SlideShare a Scribd company logo

「ネットワーク超入門 IPsec VPN編」

富士通クラウドテクノロジーズ株式会社
富士通クラウドテクノロジーズ株式会社
富士通クラウドテクノロジーズ株式会社富士通クラウドテクノロジーズ株式会社

第38回ニフクラエンジニアミートアップ「インフラエンジニアのためのネットワーク超入門」~TCP/IPの基礎からIPsec VPNまで~における、富士通クラウドテクノロジーズ株式会社 蓮沼 愼太郎のセッション「ネットワーク超入門 IPsec VPN編」のスライド。

「ネットワーク超入門 IPsec VPN編」

1 of 29
Download to read offline
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
富士通クラウドテクノロジーズ株式会社
蓮沼 愼太郎
インフラエンジニアのためのネットワーク超入門
2021/06/30
ネットワーク超入門 IPsec VPN編
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
自己紹介
名前:蓮沼 愼太郎(Shintaro Hasunuma)
所属:富士通クラウドテクノロジーズ株式会社
仕事内容
ニフクラのサービス(IaaS)を企画・開発、運用しているエンジニア
主に携わっているサービス
• 拠点間VPNゲートウェイ・ルーター
• リモートアクセスVPNゲートウェイ
• Liveマイグレーション
vExpert 2020-21, VCAP-NV
2
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
クラウドサービス「ニフクラ」とは
Webサービス事業
@niftyのサービス運用から誕生
VMware vSphere🄬をベースとした
社会インフラを支えるクラウドサービス
クラウドサービス事業
1996年
@nifty
プロバイダー
サービス
1999年
2010年
2020年
FUJITSU Hybrid IT Service
FJcloud-V
パソコン通信事業
1987年
NIFTY-Serve
ISP事業
VMware Partner Innovation Award
2016 Regional Winner
3
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
目次
IPsecとは
ニフクラでIPsecを使っているサービス
• 拠点間VPNゲートウェイ
• Liveマイグレーション(VMware HCX)
IPsecプロトコル概要
トラブルシューティング
4
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
IPsecとは
「Security Architecture for Internet Protocol」の略。
IPsecは、暗号技術を使ってIPパケットの完全性や機密性を実現する仕組みです。
IPパケットの保護によって、HTTPやFTPといったアプリケーションプロトコルを使って転送
されるデータが保護されます。
https://www.nic.ad.jp/ja/basics/terms/ipsec.html
5
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
IPsecの利用ケース
インターネットを介した通信をIPsecで保護し、拠点間や拠点へのリモート
アクセスを仮想専用線として利用する事が可能
=VPN(Virtual Private Network)
6
Ad

Recommended

大規模DCのネットワークデザイン
大規模DCのネットワークデザイン大規模DCのネットワークデザイン
大規模DCのネットワークデザインMasayuki Kobayashi
 
コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線Motonori Shindo
 
インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造Taiji Tsuchiya
 
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話Kumazaki Hiroki
 
さくらのVPS で IPv4 over IPv6ルータの構築
さくらのVPS で IPv4 over IPv6ルータの構築さくらのVPS で IPv4 over IPv6ルータの構築
さくらのVPS で IPv4 over IPv6ルータの構築Tomocha Potter
 

More Related Content

What's hot

分散システムの限界について知ろう
分散システムの限界について知ろう分散システムの限界について知ろう
分散システムの限界について知ろうShingo Omura
 
HTTPを理解する
HTTPを理解するHTTPを理解する
HTTPを理解するIIJ
 
地理分散DBについて
地理分散DBについて地理分散DBについて
地理分散DBについてKumazaki Hiroki
 
545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!Masayuki Kobayashi
 
これからはじめるインフラエンジニア
これからはじめるインフラエンジニアこれからはじめるインフラエンジニア
これからはじめるインフラエンジニア外道 父
 
大規模サービスを支えるネットワークインフラの全貌
大規模サービスを支えるネットワークインフラの全貌大規模サービスを支えるネットワークインフラの全貌
大規模サービスを支えるネットワークインフラの全貌LINE Corporation
 
分散システムについて語らせてくれ
分散システムについて語らせてくれ分散システムについて語らせてくれ
分散システムについて語らせてくれKumazaki Hiroki
 
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!Hirotaka Sato
 
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)NTT DATA Technology & Innovation
 
オープンソースのAPIゲートウェイ Kong ご紹介
オープンソースのAPIゲートウェイ Kong ご紹介 オープンソースのAPIゲートウェイ Kong ご紹介
オープンソースのAPIゲートウェイ Kong ご紹介 briscola-tokyo
 
Onieで遊んでみようとした話
Onieで遊んでみようとした話Onieで遊んでみようとした話
Onieで遊んでみようとした話Masaru Oki
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドAkihiro Suda
 
backlogsでもCI/CDする夢を見る
backlogsでもCI/CDする夢を見るbacklogsでもCI/CDする夢を見る
backlogsでもCI/CDする夢を見るTakeru Maehara
 
