協力企業へのエクストラネット接続の構築
このシナリオでは、協力企業がルーター対ルーター仮想プライベート ネットワーク (VPN) 接続を作成し、その接続によってエクストラネット (共有リソースを含むセキュリティで保護されたネットワーク セグメント) にアクセスします。
トピック
目的
設計のロジック
機能するしくみ
実装した方法
セットアップ手順
その他の参考資料
目的
このシナリオの目的は以下のとおりです。
デマンドダイヤル接続を使用してインターネット経由でエクストラネットのリソースにアクセスする手段を協力企業に提供します。
インターネット経由で送信される機密性を有するデータについて、そのセキュリティを高水準に維持します。
Point-to-Point トンネリング プロトコル (PPTP) 要求に対する集中化された認証および承認、およびリモート アクセス ポリシーに対する集中化された管理作業を可能にします。
次の「設計のロジック」では、このシナリオのインフラストラクチャで上記の目的をどのようにして達成したか説明します。
設計のロジック
このシナリオの目的を達成するためのインフラストラクチャを図 1 に示します。
.gif "route04-20")
図 1: PPTP ベースの協力企業に対するエクストラネット インフラストラクチャ
このシナリオでは、2 台の Microsoft® Windows® 2000 Server ベースのコンピュータ (Resource Kit Company の Seattle サイト内に 1 台、協力企業内に 1 台) で、インターネット経由のデータのトンネリングを実現する Point-to-Point トンネリング プロトコル (PPTP) と、暗号化を実現する Microsoft Point-to-Point 暗号化 (MPPE) を使用することで、ルーター対ルーター VPN 接続を確立します。このルーター対ルーター VPN 接続は、一方向開始デマンドダイヤル接続であり、協力企業のみがその接続を確立できます。さらにこのルーター対ルーター VPN 接続は、オンデマンド デマンドダイヤル接続です。協力企業では、エクストラネット上のリソースにアクセスする必要があるときだけ接続を確立し、アイドル時間が 10 分経過したら、接続を切断します。
このような接続を有効にするために、Seattle サイト内の Windows 2000 ベースのサーバー (Seattle ルーター) にルーティングとリモート アクセス サービスをインストールします。Seattle ルーターは、PPTP および EAP-TLS (Extensible Authentication Protocol-Transport Level Security) を使用した VPN ルーター要求を受信するように構成されています。EAP-TLS は、呼び出しルーターと応答ルーター間の相互の認証を可能にします。協力企業内のこのルーター (Supplier ルーター) は、Windows 2000 ベースのサーバーであり、ルーティングとリモート アクセス サービスがインストールされています。Supplier ルーターは、PPTP および EAP-TLS を使用して Seattle ルーターへのルーター対ルーター VPN 要求を開始するように構成します。
この接続で許可される唯一のトラフィックは、企業ネットワークのエクストラネット セグメントに対するトラフィックです。EAP-TLS、コンピュータ証明書とユーザー証明書、およびリモート認証ダイヤルイン ユーザー サービス (RADIUS) によって高水準のセキュリティ機能が提供されます (RADIUS は、ルーター対ルーター VPN 接続を認証、承認します)。さらに、このシナリオで使用する Windows 2000 ベースのすべてのコンピュータに Windows 2000 高度暗号化パックがインストールされており、インターネットと Seattle ルーター間のファイアウォールとして Cisco 7505 ルーターが使用されています。
Seattle サイトには複数の VPN/リモート アクセス サーバーが存在するので、Seattle ルーターを RADIUS サーバーに対する RADIUS クライアントとして構成します。RADIUS サーバーは、インターネット認証サービス (IAS) を実行する Windows 2000 ベースのサーバーです。IAS サーバーによって、PPP (Point-to-Point Protocol) 接続要求に対する集中的な認証および承認と、リモート アクセス ポリシーの集中的な管理が可能になります。
IAS サーバーでは、接続の試行を認証および承認するために、Seattle サイト ドメイン コントローラを使用してユーザー アカウントのプロパティを取得します。Noam.reskit.com ドメインはネイティブ モード ドメインであるため、リモート アクセス ポリシーとしてポリシーによるアクセス管理モデルを使用します。
機能するしくみ
Supplier ルーターから Seattle ルーターへの PPTP 接続を確立するプロセスを以下に示します。
Supplier ルーターは PPTP 接続のためのデマンドダイヤル接続プロセスを開始する際に、Seattle ルーターに対する PPTP トンネルを確立します (図 2 を参照)。
.gif "route04-21")
図 2: PPTP トンネルのネゴシエーション
PPTP トンネルがネゴシエートされた後、認証プロトコルとして EAP-TLS が使用され、それによって PPP 接続がネゴシエートされます。EAP-TLS ネゴシエーション中に、Supplier ルーターは自身のユーザー証明書を送信し、Seattle ルーターは自身のコンピュータ証明書を送信します (図 3 を参照)。
