ルーティングとリモート アクセスは、ルーター間 VPN 接続を作成するための 2 つのトンネリング プロトコルを備えています。

• PPTP (Point-to-Point トンネリング プロトコル)
  
• レイヤ 2 トンネリング プロトコル (L2TP)
  

注

• Windows Server 2003, Web Edition および Windows Server 2003, Standard Edition では、最大 1,000 個の PPTP (Point-to-Point トンネリング プロトコル) ポートを作成できます。また、最大 1,000 個のレイヤ 2 トンネリング プロトコル (L2TP) ポートを作成できます。 ただし、Windows Server 2003, Web Edition では、一度に 1 つの仮想プライベート ネットワーク (VPN) 接続のみを受け付けることができます。 Windows Server 2003, Standard Edition では、最大で 1,000 個の VPN 接続を同時に受け付けることができます。 1,000 個の VPN クライアントが接続している場合は、それ以降の接続試行は、接続数が 1,000 未満になるまでは拒否されます。
  

PPTP は VPN トンネリング プロトコルです。PPTP は、Point-to-Point プロトコル (PPP) を拡張したプロトコルであり、PPP の認証、圧縮、暗号化のメカニズムを利用します。

PPTP は、TCP/IP と共にインストールされます。既定の設定では、ルーティングとリモート アクセスは 5 つの PPTP ポートを使うように構成されています。PPTP ポートの数を増やす方法については、「PPTP または L2TP ポートを追加する」を参照してください。[ルーティングとリモート アクセス サーバーのセットアップ ウィザード] を使うと、着信リモート アクセスに対して、PPTP ポートとデマンド ダイヤル ルーティング接続を有効にすることができます。ウィザードの実行後、ルーティングに対して PPTP ポートを有効にするには、「ポートのルーティングを有効にする」を参照してください。

仮想プライベート ネットワークの 2 つの基本サービスは、カプセル化と暗号化です。

IP データグラムが含まれた PPP フレームは、GRE (Generic Routing Encapsulation) ヘッダーと IP ヘッダーによってラップされます。IP ヘッダーには、VPN クライアントと VPN サーバーに対応する発信元および宛先 IP アドレスが含まれます。

次の図は、PPP フレームの PPTP カプセル化を示しています。

PPP フレームは、MS-CHAP または EAP-TLS の認証プロセスで生成される暗号化キーを使って、Microsoft Point-to-Point 暗号化 (MPPE) で暗号化されます。仮想プライベート ネットワーク クライアントは、PPP ペイロードを暗号化するために、MS-CHAP 認証プロトコルまたは EAP-TLS 認証プロトコルのどちらかを使わなければなりません。PPTP は、暗号化サービスを提供しません。PPTP は、あらかじめ暗号化されている PPP フレームをカプセル化します。

注

• PPP ペイロードがプレーンテキストで送られる環境では、暗号化されていない PPTP 接続を使用できます。ただし、この種類の通信は安全でないため、インターネットを介した仮想ネットワーク接続では暗号化されていない PPTP 接続は推奨しません。
  

L2TP は、パケット指向のメディアを経由して、PPP フレームを送信するための暗号化機能を提供する業界標準のインターネット トンネリング プロトコルです。PPTP と同様に、L2TP も PPP の認証と圧縮のメカニズムを利用します。PPTP と異なり、L2TP は、PPP フレームの暗号化に Microsoft Point-to-Point 暗号化 (MPPE) を利用しません。L2TP の暗号化サービスは、インターネット プロトコル セキュリティ (IPSec) に依存します。

結果として、L2TP ベースの仮想プライベート ネットワーク接続は、L2TP と IPSec の組み合わせとなります。両方のルーターが L2TP と IPSec の両方をサポートしなければなりません。IPSec の詳細については、「インターネット プロトコル セキュリティの概要」を参照してください。L2TP は、RFC 2661 で説明されています。

L2TP は、TCP/IP と共にインストールされます。既定の設定では、ルーティングとリモート アクセスは 5 つの L2TP ポートを使うように構成されています。L2TP ポートの数を増やす方法については、「PPTP または L2TP ポートを追加する」を参照してください。[ルーティングとリモート アクセス サーバーのセットアップ ウィザード] を使うと、着信リモート アクセスに対して、L2TP ポートとデマンド ダイヤル ルーティング接続を有効にすることができます。ウィザードの実行後、ルーティングに対して LT2P ポートを有効にするには、「ポートのルーティングを有効にする」を参照してください。

仮想プライベート ネットワークの 2 つの基本サービスは、カプセル化と暗号化です。

L2TP over IPSec パケットのカプセル化は 2 層のカプセル化から構成されます。

1. L2TP カプセル化
   IP データグラムが含まれた PPP フレームは、L2TP ヘッダーと UDP ヘッダーによってラップされます。
   
2. IPSec カプセル化
   結果の L2TP メッセージは、次に IPSec ESP (カプセル化セキュリティ ペイロード) のヘッダーとトレーラ、メッセージの整合性と認証を提供する IPSec Authentication トレーラ、および最終 IP ヘッダーでカプセル化されます。IP ヘッダーには、VPN クライアントと VPN サーバーに対応する発信元および宛先 IP アドレスが含まれます。
   

次の図は、L2TP と IPSec による PPP フレームのカプセル化のしくみを示しています。

L2TP メッセージは、IPSec 認証プロセスで生成される暗号化キーを使って、DES と 3DES で暗号化されます。

注

• PPP ペイロードがプレーンテキストで送られる環境では、非 IPSec ベースの (暗号化されていない) L2TP 接続を使用できます。ただし、この種類の通信は安全でないため、インターネットを介した仮想プライベート ネットワーク接続では暗号化されていない L2TP 接続はお勧めしません。