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜Akira Nakagawa
 
Pythonによる黒魔術入門
Pythonによる黒魔術入門Pythonによる黒魔術入門
Pythonによる黒魔術入門大樹 小倉
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Kohei Tokunaga
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Akihiro Suda
 
オススメのJavaログ管理手法 ~コンテナ編~(Open Source Conference 2022 Online/Spring 発表資料)
オススメのJavaログ管理手法 ~コンテナ編~(Open Source Conference 2022 Online/Spring 発表資料)オススメのJavaログ管理手法 ~コンテナ編~(Open Source Conference 2022 Online/Spring 発表資料)
オススメのJavaログ管理手法 ~コンテナ編~(Open Source Conference 2022 Online/Spring 発表資料)NTT DATA Technology & Innovation
 
Javaで学ぶネットワークプログラミングの基礎
Javaで学ぶネットワークプログラミングの基礎Javaで学ぶネットワークプログラミングの基礎
Javaで学ぶネットワークプログラミングの基礎なべ
 
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門Etsuji Nakai
 

What's hot (20)

分散システムの限界について知ろう
分散システムの限界について知ろう分散システムの限界について知ろう
分散システムの限界について知ろう
 
HTTPを理解する
HTTPを理解するHTTPを理解する
HTTPを理解する
 
地理分散DBについて
地理分散DBについて地理分散DBについて
地理分散DBについて
 
545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!
 
これからはじめるインフラエンジニア
これからはじめるインフラエンジニアこれからはじめるインフラエンジニア
これからはじめるインフラエンジニア
 
大規模サービスを支えるネットワークインフラの全貌
大規模サービスを支えるネットワークインフラの全貌大規模サービスを支えるネットワークインフラの全貌
大規模サービスを支えるネットワークインフラの全貌
 
分散システムについて語らせてくれ
分散システムについて語らせてくれ分散システムについて語らせてくれ
分散システムについて語らせてくれ
 
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
 
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
 
オープンソースのAPIゲートウェイ Kong ご紹介
オープンソースのAPIゲートウェイ Kong ご紹介 オープンソースのAPIゲートウェイ Kong ご紹介
オープンソースのAPIゲートウェイ Kong ご紹介
 
Onieで遊んでみようとした話
Onieで遊んでみようとした話Onieで遊んでみようとした話
Onieで遊んでみようとした話
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
 
backlogsでもCI/CDする夢を見る
backlogsでもCI/CDする夢を見るbacklogsでもCI/CDする夢を見る
backlogsでもCI/CDする夢を見る
 
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
 
Pythonによる黒魔術入門
Pythonによる黒魔術入門Pythonによる黒魔術入門
Pythonによる黒魔術入門
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
 
オススメのJavaログ管理手法 ~コンテナ編~(Open Source Conference 2022 Online/Spring 発表資料)
オススメのJavaログ管理手法 ~コンテナ編~(Open Source Conference 2022 Online/Spring 発表資料)オススメのJavaログ管理手法 ~コンテナ編~(Open Source Conference 2022 Online/Spring 発表資料)
オススメのJavaログ管理手法 ~コンテナ編~(Open Source Conference 2022 Online/Spring 発表資料)
 
Javaで学ぶネットワークプログラミングの基礎
Javaで学ぶネットワークプログラミングの基礎Javaで学ぶネットワークプログラミングの基礎
Javaで学ぶネットワークプログラミングの基礎
 
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
 

Similar to 「ネットワーク超入門 IPsec VPN編」

10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdf
10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdf10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdf
10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdfKdpKumar
 
Chapter 8 overview
Chapter 8 overviewChapter 8 overview
Chapter 8 overviewali raza
 
Shape your remote connection to your GCE instance
Shape your remote connection to your GCE instanceShape your remote connection to your GCE instance
Shape your remote connection to your GCE instanceDevOps Indonesia
 
Ip tunnelling and_vpn
Ip tunnelling and_vpnIp tunnelling and_vpn
Ip tunnelling and_vpnRajesh Porwal
 
OpeVPN on Mikrotik
OpeVPN on MikrotikOpeVPN on Mikrotik
OpeVPN on MikrotikGLC Networks
 
CCNAv5 - S4: Chapter 7: Securing Site-to-site Connectivity
CCNAv5 - S4: Chapter 7: Securing Site-to-site ConnectivityCCNAv5 - S4: Chapter 7: Securing Site-to-site Connectivity
CCNAv5 - S4: Chapter 7: Securing Site-to-site ConnectivityVuz Dở Hơi
 
IP security and VPN presentation
IP security and VPN presentation IP security and VPN presentation
IP security and VPN presentation KishoreTs3
 
Rapid industrial grade IoT prototyping with sierra wireless
Rapid industrial grade IoT prototyping with sierra wirelessRapid industrial grade IoT prototyping with sierra wireless
Rapid industrial grade IoT prototyping with sierra wirelesssierradeveloper
 
