サイト間VPN

サイト間VPNの基本は、暗号化されたVPNトンネルです。2台のセキュリティゲートウェイがリンクをネゴシエートしてVPNトンネルを作成し、各トンネルに複数のVPN接続を含めることができます。1台のセキュリティゲートウェイは、同時に複数のVPNトンネルを維持することができます。

サイト間VPNの導入例

項目	説明
A、B	セキュリティゲートウェイ
2	VPNトンネル
3	VPNドメインの内部ネットワーク
4	ホスト4
5	ホスト5

この例のVPN展開では、ホスト 4 とホスト 5 が相互にデータを安全に送信しています。セキュリティゲートウェイはIKEネゴシエーションを行い、VPNトンネルを作成します。ホスト4とホスト5の間で送信されるデータの暗号化と復号にIPsecプロトコルを使用しています。

VPNワークフロー

ホスト4がパケットを

ホスト5へ送信

セキュリティゲートウェイ A & B

でVPNトンネルを作成

セキュリティゲートウェイA

でデータを暗号化

ホスト5が非暗号化

データを受信

セキュリティゲートウェイB

でデータを復号

暗号化されたデータの経由先は

VPNトンネル

VPNコミュニティ

VPNドメインとは、VPNトラフィックを送受信するためにセキュリティゲートウェイを使用する内部ネットワークの集合です。各セキュリティゲートウェイのVPNドメインに含まれるリソースを定義します。次に、セキュリティゲートウェイをVPNコミュニティ（VPNトンネルとその属性の集合）に参加させます。異なるVPNドメインのネットワークリソースは、VPNコミュニティ内のセキュリティゲートウェイを終端とするVPNトンネルを通じて、互いに安全に通信することができます。

VPNコミュニティは、スター型とメッシュ型のトポロジをベースにしています。メッシュコミュニティでは、各セキュリティゲートウェイのペアの間にVPNトンネルが存在します。スターコミュニティでは、各サテライトセキュリティゲートウェイはセントラルセキュリティゲートウェイへのVPNトンネルを持ちますが、コミュニティ内の他のセキュリティゲートウェイへのVPNトンネルは持ちません。

Mesh Topology		Star Topology

項目	説明
1	セキュリティゲートウェイ
2	サテライトセキュリティゲートウェイ
3	セントラルセキュリティゲートウェイ

セキュリティゲートウェイにスター型VPNを設定する手順

VPNコミュニティ内の各セキュリティゲートウェイについて、以下の設定手順を実行します。

SmartConsoleで、Gateways & Serversページに移動し、セキュリティゲートウェイオブジェクトをダブルクリックします。

セキュリティゲートウェイのプロパティ画面が表示されます。
General PropertiesページのNetwork Securityセクションで、IPsec VPNを選択します。
ナビゲーションツリーでNetwork Management > VPN Domainをクリックします。
- 中央のセキュリティゲートウェイの場合、Manually definedをクリックし、Internal-networkオブジェクトを選択します。
- サテライトセキュリティゲートウェイの場合はAll IP addresses
ナビゲーションツリーでIPsec VPNをクリックします。
セキュリティゲートウェイをVPNスターコミュニティのメンバとして設定します。
1. This Security Gateway participates in the following VPN Communitiesセクションで、Addをクリックします。
  
  Add this Gateway to Communityウィンドウが開きます。
2. VPNコミュニティを選択します。
3. クリックOK。
クリックOK。

コミュニティを作成し、セキュリティゲートウェイを設定した後、それらのセキュリティゲートウェイをセンターまたはサテライトセキュリティゲートウェイとしてコミュニティに追加します。

VPNコミュニティの組合せ例

項目	説明
1	ロンドンセキュリティゲートウェイ
2	ニューヨークセキュリティゲートウェイ
3	ロンドン-ニューヨークメッシュコミュニティ
4	ロンドンの企業パートナー（外部ネットワーク）
5	ロンドンスターコミュニティ
6	ニューヨークの企業パートナー（外部ネットワーク）
7	ニューヨークスターコミュニティ

この導入では、内部ネットワークを共有するロンドンとニューヨークのセキュリティゲートウェイのMeshコミュニティで構成されています。パートナー企業の外部ネットワーク用セキュリティゲートウェイは、ロンドン、ニューヨークの内部ネットワークにはアクセスできません。しかし、スターVPNコミュニティでは、企業のパートナーが協力する拠点の内部ネットワークにアクセスすることができます。

VPN接続の許可

特定のVPNコミュニティ内のセキュリティゲートウェイ間のVPN接続を許可するには、対象接続を受け入れるアクセスコントロールルールを追加します。

特定のVPNコミュニティの内部ネットワーク上のホストおよびクライアントに対するすべてのVPNトラフィックを許可するには、そのVPNコミュニティのプロパティ設定ウィンドウのEncrypted Trafficのセクションでこれらのオプションを選択します。

メッシュ化されたコミュニティのために：Accept all encrypted traffic
スターコミュニティAccept all encrypted traffic on Both center and satellite gatewaysまたはAccept all encrypted traffic on Satellite gateways only 。

VPNアクセスコントロールルールのサンプル

この表は、アクセスコントロールルールベースのVPNルールのサンプルを示している。(Action 、Track 、Time のカラムは表示されていません。Action はAllow に、Track はLog に、Time はAny に設定されています)。

No.	名前	発信元	宛先	VPN	サービス	インストール
1	-	Any	NEGATEDメンバセキュリティゲートウェイ	BranchOffices LondonOffices	Any	BranchOffices LondonOffices
2	サイト間VPN	Any	Any	All_GwToGw	FTP-port HTTP HTTPS SMTP	ポリシーの対象
3	リモートアクセス	Any	Any	RemoteAccess	HTTP HTTPS IMAP	ポリシーの対象

VPN コミュニティおよび VPN コミュニティでAccept All Encrypted Traffic 設定オプションが選択されている場合に、SmartConsole がBranchOffices暗黙のルールのLondonOffices最上位に追加する自動ルール。このルールは、これらのコミュニティ内のすべてのセキュリティゲートウェイにインストールされます。これらのコミュニティの内部ネットワーク上のホストやクライアントへのすべてのVPNトラフィックを許可します。これらのVPNコミュニティ内のセキュリティゲートウェイに送信されたトラフィックはドロップされます。

注 - この自動ルールは、複数のVPNコミュニティに適用することができます。
Site-to-site VPN- すべてのSite-to-Site VPNコミュニティのVPNドメイン内のホスト間の接続が許可されます。許可されるプロトコルはこれだけです：FTP、HTTP、HTTPS、SMTP。
Remote access- リモートアクセスVPNコミュニティのVPNドメイン内のホスト間の接続は許可されます。許可されるプロトコルはこれだけです：HTTP、HTTPS、IMAP。

サイト間VPNについての詳細

サイト間VPNの詳細については、以下を参照してください。R81.20 Site to Site VPN Administration Guide。