【＠ITイベント・レポート】ワークショップA-2「IP-VPNの技術最前線と今後の展望」

【Event Report】
「IP Network Technology & Solution Meeting」

ワークショップA-2
「高速IPネットワーク『IP-VPNサービス』の技術最前線と今後の展望」

鈴木淳也
アットマーク・アイティ編集局
（取材協力：RBB TODAY）
2002/2/21

講師：NTTコミュニケーションズ　池尻雄一氏

　IPネットワークの分野において、いま最も旬なテーマは何だろうか？いろいろ意見はあると思うが、ここで「IP-VPN」を挙げることに異論を唱える人はいないだろう。2000～2001年にかけて各キャリアより商用サービスが登場し始め、2002年に大きくブレイクしていくことになると思われる。

　今回は、2002年1月31日に開催された「IP Network Technology & Solution Meeting」（主催：インターネット総合研究所／RBB TODAY／アットマーク・アイティ）のイベント・レポート第2弾として、ワークショップA-2「高速IPネットワーク『IP-VPNサービス』の技術最前線と今後の展望」（講師：NTTコミュニケーションズビジネスユーザ事業部統合IPサービス部池尻雄一氏）で語られた内容について、要点をまとめてお送りしていこう。

■IP-VPNとは何か？従来のVPNとはどこが違う？

　講演の冒頭では、まず「IP-VPN」の定義についての説明が行われた。VPN（Virtual Private Network）自体はインターネットの普及が始まったころより利用されている技術だが、近年ブームとなっているIP-VPNは、従来のVPNとどこに違いがあるのだろうか？

　IP-VPN自体の持つ広義の意味は、「通信プロトコルとしてIPを利用するVPN」である。だが、従来までのインターネットを経由して構築するVPNも通信にはTCP/IPを使用しており、IP-VPNの仲間だといっても間違いではない。講演の中でNTTコミュニケーションズの池尻氏は、通信プロトコルにIPを利用するVPNを「IP-VPN（広義）」、従来までのインターネットを利用したVPNを「インターネットVPN」、そして今回のテーマである“IP-VPN”を「IP-VPN（狭義）」とし、以後、狭義の意味でのIP-VPNを「IP-VPN」という言葉で表現していくと前置きした。本文でも、以降は「IP-VPN」といえば狭義の意味でのIP-VPNを指すことにする。

　もともとのVPNの役割は、通信インフラとして公衆網を利用しつつ、ユーザーにとって安全で閉じたネットワークを提供することにある。インターネットVPNとIP-VPNでは、公衆網に何を利用するかに違いがある。インターネットVPNではインターネットを公衆網として利用するのに対し、IP-VPNではプロバイダが提供する専用のネットワークを使用する。このネットワークは複数のユーザーでシェアする形になるのだが、プロバイダ側で閉域網の仕組みを提供することで、いわゆるVPNサービスの提供が可能となる。下記に、インターネットVPNとIP-VPNを実現する各方式を一覧としてまとめてみた。

VPN分類	インターネットVPN		IP-VPN
VPN方式	IPSec	L2TP	MPLS-VPN	L2＋VR
方式概要	IPパケットの暗号化によるトンネリング	PPPフレームのIPによるトンネリング	ラベルによるIPパケットのカプセリング	フレーム・リレー＋レイヤ3終端装置
ユーザー側ルータに必要な機能	IPSec終端機能を持ったルータorPC	通常のPPPが機能するルータorPC	通常のルータ	通常のルータ
提供形態	ユーザー自身によるVPN構築（プロバイダ提供型もあり）	プロバイダとユーザーとの組み合わせによるVPN	プロバイダ提供VPN	プロバイダ提供VPN
閉域性	△ （Internet利用）	△ （Internet利用）	○	○
暗号化	あり	なし	なし	なし

表1　インターネットVPNとIP-VPNを実現する各方式（プレゼンテーションの資料より引用）

　表のように、IP-VPNを実現する方式としては、「MPLS（Multi Protocol Label Switching）／BGP（Border Gateway Protocol）」によるものと、「VR（Virtual Router）」というIPトンネルを構築するものの2種類がある。今回の講演では、現在のIP-VPNの主流となっている「BGP／MPLS-VPN」方式を中心に取り上げ、その仕組みや特徴を解説している。

■IP-VPNを実現する「MPLS」とは？

　MPLSとは、IPパケットの転送（ルーティング）を実現する方式の1つである。通常、ルーティングといえば、IPアドレスに基づき「ルータ」が経路選択（パケット・ルーティング）を行っているが、MPLSでは、IPパケットに付加された「ラベル」に基づきルータやスイッチが経路選択（ラベル・パス）を行っている。