Virtual Private Network (VPN).
Virtual Private Network (VPN).Virtual Private Network (VPN).
Virtual Private Network (VPN).Debasis Chowdhury
 
CUE Customer Sales Presentation-2023 pdf
CUE Customer Sales Presentation-2023 pdfCUE Customer Sales Presentation-2023 pdf
CUE Customer Sales Presentation-2023 pdfabenyeung
 
IoT Saturday PN 2019 - Eurotech
IoT Saturday PN 2019 - EurotechIoT Saturday PN 2019 - Eurotech
IoT Saturday PN 2019 - EurotechLuca Dazi
 
Connected home - market evolution & protocol wars
Connected home - market evolution & protocol warsConnected home - market evolution & protocol wars
Connected home - market evolution & protocol warsBorys Tomala
 
7256 ccna security_chapter_8_vpn_dl3_oz_20130409031455
7256 ccna security_chapter_8_vpn_dl3_oz_201304090314557256 ccna security_chapter_8_vpn_dl3_oz_20130409031455
7256 ccna security_chapter_8_vpn_dl3_oz_20130409031455ytrui
 
Providing Internet Access via WSO2 Enterprise Mobility Manager
Providing Internet Access via WSO2 Enterprise Mobility Manager Providing Internet Access via WSO2 Enterprise Mobility Manager
Providing Internet Access via WSO2 Enterprise Mobility Manager WSO2
 

Similar to 「ネットワーク超入門 IPsec VPN編」 (20)

10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdf
10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdf10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdf
10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdf
 
Ip tunneling and vpns
Ip tunneling and vpnsIp tunneling and vpns
Ip tunneling and vpns
 
Chapter 8 overview
Chapter 8 overviewChapter 8 overview
Chapter 8 overview
 
Shape your remote connection to your GCE instance
Shape your remote connection to your GCE instanceShape your remote connection to your GCE instance
Shape your remote connection to your GCE instance
 
Ip tunnelling and_vpn
Ip tunnelling and_vpnIp tunnelling and_vpn
Ip tunnelling and_vpn
 
ENSA_Module_8.pptx
ENSA_Module_8.pptxENSA_Module_8.pptx
ENSA_Module_8.pptx
 
OpeVPN on Mikrotik
OpeVPN on MikrotikOpeVPN on Mikrotik
OpeVPN on Mikrotik
 
CCNAv5 - S4: Chapter 7: Securing Site-to-site Connectivity
CCNAv5 - S4: Chapter 7: Securing Site-to-site ConnectivityCCNAv5 - S4: Chapter 7: Securing Site-to-site Connectivity
CCNAv5 - S4: Chapter 7: Securing Site-to-site Connectivity
 
IP security and VPN presentation
IP security and VPN presentation IP security and VPN presentation
IP security and VPN presentation
 
Shradhamaheshwari vpn
Shradhamaheshwari vpnShradhamaheshwari vpn
Shradhamaheshwari vpn
 
Rapid industrial grade IoT prototyping with sierra wireless
Rapid industrial grade IoT prototyping with sierra wirelessRapid industrial grade IoT prototyping with sierra wireless
Rapid industrial grade IoT prototyping with sierra wireless
 
Testing
TestingTesting
Testing
 
Vpn
Vpn Vpn
Vpn
 
Virtual Private Network (VPN).
Virtual Private Network (VPN).Virtual Private Network (VPN).
Virtual Private Network (VPN).
 
CUE Customer Sales Presentation-2023 pdf
CUE Customer Sales Presentation-2023 pdfCUE Customer Sales Presentation-2023 pdf
CUE Customer Sales Presentation-2023 pdf
 
IoT Saturday PN 2019 - Eurotech
IoT Saturday PN 2019 - EurotechIoT Saturday PN 2019 - Eurotech
IoT Saturday PN 2019 - Eurotech
 
Gadgeon profile
Gadgeon profileGadgeon profile
Gadgeon profile
 
Connected home - market evolution & protocol wars
Connected home - market evolution & protocol warsConnected home - market evolution & protocol wars
Connected home - market evolution & protocol wars
 
7256 ccna security_chapter_8_vpn_dl3_oz_20130409031455
7256 ccna security_chapter_8_vpn_dl3_oz_201304090314557256 ccna security_chapter_8_vpn_dl3_oz_20130409031455
7256 ccna security_chapter_8_vpn_dl3_oz_20130409031455
 
Providing Internet Access via WSO2 Enterprise Mobility Manager
Providing Internet Access via WSO2 Enterprise Mobility Manager Providing Internet Access via WSO2 Enterprise Mobility Manager
Providing Internet Access via WSO2 Enterprise Mobility Manager
 

More from 富士通クラウドテクノロジーズ株式会社

More from 富士通クラウドテクノロジーズ株式会社 (20)

IPsec VPNとSSL-VPNの違い
IPsec VPNとSSL-VPNの違いIPsec VPNとSSL-VPNの違い
IPsec VPNとSSL-VPNの違い
 
