＠IT：特別企画：レイヤ2トンネリング（後編-1）

特別企画：レイヤ2トンネリング（後編）
レイヤ2を用いた仮想ネットワークの
メリットとデメリット

佐藤純也　
インターネットイニシアティブ
2004/7/23

　特別企画：レイヤ2トンネリング（前編）では、リモートブリッジoverIPでネットワーク運用の問題がどのように解決されるのか、また、リモートブリッジoverIPの実現方法と実際の利用例を解説の方法をお伝えしました。後編では、リモートブリッジoverIPを実現するための技術的な解説と、具体的な利用イメージについて解説してゆきます。

　リモートブリッジoverIPのデメリット

　前回はリモートブリッジoverIPのメリットだけを書いてきましたが、当然デメリットもあります。

（1）既存のIPネットワーク上に実装される仮想的なネットワークであるためパフォーマンスに問題がある。また、品質も既存のIPネットワークよりも劣る
（2）無制限に使うと逆にセキュリティホールになりかねない

　（1）についてはVPNでも同様の問題点を持っているので、利用方法を考えて使うことでそれほど大きな問題にはならないと思いますが、（2）はセキュリティポリシー運用コストを下げるという本来の目的とは逆行してしまいます。

　このため、リモートブリッジoverIPの構築、運用はセキュリティの維持と、利便性の確保をバランスよく確保することが重要です。

　このことを踏まえて、次にリモートブリッジoverIPを実現するための技術的な解説をしてゆきます。

　レイヤ2トンネルとブリッジ

　リモートブリッジoverIPを使って柔軟かつセキュアなネットワークを運用するためにはどんなコンポーネントが必要なのでしょうか。

　リモートブリッジoverIPは次の図のような構成で仮想的なネットワークを構築します。

図6　リモートブリッジoverIPの実現方法

　このため、基本となるのはレイヤ2トンネルの実装です。リモートブリッジoverIP で利用するトンネル実装に必要な要件は、以下の通りです。

●　レイヤ2でのトンネリングが可能
●　トンネル終端のサーバの物理的なEthernetインターフェイスに対してブリッジ接続可能なもの

　上記の条件を満たす実装で、手軽に入手可能なものがいくつかあり、以下にその代表的なものを例示します。

	対応OS	通信方法	URL
OpenVPN	Windows 2000/XP Linux/Unix	TCP/UDP	http://openvpn.sourceforge.net/
VTun	Linux/UNIX	TCP/UDP	http://vtun.sourceforge.net/
SoftEther	Windows 2000/XP	TCP	http://www.softether.com/jp/

表1　レイヤ2トンネルリスト

　SoftEtherはTCP、OpenVPN、 VTunはTCPとUDPでトンネルが構築できるため、通常のIPネットワーク上では簡単にトンネルを実現可能だと思います。

　なお、トンネルの構築でUDP、 TCPのどちらかを選ぶかは、パフォーマンスとトンネルの接続性から選択してください。

　UDPを選択した場合、UDPの性格上、TCPを選択した場合に比べパフォーマンスが良くなります。しかし、UDPは一般的なNAT実装では親和性が低いため、NATが動作するファイアウォールを超えてトンネルを構築することは難しいです。

　TCPを選択した場合、NAT実装では親和性が高いため、ファイアウォールを超えてトンネルを構築する場合に有効です。しかし、この場合、TCP通信の上にさらにTCP通信を通すことになります。この方法は品質が保たれた場合は問題なく動作しますが、パケットの再送要求が発生した場合、トンネルのTCP通信と、トンネル上の仮想ネットワークTCP通信とが再送信を行うことになり、パケットの輻輳現象を引き起こす場合があります。従って、トンネルの構築をTCPで行う場合は、以下が条件になります。

●　既設のIPネットワークの通信品質に余裕がある
●　トンネル上の仮想ネットワークは高負荷の通信を行わない

　また、どのトンネル実装でもトンネルの構築に認証を付けることができます。トンネルの構築を認証なしで行うことは、セキュリティ上、大きな問題になりますので、必ずトンネルごとに認証を掛けることを強く推奨します。

　さらに、どのトンネル実装も暗号化に対応していますが、そもそも社内のネットワークを社内のネットワークに通すのが目的である場合は特に暗号化が必須だとは思えませんので、トンネルが経由するネットワークの信頼性に応じて暗号化を行うかどうかや、暗号の強度を選択してください。

前編へ

1/3

次ページへ 

Index
特別企画：レイヤ2トンネリング（後編）
	リモートブリッジoverIPのデメリット／レイヤ2トンネルとブリッジ
	リモートブリッジoverIPを経由した通信のアクセス制御／無線LAN管理への適用例
	小規模拠点管理の適用例／アプライアンス機器メンテナンスへの適応例

関連記事

特集：マネージド・サービスの選び方　話題が先行するマネージドサービス。ユーザーはますます、どこまでアウトソースするかを見極めることが重要になってくる
前編　「SSL-VPN」の登場でアウトソースが変わる
中編　IPセントレックスのメリットはどこまで創出できるのか？

インフラソリューションはこう選べ
連載　最適インフラビルダーからの提言　ブームのVPNと広域イーサネットサービス。気になるコストの算出方法やネットワーク構成の注意点を解き明かす
第1回　専用線からVPNへの移行、選択に自信あり？
第2回　外出先からリモートアクセスVPN、どれが得
 第3回　専用線二重化と同レベルの安心をVPNで得る
 第4回　VPNのアクセス回線を二重化する
第5回　VPNでQoSの確保は難しいのか

特集：ネットワーク設計の定石　具体的にA社の社内ネットワークを基にしながら、LANの設計に必要な状況調査と利用計画の方法、設計と構築のポイントを説明する
前編　どのように社内LANを設計するのか
中編　自社にあったWANサービス、選定のポイントは
後編　WAN接続ポートでの帯域制御とは？

「Master of IP Network総合インデックス」

Master of IP Network フォーラム新着記事

完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る （2017/7/13）
　2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った
ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる （2017/7/6）
　ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ
Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか （2017/7/4）
　Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか
ifconfig　～（IP）ネットワーク環境の確認／設定を行う （2017/7/3）
　ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ（MTU）の変更や、VLAN疑似デバイスの作成も可能だ。

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

注目のテーマ

Master of IP Network 記事ランキング

本日月間

＠IT

注目のテーマ

Master of IP Network 記事ランキング

転職／派遣情報を探す

年収６００万円！エンジニア向けの求人満載。転職希望者必見

エンジニアの転職なら【転職サーチ】