キャリアで使われる「MPLS」
VPNを実現する技術の最後として、IP-VPNや広域Ethernetなど、通信事業者の提供するVPNサービスで使われている「MPLS」について見ていこう。MPLSは「Multi Protocol LabelSwitching」の略で、ラベルという情報に基づいてパケットを高速に転送する技術である(図8)。
MPLSでは、MPLS 網の入り口のルータが転送先をIPヘッダから決定すると、それに対応したラベルをパケットに付加する(図8-①)。MPLS 網内の中継は、以降このラベルによって行なわれる(図8-②)。ラベルはスタック構造となっていて、網内中継時に必要に応じて新しいラベルを挿入したり、不要になったラベルを取り外したりする。そして、MPLS 網の出口のルータは転送に使用したラベルを取り去り、オリジナルのIPパケットに戻してユーザーに転送する(図8-③)。
ただし、IP-VPNサービスではMPLSをそのまま使うわけではない。図8の例では、転送用のラベルを使って出口までパケットが転送されている(図8 ③)。しかし、実際には出口の先には複数の顧客が収容されており、そのパケットがどの顧客からなのかを判別する必要がある。そこで、MPLSをVPNに使う場合は、転送用のラベルに加えて、VPN 識別用のラベルをパケットに付加する。つまり、IP-VPNなどを実現するMPLS-VPNでは、ユーザー識別のためのラベルとMPLSの本来の転送目的のラベルの2つを使い分けるのだ。
こうした仕組みでわかるように、MPLSを使うにはMPLS 対応装置で構築された「MPLS-VPN 網」が必要となる。つまり、IPsecやPPTP、SSLVPNが想定するネットワークはインターネットであるが、MPLS-VPNは通信事業者が自前で構築するネットワークとなる。ここでは第三者による盗聴や改ざんの危険がないため、MPLS-VPNは暗号化やメッセージ認証などの仕組みは持っていない。
キャリアのネットワークであるため、網内のトラフィックを適正に分散するといった運用が可能であり、QoSも一貫したポリシーの下で運用できる。その結果、網に入ってから出るまでの伝送にかかる遅延時間を保証する「通信品質保証」を提供するサービスもある。また、IPsecやPPTPでは拠点間を1 対1でつなぐ「ポイントツーポイント」のトポロジしか構築できない。しかしMPLSVPNでは、拠点をMPLS-VPN 網に接続するだけで、他のすべての拠点と直接通信ができる「フルメッシュ」型のVPNを構築できる。
図8では、ラベルを付ける対象がIPパケットだが、Ethernetフレームを対象とする仕組みもある。この「EoMPLS(Ethernet over MPLS」を使うことで、広域EthernetをMPLSで実現するサービスもある。
次回はVPNを実現するさまざまな製品について見ていきたいと思う。
この連載の記事
-
第5回
TECH
通信事業者のVPNサービスを学ぶ -
第4回
TECH
VPNを実現するさまざまな製品 -
第3回
TECH
インターネットVPN構築を実践 -
第1回
TECH
VPNはなぜ必要になったのか? - この連載の一覧へ