弊社サービスを使って ノーコード開発してみた.pdf
弊社サービスを使って ノーコード開発してみた.pdf弊社サービスを使って ノーコード開発してみた.pdf
弊社サービスを使って ノーコード開発してみた.pdf
 
今から始めるUbuntu入門_202307.pdf
今から始めるUbuntu入門_202307.pdf今から始めるUbuntu入門_202307.pdf
今から始めるUbuntu入門_202307.pdf
 
非エンジニアがクラウド上にMinecraftサーバーを構築するまでの記録
非エンジニアがクラウド上にMinecraftサーバーを構築するまでの記録非エンジニアがクラウド上にMinecraftサーバーを構築するまでの記録
非エンジニアがクラウド上にMinecraftサーバーを構築するまでの記録
 
自宅k8s/vSphere入門
自宅k8s/vSphere入門自宅k8s/vSphere入門
自宅k8s/vSphere入門
 
FJcloud-Vの無料トライアルで雑にWordPressを入れてみた(リベンジ)
FJcloud-Vの無料トライアルで雑にWordPressを入れてみた(リベンジ)FJcloud-Vの無料トライアルで雑にWordPressを入れてみた(リベンジ)
FJcloud-Vの無料トライアルで雑にWordPressを入れてみた(リベンジ)
 
今さら聞けないバックアップの基礎
今さら聞けないバックアップの基礎今さら聞けないバックアップの基礎
今さら聞けないバックアップの基礎
 
DevOps with GitLabで始める簡単DevOps
DevOps with GitLabで始める簡単DevOpsDevOps with GitLabで始める簡単DevOps
DevOps with GitLabで始める簡単DevOps
 
自宅vSphereからニフクラに引っ越ししてみた
自宅vSphereからニフクラに引っ越ししてみた自宅vSphereからニフクラに引っ越ししてみた
自宅vSphereからニフクラに引っ越ししてみた
 
自宅インフラの育て方 第2回
自宅インフラの育て方 第2回自宅インフラの育て方 第2回
自宅インフラの育て方 第2回
 
NGINX App Protect on Hatobaで実現するセキュリティサービス公開 構築手順書
NGINX App Protect on Hatobaで実現するセキュリティサービス公開 構築手順書NGINX App Protect on Hatobaで実現するセキュリティサービス公開 構築手順書
NGINX App Protect on Hatobaで実現するセキュリティサービス公開 構築手順書
 
これから始めるエンジニアのためのクラウド超入門
これから始めるエンジニアのためのクラウド超入門これから始めるエンジニアのためのクラウド超入門
これから始めるエンジニアのためのクラウド超入門
 
マネージドKubernetes、「Kubernetes Service Hatoba」を使ってみよう
マネージドKubernetes、「Kubernetes Service Hatoba」を使ってみようマネージドKubernetes、「Kubernetes Service Hatoba」を使ってみよう
マネージドKubernetes、「Kubernetes Service Hatoba」を使ってみよう
 
GitLabで始めるDevOps入門
GitLabで始めるDevOps入門GitLabで始めるDevOps入門
GitLabで始めるDevOps入門
 
GitLabのAutoDevOpsを試してみた
GitLabのAutoDevOpsを試してみたGitLabのAutoDevOpsを試してみた
GitLabのAutoDevOpsを試してみた
 
vSphere 7 へのアップグレードについて
vSphere 7 へのアップグレードについてvSphere 7 へのアップグレードについて
vSphere 7 へのアップグレードについて
 
VM 基盤運用チームの DevOps
VM 基盤運用チームの DevOpsVM 基盤運用チームの DevOps
VM 基盤運用チームの DevOps
 
緊急事態宣言解除後のセキュリティ・チェックリストを解説してみた
緊急事態宣言解除後のセキュリティ・チェックリストを解説してみた緊急事態宣言解除後のセキュリティ・チェックリストを解説してみた
緊急事態宣言解除後のセキュリティ・チェックリストを解説してみた
 
入社2年目社員から見た VDI(DaaS)の運用とセキュリティ
入社2年目社員から見たVDI(DaaS)の運用とセキュリティ入社2年目社員から見たVDI(DaaS)の運用とセキュリティ
入社2年目社員から見た VDI(DaaS)の運用とセキュリティ
 
インフラチームのリモートワーク
インフラチームのリモートワークインフラチームのリモートワーク
インフラチームのリモートワーク
 

Recently uploaded

Documento 50 - 1-120 - 51+52 borrador.pdf
Documento 50 - 1-120 - 51+52 borrador.pdfDocumento 50 - 1-120 - 51+52 borrador.pdf
Documento 50 - 1-120 - 51+52 borrador.pdfFRANCISCOJUSTOSIERRA
 
my goal is place in mnc's companies and got good salary
my goal is place in mnc's companies and got good salarymy goal is place in mnc's companies and got good salary
my goal is place in mnc's companies and got good salarymonoarul2004
 
Deluck Technical Works Company Profile.pdf
Deluck Technical Works Company Profile.pdfDeluck Technical Works Company Profile.pdf
Deluck Technical Works Company Profile.pdfartpoa9
 
