専用線二重化と同レベルの安心をVPNで得るには:最適インフラビルダーからの提言(3)
企業ネットワークに信頼性を求めるのならばコストが掛かるのは周知のとおりだ。通信事業者が高品質をアピールしているとはいえ、VPNサービスの魅力はやはりコスト削減に尽きる。VPNサービスの企業ネットワークへの浸透は、信頼性よりコストを重視する企業が先導してきた。しかし、最近、この図式に変化が表れ始めている。
信頼性を重視し、VPNの導入を見送っていた企業群が、コスト削減の波には逆らえずVPNサービスを導入し始めているのだ。従来専用線を用いてクローズドなネットワークを構築・運用していた大企業にも変化が起きている。例えば、銀行でも基幹業務である勘定系ネットワークをVPNサービスで構築しているのだ。コストとともに高信頼を求めるこうしたユーザーの声に応えて、通信事業者はVPNサービスの信頼性を高める技術を徐々に施している。
一連のトレンドが意味するのは、コストを抑えつつ高信頼性のあるVPNを構築するには、現時点では「企業側でも構成について知恵を絞らなければならない」ことだ。ここでは、コスト削減と高信頼を両立するVPNサービスの導入方法を見ていきたい。
複雑なルーティングが要された専用線の二重化構成
図1に従来パターンの専用線によるネットワーク構成を示す。この構成では、専用線とISDN回線の切り替えは本社が担うことになる。これが実はやっかいだった。専用線を用いて構築したこれまでのネットワークでは、信頼性を実現するために2ルートを確保するのが常とう手段であった。多くの大企業が、大規模拠点をつなぐ際には、専用線によるトライアングル構成で迂回路を提供し、小規模拠点との回線には、ISDNを用いてバックアップ経路を確保する構成を用いていた。
図1 従来の専用線の二重化構成本社での専用線とISDNの切り替えには、IPルーティングを利用する。簡単な構成ではシンプルに見えるが、実際には多くの企業が、非常に複雑な構成を組む必要があった。VPNサービスを利用すると、図2のようなネットワークがWorld Wide Webを意味する雲型、あるいは面型と呼ばれる構成になる。VPNサービスを利用すると、本社が中継拠点とならないので、どの拠点で障害が起こってもほかの拠点に影響が出ない。
中継拠点不要でシンプルなVPN
仮に通信事業者が提供するVPNサービスの雲型部分の信頼性が高いと仮定してみたい。この場合、ネットワーク全体で信頼性を確保するには、非常にシンプルな構成で済むことになる。
VPNサービスの信頼性が高いと仮定して、さらに信頼性を高める最も基本的な方法は、専用線で用意した2ルート構成のように、VPNサービスへのアクセス回線を図2のように二重化することである。では、アクセス回線を二重化する構成について見ていこう。
図2 VPNサービス利用ではネットワーク部分が雲形になり、シンプルな構成に冗長構成を自由に組める広域イーサ
VPNサービスへのアクセス回線を二重化する構成は選択するVPNサービスにより異なる。IP-VPNは網側でIPルーティングを提供する。よって、VPNサービスにIP-VPNを利用する場合は、網側のIPルーティングと連動し故障した回線を切り替える必要がある。
IP-VPNではユーザー側のルーティングとしてスタティックとダイナミックであるBGP-4(Border Gateway Protocol version 4、IPルーティング入門(2) BGPの仕組みと役割を理解する、一部の通信事業者ではOSPF(Open Shortest Path First、IPルーティング入門(5) 大規模で複雑なネットワークでの運用に堪えるOSPF参照)に対応している。冗長構成をする場合は企業側でも基本的に同じダイナミックルーティングプロトコルを用いなければならない。汎用のプロトコルしか使えないので切り替え時間はそれなりに時間がかかる。
