5分でわかるAG/vxAGのアクセスメソッド
ネットワークアクセス編(L3 VPN スプリットトンネル・フルトンネル)
代表的な、いわゆるSSL-VPNの代表的な形です。
ネットワークアクセスはネットワークモードとアプロケーションモード、それらを合わせたヂュアルモードからなります。
いづれも大まかな流れは下記のようになります。
ネットワークモード
①エンドユーザとAGアプライアンス間にL3 SSL VPNトンネルが確立されます。
②SSL VPNクライアントには内部IPが割り当てられます。
③ユーザネットワークタイプのVPNリソース構成に従って、割り当てられた内部IPを使用して、内部ネットワークの一部または全体にアクセスできます。
ネットワークモードに2種類のトンネリングモード
アレイL3VPNトンネルは、スプリットトンネリングまたはフルトンネリングの2種類のトンネリングモードをサポートしています。
❶エンドユーザとAGアプライアンス間にL3 SSL VPNトンネルが確立されます。
❷SSL VPNクライアントには内部IPが割り当てられます。
❸❹エンドユーザネットワークタイプのVPNリソース構成に従って、割り当てられた内部IPを使用して、内部ネットワークの一部または全体にアクセスできます。
ネットワークモード(スプリットトンネル)
特定の宛先へのトラフィックのみが暗号化され、SSL VPNトンネルを介してAGアプライアンスに送信され、そこからセキュリティで保護された内部ネットワークに送信されます。
他のすべてのトラフィックは通常どおりルーティングされ続け、クライアントはローカルネットワークリソースまたはネットワークにアクセスし続けます。
要は、必要なものだけを接続する仕組みです。
次の図は、スプリットトンネリングモードを示しています。
バックエンドサーバ192.168.1.10宛てのトラフィックは、SSL VPNトンネルを介してAGアプライアンスに送信されます。
Webサイト10.1.1.200に向かうトラフィックは、AGアプライアンスを通過しません。
ネットワークモード(フルトンネル)
宛先に関係なくすべてのトラフィックがトンネリングされます。
つまり、セキュリティで保護された内部ネットワーク上のリソースを宛先としないトラフィックも通過します。
ただし、企業ネットワークポリシーで特定の宛先へのアクセスが許可されていない場合、ユーザはSSL VPNトンネルを介してそれらにアクセスできません。
すべてのトラフィックは、AGアプライアンスを介してSSL VPNトンネル経由で送信され、内部リソースのリクエストはイントラネットに送信されます。
インターネットリソースのリクエストは、対応するインターネットサーバに送信されます。
興味あるユーザはハードウエア・仮想ライセンスをご用意しますので、是非お試しください。
The network functions platform company「Array NETWORKS」
MAIL TO: marketing-j@arraynetworks.net
担当: 対馬浩明
TEL: 044-589-8316