Sample Case Study of industry 4.0 and its Outcome
Sample Case Study of industry 4.0 and its OutcomeSample Case Study of industry 4.0 and its Outcome
Sample Case Study of industry 4.0 and its OutcomeHarshith A S
 
S. Kim, NeurIPS 2023, MLILAB, KAISTAI
S. Kim,  NeurIPS 2023,  MLILAB,  KAISTAIS. Kim,  NeurIPS 2023,  MLILAB,  KAISTAI
S. Kim, NeurIPS 2023, MLILAB, KAISTAIMLILAB
 
Metrology Measurements and All units PPT
Metrology Measurements and  All units PPTMetrology Measurements and  All units PPT
Metrology Measurements and All units PPTdinesh babu
 
Final Year Project - Automated web based form filling using OCR.pptx
Final Year Project - Automated web based form filling using OCR.pptxFinal Year Project - Automated web based form filling using OCR.pptx
Final Year Project - Automated web based form filling using OCR.pptxswarajkakade83
 
Presentation of Helmet Detection Using Machine Learning.pptx
Presentation of Helmet Detection Using Machine Learning.pptxPresentation of Helmet Detection Using Machine Learning.pptx
Presentation of Helmet Detection Using Machine Learning.pptxasmitaTele2
 
Bresenham line-drawing-algorithm By S L Sonawane.pdf
Bresenham line-drawing-algorithm By S L Sonawane.pdfBresenham line-drawing-algorithm By S L Sonawane.pdf
Bresenham line-drawing-algorithm By S L Sonawane.pdfSujataSonawane11
 
Searching and Sorting Unit II Part I.pptx
Searching and Sorting Unit II Part I.pptxSearching and Sorting Unit II Part I.pptx
Searching and Sorting Unit II Part I.pptxDr. Madhuri Jawale
 
chap. 3. lipid deterioration oil and fat processign
chap. 3. lipid deterioration oil and fat processignchap. 3. lipid deterioration oil and fat processign
chap. 3. lipid deterioration oil and fat processignteddymebratie
 
Fundamentals of Data Structure_Unit I.pptx
Fundamentals of Data Structure_Unit I.pptxFundamentals of Data Structure_Unit I.pptx
Fundamentals of Data Structure_Unit I.pptxDr. Madhuri Jawale
 
Objectives of Software Engineering and phases of SDLC.pptx
Objectives of Software Engineering and phases of SDLC.pptxObjectives of Software Engineering and phases of SDLC.pptx
Objectives of Software Engineering and phases of SDLC.pptxGraceDenial
 
Pre-assessment & Data Sheet presentation template - 2023.pptx
Pre-assessment & Data Sheet presentation template - 2023.pptxPre-assessment & Data Sheet presentation template - 2023.pptx
Pre-assessment & Data Sheet presentation template - 2023.pptxssuserc79a6f
 
Biochemical Thermodynamics for Biotechnology
Biochemical Thermodynamics for BiotechnologyBiochemical Thermodynamics for Biotechnology
Biochemical Thermodynamics for Biotechnologyssusere9cd97
 
Gate-Level Simulation Methodology Improving Gate-Level Simulation Performance
Gate-Level Simulation Methodology Improving Gate-Level Simulation PerformanceGate-Level Simulation Methodology Improving Gate-Level Simulation Performance
Gate-Level Simulation Methodology Improving Gate-Level Simulation Performancesuddentrike2
 
Hydraulics Introduction& Hydrostatics.pdf
Hydraulics  Introduction&   Hydrostatics.pdfHydraulics  Introduction&   Hydrostatics.pdf
Hydraulics Introduction& Hydrostatics.pdfGetacher Teshome
 
PM24_Oral_Presentation_Template_Guidelines.pptx
PM24_Oral_Presentation_Template_Guidelines.pptxPM24_Oral_Presentation_Template_Guidelines.pptx
PM24_Oral_Presentation_Template_Guidelines.pptxnissamant
 
Architectural Preservation - Heritage, focused on Saudi Arabia
Architectural Preservation - Heritage, focused on Saudi ArabiaArchitectural Preservation - Heritage, focused on Saudi Arabia
Architectural Preservation - Heritage, focused on Saudi ArabiaIgnacio J. Palma, Arch PhD.
 

