オーバーレイVPN
目次
VPNの分類
VPNとは、
「共通インフラストラクチャ上での仮想的な専用線、およびそれを構築する技術」
であることを説明しました。
詳しくは、
『VPN(Virtual Private Network)って何?』
をご覧ください。
VPNと一口に言っても、いろんな考え方があり、さまざまな分類ができます。今回は、
「共通インフラストラクチャ上でユーザのデータをどのように転送するか」
というポイントでの分類を紹介します。
ユーザのデータをどのように転送するかによって、VPNは
・オーバーレイVPN
・ピアツーピアVPN
の2つに分類できます。
オーバーレイVPN
オーバーレイVPNは、共通インフラストラクチャ上でユーザに対して仮想的なポイントツーポイントリンクを提供し、データを転送します。早い話が、オーバーレイVPNの共通インフラストラクチャでは、ユーザのデータを右から左に流していくだけです。もちろん、他のユーザのデータと混ざらないようにカプセル化してトンネリングしています。
フレームリレーやATMなどのこれまで一般的なWANサービスは、オーバーレイVPNです。キャリアのフレームリレーバックボーンやATMバックボーンでは、ユーザのデータを転送するためのVC(Virtual Circuit)を設定し、VC上で右から左に転送しているだけです。
また、最近普及しつつある広域イーサネットやIPSecによるインターネットVPNもオーバーレイVPNです。
じゃ、次のことをちょっと考えてみてください。
「オーバーレイVPNで、データの転送を判断するのは誰か?」
この答えは、ユーザ自身です。ユーザが自分自身でどこにデータを転送するのかという判断を行う必要があります。つまり、ルーティングの設定はユーザの責任です。たとえば、次のようにフレームリレーで各拠点を接続しているネットワークを考えます。
この図のネットワークにおいて、各拠点間のLAN上のコンピュータが相互に通信できるようにするためには、R1、R2、R3のルーティングテーブルに各LANのルートが登録されていなければなりません。
ルートをルーティングテーブルに登録するのは、スタティックルートを設定しても、ルーティングプロトコルを動作してもよいのですが、ユーザのルータ自身がルートをきちんと把握しておかなければいけないのです。
これは、当たり前といえば、当たり前のことです。オーバーレイVPNの共通インフラストラクチャ(この例ではフレームリレーのバックボーン)は、ユーザのネットワークがどこにあるかなんて知らずに、ユーザのデータをカプセル化しているヘッダの情報によって単純にデータを転送するだけです。
でも、
「ユーザ自身がルーティングの設定をする」
のって、ちょっと面倒ですよね?
拠点の数が多かったりサブネットの数が多くなると、スタティックルートを全部設定するのは大変です。
ルーティングプロトコルを使おうにも、フレームリレーやATMといったオーバーレイVPNは、NBMA(Non Broadcast Multi Access)というネットワークのタイプで、普通にイーサネットで設定するよりも追加で設定しなければいけないことがいくつか出てきます。たとえば、RIPやEIGRPなどではフレームリレーのトポロジによっては、スプリットホライズンを考えなくてはいけません。OSPFを使うにはOSPFパケットを通すための設定や、DR(Desginated Router)をどれにするかなどを考えなくてはいけません。
ルートを集約しやすいように、きちんとアドレッシングを考えたりすると、設定を簡単にするための工夫はもちろん可能です。でも、その工夫もなかなか難しかったりします。
そこで、ユーザ自身がルーティングの設定をして、データの転送を判断するのは面倒なので、
「共通インフラストラクチャでルーティングまでやってもらいましょう」
という考えに基づいているのが『ピアツーピアVPN』です。
ピアツーピアVPNでは、共通インフラストラクチャを提供するキャリアがユーザのルーティングに参加し、最適なデータの転送を行うというメリットがあります。