特別企画:レイヤ2トンネリング(後編)
レイヤ2を用いた仮想ネットワークの
メリットとデメリット
佐藤純也
インターネットイニシアティブ
2004/7/23
特別企画:レイヤ2トンネリング(前編)では、リモートブリッジoverIPでネットワーク運用の問題がどのように解決されるのか、また、リモートブリッジoverIPの実現方法と実際の利用例を解説の方法をお伝えしました。後編では、リモートブリッジoverIPを実現するための技術的な解説と、具体的な利用イメージについて解説してゆきます。
リモートブリッジoverIPのデメリット |
前回はリモートブリッジoverIPのメリットだけを書いてきましたが、当然デメリットもあります。
|
(1)についてはVPNでも同様の問題点を持っているので、利用方法を考えて使うことでそれほど大きな問題にはならないと思いますが、(2)はセキュリティポリシー運用コストを下げるという本来の目的とは逆行してしまいます。
このため、リモートブリッジoverIPの構築、運用はセキュリティの維持と、利便性の確保をバランスよく確保することが重要です。
このことを踏まえて、次にリモートブリッジoverIPを実現するための技術的な解説をしてゆきます。
レイヤ2トンネルとブリッジ |
リモートブリッジoverIPを使って柔軟かつセキュアなネットワークを運用するためにはどんなコンポーネントが必要なのでしょうか。
リモートブリッジoverIPは次の図のような構成で仮想的なネットワークを構築します。
図6 リモートブリッジoverIPの実現方法 |
このため、基本となるのはレイヤ2トンネルの実装です。リモートブリッジoverIP で利用するトンネル実装に必要な要件は、以下の通りです。
● レイヤ2でのトンネリングが可能 ● トンネル終端のサーバの物理的なEthernetインターフェイスに対してブリッジ接続可能なもの |
上記の条件を満たす実装で、手軽に入手可能なものがいくつかあり、以下にその代表的なものを例示します。
|
||||||||||||||||
表1 レイヤ2トンネルリスト |
SoftEtherはTCP、OpenVPN、 VTunはTCPとUDPでトンネルが構築できるため、通常のIPネットワーク上では簡単にトンネルを実現可能だと思います。
なお、トンネルの構築でUDP、 TCPのどちらかを選ぶかは、パフォーマンスとトンネルの接続性から選択してください。
UDPを選択した場合、UDPの性格上、TCPを選択した場合に比べパフォーマンスが良くなります。しかし、UDPは一般的なNAT実装では親和性が低いため、NATが動作するファイアウォールを超えてトンネルを構築することは難しいです。
TCPを選択した場合、NAT実装では親和性が高いため、ファイアウォールを超えてトンネルを構築する場合に有効です。しかし、この場合、TCP通信の上にさらにTCP通信を通すことになります。この方法は品質が保たれた場合は問題なく動作しますが、パケットの再送要求が発生した場合、トンネルのTCP通信と、トンネル上の仮想ネットワークTCP通信とが再送信を行うことになり、パケットの輻輳現象を引き起こす場合があります。従って、トンネルの構築をTCPで行う場合は、以下が条件になります。
● 既設のIPネットワークの通信品質に余裕がある ● トンネル上の仮想ネットワークは高負荷の通信を行わない |
また、どのトンネル実装でもトンネルの構築に認証を付けることができます。トンネルの構築を認証なしで行うことは、セキュリティ上、大きな問題になりますので、必ずトンネルごとに認証を掛けることを強く推奨します。
さらに、どのトンネル実装も暗号化に対応していますが、そもそも社内のネットワークを社内のネットワークに通すのが目的である場合は特に暗号化が必須だとは思えませんので、トンネルが経由するネットワークの信頼性に応じて暗号化を行うかどうかや、暗号の強度を選択してください。
前編へ |
1/3 |
次ページへ |
Index | |
特別企画:レイヤ2トンネリング(後編) | |
リモートブリッジoverIPのデメリット/レイヤ2トンネルとブリッジ | |
リモートブリッジoverIPを経由した通信のアクセス制御/無線LAN管理への適用例 | |
小規模拠点管理の適用例/アプライアンス機器メンテナンスへの適応例 |
関連記事 | ||||
|
「Master of IP Network総合インデックス」 |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
|
|