Vnet Project

開発の背景

  • TCP/IP通信の制約
  • IPv4グローバルアドレスの不足
  • NAT越え問題とは
  • 移動透過性
  • セキュリティ(認証と暗号化)
  • クライアント/サーバシステムとは
  • サーバに起因する課題
  • VNETプラスの効用
  • リモートアクセス方式の比較
    •

    TCP/IP通信の制約

    TCP/IP通信には以下のような制約があります.
    ・IPv4グローバルアドレス空間からプライベートアドレス空間に対して通信の開始ができません(NAT越え問題).
    ・IPv4アドレスの通信デバイスとIPv6アドレスの通信デバイスは直接通信することができません.
    ・通信中にネットワークを切り替えると通信を継続できません.
    ・エンド通信デバイス間のP2P通信セキュリティを確保するのが困難です.
    特にNAT越え問題は現状のネットワークに最大の制約を課す課題です.
    IoT通信やモバイル通信の普及に伴い,これらの制約はアプリケーションの開発手法にも影響を与え,最適なシステムの実現に支障を来たします.

    IPv4グローバルアドレスの不足

    現状のネットワークの構成は以下の図のようになっています.
    インターネットはIPv4グローバルアドレス,ユーザの通信デバイスはほとんどIPv4プライベートアドレスに接続されています.
    IPアドレス空間の一部をプライベートアドレスとして定義することにより,あらゆるユーザがこの空間を共有できるようになりました.
    これによりグローバルアドレスの枯渇は緩和され,インターネットは延命することができました.
    しかしNAT越え問題という制約が出てきました.

    NAT越え問題とは

    インターネット側から見ると,プライベートネットワークは1台のNATが存在しているようにしか見えず,
    NATの内側の通信デバイスを指定して通信開始をすることができませんでした.
    一方,プライベートネットワーク側から見ると,インターネット上に複数のサーバが存在しており,どのサーバと通信したいか指定することができます.
    このようにNATをはさんでグローバル空間とプライベート空間は非対称の関係にあり,IPネットワークに大きな制約を課しています.
    これまでこの制約は企業ファイアウォールのポリシーの陰に隠れ,表に出てきませんでした.
    しかし,リモートワークの要求の高まりにより,NAT越え問題は解決すべき最大の課題となりました.

    移動透過性

    元来TCP/IPは通信デバイスが移動することを想定していませんでした.
    TCP/IPはIPアドレスに位置識別子と通信識別子という2つの役割を持たせています.
    下図に示すように通信中にルータを跨ってネットワークが切り替わると,IPアドレスが変化し通信識別子が変わることから通信を継続できません.
    一方,インターネットはエンドツーエンド(*)の原理により何もしてくれません.
    このような理由から,インターネットでは通信をしながら場所を移動する機能(移動透過性)の実現は簡単ではありません.
    (*)エンドツーエンドの原理とは,ネットワークは何もしてはならず,高速かつ安価に実現されるべきというインターネットの基本的な考え方です.

    セキュリティ(認証と暗号化)

    インターネット上を流れるパケットの内容は簡単にモニタできます.
    モニタされたくない情報は暗号化することにより第三者の盗聴を防止する必要があります.
    また,通信相手が正しいかどうかを確認する手段が必要です.このため個人認証の技術との融合が必須です.
    暗号通信,個人認証ともに,通信技術と暗号技術と組み合わされることにより実現が可能で,TCP/IPにも一部その技術が組み込まれています
    しかし,これまで述べたTCP/IPの制約からエンド通信デバイスどうしで直接セキュリティを保証するのは困難でした.

    クライアント/サーバシステムとは

    現状のネットワークを使いこなす代表的な技術としてクライアント/サーバシステム(以後CS型システム)があります
    CS型システムはサービスを提供するサーバと,サービスを受ける複数のクライアントから構成されます.
    CS型システムは必ずクライアントから通信を開始します.
    また,サーバはクライアントから見て必ず通信経路を確立できる場所に設置します
    CS型システムではサーバをグローバル空間に設置することにより,NAT越え問題に悩まされることなく広域でのサービスを実現することができます
    このことから現状のアプリケーションはほとんどCS型で実現しています.
    単にユーザどうしで情報を交換する場合であってもサーバを経由する方法に変換して通信を行います.

    サーバに起因する課題

    CS型システムの要となるサーバには運用面と性能面において以下のような課題があります.
    運用面ではすべての情報がサーバに集中するので万全のセキュリティ対策が必要です
    サーバには公開鍵証明書を発行してサーバの認証と暗号通信を行うのが一般です.しかし証明書の運用には維持費用がかかります.
    また,サーバに障害が発生すると影響が大きいので必ず二重化対策が必要です.
    このようなことから,CS型システムのサービスの開始には大きなハードルがあります.
    性能面ではサーバが処理ネックになることがあるのでスケーラビリティを十分検討する必要があります.
    さらに,エンド装置間の通信において通信遅延が増大し,ネットワークのトラフィックが必要以上に増加します.

    VNETプラスの効用

    VNETプラスはネットワークを本来のあるべき姿に戻しn:nの自由な通信を実現します.
    これに通信デバイスのグルーピングとエンドツーエンドのセキュリティを組み込みました.
    このため以下のような効用があります.
    既存システムやアプリケーションをそのまま活かしつつ,企業内通信セキュリティの向上や,通信範囲を拡大したリモートワークを実現可能とします.
    巨大LANを想定した新しい発想のアプリケーションを開発すれば,VNETとの組合せで,インターネットを含む広域システムに拡大できます.
    この方法によれば,通信システムの開発効率を飛躍的に向上できます.

    リモートアクセス方式の比較

    既存技術とVNETプラスを比較するため,リモートアクセス方式を例に取って説明します.
    比較対象として,実績のあるIPsec-VPNとOpenVPNを取り上げます.
    IPsec-VPNは企業ネットワークの入口に設置したVPN装置を経由した通信となります.
    OpenVPNはインターネット上に設置したOpenVPNサーバを経由した通信となります.
    それに対し,VNETプラスはクライアントと業務サーバ間の直接通信となります.
    各方式の違いについては比較表を参照ください.