らないのでしょうか？
ＶＰＮ装置の前（インターネット側）に F/W をおいた場合、IPSec なら UDP 500番を通るようにしないとＶＰＮがはれません。

>IPアドレスの体系はどうなるのでしょうか？
センター側には固定ＩＰアドレスが必要です。（最低１個）
拠点側も固定で１個有れば良いのですが、コスト的に無理なら動的ＩＰでも使えます。

>インターネットVPNに変更しても、現状の環境はそのまま継続したいのです。可能でしょうか？
以前の会社のネットワークはフレームリレイを使っておりました。
インターネットＶＰＮに変更したときもゲートウエイの変更だけでネットワークの環境は手を入れていません。

>専用線と違ってインターネットを経由することでNW帯域が保証されず、パケットロスなどが発生してしまうのでは？と心配です。
この点は確かに心配です。帯域保証は無いですからね。
現時点で約１年使っていますがパケットロスでデータが流れないということは有りませんでした（単にラッキーなのかもしれませんが）
それよりも、プロバイダと回線によっては PPPOE セッションが切れてしまい通信できなくなる現象が有ります。

装置によっては、予備回線を設定できるものもありますので、心配ならそういったものをご利用になる手もあります（但し予備回線コストが必要ですが...）

費用対効果は劇的なものがあります（通信コストは半分、速度は数十倍）

下記参考ＵＲＬのものなら、中には実売価格１０万円を切っているものも有りますので、比較的導入しやすいかもしれません。

私は経営者を説き伏せて（安くなりますよ～を強調しました）導入してもらいました。

ご参考にしていただければ幸いです。

参考URL：http://NetVolante.jp/products/