第10回 仮想的に専用線環境を実現するVPNの常識：知ってるつもり？「セキュリティの常識」を再確認（3/5 ページ）

[宮崎輝樹（三井物産セキュアディレクション），ITmedia]

　IP-VPNは、通信事業者によって提供されるVPNサービスの1つである。IP層での接続機能を提供し、主に拠点間通信で利用される。

　IP-VPNでは、インターネットではなく、各通信事業者が独自に構築したネットワーク上に、MPLS（Multi Protocol Label Switching）と呼ばれる技術を利用して、IPレベルでのVPNを構築する。MPLSは、パケットにラベルを付けることで、高速にルーティングを行うことを目的として開発された。名前が示すとおり、IPだけではなく、ほかのプロトコルでも利用できる技術である。しかし、IP-VPNでは、企業ごとに異なるラベルを付けることによってIPのパケットをカプセル化し、VPNを構築するためにMPLSを利用している（図5）。

図5■IP-VPNの仕組み

　IP-VPNの特徴としては、接続回線の種類が非常に多いことが挙げられる。企業の拠点からIP-VPNのネットワークまでを、専用線やATM、ADSLや光ファイバなどで接続することができる。また、MPLSのラベルを付けたり外したりする作業は、通信事業者側のエッジルータで行われるため、通常のルータやレイヤ3スイッチを利用することができる。そのため、小さな支店などは安価なADSLとブロードバンドルータで、本社は高速な光ファイバで、といったように、柔軟にネットワークを構築することが可能だ。

　また、IP-VPNの特徴としては、オプションが多いことも挙げられる。IP-VPNネットワークを通じて、インターネット接続を提供したり、IP電話サービス、さらにはダイヤルアップによるリモートアクセスを提供している場合もある。それにより、企業はIP-VPNに接続するだけで、さまざまな機能を利用することができる。

　IP-VPNネットワークは複数のユーザーで共有するため、基本的にはベストエフォート型のサービスであるが、通信事業者によってIP-VPNネットワーク上の経路の冗長化が施されており、またIP-VPNネットワーク内の伝送遅延時間の保証を行っている場合も多い。そのため、インターネット上にVPNを構築するインターネットVPNに比べて安心した利用が行える。

広域イーサネット

　広域イーサネットも、通信事業者によって提供されるVPNサービスの1つである。IP-VPNとは異なり、イーサネットレベルでの接続機能を提供し、拠点間通信で利用される。

　広域イーサネットも、通信事業者独自のネットワーク上でVPNを実現しているが、IP-VPNと異なり、タグVLAN（Virtual LAN）と呼ばれる技術を使ってVPNを実現している。タグVLANでは、イーサネットのフレームにグループを表すタグ（VLAN ID）を付ける。そして、レイヤ2スイッチにおいて、タグによってパケットを送出するポートを決定する。ただし、タグVLANは一般的な技術であり、企業の社内ネットワークでも利用されている場合がある。そこで、通信事業者では、タグVLANの仕様IEEE802.1Qを拡張して、2つ目のタグとして各企業に割り当てたVLAN IDを付けている場合もある（図6）。

図6■広域イーサネットの仕組み

　広域イーサネットの大きな特徴は、イーサネットレベルでVPNを実現している点である。そのため、複数拠点をまたいで1つのブロードキャストドメインを構築することができるし、AppleTalkやNetBIOS、IPXなど、IP以外のプロトコルも利用できる。また、10BASE-Tや100BASE-TXといったインタフェースでサービスが提供されるため、ユーザー側では通常のレイヤ2スイッチを利用して接続することが可能だ。

　また、広域イーサネットは、IP-VPNと比較して、高速なアクセス回線が用意されているのも特徴だ。IP-VPNと同様に、基本的にはベストエフォートのサービスであるが、帯域制御などの付加サービスも提供されていることも多い。

　ただし、広域イーサネットのサービスが提供できない地域もあり、都道府県を越える場合などには追加料金が発生することもある。このような理由から、IP-VPNと比較して、近距離の拠点間を高速に利用する場合に利用されることが多い。

IPsec