特別企画:レイヤ2トンネリング(後編)
レイヤ2を用いた仮想ネットワークの
メリットとデメリット

 

佐藤純也 
インターネットイニシアティブ
2004/7/23


 特別企画:レイヤ2トンネリング(前編)では、リモートブリッジoverIPでネットワーク運用の問題がどのように解決されるのか、また、リモートブリッジoverIPの実現方法と実際の利用例を解説の方法をお伝えしました。後編では、リモートブリッジoverIPを実現するための技術的な解説と、具体的な利用イメージについて解説してゆきます。

 リモートブリッジoverIPのデメリット

 前回はリモートブリッジoverIPのメリットだけを書いてきましたが、当然デメリットもあります。

1)既存のIPネットワーク上に実装される仮想的なネットワークであるためパフォーマンスに問題がある。また、品質も既存のIPネットワークよりも劣る
2)無制限に使うと逆にセキュリティホールになりかねない

 (1)についてはVPNでも同様の問題点を持っているので、利用方法を考えて使うことでそれほど大きな問題にはならないと思いますが、(2)はセキュリティポリシー運用コストを下げるという本来の目的とは逆行してしまいます。

 このため、リモートブリッジoverIPの構築、運用はセキュリティの維持と、利便性の確保をバランスよく確保することが重要です。

 このことを踏まえて、次にリモートブリッジoverIPを実現するための技術的な解説をしてゆきます。

 レイヤ2トンネルとブリッジ

 リモートブリッジoverIPを使って柔軟かつセキュアなネットワークを運用するためにはどんなコンポーネントが必要なのでしょうか。

 リモートブリッジoverIPは次の図のような構成で仮想的なネットワークを構築します。

図6 リモートブリッジoverIPの実現方法

 このため、基本となるのはレイヤ2トンネルの実装です。リモートブリッジoverIP で利用するトンネル実装に必要な要件は、以下の通りです。

● レイヤ2でのトンネリングが可能
● トンネル終端のサーバの物理的なEthernetインターフェイスに対してブリッジ接続可能なもの

 上記の条件を満たす実装で、手軽に入手可能なものがいくつかあり、以下にその代表的なものを例示します。

  対応OS 通信方法 URL
OpenVPN Windows 2000/XP
Linux/Unix
TCP/UDP http://openvpn.sourceforge.net/
VTun Linux/UNIX TCP/UDP http://vtun.sourceforge.net/
SoftEther Windows 2000/XP TCP http://www.softether.com/jp/
表1 レイヤ2トンネルリスト

 SoftEtherはTCP、OpenVPN、 VTunはTCPとUDPでトンネルが構築できるため、通常のIPネットワーク上では簡単にトンネルを実現可能だと思います。

 なお、トンネルの構築でUDP、 TCPのどちらかを選ぶかは、パフォーマンスとトンネルの接続性から選択してください。

 UDPを選択した場合、UDPの性格上、TCPを選択した場合に比べパフォーマンスが良くなります。しかし、UDPは一般的なNAT実装では親和性が低いため、NATが動作するファイアウォールを超えてトンネルを構築することは難しいです。

 TCPを選択した場合、NAT実装では親和性が高いため、ファイアウォールを超えてトンネルを構築する場合に有効です。しかし、この場合、TCP通信の上にさらにTCP通信を通すことになります。この方法は品質が保たれた場合は問題なく動作しますが、パケットの再送要求が発生した場合、トンネルのTCP通信と、トンネル上の仮想ネットワークTCP通信とが再送信を行うことになり、パケットの輻輳現象を引き起こす場合があります。従って、トンネルの構築をTCPで行う場合は、以下が条件になります。

● 既設のIPネットワークの通信品質に余裕がある
● トンネル上の仮想ネットワークは高負荷の通信を行わない

 また、どのトンネル実装でもトンネルの構築に認証を付けることができます。トンネルの構築を認証なしで行うことは、セキュリティ上、大きな問題になりますので、必ずトンネルごとに認証を掛けることを強く推奨します。

 さらに、どのトンネル実装も暗号化に対応していますが、そもそも社内のネットワークを社内のネットワークに通すのが目的である場合は特に暗号化が必須だとは思えませんので、トンネルが経由するネットワークの信頼性に応じて暗号化を行うかどうかや、暗号の強度を選択してください。

前編へ

1/3

次ページへ

Index
特別企画:レイヤ2トンネリング(後編)
 リモートブリッジoverIPのデメリット/レイヤ2トンネルとブリッジ
   リモートブリッジoverIPを経由した通信のアクセス制御/無線LAN管理への適用例
   小規模拠点管理の適用例/アプライアンス機器メンテナンスへの適応例

関連記事
 
特集:マネージド・サービスの選び方 話題が先行するマネージドサービス。ユーザーはますます、どこまでアウトソースするかを見極めることが重要になってくる
前編 「SSL-VPN」の登場でアウトソースが変わる
中編 IPセントレックスのメリットはどこまで創出できるのか?
インフラソリューションはこう選べ
連載 最適インフラビルダーからの提言
 ブームのVPNと広域イーサネットサービス。気になるコストの算出方法やネットワーク構成の注意点を解き明かす
第1回 専用線からVPNへの移行、選択に自信あり?
第2回 外出先からリモートアクセスVPN、どれが得
第3回 専用線二重化と同レベルの安心をVPNで得る
第4回 VPNのアクセス回線を二重化する
第5回 VPNでQoSの確保は難しいのか
特集:ネットワーク設計の定石 具体的にA社の社内ネットワークを基にしながら、LANの設計に必要な状況調査と利用計画の方法、設計と構築のポイントを説明する
前編 どのように社内LANを設計するのか
中編 自社にあったWANサービス、選定のポイントは
後編 WAN接続ポートでの帯域制御とは?

「Master of IP Network総合インデックス」


Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Master of IP Network 記事ランキング

本日 月間