5.4.2 VPNの問題点

VPNを構築する場合、トポロジカルにはネットワーク層での実現か、データリンク 層での実現かで全く異なる点です(前者をL3VPN、後者をL2VPNと呼びましょう)。 L3VPNでは、ルーティングされたセグメントが遠隔地にあることにより、トポロジカル には非常に明確で、IPアドレスで遠隔地を区別することが出来ます。従って、問題 となるのは、ルーティングを如何に行うかであり、単に一つのL3VPNリンクのみでは、 障害時には本社支社間の通信が完全に途絶することになります。従って、複数の経路 を用意し、それをルーティングプロトコルで制御することが良いでしょう。

次に、L2VPNはトポロジカルには遠隔地を完全には区別出来ない点に長所と短所があり ます。L2VPNを使えば、全く同じセグメントにある隣のホストと同じになるので、 ファイル共有やその他のサービスをネットワークを意識せずに利用することが可能 です。一方、問題としては、ウィルスやその他のセキュリティに対して全くの無力 である点です。例えば、あるホストがウィルスに侵され、周囲にアタックを始めた 場合には、L3VPNではIPアドレスなどからその発生源を突き止めることが出来ます。 もし、ソースアドレスを詐称しているとしても、宛先アドレスの学習が不可欠になり 、それなりのウィルスでないと効力を持ちえず、またルータにフィルタリングなどを 施すことで更に有効的に対応することも可能です。しかし、L2VPNでは、手ががりは MACアドレスだけであり、そのMACアドレスがどこにあるかを調べるのは困難を極め ます。数年前に企業や大学などでウィルスが蔓延した原因の一つには、広すぎる セグメントという点があったことを考えると、セグメントは極力小さく設計する べきで、あまつさえ遠隔地にセグメントが広がっているという事自体がセキュリティ ホールになり得るということを知っておく必要があるでしょう。



Noriyo Kanayama