Recently uploaded (20)

Documento 50 - 1-120 - 51+52 borrador.pdf
Documento 50 - 1-120 - 51+52 borrador.pdfDocumento 50 - 1-120 - 51+52 borrador.pdf
Documento 50 - 1-120 - 51+52 borrador.pdf
 
my goal is place in mnc's companies and got good salary
my goal is place in mnc's companies and got good salarymy goal is place in mnc's companies and got good salary
my goal is place in mnc's companies and got good salary
 
Deluck Technical Works Company Profile.pdf
Deluck Technical Works Company Profile.pdfDeluck Technical Works Company Profile.pdf
Deluck Technical Works Company Profile.pdf
 
Sample Case Study of industry 4.0 and its Outcome
Sample Case Study of industry 4.0 and its OutcomeSample Case Study of industry 4.0 and its Outcome
Sample Case Study of industry 4.0 and its Outcome
 
IGBT.ppt
IGBT.pptIGBT.ppt
IGBT.ppt
 
S. Kim, NeurIPS 2023, MLILAB, KAISTAI
S. Kim,  NeurIPS 2023,  MLILAB,  KAISTAIS. Kim,  NeurIPS 2023,  MLILAB,  KAISTAI
S. Kim, NeurIPS 2023, MLILAB, KAISTAI
 
Metrology Measurements and All units PPT
Metrology Measurements and  All units PPTMetrology Measurements and  All units PPT
Metrology Measurements and All units PPT
 
Final Year Project - Automated web based form filling using OCR.pptx
Final Year Project - Automated web based form filling using OCR.pptxFinal Year Project - Automated web based form filling using OCR.pptx
Final Year Project - Automated web based form filling using OCR.pptx
 
Presentation of Helmet Detection Using Machine Learning.pptx
Presentation of Helmet Detection Using Machine Learning.pptxPresentation of Helmet Detection Using Machine Learning.pptx
Presentation of Helmet Detection Using Machine Learning.pptx
 
Bresenham line-drawing-algorithm By S L Sonawane.pdf
Bresenham line-drawing-algorithm By S L Sonawane.pdfBresenham line-drawing-algorithm By S L Sonawane.pdf
Bresenham line-drawing-algorithm By S L Sonawane.pdf
 
Searching and Sorting Unit II Part I.pptx
Searching and Sorting Unit II Part I.pptxSearching and Sorting Unit II Part I.pptx
Searching and Sorting Unit II Part I.pptx
 
chap. 3. lipid deterioration oil and fat processign
chap. 3. lipid deterioration oil and fat processignchap. 3. lipid deterioration oil and fat processign
chap. 3. lipid deterioration oil and fat processign
 
Fundamentals of Data Structure_Unit I.pptx
Fundamentals of Data Structure_Unit I.pptxFundamentals of Data Structure_Unit I.pptx
Fundamentals of Data Structure_Unit I.pptx
 
Objectives of Software Engineering and phases of SDLC.pptx
Objectives of Software Engineering and phases of SDLC.pptxObjectives of Software Engineering and phases of SDLC.pptx
Objectives of Software Engineering and phases of SDLC.pptx
 
Pre-assessment & Data Sheet presentation template - 2023.pptx
Pre-assessment & Data Sheet presentation template - 2023.pptxPre-assessment & Data Sheet presentation template - 2023.pptx
Pre-assessment & Data Sheet presentation template - 2023.pptx
 
Biochemical Thermodynamics for Biotechnology
Biochemical Thermodynamics for BiotechnologyBiochemical Thermodynamics for Biotechnology
Biochemical Thermodynamics for Biotechnology
 
Gate-Level Simulation Methodology Improving Gate-Level Simulation Performance
Gate-Level Simulation Methodology Improving Gate-Level Simulation PerformanceGate-Level Simulation Methodology Improving Gate-Level Simulation Performance
Gate-Level Simulation Methodology Improving Gate-Level Simulation Performance
 
Hydraulics Introduction& Hydrostatics.pdf
Hydraulics  Introduction&   Hydrostatics.pdfHydraulics  Introduction&   Hydrostatics.pdf
Hydraulics Introduction& Hydrostatics.pdf
 
PM24_Oral_Presentation_Template_Guidelines.pptx
PM24_Oral_Presentation_Template_Guidelines.pptxPM24_Oral_Presentation_Template_Guidelines.pptx
PM24_Oral_Presentation_Template_Guidelines.pptx
 
Architectural Preservation - Heritage, focused on Saudi Arabia
Architectural Preservation - Heritage, focused on Saudi ArabiaArchitectural Preservation - Heritage, focused on Saudi Arabia
Architectural Preservation - Heritage, focused on Saudi Arabia
 

