VPN - 別館子子子子子子（ねこのここねこ）はてブロ部

大きく分けてインターネットVPNとIP-VPNがある。インターネットVPNは、文字通りインターネットにセキュリティプロトコルで仮想通信網(VPN)を構築する。IP-VPNは事業者の閉域網にてMPLSを使ったネットワークであり、アクセスラインは専用線である。フレッツ網など閉域網を使い、アクセスラインがブロードバンド回線である、エントリーVPNというのも出てきた。エントリーVPNはインターネットVPNとIP-VPNのいいとこ取り的存在である。
（拠点間接続という面から見るとEthernet系の広域イーサネットも同様の用途に用いられる。広域イーサはスイッチでLANと接続する。網内はVLANでユーザを区別する。ネットワークの設計・管理などもユーザが行う必要がある。仮想的にフルメッシュ通信が行われる。）

VPNは点と点を結ぶトンネルである。IP-VPNは仮想的にフルメッシュが張られている。

VPNのプロトコル

PPTP

PPPの拡張であるPPTPは、レイヤ３（ネットワーク層）でVPNトンネルを構築する。IPだけしか使えない。IPデータグラムにPPPヘッダを付けて、さらにGREヘッダでカプセル化し、そしてルーティングするためのIPヘッダを付ける。送受信とも共通のトンネルを用いる。暗号化は他の手段を用いる必要がある（標準はPPPで使われるMPPEという手段で、暗号化方式はRC4）。Windows標準機能で利用可能なので、リモートアクセスなどに用いられる。

IPsec

IPsecはレイヤ３（ネットワーク層）でVPNトンネルを構築する。IPv6では標準となる。IPデータグラムを暗号化し、ESPヘッダ（and/or AHヘッダ）、ルーティングするためのIPヘッダを付ける。送受信は別々のトンネルを用いるのでトンネルは2つ構築される。名称通りIPだけしか使えない。

L2TP

PPTPを標準化したL2TPは、レイヤ２（データリンク層）でVPNトンネルを構築する。上位層がIP以外のAppleTalk(MacOSで利用)やIPX(NetWareなどで利用)でもVPN可能。PPPヘッダ、L2TPヘッダでカプセル化して、UDPヘッダ、ルーティングするためのIPヘッダを付ける。暗号化は他の手段を用いる必要がある（IPならばESPトランスポートモードのIPsecにするなど）。

SSL-VPN

SSL VPNはレイヤ３よりも上位層（レイヤ５（セション層）またはレイヤ４（トランスポート層））で動作するSSLを使って、SSL-VPN装置との間にVPNトンネルを構築する。リモートアクセスなどに用いられる。基本的にはカプセル化されるわけではないので、VPNトンネルを抜けた後にどのように目的のIPアドレスへ転送するかにより、幾つかの方法がある。HTTP以外のプロトコルをHTTPに変換し、ユーザがWebページで指定したサーバへSSL-VPN装置が送信する（リバースプロキシ方式・プロトコル変換方式）、ローカルのVPNソフトがポートフォワードしてSSLを適用し、SSL-VPN装置はVPNソフトにより設定されたサーバへ送るように、VPNのポートとサーバを一対一対応させる（ポートフォワーディング方式）、など様々な方式でVPNを構築する。一般にはIPsecよりも遅い。

なお、OpenVPNというソフトウェアはSSLを用いているが、レイヤ２である（L2転送方式：仮想NICを作ってフレームをそのままSSLでカプセル化する）。

MPLS

MPLSはルータにてレイヤ２とレイヤ３との間にシム（shim:詰め物）ヘッダを挿入し、そのヘッダに含まれるラベルによってユーザ毎のルーティングを行う。IPを見ずにルーティングをするために、インターネットVPNでは利用できず、IP-VPNで用いられる。（余談だがMPLSを広域イーサで用いたEoMPLS、またの名をVPLSというのもある。）

参考：
wikipedia:Virtual_Private_Network
PPTP / L2F / L2TP とは
 VPNを知っておこう | 日経 xTECH（クロステック）
広域イーサネットとIP-VPNを理解---目次 | 日経 xTECH（クロステック）
VPNの仕組みを探る(1/2) - ZDNet Japan
http://www.computerworld.jp/news/sec/21042.html