L2TP による支社への接続
このシナリオでは、L2TP (Layer Two Tunneling Protocol) を使用して企業のオフィスと支社をインターネット経由で接続する方法を紹介します。
トピック
目的
設計のロジック
機能するしくみ
実装した方法
その他の参考資料
目的
このシナリオの目的は以下のとおりです。
長距離の高価なワイド エリア ネットワーク (WAN) リンクを使用しないで支社に接続する方法を検討します。
機密性を有する企業データをインターネット経由で送信するために、セキュリティで保護された暗号化接続を確立します。
企業の支社と本社間でパケットを転送する一貫したルーティング インフラストラクチャを構築します。
集中的な認証処理、承認処理、アカウント処理を実現します。
サイト間の IP マルチキャスト トラフィックの伝播を可能にします。
次の「設計のロジック」では、このシナリオのインフラストラクチャで上記の目的をどのようにして達成したか説明します。
設計のロジック
このシナリオの目的を達成するためのインフラストラクチャを図 1 に示します。
.gif "route03-20")
図 1: デマンドダイヤル ルーティング インフラストラクチャ
このシナリオのインフラストラクチャでは、Microsoft® Windows® 2000 Server の動作する 2 台のコンピュータで、インターネットを経由したデータのトンネリングを実現する L2TP と、暗号化を実現する IP セキュリティ (IPSec) を使用することによって、ルーター対ルーター仮想プライベート ネットワーク (VPN) 接続を確立します。
MS-CHAP v2 (Microsoft 暗号化認証 バージョン 2) 、コンピュータ証明書、および RADIUS (リモート 認証 ダイヤルイン ユーザー サービス) を使用することで、ルーター対ルーター VPN 接続の認証および承認を実行します。
Seattle サイト内の Windows 2000 Server を実行するコンピュータにルーティングとリモート アクセス サービスがインストールされています (このコンピュータを以降、Seattle ルーターと呼びます) 。Seattle ルーターは、L2TP および MS-CHAP v2 を使用した VPN ルーター要求を受信するように構成されています。MS-CHAP v2 は、呼び出しルーターと応答ルーター間の相互の認証を可能にします。L2TP を使用する理由は、データ認証機能とデータの完全性が提供され、公開キー インフラストラクチャ (PKI) を利用できるためです。
ルーター対ルーター VPN 接続は、双方向開始デマンドダイヤル接続であり、いずれのルーターからでも接続を開始し、適切なルーティング テーブル エントリを利用できます。ルーター対ルーター VPN 接続はまた、各ルーターがインターネットに永続的に接続するので、固定デマンドダイヤル接続です。OSPF (Open Shortest Path First) ルーティング プロトコルは、ルーター対ルーター VPN 接続上で、ルーティング情報の伝播を容易にする目的で構成されます。また、Boston サイトと Seattle サイト内のホスト間でのマルチキャスト データの伝播を容易にするために、ルーティングとリモート アクセスのサービスの IGMP (Internet Group Management Protocol) ルーティング プロトコル コンポーネントが両方のルーター上で構成されます。
Seattle サイトには複数の VPN /リモート アクセス サーバーが存在するので、VPN サーバーは、RADIUS サーバーに対する RADIUS クライアントとして構成します。RADIUS サーバーは、インターネット認証サービス (IAS) を実行する Windows 2000 ベースのサーバーです。IAS サーバーによって、PPP (Point-to-Point Protocol) 接続要求に対する集中的な認証および承認と、リモート アクセス ポリシーの集中的な管理が可能になります。
IAS サーバーでは、接続の試行を認証および承認するために、Seattle サイト ドメイン コントローラを使用してユーザー アカウントのプロパティを取得します。noam.reskit.com ドメインがネイティブ モード ドメインであるため、リモート アクセスポリシーのためにポリシーによるアクセス管理モデルを選択しました。
PPP 接続要求の認証および承認を必要とするコンピュータは支社に 1 台だけなので、支社ルーターでは Windows 認証を使用します。支社には、デマンド ダイヤル接続要求の資格情報を認証するためのドメイン コントローラが存在します。
インターネットと VPN サーバー間のファイアウォールとして Cisco 7505 ルーターを使用します。
機能するしくみ
以下に、Boston ルーターと Seattle ルーター間で、IPSec 接続経由で L2TP を確立する手順を示します。
Boston ルーターは L2TP 接続のためのデマンドダイヤル接続プロセスを開始する際に、IPSec セキュリティ アソシエーション (SA) を作成するために、Seattle ルーターに対して IKE (Internet Key Exchange) ネゴシエーションを開始します。
IKE ネゴシエーションによって、認証方法、セッション キー、セキュリティ設定などが決定します。そして Boston ルーターと Seattle ルーターの証明書が交換されます (図 2 を参照) 。
.gif "route03-21")
図 2: IKE ネゴシエーションと、コンピュータ証明書の交換
証明書が確認され、IPSec SA がネゴシエートされた後、L2TP トンネルがネゴシエートされます (図 3 を参照) 。