「ネットワーク超入門 IPsec VPN編」

  • 1. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 富士通クラウドテクノロジーズ株式会社 蓮沼 愼太郎 インフラエンジニアのためのネットワーク超入門 2021/06/30 ネットワーク超入門 IPsec VPN編
  • 2. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 自己紹介 名前:蓮沼 愼太郎(Shintaro Hasunuma) 所属:富士通クラウドテクノロジーズ株式会社 仕事内容 ニフクラのサービス(IaaS)を企画・開発、運用しているエンジニア 主に携わっているサービス • 拠点間VPNゲートウェイ・ルーター • リモートアクセスVPNゲートウェイ • Liveマイグレーション vExpert 2020-21, VCAP-NV 2
  • 3. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED クラウドサービス「ニフクラ」とは Webサービス事業 @niftyのサービス運用から誕生 VMware vSphere🄬をベースとした 社会インフラを支えるクラウドサービス クラウドサービス事業 1996年 @nifty プロバイダー サービス 1999年 2010年 2020年 FUJITSU Hybrid IT Service FJcloud-V パソコン通信事業 1987年 NIFTY-Serve ISP事業 VMware Partner Innovation Award 2016 Regional Winner 3
  • 4. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 目次 IPsecとは ニフクラでIPsecを使っているサービス • 拠点間VPNゲートウェイ • Liveマイグレーション(VMware HCX) IPsecプロトコル概要 トラブルシューティング 4
  • 5. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED IPsecとは 「Security Architecture for Internet Protocol」の略。 IPsecは、暗号技術を使ってIPパケットの完全性や機密性を実現する仕組みです。 IPパケットの保護によって、HTTPやFTPといったアプリケーションプロトコルを使って転送 されるデータが保護されます。 https://www.nic.ad.jp/ja/basics/terms/ipsec.html 5
  • 6. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED IPsecの利用ケース インターネットを介した通信をIPsecで保護し、拠点間や拠点へのリモート アクセスを仮想専用線として利用する事が可能 =VPN(Virtual Private Network) 6
  • 7. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 拠点間VPNゲートウェイ 7 対応プロトコル IPsec(L3) , L2TPv3/IPsec L2TPv3/IPsec対応機器 • YAMAHA RTXシリーズ、cisco IOS、アライドテレシス ARシリーズ 価格 • 月額12,000円から、1時間毎の従量課金のスモールスタートも可能
  • 8. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 拠点間VPNゲートウェイの接続確認済み機器 8 11種類の仮想ルータ、物理機器等 幅広い対向機器をサポート! https://pfs.nifcloud.com/service/vpngw.htm
  • 9. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED Liveマイグレーション(new!)  お客様環境のvSphere上にある仮想マシン(VM)をニフクラへ無停止で移行出来るサービス  オンプレのネットワークをL2延伸する事でシステムを稼働させながら移行が可能 VMware HCXの機能により、ニフクラへvMotionで移行するイメージ 9 インターネット / 構内接続 お客様の vSphere環境 プライベート リージョン ニフクラ パブリック Liveマイグレーション VM VM VM VM VM VM
  • 10. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED VMware HCXでのIPsec利用 https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/vcat/vmware- hybrid-cloud-extension-design-guide.pdf 10
  • 11. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED IPsecのメリット 物理機器が対応しているケースが多い • Cisco, Juniper, Yamaha, 富士通,NECなど一般的なVPNルータはIPsecに 対応し、相互接続が可能。 ※マルチクラウド間接続であれば、最近であればインターネットVPNとしてWireGuard を使う事もアリ 性能が良い • SSL-VPN比べ、パケットのオーバーヘッドが少ない点と、TCP over TCP によるTCPメルトダウンをIPsecでは回避可能。 11
  • 12. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED ニフクラ東西間でのIPsec VPN性能 https://blog.pfs.nifcloud.com/3657/ 12
  • 13. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 13 IPsecプロトコル概要
  • 14. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED IPsecで利用されるプロトコル IKE(Internet Key Exchange) • 鍵交換プロトコル。IKEv1,IKEv2があり事前共有鍵や証明書で認証を行 い、IKE SAを確立する。 AH(Authentication Header) • 認証ヘッダ。発信元の認証およびデータの改ざんを防ぐ。データ暗号化 を禁止している国のために用意された背景がある。 ESP(Encapsulated Security Payload) • AHの認証機能に加え、暗号化機能を提供するプロトコル。IKE SAを元に IPsec SAを確立させ、IPsec SAの鍵で暗号化を行う。 14
  • 15. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED IPsecのシーケンス(IKEv1) 15 拠点間VPN ゲートウェイ 対向VPN ルーター IKE SA確立 IKE SA確立 SA(Security Association)とは 暗号化アルゴリズムやトラ フィックセレクタなどのポリ シーと鍵のセット。 ESPによる暗号通信 IPsec SA確立 IPsec SA確立 IKEによる暗号通信 Phase-2でネゴシエートする情報 ESPの暗号化プロポーザル、ID Phase-1でネゴシエートする情報 暗号化プロポーザル、 DH-key 交換、Nonce、ID MainモードとAggressiveモード