.gif "route04-22")
図 3: EAP-TLS ネゴシエーションと証明書の交換
EAP ネゴシエーション プロセス中に、Seattle ルーターは RADIUS Access-Request メッセージを使用して、企業サイト内の IAS サーバーに証明書と接続パラメータを渡します (図 4 を参照)。
.gif "ras02-07")
図 4: Seattle ルーターによって送信される RADIUS Access-Request メッセージ
IAS サーバーは、ローカル ドメイン コントローラを照会することによって Supplier ルーターの認証資格情報を確認します (図 5 を参照)。
.gif "ras02-08")
図 5: ドメイン コントローラを使用した認証資格情報の検証
IAS サーバーは、Supplier ルーターのユーザー アカウントのプロパティと"Business Partner Connection" リモート アクセス ポリシーを使用して接続を承認します。
IAS サーバーは、接続の試行を認証、承認した後、RADIUS Access-Accept メッセージを Seattle ルーターに送り返します (図 6 を参照)。
.gif "ras02-09")
図 6: IAS サーバーによって送信された RADIUS Access-Accept メッセージ
Seattle ルーターが PPP 接続プロセスを完了した後、双方のルーター間で相互にインターネット経由の MPPE 暗号化 PPTP 接続が確立します。
実装した方法
ここで示すセットアップ手順は、リソース キット導入実験のシナリオを構築し、ハードウェア、ソフトウェア、および管理面の権限に関する要件を特定するときに使用したものです。
注意
このシナリオにおいてコンピュータおよびデバイスを構成するために使用した手続きはサンプルとして示したものです。実際の各ネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、そのシナリオの機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になるその他の手順については取り上げていません。
管理者は、ここに記載したセットアップ手順で必要になる構成を各コンピュータで実行するための適切な権限を持たなければなりません。既定の設定でルート ドメイン の Administrator アカウント (RESKIT\Administrator) は適切な権限を持ちます。このアカウントは、ドメイン コントローラを昇格させた後、Enterprise Admins グループのメンバになります。しかし運用ネットワークでは、権限をさらに制限することが必要な場合もあります。たとえば、このシナリオでは North America ドメイン内の Administrator アカウント (NOAM\Administrator) に適切なアクセス許可を委任しています。このシナリオのセットアップ手順で使用したアカウントについて説明しておきます。
このセットアップ手順では、以下の構成を仮定しています。
各コンピュータ上のハード ディスクが再フォーマットされていて、適切なオペレーティング システムがインストールされています。
各コンピュータに名前が付けられています。
コンピュータが通信するためのルーティングが適切にセットアップされていて、以下の IP アドレスがコンピュータに割り当てられることが指定されています。
SEA-NA-RAS-01.noam.reskit.com
172.16.40.18/22, 131.107.1.131/25
SEA-RKE-IIS-50
131.107.1.162/27
SEA-NA-IAS-01.noam.reskit.com
172.16.40.15/22
SEA-NA-DC-01.noam.reskit.com
172.16.8.11/22
SEA-NA-CA-03.noam.reskit.com
172.16.8.13
SJC-SP-RAS-01.partner.supplier01-int.com
192.168.1.253/24
注意
これらの IP アドレスは、プライベート ネットワーク用に予約された IP アドレス範囲内のアドレスです。テスト環境内やファイアウォールの背後ではこれらの IP アドレスを使用することはできますが、インターネット上では使用できません。詳細については、RFC 1918 を参照してください。
表 1 に、このシナリオを開発するために使用したハードウェアおよびソフトウェアのリストを示します。
表 1 リソース キット導入実験で協力企業の PPTP ベースのエクストラネット アクセスを導入するために使用したコンポーネント
コンポーネント |
ハードウェア |
ソフトウェア |
|---|---|---|
Seattle ルーター SEA-NA-RAS-01. |
Compaq ProLiant コンピュータ |
Windows 2000 Server LAN インターフェイス SeattleSubnet および DMZ を構成したルーティングとリモート アクセス サービス |
Supplier ルーター SJC-SP-RAS-01. |
Compaq ProLiant コンピュータ |
Windows 2000 Server LAN インターフェイス SupplierSubnet および DMZ を構成したルーティングとリモート アクセス サービス |
Seattle IIS サーバー SEA-RKE-IIS-50 |
Compaq ProLiant コンピュータ |
Windows 2000 Server インターネット インフォメーション サービス |
Seattle RADIUS サーバー SEA-NA-IAS-01. |
