次世代キャリアサービス大解剖（最終回）
1本の回線を有効に使う2つのサービス

小川悠介
IIJグローバルソリューションズ プリセールス
2010/12/16

この記事では、日本で企業間ネットワークサービスを提供するキャリア（サービスプロバイダ）が始めつつある次世代サービスの概要と、それを可能にした技術的ブレークスルーを紹介していきます。

1本の物理回線を有効に使おう

　今回は1本の物理回線を有効に利用する回線サービス、2種類を取り上げたいと思います。

　1つは、アクセス回線に提供される「VLAN多重」という機能で、1本の物理回線を論理的に複数のグループに分割できるサービス。もう1つは「バーストアクセス」というサービスで、1本の物理回線の中に品質の異なる複数のトラフィックを共存させる回線サービスです。

　この2つの回線サービスの目的は全く異なりますが、どちらも企業システムの変化に柔軟に対応するために提案されてきた回線サービスです。今回は、その特徴や適用用途などを解説していきます。

注：ここで「VLAN多重」や「バーストアクセス」として紹介する機能は、キャリアによって名称および仕様が異なります。詳細な制限や仕様についてはご利用のキャリアもしくはネットワークインテグレータに確認してください。

1本の回線を論理的に複数のグループに分けるVLAN多重

■VLAN多重の前に……そもそもVLANとは？

　VLAN多重サービスを理解するには、まずVLANそのものについて理解しておく必要があります。そこで、簡単にその仕組みについて説明したいと思います。ご存じの方は、この部分は飛ばしても問題ありません。

　VLANとは「Virtual Local Area Network」の略称で、拠点内のLANネットワークで利用されてきた機能です。1台のスイッチにつながっているLAN環境を、仮想的に複数のセグメント（ブロードキャストドメイン）に分けるために幅広く利用されている機能です。

　仕組みは自体は簡単で、イーサネットフレームにVLAN番号を付与し、その番号をスイッチが識別することでスイッチのポートをグループ分けします。

　例を挙げて説明しましょう。まず、インテリジェントスイッチの各ポートに事前にVLAN番号、仮に「1」もしくは「2」を登録しておきます。VLAN番号1が登録されたポートでイーサネットフレームを受信すると、インテリジェントスイッチはそのフレームにVLAN番号「1」を付与します。そのVLAN番号1のフレームは、VLAN番号1が登録されているポートからしか送出されません。

　この動作を利用することにより、1台のスイッチでブロードキャストドメインを分割できるようになるわけです。また、ポートには複数のVLAN番号を登録することも可能なため、1と2のVLAN番号を登録し、両方のフレームを利用することも可能です。

　VLANにはほかにもさまざまな機能や利用方法がありますが、VLAN多重から話がそれてしまうためここでは割愛します。

【関連記事】 VLANの基本的な仕組みを攻略する（＠IT） http://www.atmarkit.co.jp/fnetwork/tokusyuu/28vlan/01.html

■広域イーサネットのバックボーンをVLANでグループ分け

　このVLANの機能を、広域イーサネットというWAN（Wide Area Network）で利用可能にしたサービスが「VLAN多重サービス」です。イメージとしては、バックボーンが巨大なスイッチで、各拠点の回線終端装置がスイッチポートという感じになります。

　この状態で仮に、A／B／Cという3つのグループが存在した場合、拠点に敷設されたアクセス回線単位でVLAN番号を指定（登録）することができます。「この拠点はグループAで、この拠点はB、この拠点はセンターなのでA、B、Cすべて」というふうに割り振ると、グループBのVLAN番号で流れたイーサネットフレームは、グループAやCしか登録のない拠点には流れません。これにより、スイッチと同じように、広域イーサネットのブロードキャストドメインを論理的に分割できるようになります。

図1　広域イーサネットとスイッチのVLAN多重イメージ

　もう少し別の見方をするならば、多重VLANサービスは、バックボーンからアクセス回線に送出されるイーサネットトラフィックに対して、VLAN番号を識別子としてフィルタリングを適用できる機能、とも表現できるかもしれません。

