L2TP によるインターネット経由でリモート ユーザーに接続
このシナリオでは、L2TP (Layer Two Tunneling Protocol) を使用してインターネット経由でリモート アクセス ユーザーを企業イントラネットに接続させる方法を紹介します。
トピック
目的
設計のロジック
機能するしくみ
実装した方法
セットアップ手順
その他の参考資料
目的
このシナリオの目的は以下のとおりです。
ダイヤルアップ電話回線経由ではなく、インターネット経由で外出先または特定の場所から接続する手段を従業員に提供します。
接続手順中にアドレスおよび名前の解決機能の構成を自動的に実行します。
集中的な認証処理、承認処理、アカウント処理を実現します。
高水準のセキュリティを保証します。
次の「設計のロジック」では、このシナリオのインフラストラクチャで上記の目的をどのようにして達成したか説明します。
設計のロジック
このシナリオの目的を達成するためのインフラストラクチャを図 1 に示します。
.gif "ras04-03b")
図 1: L2TP ベースのリモート アクセス インフラストラクチャ
このシナリオでは、インターネットに接続するクライアント コンピュータへの仮想プライベート ネットワーク (VPN) サーバーとして、Microsoft® Windows® 2000 Server の動作するコンピュータを使用します。インターネットに接続するクライアント コンピュータは VPN クライアントとして機能します。
Seattle サイト内で VPN サーバーとして使用する Windows 2000 ベースのサーバーにルーティングとリモート アクセス サービスをインストールします。VPN サーバーでは、L2TP およびMS-CHAP v2 (Microsoft 暗号化認証 バージョン 2) を使用した VPN リモート アクセス クライアント要求を受信する構成を適用します。L2TP は、Windows 2000 を実行している VPN クライアントでサポートされます。また、MS-CHAP v2 は、リモート アクセス ユーザーと VPN サーバー間の相互認証を可能にします。インターネット プロトコル セキュリティ (IPSec) は、VPN サーバーと VPN クライアント間で送受信されるデータを対象にした暗号化サービスを提供します。
Seattle サイトには複数の VPN/リモート アクセス サーバーが存在するので、VPN サーバーを RADIUS (リモート 認証 ダイヤルイン ユーザー サービス) サーバーに対する RADIUS クライアントとして構成します。RADIUS サーバーは、インターネット認証サービス (IAS) を実行する Windows 2000 ベースのサーバーです。IAS サーバーによって、PPP (Point-to-Point Protocol) 接続要求に対する集中的な認証および承認と、リモート アクセス ポリシーの集中的な管理が可能になります。
IAS サーバーでは、接続の試行を認証および承認するために、Seattle サイト ドメイン コントローラを使用してユーザー アカウントのプロパティを取得します。noam.reskit.com ドメインがネイティブ モード ドメインであるため、リモート アクセス ポリシーとしてポリシーによるアクセス管理モデルを使用します。
Windows 2000 ベースのすべてのコンピュータに Windows 2000 高度暗号化パックがインストールされています。
インターネットと VPN サーバー間のファイアウォールとして Cisco 7505 ルーターを使用します。
注意
このシナリオでは、接続マネージャではなく、ネットワークとダイヤルアップ接続を実装する方法を示します。『ダイヤルアップ リモート アクセス ユーザーのイントラネット接続』および『PPTP によるインターネット経由でリモート ユーザーに接続』では、ダイヤル呼出しクライアントとして接続マネージャを使用しました。このシナリオでも、接続マネージャを使用することはできます。しかし、企業によっては、接続マネージャ クライアント ソフトウェアの代わりにネットワークとダイヤルアップ接続を使用した方が望ましい場合も考えられます。
機能するしくみ
ポータブル コンピュータからインターネット経由で reskit.com イントラネットに L2TP 接続を確立する手順は以下のとおりです。
インターネット上のリモート アクセス ユーザーが L2TP 接続を確立するための VPN 接続手順を開始すると、リモート アクセス ユーザー コンピュータが IPSec セキュリティ アソシエーション (SA) を作成するために VPN サーバーに対する Internet Key Exchange (IKE) ネゴシエーションを起動します。
IKE ネゴシエーションによって、認証メソッド、セッション キー、およびセキュリティ設定が決定します。そして、ポータブル コンピュータと VPN サーバーの証明書が交換されます (図 2 を参照)。ポータブル コンピュータと VPN サーバーの証明書はともに、自動登録によって取得されます。
.gif "ras04-04b")
図 2: IKE セキュリティ設定のネゴシエーション証明書が確認され、IPSec SA がネゴシエートされた後、L2TP トンネルがネゴシエートされます (図 3 を参照)。
.gif "ras04-05b")
図 3: L2TP トンネルのネゴシエーションL2TP トンネルがネゴシエートされた後、認証プロトコルとして MS-CHAP v2 が使用され、それによって PPP 接続がネゴシエートされます (図 4 を参照)。
.gif "ras04-06b")
図 4: MS-CHAP v2 ネゴシエーションPPP リンク ネゴシエーション プロセス中に、VPN サーバーは RADIUS Access-Request パケットを使用して、企業サイト内の IAS サーバーに認証資格情報と接続パラメータを渡します (図 5 を参照)。
.gif "ras02-07")
図 5: VPN サーバーによって送信された RADIUS Access-Request パケットIAS サーバーは、Active Directory を使用してリモート ユーザーの認証資格情報を確認します (図 6 を参照)。
.gif "ras02-08")
図 6: ドメイン コントローラを使用した認証資格情報の確認IAS サーバーは、リモート アクセス ユーザーのユーザー アカウントのプロパティと "L2TP Remote Access Users" リモート アクセス ポリシーを使用して接続を承認します。
IAS サーバーは、接続の試行が認証、承認された後、Access-Accept パケットを VPN サーバーに返信します (図 7 を参照)。
.gif "ras02-09")
図 7: IAS サーバーによって送信される RADIUS Access-Accept パケットVPN サーバーが PPP 接続プロセスを完了すると、ポータブル コンピュータ ユーザーが IPSec 暗号化 L2TP 接続を使用してインターネット経由で企業イントラネットに接続します。
実装した方法
ここで示すセットアップ手順は、導入実験シナリオを構築し、ハードウェア、ソフトウェア、および管理面の権限に関する要件を特定するときに使用したものです。
注意
このシナリオにおいてコンピュータおよびデバイスを構成するために使用した手続きはサンプルとして示したものです。実際の各ネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、そのシナリオの機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になるその他の手順については取り上げていません。
このセットアップ手順では、以下の構成を仮定しています。
各コンピュータ上のハードドライブが再フォーマットされていて、適切なオペレーティング システムがインストールされています。
各コンピュータに名前が付けられています。
コンピュータが通信するためのルーティングが適切にセットアップされていて、以下の IP アドレスがコンピュータに割り当てられる状態にあります。
SEA-NA-RAS-01.noam.reskit.com
172.16.40.18/22, 131.107.1.131/25
SEA-NA-IAS-01.noam.reskit.com
172.16.40.15/22
SEA-NA-DC-01.noam.reskit.com
172.16.8.11/22
SEA-NA-CA-01.noam.reskit.com
172.16.8.15/22
注意
172.16.0.0/16 の範囲の IP アドレスは、プライベート ネットワーク用に予約された IP アドレス範囲内にあります。テスト環境内やファイアウォールの背後ではこれらの IP アドレスを使用することはできますが、インターネット上では使用できません。詳細については、RFC 1918 を参照してください。
表 1 に、このシナリオを開発するために使用したハードウェアおよびソフトウェアのリストを示します。
表 1 リソースキット導入実験で L2TP ベースのリモート アクセスを導入するために使用したコンポーネント
コンポーネント |
ハードウェア |
ソフトウェア |
|---|---|---|
クライアント |
Compaq ポータブル コンピュータ |
Microsoft® Windows® 2000 Professional |
Seattle VPN サーバー SEA-NA-RAS-01. noam.reskit.com |
Compaq ProLiant コンピュータ |
Windows 2000 Server ローカル エリア ネットワーク (LAN) インターフェイス SeattleSubnet および DMZ を構成したルーティングとリモート アクセス サービス |
Seattle IAS サーバー SEA-NA-IAS-01. noam.reskit.com |
Compaq ProLiant コンピュータ |
Windows 2000 Server インターネット認証サービス |
Seattle 証明機関 SEA-NA-CA-01. noam.reskit.com |
Compaq ProLiant コンピュータ |
Windows 2000 Server 証明書サービス |
Seattle ドメイン コントローラ SEA-NA-DC-01. noam.reskit.com |
Compaq ProLiant コンピュータ |
Windows 2000 Server ドメイン ネーム システム (DNS) サービス |
Seattle 境界ネットワーク ルーター/ファイアウォール SEA-RKE-CISCO-01. noam.reskit.com |
Cisco 7505 ルーター |
