「超軽量」VPNを試してみよう、フレッツIPv6オプションで：羽ばたけ！ネットワークエンジニア（13）（2/2 ページ）

「フレッツ 光ネクスト」のIPv6オプションを使ったIPoEが、インターネット接続を高速にする手段として注目されている。この手法はインターネットと切り離された超軽量VPN（閉域網）の構築にも利用できる。超軽量とは技術はもちろん、通信コストが安いという意味だ。

[松田次博，＠IT]

超軽量VPNの仕組み

　超軽量VPNの通信の仕組みを図2に示す。設計やルーターの仕様によって仕組みは一通りではなく、図2はあくまで一例である。

図2　超軽量の仕組み　構成例を示した

　図2中の数字に沿って、動作順に説明する。

1. 各拠点のルーターはセンタールーターとの間にIPsecを確立する
2. 拠点Bから拠点Aへ通信する場合、拠点Bのルーターがセンターのルーターへパケットを送信する
3. センターのルーターはパケットを拠点Aへ転送する
4. （3）と同時にセンターのルーターは拠点BのルーターへNHRP（Next Hop Resolution Protocol）を使って拠点AのIPv6アドレスを通知する
5. 拠点Bのルーターは拠点Aのルーターとの間にIPsecトンネルを設定する
6. （5）を使って拠点A、B間で通信する

　このように通信の都度、相手拠点との間にVPNを設定する方式を「ダイナミックVPN」と呼ぶ。拠点間の通信が多い場合は回線を効率的に使い、センタールーターに負荷をかけない方式として有効だ。

　しかし、多くの企業ネットワークがそうであるように、ほとんどの通信がセンターと拠点間で行われる場合はダイナミックVPNでなく、拠点とセンター間の固定VPNで十分である。

超軽量VPNの用途

　超軽量VPNが適しているのは、自治体のネットワークのようにほとんどの拠点が同一県内、同一市町村内にあって、NTT東日本か、NTT西日本のどちらかのエリアにまとまっているネットワークである。

　アクセス回線がフレッツなので、帯域保証はなく速度にも限界がある。データセンターのように広帯域で帯域保証の必要な拠点がある場合は使えない。

　NTT東西のエリアにまたがるネットワークに超軽量VPNを適用するには、エリア間をつなぐ手段が必要だ。

　東西エリアの代表拠点間をインターネットVPNで接続する、といった手軽な方法も考えられる。おすすめなのはキャリアVPNでの接続だ。図3がその例である。東西を接続する拠点を決め、それをキャリアVPNで接続する。多くのトラフィックが集まるデータセンターもキャリアVPNに収容し、帯域保証のある広帯域の回線を二重化して接続する。

図3　NTT東西にまたがる超軽量VPNの構成

　フレッツで構成する超軽量VPNは単独でも利用できるし、キャリアVPNやインターネットVPNと組み合わせて使うこともできる。単独利用でも、組み合わせ利用でもネットワーク設計者による工夫の余地が大きい。皆さんも自治体から全国に拠点を展開する企業まで適用を検討してみてはいかがだろう。

筆者紹介

松田次博（まつだ　つぐひろ）

情報化研究会主宰。情報化研究会は情報通信に携わる人の勉強と交流を目的に1984年4月に発足。

IP電話ブームのきっかけとなった「東京ガス・IP電話」、企業と公衆無線LAN事業者がネットワークをシェアする「ツルハ・モデル」など、最新の技術やアイデアを生かした企業ネットワークの構築に豊富な実績がある。企画、提案、設計・構築、運用までプロジェクト責任者として自ら前面に立つのが仕事のスタイル。『自分主義-営業とプロマネを楽しむ30のヒント』（日経BP社刊）『ネットワークエンジニアの心得帳』（同）はじめ多数の著書がある。

東京大学経済学部卒。NTTデータ（法人システム事業本部ネットワーク企画ビジネスユニット長など歴任、2007年NTTデータ プリンシパルITスペシャリスト認定）を経て、現在、NECセキュリティ・ネットワーク事業部主席技術主幹。