  • 16. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED MainモードとAggressiveモード(IKEv1) Mainモード • VPNルーターのIPアドレスをIDとして認証を行う。ID含めすべて暗号化して通信を行う ため、セキュア。 • このためMainモードでは固定IPアドレスを利用する事が前提条件となる。 • 拠点間VPNゲートウェイはMainモードでの動作 Aggressiveモード • 動的なIPアドレス環境でも接続が可能。公開鍵認証を使わない限り、IDが暗号化されず Mainモードに比べるとセキュアではない。 IDはFQDNなど任意の文字列等で認証を行う 事が多い。 • 拠点間VPNゲートウェイでは対応していない 16
  • 17. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED ESP動作モード トランスポートモード • カプセル化するパケットにIP headerが 含まれない。 トンネルモード • カプセル化するパケットにIP headerが 含まれる。=フォワーディング出来る 17 TCP/UDP header Data ESP Tailer ESP Auth IP header ESP header TCP/UDP header Data ESP Tailer ESP Auth IP header TCP/UDP header Data IP header TCP/UDP header Data IP header IP header ESP header
  • 18. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED ポリシーベースVPNとルートベースVPN ポリシーベースVPN • 転送先ネットワークをIPsecのPhase-2 ID(Proxy ID)で決定 • 静的なルーティングに限定 • 拠点間VPNゲートウェイではIPsecに該当 ルートベースVPN • VPNトンネルを仮想I/Fでマッピングさせ、転送先ネットワークを仮想I/F のI/Fルーティングで制御する。IPsec Phase-2 ID(Proxy ID)は 0.0.0.0/0などでネゴシエーションする • static routing, BGPなどの動的ルーティングが利用可能 • 拠点間VPNゲートウェイではIPsec VTIに該当 18
  • 19. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 実際のIPsecの構成例 19 お客様環境 172.16.0.0/24 192.168.0.0/24 .1 IPsec VTI VPNルーター VLAN1 192.168.0.0/24 .1 10.0.0.0/24 IPsec VLAN1 10.0.0.0/24 ルートテーブル を設定 疎通可能! お客様環境 VPNルーター 拠点間VPN ゲートウェイ 拠点間VPN ゲートウェイ ルーター Phase-2 ID 192.168.0.0/24 10.0.0.0/24 Phase-2 ID 0.0.0.0/0 0.0.0.0/0 ポリシーベースVPN ルートベースVPN
  • 20. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED PFSを実現するDHEとRekey PFS(Perfect Forward Secrecy)とは、鍵交換プロトコル(IKE)の事前共有鍵 が漏洩した場合でも、DHEなどによって作成したセッションキーによって安 全性が担保される仕組み。さらに一定時間後にセッションキーを再作成する 事で、鍵の安全性が担保される。 エドワード・スノーデン氏の事件で注目が集まる。 DHE(ディフィー・ヘルマン鍵共有)とは、公開鍵暗号方式の暗号プロトコル 拠点間VPNゲートウェイではPFSは有効になっており、IPsec SAのlifetime の時間毎にRekeyを行い、IPsec SAを更新しています。 20
  • 21. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 21 トラブルシューティング
  • 22. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED よくある設定ミス  Phase 1 のIDが異なっている  Phase 2(Quick Mode) のIDが異なっている IKEv1のネゴシエーション 22 Phase ネゴシエーションする内容 Phase 1 暗号化プロポーザル DH-key交換、Nonce ID Phase 2 (Quick Mode) ESPの暗号化プロポーザル、ID
  • 23. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED Phase 1 のIDが異なっている 23 VyOSでのIKEv1 decrypt方法は https://www.slideshare.net/shintarohasunu ma/vyos-78181882
  • 24. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED Phase 1 のIDがプライベートIPアドレスになる場合の構成 24 上位ルータがいる場合 グローバルIPアドレスが 動的の場合 DNAT UDP:500 , 4500 グローバルIPアドレス x.x.x.x グローバルIPアドレス x.x.x.x→y.y.y.y 192.168.0.0/24 .254 .1
  • 25. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED Phase 2(Quick Mode) のIDが異なっている 25 VyOSでのIKEv1 decrypt方法は https://www.slideshare.net/shintarohasunu ma/vyos-78181882
  • 26. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 拠点間VPNゲートウェイのログ、エラー表示機能 26 コンパネ上でログの確認、 接続エラー時の対処方法が分かります https://pfs.nifcloud.com/spec/vpngw/log.htm
  • 27. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED まとめ  IPsecとは • 暗号技術を使ってIPパケットの完全性や機密性を実現する仕組み。  ニフクラでも各種サービスでIPsecを利用しています • 拠点間VPNゲートウェイ • Liveマイグレーション(VMware HCX)  IPsec プロトコル概要 • IKE, AH, ESPなどのプロトコルで実現している。 • IKE SA, IPsec SAの順にSAを確立させ、PFSによる秘匿性を担保している。  トラブルシューティング • Phase-1,Phase-2のID不一致のケースが多い。 • IKE SA, IPsec SAが確立出来たか、順に確認する事が重要。 27
  • 28. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED ご参考  AWS Client VPNとニフクラ拠点間VPNゲートウェイ(IPsec-VTI)を組み合わせたマルチクラウ ド構成を組んでみた • https://blog.pfs.nifcloud.com/20210624_multicloud_awsclientvpn_nifcloudipsecvti_sitetosite  Interop Tokyo 2017のカンファレンスに登壇しました • https://tech.fjct.fujitsu.com/entry/2017/08/23/170853  VyOSの開発とか運用の話(IPsecのdecryptについて説明しています) • https://www.slideshare.net/shintarohasunuma/vyos-78181882 28
  • 29. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED