VNETプラスの詳細情報
(動画付き)

VNETプラスの特長

    • セットアップが簡単です.
    • 相手のVNET IDを指定するだけで通信経路を確立します.
    • グローバル空間からプライベート空間への通信開始や,異なるプライベート空間どうしのP2P相互通信を可能とします.
    • 通信デバイスをグルーピングし閉域通信網を構築できます.
    • 専門的な知識がなくても簡単にグルーピングの定義ができます.
    • 通信中であるなしに係わらずネットワーク内を自由に移動できます.
    • VNETプラスを利用した通信と通常の通信を同時に実行可能です。
    • 最も遅延の少ない通信経路を選択します.
    • 高スループットを実現します.
    • IPv4とIPv6に接続する装置間の直接通信が可能です(開発中).
    • TSを分散配置できるのでスケーラビリティがあります.
    • VNETプラスの機能を代行するVNETアダプタを提供します.
    • 既存のアプリケーションを変更することなくそのまま利用できます.
    • 既存のネットワーク構成を変える必要がありません.

通信デバイスはTCP/IPネットワークに接続されていなければなりません.

ファイアウォールが存在する環境では,UDPポート4330を通過させる必要があります.

VNETプラスの安全性

VNETプラス通信は以下の理由で極めて安全です.

  • VNETプラスに係るすべてのパケットは暗号化されます.
  • VNETプラスに係るすべてのパケットに改ざん防止のための認証コードがついています.
  • 現時点での安全性が保証されている暗号アルゴリズムAES CBCモード鍵長256ビット,ハッシュアルゴリズムSHA256を採用しています.
  • 同一通信グループのメンバでないと相互通信ができない仕組みを提供します(閉域通信).
  • 不正パケットを高速に検出して廃棄する独自のDoS攻撃対策を有します.
  • リプレイ攻撃対策も万全です.
  • エンドユーザ間の通信パケットを暗号化する暗号鍵は管理者にもわからないようになっていて管理者から情報が漏洩する心配がありません.
  • ユーザ認証としてパスワードと乱数を組み合わせた独自の多要素認証を提供します.

製品レパートリ

1VNETプラスアプリケーション

以下のOSにおいてはVNETプラスをアプリケーションとしてインストールできます.

  • Ubuntu 16.04lts以降
  • Raspberry pi OS(64ビット)
  • Windows 10/11
  • Android 10以降

2VNETアダプタ

以下のような場合は,VNETアダプタを設置することにより,VNETプラスの機能を代行させることができます.
・OSがVNETを未サポートの場合
・IoTのような組込型機器の場合
・一切の変更が許されない業務サーバの場合

VNET IDの付与方法

VNET IDとFQDN (Fully Qualified Domain Name)の関係

VNETプラスを利用するためには適用するすべての通信デバイスにVNET IDを付与する必要があります.
VNET IDはFQDNに準拠し,名前の最後が.ntm200.comで終わるものとします.
FQDNはインターネット上のサーバにつけられる名前のことで,FQDNの規則に従えば世界中で名前が重複しなくなります.
例えば、以下のようにして通信デバイスにVNET IDを付与すると,ユニークな名前であることが保証されます.
VNET IDの例: aaa.acompany.ntm200.com
クライアント専用で使うデバイスは通常はFQDNを持ちません.
しかし,VNETプラスを導入する場合は,クライアントにもVNET IDを付与してください.
クライアントはブラウザのURL欄にこれまでと同じ要領でWebサーバ名(FQDN)とファイル名を入力し,サーバの内容を閲覧できます.
例えば,これまでURL欄に以下のように入力してサーバをアクセスしていた場合,
http://aaa.acompany.co.jp/document.html
同じファイルをVNETプラスを使ってアクセスするには,以下のようにFQDN部分 (aaa.acompany.co.jp)をVNET ID (aaa.acompany.ntm200.com)に置き換えてください.
http://aaa.acompany.ntm200.com/document.html

代表ユーザの方は,“VNETユーザ登録”画面から希望するVNETユーザ名を獲得する必要があります.
VNET IDのacompanyの部分はユーザ組織を識別するためのサブドメイン名で,これは上記VNETユーザ名と同じになります.
aaaの部分には,エンドユーザごとに異なる名前を付与してください.
aaa.bbbのようにさらに階層化されていてもかまいません.