一方、VPNサービスに広域イーサネットを選択する場合は、企業側で自由にIPルーティングにより切り替えることができる。RIP(Routing Information Protocol、IPルーティング入門(4) RIPの仕組みと運用法を知ろう!参照)やOSPF、ベンダ独自のルーティングプロトコルや回線の切り替え機能も自由に使える。つまり、広域イーサネットを用いればIP-VPNに比べ柔軟性が高い構成が組めるのだ。さらに、ベンダ独自の技術を使えば、切り替え時間も数秒クラスにまで縮めることが期待できる。
広域イーサでループを防ぐためのIPルーティング
ただし、広域イーサネットを用いて冗長構成を組む場合には、ユーザー側が注意しなければならない点がある。1つは2本のアクセス回線間でループを起こさないことだ。企業側でIPルーティングを行っていればループはまず発生しない。
広域イーサネットではIP以外も利用可能なので、IPルーティングと同時にブリッジングも行っているユーザーもいる。当然ながら、ブリッジでもループを防ぎ切り替えを提供するスパニングツリーなどを動かすのが常識だ。
しかし、障害の状態によってはループしてしまう危険性がある。実は通信事業者の網内でユーザー側のループを完ぺきに検出して防ぐ手段がない。ループすると広範囲に影響が出るので企業側でも注意が必要だ。
同一MACアドレスを2アクセス回線に使うベンダ仕様
広域イーサネットでの冗長構成でユーザー側が注意しなければならないもう1つの点は、同一VPNでMACアドレスを重複させてはいけないことだ。ベンダの機器の仕様、特に回線の切り替えを提供するベンダ独自機能の実装で、異なるインターフェイスで同一のMACアドレスを使うものがある。2本のアクセス回線でMACアドレスが重複すれば、網側は正常な動作をしない。
具体的には広域イーサネット網内であて先MACアドレスのフォワーディング先が2本の回線でふらつくフラッピングと呼ばれる状態になる。パケットが通ったり通らなかったりふらつく状態になるのだ。企業側でこのような機能を使う場合は、1つのVPNサービスでアクセス回線を二重化する構成は使えない。後述するVPNサービスを2つに分割するなどの工夫をする必要がある。
「バックアップ回線」という考え方
アクセス回線を二重化する、と表現するのは簡単だが、さらに考慮しなければならないことはほかにもある。それは2本のアクセス回線の使い方だ。まずは通常時には負荷分散を行い両方の回線を使用する方法がある。一方、通常時には使用しないバックアップ回線を用意しておく方法もある。
例えば10Mbpsの帯域が必要な場合、前者は5Mbpsの回線を2本使用し、後者は10Mbpsの回線1本とバックアップ用に最低限の低速回線1本を使用するパターンだ。実は、ランニングコストで見ると面白い結果になる。ほとんどのVPNサービスでは5Mbpsの回線2本よりも10Mbpsの回線1本の方が安い。つまり、10Mbpsの回線に加えてバックアップ用に安価なDSL回線などを使っても同じくらいのコストで済むケースがある。
一般的に負荷分散により2本の回線を完全に使い切る状態にするのは難しく、ネットワーク設計面から考えても複雑になる。それならば低速な1本の回線をバックアップ用にと完全に割り切る使い方は簡単でコスト的にも有効な手段である。
もちろん、場合によってはすべての拠点の回線を二重化する必要はない。先に触れたとおり、VPNサービスを利用すると企業側に中継拠点が不要となる。例えばセンター拠点の回線だけ二重化してもこれまでの構成と同等になる場合がある。末端拠点からVPNサービスの入り口までは1回線だとしても、VPNサービスの網内からセンター拠点までは二重化されている状態になるだからだ。以上のように、VPNサービスのアクセス回線を二重化するという基本的な方法でも、企業側の構成で考慮する点は多い。
ユーザ側での「VPN回線の二重化」という観点で、安全なVPN構成について考えてみた。次週公開の「VPNのアクセス回線を二重化する」では通信事業者側のMPLSバックボーンにスポットをあてて、根本原因となり得る問題から深く考察したい。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。