Compaq ProLiant コンピュータ |
Windows 2000 Server インターネット認証サービス |
Seattle 証明機関 SEA-NA-CA-03. |
Compaq ProLiant コンピュータ |
Windows 2000 Server 証明書サービス |
Seattle ドメイン コントローラ SEA-NA-DC-01. |
Compaq ProLiant コンピュータ |
Windows 2000 Server DNS サービス Active Directory |
Seattle 境界ネットワーク ルーター/ファイアウォール SEA-RKE-CISCO-01 |
Cisco 7505 ルーター |
IOS version 12.0 (5) XU Seattle ルーターに対する PPTP トラフィックを許容するアクセス リスト |
セットアップ手順
インターネット上の Supplier ルーターから PPTP ベースの協力企業用エクストラネットへのアクセス設定を構築するために、以下の作業を実施しました。
その他の参考資料
導入実験のシナリオ
L2TP ベースのルーター対ルーター接続について詳しくは、導入実験シナリオの『L2TP による支社への接続』を参照してください。
リモート アクセス ベースの PPTP 接続について詳しくは、導入実験シナリオの『PPTP によるインターネット経由でリモート ユーザーに接続』を参照してください。
Windows 2000 リソース キット
以下は、『Microsoft Windows 2000 Professional リソース キット』および『Microsoft Windows 2000 Server リソース キット』の参考資料です。オンラインで概要を参照できる章もあります。
VPN の詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 9 章 仮想プライベート ネットワーキング (概要紹介)」 (英語) を参照してください。
Windows 2000 における PPP 接続のサポートの詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 7 章 リモート アクセス サーバー」を参照してください。
Windows 2000 におけるデマンドダイヤル ルーティング サポートの詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 6 章 デマンドダイヤルルーティング」を参照してください。
Windows 2000 における OSPF サポートの詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 3 章 ユニキャスト IP ルーティング」を参照してください。
VPN 接続の計画の詳細については、『Microsoft Windows 2000 Server リソース キット 1 導入ガイド』の「第 6 章 Windows 2000 導入のためのネットワークインフラストラクチャの準備」および「第 7 章 ネットワーク接続方針の確定」を参照してください。
Windows 2000 ドキュメント
リモート アクセスの詳細については、Window 2000 Server ヘルプ の「ネットワーク」の「仮想プライベート ネットワーク」を参照してください。
Windows 2000 の導入の詳細については、『Planning and Deployment』 (英語) を参照してください。
Windows 2000 インフラストラクチャの詳細については、『Step-by-Step Guides』 (英語) を参照してください 。
RFC (Requests for Comments)
- PPTP について詳しくは、 RFC Editor Web サイト
.gif "leave-ms")
(英語) のRFC 2637、「Point-to-Point Tunneling Protocol」を参照してください。
Microsoft Press
Windows 2000 についてさらに詳しく理解したい方は、Windows 2000 関連書籍のタイトルを Microsoft Press Web サイトで参照してください。
Windows 2000 の MCSE トレーニングについて詳しくは、『Upgrading to Microsoft Windows 2000 トレーニングキット (ベータ版) 』を参照してください。
Windows 2000 の TCP/IP プロトコル セットとその実装について詳しくは、『Microsoft Windows 2000テクニカルリファレンス TCP/IPプロトコル&サービス』を参照してください。
導入実験の詳細と協力企業について
- 導入実験、および導入実験に提供されたハードウェアに関する情報については、『導入実験のハードウェア仕様』を参照してください。
リソース キット導入実験シナリオの凡例
- Microsoft Windows 2000 リソース キット導入実験シナリオのネットワーク図で使用されている略語や記号について詳しくは、『導入実験シナリオの凡例』を参照してください。
リソース キット導入実験のネットワ ーク図
- ネットワークの設計、ネットワーク ルーティング設計、ドメイン ネーム システム (DNS) 設計、および Active Directory 階層の高水準の編成については、『導入実験のネットワーク図』を参照してください。
関連資料
Windows 2000 リソース キットの詳細については、こちらを参照してください。
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。