■VLAN多重の利用が効果的なケースとは？

　このVLAN多重サービスが効果的なケースは、大きく2つ挙げられるでしょう。

　1つ目は、何らかの理由により異なる組織やグループを統合することになったときに、同じビルにそれぞれのグループがアクセス回線を引いている場合です。相手のグループの状況を意識せずに、2本のアクセス回線を1本にまとめてしまいたい場合にVLAN多重を利用すると、リスクを抑えながら実現できます。

　相手のグループとIPアドレスの重複があっても、広域イーサネット内は論理的に分割されているため問題はありません。また、システムによっては、端末をIPアドレスで管理している場合があり、重複しているからといって容易に変更できない場合があります。そのような場合でも、ネットワーク側でカバーできる可能性があります。

図2　VLAN多重の利用ケース

　もう1つのケースは、社内に目的の違う複数のシステムが存在し、それぞれの独立性を保ちたい場合です。

　通常、拠点間通信において制限を行おうとすると、IPアドレス単位になることが多く、IPアドレス管理や品質維持のために運用負荷が掛かります。このような場合に、VLAN番号に基づいてグループを管理することで、IPアドレス管理の作業を行わずにグループ間の通信に制限を加えることができます。

　また、社内システムへのアクセス管理を、ログイン認証のレベルではなくネットワークレベルで行い、通信を制限したいという場合にも有効でしょう。

■VLAN多重、導入検討時のポイント

　このようにVLAN多重は魅力的な機能なのですが、導入に際しては、VLAN多重機能が最適な手段なのかどうかを検討する必要があります。参考までに、代替手段や機器側に必要な要件などを解説しておきましょう。

　まず最初に留意しておきたいのは、ルータの機能によっても、広域イーサネット内のブロードキャストドメインを分けるように見せかけることは可能だという点です。

　もともと、ルータはインターフェイスに設定しているIPアドレス以外のパケットを無視するよう動作します。そのため、例えば広域イーサネットに10.10.10.0/24と192.168.0.0/24を利用する機器が混ざっていても、10.10.10.0/24と192.168.0.0/24の機器間は直接通信することはなく、異なるブロードキャストドメインのように利用できます。

　この方法で一見問題はないように見えるのですが、ブロードキャストやOSPFマルチキャストは全拠点に流れてしまうため、ルータの設定によっては予期せぬ動作を引き起こすリスクがあるので注意が必要です。

　一方、VLAN多重を利用すると、このようなトラフィックもVLAN単位で制御できるようになります。つまりVLAN多重が本当に必要な機能かどうかは、ネットワーク設計やユーザーの要望レベルに依存している部分があるといえるでしょう。

図3　ルータによるブロードキャストドメイン分割

　もう1つの検討事項は、アクセス回線に接続する場合の機器構成です。

　例として、VLAN多重サービスで2つのグループ（VLAN番号）を登録したアクセス回線にルータを接続した場合を考えてみましょう。ルータは、論理インターフェイス2本とLANスイッチへのインターフェイスを2本持つことになります。

　しかしながらこの構成では、ルータは2つのグループのルーティングテーブルを共用で持つことになります。つまり、2つのグループ間はルータを介して自由に通信が可能となってしまいます。ここで、2つのグループ間通信を制限するには、ACLを適用する必要が生じるため、VLAN多重サービスの効果が薄れてしまいます。

　ルータのルーティングテーブルを分けるには、スイッチを接続しルータを2台用意するか、複数のルーティングテーブルを持てるルータを用意するか、どちらかの方法を採用することになります。このように、拠点側の機器に対する要望が高くなってしまうため、VLAN多重を適切に実装するための検討が必要でしょう。

図4　ルーティングテーブルを共用する場合は効果が薄れる

　VLAN多重は、その機能と必要性を納得するのに時間がかかる半面、効果的に利用すればとても有用な回線サービスといえるでしょう。

1本の回線を有効に使う2つのサービス
	1本の物理回線を有効に使おう 1本の回線を論理的に複数のグループに分けるVLAN多重
	急激なトラフィック増にも対応するバーストアクセス おわりに――工夫と改善が続く企業向けWANサービス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）