●MPLSの特徴
　MPLSの本来の狙いは、高速なIPスイッチングを行うことにあった。数年前のルータでは処理性能が低く、それを補うべく、当時高速スイッチングで定評のあったATMの技術を取り入れたのが始まりだ。だが現在では、パケット・ルーティングのハードウェア化でATMによる高速化の必要性が薄れたほか、IPトラフィックの増加により、ATMスイッチではなくルータでネットワークを作る方が効率的となった。そのため、MPLSは高速性以外の応用部分で注目されることとなった。

(1)	経路制御（Traffic Engineeringを含む）：経路管理をルータで一元化
(2)	品質制御：グレード別に信頼性を確保
(3)	VPNへの応用：暗号に頼らない強固なセキュリティの実現

表2　MPLS技術の応用例

　講演の中で池尻氏は、MPLS採用のメリットを3つ挙げる。1つは、マルチプロトコルへの対応。ATMやFR、イーサネットなどレイヤ2の伝送媒体のほか、IPv4／IPv6やIPXなどレイヤ3のプロトコルを広くサポートするメリットだ。2つ目として、ATMネットワークでの自動VP／VC設定機能などをMPLSベースでさらに発展させることで、ATM事業者にとってメリットとなる例を、3つ目には、ネットワークを全面IP化した際の課題であるトラフィック制御やVPN実現などを挙げる。

●MPLSの仕組み
　通常のIPネットワークでは、IPパケットに記されたIPアドレスと経路情報を基に、ルータがパケットのフォワーディングを行っている。MPLSのネットワークでは、LSR（Label Switching Router）と呼ばれる機器が、パケットに記されたラベルを基にフォワーディングを行っている。この際の経路は「ラベル・パス」と呼ばれるが、これはどのように決定されているのだろうか？

　まずは、OSPFなどのIGPを用いてルータ（LSR）同士で経路情報の交換を行う。ここまでは、通常のルータと同じだ。次に、各LSRで経路選択に使用するラベルをルーティング・テーブルに対応させつつ独自に決定する。ここで決定したラベルは、LDP（Label Distribution Protocol）などのプロトコルを用いて隣のLSRに通知する。これを繰り返すことで、ラベル・パスが形成される。ここでの特徴は、ラベルの値はLSRでユニークであるがホップごとに異なっていること、ラベル・パスはネットワーク形成時に決定し以後は変更があるまでそのまま、ということである。

図1　BGP／MPLS-VPNにおける経路情報のやりとりの様子（スライドをクリックすると拡大表示します）

　MPLSにおけるパケットへのラベル付けでは、レイヤ2ヘッダとレイヤ3ヘッダの間に「シム・ヘッダ（Shim Header）」と呼ばれるヘッダが挿入される形になる。ここにラベル情報などが含まれるほか、2つ以上のラベルを挿入することも可能である。

■なぜMPLSを使用したVPNなのか？そのメリットは？

　冒頭で解説したように、現在IP-VPNで主流なのは、MPLSを使用した方式、中でもルーティング・プロトコルにBGPを使用する「BGP／MPLS-VPN」が中心である。同規格は、Cisco Systemsを中心としてRFC2547に記されたISPサービス向けのIP-VPN実装技術だ。ISP網内のパケット転送にMPLSを、VPNの経路情報交換にBGP（mpBGP：RFC2858）を使用している。

図2　BGP／MPLS-VPNのネットワーク構成例（スライドをクリックすると拡大表示します）

　BGP／MPLS-VPNは、「PEルータ（Provider Edge Router）」「Pルータ（Provider Router）」「CEルータ（Customer Edge Router）」という3種類のルータで構成される（図1）。CEルータは顧客側に設置するルータのことで、顧客にとってはIP-VPNへの出入り口となるものである。PEルータは、顧客からのアクセス回線を収容するルータで、顧客のCEルータから届いたパケットがどのVPNに所属するものかを識別し、該当するあて先に対応したラベルを付与して、MPLSドメインにパケットを送出する。MPLSドメイン内を転送されてきたパケットは、出口となるPEルータに到着するとラベル情報を除去して、通常のIPパケットとして目的のCEルータに送信する。Pルータは、MPLSドメインの中核をなすコア・ルータであり、ラベル情報を基にパケット・フォワーディングを行っている。

　ユーザーにとってのBGP／MPLS-VPNの特徴とメリットを、以下にまとめてみる。全体として、管理の手間や大きな追加コストをかけずに、VPNとしてのセキュリティが確保できることが分かる。