.gif "route03-22")
図 3: L2TP トンネルの作成
L2TP トンネルがネゴシエートされた後、認証プロトコルとして MS-CHAP v2 が使用され、それによって PPP 接続がネゴシエートされます (図 4 を参照) 。
.gif "route03-23")
図 4: MS-CHAP v2 ネゴシエーション
PPP リンク ネゴシエーション プロセス中に、Seattle ルーターは RADIUS Access-Request パケットを使用して、その企業サイト内の IAS サーバーに認証資格情報と接続パラメータを渡します (図 5 を参照) 。
.gif "ras02-07")
図 5: Seattle ルーターによって送信される RADIUS Access-Request パケット
IASサーバーは、Active Directory ディレクトリ サービスを使用して、支社ルーターの認証資格情報を確認します (図 6 を参照) 。
.gif "ras02-08")
図 6: ドメイン コントローラを使用した認証資格情報の認証
IAS サーバーは、Boston ルーターのユーザー アカウント プロパティと、デマンドダイヤル ルーターのリモート アクセス ポリシーを使用することで、接続を承認します。
IAS サーバーは、接続の試行が認証、承認された後、Access-Accept パケットを Seattle ルーターに送信します (図 7 を参照) 。
.gif "ras02-09")
図 7: IAS サーバーによって送信される RADIUS Access-Accept パケット
Seattle ルーターが PPP 接続プロセスを完了した後、2 台のルーター間で相互にインターネット経由の IPSec 暗号化 L2TP 接続が確立します。
実装した方法
注意
このシナリオにおいてコンピュータおよびデバイスを構成するために使用した手続きはサンプルとして示したものです。実際の各ネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、そのシナリオの機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になるその他の手順については取り上げていません。
管理者は、ここに記載したセットアップ手順で必要になる構成を実行するための適切な権限を各コンピュータで持たなければなりません。既定の設定でルート ドメイン の Administrator アカウント (NOAM\Administrator) は適切な権限を持ちます。このアカウントは、ドメイン コントローラを昇格させた後、Enterprise Admins グループのメンバになります。しかし運用ネットワークでは、権限をさらに制限することが必要な場合もあります。このシナリオのセットアップ手順で使用したアカウントについて説明しておきます。
このセットアップ手順では、以下の構成を仮定しています。
各コンピュータ上のハードドライブが再フォーマットされていて、適切なオペレーティング システムがインストールされています。
各コンピュータに名前が付けられています。
コンピュータが通信するためのルーティングが適切にセットアップされていて、以下の IP アドレスがコンピュータに割り当てられる状態にあります。
SEA-NA-RAS-01.noam.reskit.com
172.16.40.18/22, 131.107.1.131/25
SEA-NA-IAS-01.noam.reskit.com
172.16.40.15/22
SEA-NA-DC-01.noam.reskit.com
172.16.8.11/22
SEA-NA-CA-01.noam.reskit.com
172.16.8.19/22
BOS-NA-W2RT-01.noam.reskit.com
192.200.210.1/24,
172.16.52.1/22,
172.16.56.1/22注意
172.16.0.0/16 の範囲の IP アドレスは、プライベート ネットワーク用に予約された IP アドレス範囲内にあります。テスト環境内やファイアウォールの背後ではこれらの IP アドレスを使用することはできますが、インターネット上では使用できません。詳細については、RFC 1918 を参照してください。
表 1 に、このシナリオを開発するために使用したハードウェアおよびソフトウェアのリストを示します。
表 1 リソースキット導入実験でルーター対ルーター L2TP を導入するために使用したコンポーネント
コンポーネント |
ハードウェア |
ソフトウェア |
|---|---|---|
Boston のデマンドダイヤル ルーター BOS-NA-W2RT-01 |
Boston オフィス内の Compaq ProLiant コンピュータ |
Windows 2000 Server ルーティングとリモート アクセス サービス |
Seattle のデマンドダイヤル ルーター SEA-NA-RAS-01 |
Seattle オフィス内の Compaq ProLiant コンピュータ |
Windows 2000 Server ルーティングとリモート アクセス サービス |
Seattle ドメイン コントローラ SEA-NA-DC-01 |
Seattle オフィス内の Compaq ProLiant コンピュータ |
Windows 2000 Server DNS サービス |
Seattle IAS サーバー SEA-NA-IAS-01 |
Seattle オフィス内の Compaq ProLiant コンピュータ |
Windows 2000 Server インターネット認証サービス |
証明書サーバー SEA-NA-CA-01 |