Internetwork Operating System (IOS) version 12.0 (5) XU SEA-NA-RAS-01 に対して IPSec を通じて L2TP 接続を許容するアクセス リスト |
セットアップ手順
インターネット上のポータブル コンピュータから Reskit.com イントラネットへの IPSec を通じた L2TP リモート アクセス VPN 接続を確立するために、以下の作業を実施しました。
その他の参考資料
このシナリオに関係する情報について、以下の資料が参考になります。
導入実験のシナリオ
ダイヤルアップ リモート アクセス接続について詳しくは、導入実験シナリオの『ダイヤルアップ リモート アクセス ユーザーのイントラネット接続』を参照してください。
PPTP ベースのリモート アクセス接続について詳しくは、導入実験シナリオの『PPTP によるインターネット経由でリモート ユーザーに接続』を参照してください。
Windows 2000 リソース キット
以下は、『Microsoft Windows 2000 Professional リソース キット』および『Microsoft Windows 2000 Server リソース キット』の参考資料です。オンラインで概要を参照できる章もあります。
VPN の詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 9 章 仮想プライベート ネットワーキング (概要紹介)」 (英語) を参照してください。
Windows 2000 における PPP 接続のサポートの詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 7 章 リモート アクセス サーバー」を参照してください。
VPN 接続の計画の詳細については、『Microsoft Windows 2000 Server リソース キット 1 導入ガイド』の「第 6 章 Windows 2000 導入のためのネットワークインフラストラクチャの準備」および「第 7 章 ネットワーク接続方針の確定」を参照してください。
Windows 2000 ドキュメント
VPN の詳細については、Window 2000 Server ヘルプ の「ネットワーク」の「仮想プライベート ネットワーク」を検索してください。
Windows 2000 の導入の詳細については、『Planning and Deployment』 (英語) を参照してください。
Windows 2000 インフラストラクチャの詳細については、『Step-by-Step Guides』 (英語) を参照してください。
RFC (Requests for Comments)
- L2TP について詳しくは、RFC Editor Web サイト
.gif "leave-ms")
(英語) の RFC 2661、「Layer Two Tunneling Protocol L2TP」を参照してください。
ホワイト ペーパー
- VPN について詳しくは、『仮想プライベート ネットワーク: 概要』、『プライバシ保護された Microsoft ネットワーク アクセス:仮想プライベート ネットワークおよびイントラネット セキュリティ』、および『Virtual Private Networking』 (英語) を参照してください。
Microsoft Press
Windows 2000 についてさらに詳しく理解したい方は、Windows 2000 関連書籍のタイトルを Microsoft Press Web サイトで参照してください。
Windows 2000 の TCP/IP プロトコル セットとその実装について詳しくは、『Microsoft Windows 2000テクニカルリファレンス TCP/IPプロトコル&サービス』を参照してください。
Cisco ドキュメント
- L2TP の Cisco の実装について詳しくは、『Layer 2 Tunneling Protocol』 (英語) を参照してください。
- L2TP について詳しくは、『Table of Contents』 (英語) を参照してください。
導入実験の詳細と協力企業について
- 導入実験、および導入実験に提供されたハードウェアに関する情報については、『導入実験のハードウェア仕様』を参照してください。
リソース キット導入実験シナリオの凡例
- Microsoft Windows 2000 リソース キット導入実験シナリオのネットワーク図で使用されている略語や記号について詳しくは、『導入実験シナリオの凡例』を参照してください。
リソース キット導入実験のネットワーク図
- ネットワークの設計、ネットワーク ルーティング設計、ドメイン ネーム システム (DNS) 設計、および Active Directory 階層の高水準の編成については、『導入実験のネットワーク図』を参照してください。
関連するシナリオ
L2TP によるインターネット経由でリモート ユーザーに接続
関連資料
Windows 2000 Server リソース キット 購入ページ
Windows 2000 Professional リソース キット 購入ページ
Windows 2000 リソース キットの詳細については、こちらを参照してください。
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。