VoIPとVLANの組み合わせ
VoIP(IP電話)は、音声データをIPパケットに格納して交換することでIP網上で電話サービスを実現するアプリケーションである。IP網の課金体系は従量型課金を基本とする既設の電話網などとは根本的に異なっており、IP網のみで完結する通話の場合、ユーザーからは事実上料金が無料に見えることから、ブロードバンド接続ユーザーを中心に利用が拡大している。また、企業ユーザーにとっては、オフィス内にIPと電話の2種類のネットワークが混在する状態を解消し、IP網に一元化できるため、設備投資の抑制や運用管理負担の低減が実現できる。
当初は既存の電話網との接続に制限があったり、通話音質が高くないといった理由で利用はごく限定的なものにとどまっていたが、現在では、特に企業ネットワークでは標準アプリケーションとしてごく当たり前に使われる状況が出来上がりつつある。
VoIPのトラフィック
VoIPは、一般に「リアルタイム・アプリケーション」と呼ばれる種類のネットワーク・アプリケーションである。リアルタイム・アプリケーションでは、パケットの遅延や到達速度のバラツキが直接ユーザーの使用感に悪影響を与えてしまう。Webブラウズや電子メールでは、送受信されるパケットの一部が遅延しても全体的な操作感にはさほど影響を与えないし、ユーザー側もリアルタイム性を期待してはいない。しかし、VoIPでは、パケットの遅延や喪失が起これば、それは通話中に音声が途切れるといったすぐに分かるトラブルにつながる。
リアルタイム・アプリケーションをWebや電子メールのようなリアルタイム性のないアプリケーションと混在させて利用するのは、異なる要件を持つネットワークを統合する作業であり、難しさがある。Webや電子メールは、本質的には「ファイル転送」であり、ユーザーは転送完了後にファイルを参照するという動作を行う。このため、ユーザーの使用感としては転送に要する時間が短ければ快適であり、ファイルが一定のペースでコンスタントに転送されることは要求されない。しかし、リアルタイム・アプリケーションでは、遅延が少なく、かつ一定のペースでパケットが到達し続けることが求められる。ネットワークが空いていれば速く、ちょっと込んでくると遅くなる、といった揺らぎは使用感を悪化させる原因となる。
一方、この2種類のネットワークをそれぞれ別個に敷設するのでは、IP網に一元化するメリットが損なわれ、コストと管理負担の増加を招くことになる。そこで、VLANによって2つのネットワークをL2のレベルで切り分け、パケットを分離することが有効となる。
VLANによるVoIPの分離
オフィスでの利用状況を考えてみると、通常机上にPCが置かれてWebブラウズや電子メールの送受信、オフィス・アプリケーションの実行などが行われる。一方、電話機も同時に机上にあり、随時通話に利用される。VoIPを利用して音声通話をIP網に統合すれば、電話網をなくしてIPネットワークだけで済む。しかし、ここで流れるパケットの扱い方を変える必要があるとすると、まず考えられるのは「それぞれを異なるスイッチに接続し、運用ポリシーの異なるネットワークをそれぞれ構築する」ことだろう。しかし、倍の数のスイッチを準備することなしに、スマートに実現するのがVLANとなる。
PCに接続される情報系ネットワークでは、大量データの送受信が起こることもあり、混雑具合が変動する。この影響をVoIPに波及させないためには、VLANで両者のパケットを分離してしまうことが有効になる。
また、VLANを利用した分離は、単に通話品質の確保というだけでなく、セキュリティ面にも大きな効果を発揮する。
VLANによるVoIPのセキュリティ
かつての企業内ネットワークでは、内部のポートにPCを接続されてしまうと情報が筒抜けになってしまう構成も珍しくはなかった。しかし、昨今のセキュリティ意識の高まりから、現在ではEthernet接続のPCであっても、ユーザー認証を行って接続の正当性を確認する構成に切り替わりつつある。セキュリティに関しては次回改めて詳細に取り上げる予定だが、VoIPに関する問題として、IP電話機には適切な認証手段がないことが挙げられる。
PCであれば、接続時にプロンプトを出してID/パスワードによる認証を実行することも容易だが、企業内で利用が拡大しているIP電話機は、実態としては「Ethernetポートを備えた電話機」であり、大型のディスプレイやキーボードを備えるとは限らない。電話を使うたびにユーザー認証を行うのも面倒な話だという事情もあり、PCと同じユーザー認証方式による接続認証は困難だ。
このため、実際にはIP電話機に関しては、あらかじめMACアドレスを登録しておき、登録済みのMACアドレスであれば正当な電話機だと見なす、という簡易的なセキュリティ認証が行われることが多い。しかし、MACアドレスはハードウェアに固有のアドレスではあるが、これを偽装することが不可能なわけではない。機器によっては、トラブルシューティングなどの用途を考え、ユーザーが任意のMACアドレスを設定できるようになっているものも存在する。つまり、IP電話機のMACアドレスを調べ、これをPCなどのほかのデバイスに設定することで、IP電話機を装って社内LANに接続する、ということも不可能ではないのである。
こうした状況に対応するために、IP電話機を接続するネットワークでは、接続可能なデバイスをIP電話機に限定し、VoIP以外のパケットを遮断することで社内LANへの自由なアクセスを禁止する、という方法が有効になる。IP電話機を1つのVLAN内に閉じ込め、このVLANを社内LANと接続する個所のルータ/ファイアウォールなどの設定によって、このVLANとやりとりできるパケットをVoIPの利用に必要な最小限のものに制限する、という手法だ。こうした分離は必ずしもVLANでないと実現できないというわけではないが、構成変更への対応の手間などを考えると、物理的な配線変更で実現するのは負担が大きい。そのため、VoIPを効率よく運用するためには、VLANと組み合わせるのが現状では最も現実的な構成手法だということがいえるのではないだろうか。
次回はいよいよ「ネットワーク・セキュリティとVLAN」にスポットを当てる。
Copyright © ITmedia, Inc. All Rights Reserved.