動的 VPN 機能

一般的なVPN通信の構成は、各拠点と本社やデータセンタなどを接続するスター型接続です。従来のサーバとク ライアントモデルの場合はこの接続構成で十分でしたが、昨今のIP通信の拡大により拠点間での通信量も増え、

センタルータの増強をする必要があるなどさまざまな問題がでてきています。

たとえば、IP電話に代表されるVoIP技術はエンド-エンドの端末間で通信を行うため、直接拠点間で接続した方 が、センタを経由するより効率的です。しかし、全拠点間をメッシュ構成で構築するためには、各拠点にすべて の他拠点情報を設定する必要があり、運用および保守の面から非常に困難です。

本装置は、この問題に対して、動的VPN機能をサポートしています。この機能は自拠点の情報を設定するだけ で、必要に応じてVPN通信パスを構築することができるものです。自拠点を設定するだけなので、拠点数が多い 場合や新規に拠点が追加された場合でも問題なく対応することがきます。

各拠点ルータは、設定された自拠点情報を動的VPNサーバに登録します。そして、VPN通信パスの構築が必要 となった場合に、動的VPNサーバ経由で接続先の拠点情報を取得してVPN通信パスを構築します。VPN通信パ スが構築されるまでは、従来どおりセンタルータ経由で通信されるため、VPN接続までの間、データが通信でき ないなどの問題はありません。

また、拠点間で直接VPN通信パスが構築された時点で、センタルータ経由での通信がなくなり、センタトラ フィックも軽減されます。

Internet

支社 本社

支社

Internet

支社 本社

支社 Si-R Si-R

Si-R Si-R Si-R Si-R

現状のinternet 動的VPN機能を使用した場合

動的VPNの動作を以下に示します。

（1） 動的VPNサーバへの登録

本装置起動時、各拠点ルータは、動的VPNサーバに対して登録処理を行います。その後、定期的に登録パ ケットを送出します。

（2） 他拠点へのパケット発生

動的VPN対象になっている他拠点に、通信パケットが発生したときに、動的VPN通信パスの構築を開始し ます。

Internet

支社 本社

支社 Si-R

Si-R

Si-R 動的VPN

サーバ

拠点の情報を 管理

自拠点情報を 登録

（3） 動的VPN情報の交換

まず、動的VPNサーバに対して相手拠点の接続先情報を問い合わせます。動的VPNサーバは、登録されて いる拠点情報から、該当する拠点を検索し、相手拠点に接続を指示します。その後、動的VPN通信パスを 構築するために必要な情報を、動的VPNサーバを経由して拠点間で交換します。

（4） 動的VPN通信パスの構築

情報交換によって獲得した相手拠点の情報を元に、動的VPN通信パスを構築します。

Internet

支社 本社

支社 Si-R

Si-R

Si-R

問い合わせに対して 接続を指示

VPN通信に 必要な情報を交換 動的VPNサーバに

接続先情報を 問い合わせ

動的VPN サーバ

Internet

支社 本社

支社 Si-R

Si-R

Si-R VPN通信パス確立

動的VPN サーバ

（5） 動的VPN通信パスの切断

通信パケットがなくなり、動的VPN通信パスが不要になると、自動的に切断されます。その後、（1）の状 態に戻ります。

• 動的VPN機能を使用する場合は、自動鍵設定を使用する必要があります。また全拠点でIPsec/IKEの設定（共有鍵な ど）を同一にしてください。

• 動的VPNサーバと接続できなくなった場合は、接続中のVPN通信パスも切断されます。

• 各拠点で設定するローカルIDおよびローカルネットの重複はできません。

• 動的VPNパス上でNAT機能は使用できません。

コマンド設定事例集

Web設定事例集

、