5分でわかるAG/vxAGのアクセスメソッド

ネットワークアクセス編(L3 VPN スプリットトンネル・フルトンネル)

代表的な、いわゆるSSL-VPNの代表的な形です。
ネットワークアクセスはネットワークモードとアプロケーションモード、それらを合わせたヂュアルモードからなります。
いづれも大まかな流れは下記のようになります。

ネットワークモード

①エンドユーザとAGアプライアンス間にL3 SSL VPNトンネルが確立されます。
②SSL VPNクライアントには内部IPが割り当てられます。
③ユーザネットワークタイプのVPNリソース構成に従って、割り当てられた内部IPを使用して、内部ネットワークの一部または全体にアクセスできます。

ネットワークモードに2種類のトンネリングモード

アレイL3VPNトンネルは、スプリットトンネリングまたはフルトンネリングの2種類のトンネリングモードをサポートしています。

❶エンドユーザとAGアプライアンス間にL3 SSL VPNトンネルが確立されます。
❷SSL VPNクライアントには内部IPが割り当てられます。
❸❹エンドユーザネットワークタイプのVPNリソース構成に従って、割り当てられた内部IPを使用して、内部ネットワークの一部または全体にアクセスできます。

ネットワークモード（スプリットトンネル）

特定の宛先へのトラフィックのみが暗号化され、SSL VPNトンネルを介してAGアプライアンスに送信され、そこからセキュリティで保護された内部ネットワークに送信されます。
他のすべてのトラフィックは通常どおりルーティングされ続け、クライアントはローカルネットワークリソースまたはネットワークにアクセスし続けます。
要は、必要なものだけを接続する仕組みです。
次の図は、スプリットトンネリングモードを示しています。

バックエンドサーバ192.168.1.10宛てのトラフィックは、SSL VPNトンネルを介してAGアプライアンスに送信されます。
Webサイト10.1.1.200に向かうトラフィックは、AGアプライアンスを通過しません。

ネットワークモード（フルトンネル）

宛先に関係なくすべてのトラフィックがトンネリングされます。
つまり、セキュリティで保護された内部ネットワーク上のリソースを宛先としないトラフィックも通過します。
ただし、企業ネットワークポリシーで特定の宛先へのアクセスが許可されていない場合、ユーザはSSL VPNトンネルを介してそれらにアクセスできません。

すべてのトラフィックは、AGアプライアンスを介してSSL VPNトンネル経由で送信され、内部リソースのリクエストはイントラネットに送信されます。
インターネットリソースのリクエストは、対応するインターネットサーバに送信されます。

興味あるユーザはハードウエア・仮想ライセンスをご用意しますので、是非お試しください。
The network functions platform company「Array NETWORKS」

MAIL TO:　marketing-j@arraynetworks.net
担当：　対馬浩明
TEL：　044-589-8316