Seattle オフィス内の Compaq ProLiant コンピュータ |
Windows 2000 Server 証明書サービス |
SEA-RKE-CISCO-01 |
Seattle オフィス内の Cisco 7505 ルーター |
Internetwork Operating System (IOS) version 12.0 (5) XU Seattle ルーターに対する L2TP トラフィックを許容するアクセス リスト |
セットアップ手順
Boston サイトから Seattle サイトへの L2TP ベースのルーター対ルーター VPN 接続を確立するために、以下の作業を実施しました。
その他の参考資料
導入実験のシナリオ
- L2TP ベースのリモート アクセス接続について詳しくは、導入実験シナリオの『L2TP によるインターネット経由でリモート ユーザーに接続』を参照してください。
Windows 2000 リソース キット
以下は、『Microsoft Windows 2000 Professional リソース キット』および『Microsoft Windows 2000 Server リソース キット』の参考資料です。オンラインで概要を参照できる章もあります。
VPN の詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 9 章 仮想プライベート ネットワーキング (概要紹介) 」 (英語) を参照してください。
Windows 2000 における PPP 接続のサポートの詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 7 章 リモート アクセス サーバー」を参照してください。
Windows 2000 におけるデマンドダイヤル ルーティング サポートの詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 6 章 デマンドダイヤルルーティング」を参照してください。
Windows 2000 における OSPF サポートの詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 3 章 ユニキャスト IP ルーティング」を参照してください。
VPN 接続の計画の詳細については、『Microsoft Windows 2000 Server リソース キット 1 導入ガイド』の「第 6 章 Windows 2000 導入のためのネットワークインフラストラクチャの準備」および「第 7 章 ネットワーク接続方針の確定」を参照してください。
Windows 2000 ドキュメント
リモート アクセスの詳細については、Window 2000 Server ヘルプ の「ネットワーク」の「仮想プライベート ネットワーク」を参照してください。
Windows 2000 の導入の詳細については、『Planning and Deployment』 (英語) を参照してください。
Windows 2000 インフラストラクチャの詳細については、『Step-by-Step Guides』 (英語) を参照してください。
RFC (Requests for Comments)
- L2TP について詳しくは、 RFC Editor Web サイト
.gif "leave-ms")
(英語) のRFC 2661、「Layer Two Tunneling Protocol L2TP」を参照してください。
Microsoft Press
Windows 2000 についてさらに詳しく理解したい方は、Windows 2000 関連書籍のタイトルを Microsoft Press Web サイトで参照してください。
Windows 2000 の MCSE トレーニングについて詳しくは、『Upgrading to Microsoft® Windows® 2000 Training Kit (Beta Edition)』 (英語) を参照してください。
Windows 2000 の TCP/IP プロトコル セットとその実装について詳しくは、『Microsoft Windows 2000 テクニカルリファレンス TCP/IP プロトコル&サービス』を参照してください。
Cisco ドキュメント
Layer Two Tunneling Protocol の Cisco の実装について詳しくは、『Layer Two Tunneling Fact Sheet』
(英語) を参照してください。Layer Two Tunneling Protocol について詳しくは、『Table of Contents』
(英語) で、「Layer 2 Tunneling Protocol」を参照してください。
導入実験の詳細と協力企業について
- 導入実験、および導入実験に提供されたハードウェアに関する情報については、『導入実験のハードウェア仕様』を参照してください。
リソース キット導入実験シナリオの凡例
- Microsoft Windows 2000 リソース キット導入実験シナリオのネットワーク図で使用されている略語や記号について詳しくは、『導入実験シナリオの凡例』を参照してください。
リソース キット導入実験のネットワーク図
- ネットワークの設計、ネットワーク ルーティング設計、ドメイン ネーム システム (DNS) 設計、および Active Directory 階層の高水準の編成については、『導入実験のネットワーク図』を参照してください。
関連するシナリオ
L2TP を使用して支社に接続する
関連資料
Windows 2000 リソース キットの詳細については、こちらを参照してください。
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。