このページの本文へ

前へ 1 2 次へ

VPN完全制覇 ― 第5回

IP-VPNからマネージドVPNまで

通信事業者のVPNサービスを学ぶ

2010年02月15日 06時00分更新

文● 遠藤 哲

  • この記事をはてなブックマークに追加
  • 本文印刷

VPNのサービスには、IP-VPNや広域Ethernetのほか、IP-VPNの廉価版といえるエントリVPNやインターネットVPNの管理を委託するマネージドVPNといったものがある。これらVPNサービスについて触れていこう。

IP-VPN・広域Ethernetは多対多型WAN

 総務省の通信利用動向調査によると企業通信網に利用されている通信サービスは、インターネットVPN、IP-VPN、広域Ethernetの3種類で全体の9割以上を占める。この中で通信事業者の提供するVPNサービスであるIP-VPNと広域Ethernetは、従業員が2000人以上の企業、また業種では金融・保険業での利用が多いという特徴がある。

 これはIP-VPNと広域Ethernetが、通信事業者が独自に構築した閉域網を介してユーザー拠点をつなぐ通信サービスであることと、多対多型の通信サービスであることが理由であろう。通信事業者の保有する閉域網を使うことにより、管理の行き届いた安心できる通信サービスをユーザーに提供できる。このことは網のダウンタイムを極小化し、稼働率や網内遅延時間、故障回復時間などを保証するサービス品質保証制度(SLA:Service Level Agreement)という形でユーザーに還元されている。

 安価なインターネットVPNでは、つねに第三者による盗聴や改ざんの脅威にさらされているため、その脅威に備える技術を必要としていた(図1)。それに対し、通信事業者が保有・管理する閉域網ではそのような脅威が入り込む余地がない(図2)。コスト面ではインターネットVPNに比べると高額にはなるが、それだけの通信品質と信頼性が提供されているのである。

図1 安価なインターネットVPNではセキュリティ対策が必須
図2 IP-VPNと広域Ethernetは通信事業者の閉域網を用いるため安全

 そして従業員が多い企業で利用されている理由として、これまでの専用線のような1対1の通信サービスとは異なり、IP-VPN・広域Ethernetが多対多型の通信サービスであることが挙げられる。従業員が多い企業は、拠点の数も多いと考えられる。ここですべての拠点を相互に結ぶ「フルメッシュ」のトポロジーを構成するとなると、無数のVPNトンネルを設定しなければならず管理が難しくなる。

 これがIP-VPN・広域Ethernetであれば、新しい拠点を網に接続するだけで他のどの拠点とも通信できる(図3)。実態としては網を中心とするツリー型の通信サービスであり、IP-VPN網は全国をカバーする「ルーター」、広域Ethernet網は全国をカバーする「L2スイッチ」とみなすことかできる。この点は過去に利用されていた専用線、フレームリレー、セルリレーといった通信サービスにはなかった特徴である。

図3 IP-VPNと広域Ethernetの特徴

 また、IP-VPNと広域Ethernetでは、アクセス回線について多様な選択肢が用意されている。IP-VPN・広域Ethernetは通信網のサービスなので、サービスを利用するためにはユーザー拠点から網まで「アクセス回線」で接続しなければならない。このアクセス回線に高速デジタル専用線やEthernet専用線だけでなく、ATM専用線、通信事業者によってはADSLやFTTHまで利用できる。また、このあとで説明するエントリVPNからのアクセスや、既存の電話網からリモートアクセスするといったオプションも用意されている。

IP-VPNと広域Ethernetの概要

 まずはIP-VPNの説明から入っていこう。IP-VPNのサポートしているレイヤ3プロトコルはIPだけである。これは、IP-VPN 網がMPLSを用いたIPルーター網であることに起因する。

 一般的なルーターの動作を思い出してみよう。IP-VPN網では、新しくネットワークが追加されると、網内のルーティング情報が更新されてルーターのようにパケットを転送できるようになる。つまり、IP-VPNで拠点を追加するのは、ルーターに新しいネットワークを追加することに相当する。

 現在のデータ通信は多くがIPを利用するが、IP以外のネットワーク層(レイヤ3)プロトコルを使うケースも実際にはかなりある。そのようなときにIP-VPNを利用するためには、ユーザー側で当該プロトコルをカプセル化するなどのシステムを別途用意しなければならない。

 またVPNで接続された拠点間でルーティングプロトコルを利用したい場合にも制限がある。IP-VPNでは基本的にスタティック、またはルーティングプロトコルはBGP(Border Gateway Protocol)しかサポートしていないことが多い。以前、MPLS-VPN技術で解説したように、ユーザーのルータを接続するMPLS-VPN網のエッジルーターではMP-BGP(Multi-Protocol Extentions BGP)というルーティングプロトコルが使われている。つまり、ユーザー側で一般的に利用されているRIPやOSPFといったルーティングプロトコルは利用できないわけだ。このあたりの対応は通信事業者によって異なる部分で、一度問い合わせてみる必要がある。

 一方、広域Ethernetは、多くの場合タグVLANを駆使したスイッチ網として構成されている。また、EoMPLS(Ethernet over MPLS)という技術を使うことで、IP-VPNのMPLS網の上にEthernet網を構成する場合もある。いずれにせよ、広域EthernetにLANを接続した場合には、別の拠点にL2フレームをそのまま転送する。これは、広域Ethernet 網というスイッチにユーザー側のLANを接続することと同じといえる。

 このため、広域Ethernetはレイヤ3のプロトコルに制限がない。先ほどIP-VPNはルーティングプロトコルに制限があると述べたが、広域Ethernetであれば自由にルーティングプロトコルを選ぶことができる。とはいえ、広域Ethernetは網側でスパニングツリーをサポートしていないので注意したい。また広域Ethernetでは、IP-VPNと同様に利用できるアクセス回線の幅は広いものの、一部で携帯電話などPPPを用いたダイヤルアップやエントリVPNでのアクセスはサポートされないことがある。

(次ページ、より手軽でより安く!エントリVPN)


 

前へ 1 2 次へ

この連載の記事
ピックアップ