VPN(Virtual Private Network)って何?

VPNの定義

VPNという言葉を耳にすることが多くなっていると思います。

「VPNをはって会社にアクセス・・・」
「IPSecを使って、インターネットVPN・・・」

でも、VPNという言葉の本質的な意味はなかなか理解されていないと感じます。そこで、ちょっとVPNというものについて考えてみます。

一般的にVPNとは、

「共通インフラストラクチャ上での仮想的な専用線、およびそれを構築する技術」

を意味します。

ここでいう
共通インフラストラクチャとは、多数のユーザが利用するネットワークです。
共通インフラストラクチャの例として、たとえば、公衆電話網やNTT、KDDI、日本テレコムなどのキャリア(通信事業者)がWANサービスを提供するために構築しているネットワーク、そして、インターネットが当てはまります。

共通インフラストラクチャで、多数のユーザを収容すると、
統計的多重効果によって、効率よくネットワークを利用することができます。
統計的多重効果とは、ユーザが増えれば増えるほど、すべてのユーザが一度にネットワークを最大の速度で利用する確率が低くという考え方に基づいています。
たとえば、共通インフラストラクチャ上で100人のユーザがそれぞれ1Mbpsの速度で通信できるようなサービスがあったとしても、単純に100Mbpsの帯域幅で共通インフラストラクチャを構築しません。統計的多重効果によって、100人のユーザが一度に1Mbpsで通信する確率は低いので、100Mbpsよりももっと少ない帯域幅でよいことになります。



VPNの用途

VPNを利用するユーザにとって、VPNの用途は、コストを安く広域ネットワークを構築することにあります。全国に散らばる拠点を接続するために、すべて自前で回線を準備するのは現実的ではありません。自前で回線を準備して拠点を接続すると、膨大なコストがかかります。
また、
キャリアが提供する専用線で拠点を接続すると、専用線には統計的多重効果がないので、専用線のサービス料金は高価なものになります。

そこで、
各拠点を接続して広域ネットワークを構築するために、キャリアが提供するWANサービスを利用します。WANサービスのネットワークは、上記のように多数のユーザが接続する共通インフラストラクチャであり、統計的多重効果により、各ユーザに安価に拠点間の接続サービスを提供することができます。
その際、
他のユーザは意識せずに、同一ユーザの拠点間でのみ通信を行う仮想的な専用線として利用できます。

つまり、
キャリアが提供するWANサービスもVPNなのです。VPNの中で特に、共通インフラストラクチャとして、インターネットを利用し、インターネット上で仮想的な専用線を構築したものがインターネットVPNです。
VPN=インターネットVPNであるかのように表現されることが多いのですが、VPNの本質的な意味からすると、インターネットVPNはVPNの1つの形態に過ぎません。


図 VPN











(図 VPN)




VPNを実現するには? カプセル方とトンネリング

こうしたVPNを実現するためには、カプセル化とトンネリングが必要です。
ユーザのデータを共通インフラストラクチャ上で転送しなければいけません。
共通インフラストラクチャ上で転送するために、転送するデータとは別に何らかのプロトコルのヘッダを付加することがカプセル化です。
カプセル化されたデータが共通インフラストラクチャを通っていく経路がトンネルです。そして、トンネル上にデータを転送することをトンネリングと言います。トンネルには、データを転送する前にあらかじめ設定しているものと、データを転送するときにはじめて設定するものがあります。
また、
他のユーザのデータと混ざってしまってはいけないので、カプセル化するプロトコルには、ユーザを識別するための情報が必要です。

たとえば、キャリアが提供するフレームリレーサービスでは、ユーザのデータを転送するために
フレームリレープロトコルのヘッダを付加しカプセル化します。そして、フレームリレースイッチで構築されたネットワーク上にトンネルとしてPVC(Permanent Virtual Circuit)を設定し、ユーザのデータを転送しているのです。このとき、フレームリレープロトコルのヘッダにDLCI番号があり、PVCを特定すると同時にユーザのデータが混ざらないようにしています。

※フレームリレーの仕組みについては以下のURLをご覧ください。

フレームリレーその1
フレームリレーその2
フレームリレーその3
Cisco CCNA フレームリレーの設定


最近、とてもよく利用されるようになっているIP-VPNの例も挙げてみましょう。

IP-VPNでは、サービスを提供するキャリアは
MPLSネットワークを構築しています。MPLSネットワーク上でユーザのデータを転送するためにMPLSラベルを付加して、カプセル化しています。ラベルをつけることによってIP-VPNのバックボーン(MPLSネットワーク)上にトンネルを作り、ユーザのデータをトンネリングしています。ラベルによって作られたトンネルのことをLSP(Label Switch Path)と呼びます。

実際には、ラベルは2つつけられ、
先頭のラベルがMPLSネットワークの出口を表し、2つ目のラベルがユーザの拠点のネットワークを表し、他のユーザのデータとの分離を行います。



図 IP-VPNのパケットの流れ











(図 IP-VPNのパケットの流れ)


言い換えると、先頭のラベルがトンネルで、トンネルの中に、いろんなユーザのデータが流れていきます。そのいろんなユーザのデータを識別するために2つめのラベルを使っているのです。


図 LSPの中でユーザのデータを多重化











(図 LSPの中でユーザデータを多重化)








『ネットワークのおべんきょしませんか?』 を購読しませんか?
めろんぱん E-mail
メールマガジンも購読してくださいね!!購読者限定のプレゼントあり!!


(C) Copyright 2000-2004 Gene All Rights Reserved