通信グループ

1台の通信デバイスに最低1個以上の通信グループ名を割り当てる必要があります.
通信グループ名は文字通り通信デバイスをグループ化するもので,通信グループ名が同じ通信デバイスでないと相互に通信することはできません.
通信グループの名称は自由に決めることができます.


以下の図は社内用に利用していたWebサーバを内部のPCや外部のPCがアクセスできる例を示しています.
社内のPCは,従来の名前(FQDN)とVNET IDのどちらを使ってもWebサーバにアクセスが可能です.
VNET IDでアクセスした場合は,VNET通信が適用され,エンドツーエンド通信セキュリティが保証されます.
外部のPCはVNET IDを利用して,社内のWebサーバへのアクセスができます.
このときNATの存在を意識する必要はなく,社内PCと全く同じ手順でアクセスできます.
図では暗号化機能のないhttpが使われているので安全でないように見えますが,VNETプラスが認証と暗号化の責任を持つため問題ありません.

新しい通信アプリケーションの開発

以下の手順でインターネットを跨るアプリケーションの開発と検証を行うことができます.
①新しいアプリケーションをLAN上で構築し動作検証する.
②VNETプラスを通信デバイスにインストールすることによりインターネットを跨る広域のシステムが完成する.


アプリケーション開発時は以下のことに留意してください.
NAT越え問題などのネットワークの制約はVNETプラスがすべて除去しますので,アプリケーションはネットワークの制約を一切意識しないでください.
既存のNAT越え技術としてSTUN/TURNがありますが,これらはVNETプラスのNAT越え技術と競合しますから併用できないことがあります.
実IPアドレスを意識したアプリケーションは利用できません.
アプリケーション がIPアドレスを意識すると,仮想IPアドレスと実IPアドレスの関係が混乱し動作を保証できないためです.
VNETプラスではDNSによる名前解決をトリガとして動作を開始しますので,LANのブロードキャストを用いた名前解決(Multicast DNSなど)は使用できません.

通信性能

VNETプラスは高い通信性能を備えています.
TCPスループットは以下のとおりです.
Linux PC対向の場合:220Mbps
Raspberry pi 4 (64bit)対向の場合:120Mbps
測定条件:
1000BASE-TX有線直接接続
PC仕様 Core i5, 2.7GHz Ubuntu20.04LTS
測定ツール iperf

VNETプラスは通信中にネットワークが切り替わっても通信を継続できます.
ネットワーク切り替え時、通信が再開するまでの時間は概ね1秒以内です.
ただし,ネットワーク環境によってはDHCPによる 新IPアドレス取得に数秒を要することがあり,この間通信が止まることがあります.

VNETプラスの仕様

  • 通信機能

    IPv4空間内でのNATを意識しない相互通信
    IPv4/IPv6混在環境での相互通信(開発中)
    移動透過性あり

  • 通信経路

    基本的にエンドツーエンドの直接通信.以下の場合はTS経由の通信.

    • 一方の通信デバイスがIPv4,もう一方がIPv6に接続されている場合
    • 両エンド通信デバイスがともにSymmetricNAT配下に接続されている場合
    • 特殊な多段NAT構成の場合
  • セキュリティ

    エンドツーエンドのパケット認証と暗号化
    (AES CBCモード鍵長256ビット,SHA-256)
    DoS攻撃対策,リプレイ攻撃対策あり
    通信グループの実現
    通信用暗号鍵を管理者にも秘匿
    パスワードと乱数を組み合わせた多要素ユーザ認証

  • スケーラビリティ

    DCの分散配置可能(開発中)
    TSの分散配置可能

動画一覧

動画を閲覧することにより,VNETプラスをより具体的に知ることができます.