5分でわかるAG/vxAGのアクセスメソッド

ネットワークアクセス編(L3 VPN スプリットトンネル・フルトンネル)

代表的な、いわゆるSSL-VPNの代表的な形です。
ネットワークアクセスはネットワークモードとアプロケーションモード、それらを合わせたヂュアルモードからなります。
いづれも大まかな流れは下記のようになります。

ネットワークモード

①エンドユーザとAGアプライアンス間にL3 SSL VPNトンネルが確立されます。
②SSL VPNクライアントには内部IPが割り当てられます。
③ユーザネットワークタイプのVPNリソース構成に従って、割り当てられた内部IPを使用して、内部ネットワークの一部または全体にアクセスできます。

ネットワークモードに2種類のトンネリングモード

アレイL3VPNトンネルは、スプリットトンネリングまたはフルトンネリングの2種類のトンネリングモードをサポートしています。

 

 

 

 

 

 

 

❶エンドユーザとAGアプライアンス間にL3 SSL VPNトンネルが確立されます。
SSL VPNクライアントには内部IPが割り当てられます。
❸❹
エンドユーザネットワークタイプのVPNリソース構成に従って、割り当てられた内部IPを使用して、内部ネットワークの一部または全体にアクセスできます。

ネットワークモード(スプリットトンネル)

特定の宛先へのトラフィックのみが暗号化され、SSL VPNトンネルを介してAGアプライアンスに送信され、そこからセキュリティで保護された内部ネットワークに送信されます。
他のすべてのトラフィックは通常どおりルーティングされ続け、クライアントはローカルネットワークリソースまたはネットワークにアクセスし続けます。
要は、必要なものだけを接続する仕組みです。
次の図は、スプリットトンネリングモードを示しています。

 

 

 

 

 

 

 

 

 

 

バックエンドサーバ192.168.1.10宛てのトラフィックは、SSL VPNトンネルを介してAGアプライアンスに送信されます。
Webサイト10.1.1.200に向かうトラフィックは、AGアプライアンスを通過しません。

ネットワークモード(フルトンネル)

宛先に関係なくすべてのトラフィックがトンネリングされます。
つまり、セキュリティで保護された内部ネットワーク上のリソースを宛先としないトラフィックも通過します。
ただし、企業ネットワークポリシーで特定の宛先へのアクセスが許可されていない場合、ユーザはSSL VPNトンネルを介してそれらにアクセスできません。

 

 

 

 

 

 

 

 

 

 

すべてのトラフィックは、AGアプライアンスを介してSSL VPNトンネル経由で送信され、内部リソースのリクエストはイントラネットに送信されます。
インターネットリソースのリクエストは、対応するインターネットサーバに送信されます。

興味あるユーザはハードウエア・仮想ライセンスをご用意しますので、是非お試しください。
The network functions platform company「Array NETWORKS」

MAIL TO: marketing-j@arraynetworks.net
担当: 対馬浩明
TEL: 044-589-8316