(1)	顧客側に設置するCEルータは通常のルータがそのまま使用できる（MPLSやIPSecなどの特別な機能は必要ない）
(2)	フレーム・リレーやATMのようなパスの管理が必要ない
(3)	任意のIPアドレスを使用可能（プライベート・アドレスも自由に利用できる）
(4)	VPN同士の通信はルータおよび網内で完全に分離されているため、フレーム・リレーやATMと同等のセキュリティが確保できる

表3　BGP／MPLS-VPNの特徴とメリット

■これからのIP-VPN

　プレゼンテーションの最後では、BGP／MPLS-VPNにかかわる最新技術がいくつか紹介された。その1つが、Inter-mpls-vpn機能を使った、MPLS-VPNのeBGPによる事業者間接続である。複数のキャリアをまたがってVPNを構築できるため、より柔軟にネットワークを構成することができるだろう。

　そのほか、MPLS-VPNとTraffic Engineeringとの組み合わせによるQoS（Diffserve）やFRR（Fast-Reroute）の実現や、IPネットワーク上でレイヤ2のフレームを転送する技術なども紹介している。FRRとは、ネットワーク経路に障害が発生した場合、数msのオーダーでバックアップ経路に切り替える技術である。QoSとの組み合わせで、より品質の高いサービスを提供することが可能になる。

　最後に、これら技術の標準化動向をまとめ、セッションを終了した。

■どのような場面でIP-VPNを使うといいのか？

　池尻氏は、冒頭のIP-VPNの実現方式を比較した表1の中で、拠点数が数百～数千に及ぶようなVPNの構築には、MPLSを用いたIP-VPNが最も有利だと解説する。この規模の拠点数になると、IPSecなどのようなトンネル方式は管理の手間が膨大になるからだ。インターネットVPNとIP-VPNをどの場面でどのように使い分けるか、疑問に思っている読者の方も多いと思う。実際、セッション後のQ＆Aでも同様の質問が寄せられた。

　大企業や金融系など、拠点数の多い企業の場合には、IP-VPNの方が有利だろう。だが、帯域やパケットの優先制御が必ずしも保証されないインターネットVPNであっても、回線品質の問題をクリアできたり、ソリューションの規模によっては、コストなどでペイできる場面もあるだろう。また場合によっては、フレーム・リレーやATMで構築された既存の社内ネットワーク網を生かした方がいいかもしれない。

　いずれにせよ、MPLSによるIP-VPNは今後もさらに発展していく技術である。その動向を見極め、自身のネットワーク環境に最適なソリューションを見つけ出してほしい。

　＠ITでは、さらに詳細にセッション内容を紹介した記事を順次アップしていく予定なので、もし本記事を読んで興味を持たれたテーマがあったら、期待してお待ちいただきたい。

関連リンク
	IP Network Technology & Solution Meetingのページ
	書評：VPNの最新ソリューションを学ぼう！
	連載：IPルーティング入門第1回「ルーティング・プロトコルの役割を理解する」

Index
「IP Network Technology & Solution Meeting」　～イベント・レポート総合インデックス
	ITの軸になるのはIPネットワーク General Sessionの概要を速報レポート！（NewsInsight　2002/2/1）
	エンジニアよ、チャンスは無限にある！ Work Shop各セッションの簡単な紹介 Special Sessionのパネル・ディスカッションの詳細レポート（Master of IP Network　2002/2/8）
	Workｓhopレポート A-1～「IPv6ネットワークの実像と今後の展開」（Master of IP Network　2002/4/9）
	Workｓhopレポート A-2～「高速IPネットワーク『IP-VPNサービス』の技術最前線と今後の展望」（Master of IP Network　2002/2/21）
	Workｓhopレポート A-3～「必要とされるIP技術者・その条件」（近日公開）
	Workｓhopレポート B-1～「広域LANサービスによる基幹業務システムの再構築とその技術」（Master of IP Network　2002/4/16）
	Workｓhopレポート B-2～「ECサイト構築で求められる負荷分散ネットワーク技術」（Master of IP Network　2002/3/1）
	Workｓhopレポート B-3～「現場エンジニアが語る、IPネットワーク技術者の実像」（近日公開）

「Master of IP Network総合インデックス」

Master of IP Network フォーラム新着記事

完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る （2017/7/13）
　2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った
ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる （2017/7/6）
　ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ
Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか （2017/7/4）
　Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか
ifconfig　～（IP）ネットワーク環境の確認／設定を行う （2017/7/3）
　ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ（MTU）の変更や、VLAN疑似デバイスの作成も可能だ。