Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN のタイプ

仮想プライベートネットワーク(VPN)は、プロバイダのネットワークと顧客のネットワークという2つのトポロジー領域で構成されています。顧客のネットワークは通常、複数の物理サイトに配置され、プライベート(非インターネット)でもあります。顧客サイトは通常、単一の物理的な場所にあるルーターやその他のネットワーク機器のグループで構成されます。パブリックインターネットインフラストラクチャ全体で実行されるプロバイダのネットワークは、顧客のネットワークにVPNサービスを提供するルーターと、他のサービスを提供するルーターで構成されています。プロバイダのネットワークは、顧客とプロバイダに対してプライベート ネットワークと見なされるさまざまな顧客サイトを接続します。

VPNがプライベートであり、他のVPNやパブリックインターネットから分離されないように、プロバイダのネットワークは、異なるVPNからのルーティング情報を分離したポリシーを維持します。プロバイダは、ポリシーが異なるVPNからのルートを分離している限り、複数のVPNにサービスを提供できます。同様に、顧客サイトは異なるVPNからのルートを分離している限り、複数のVPNに属することができます。

Junos®オペレーティングシステム(Junos OS)は、複数のタイプのVPNを提供します。ネットワーク環境に最適なソリューションを選択できます以下のVPNはそれぞれ異なる機能を備え、異なるタイプの設定が必要です。

レイヤー 2 VPN

ルーターにレイヤー2 VPNを実装することは、ATMやフレームリレーなどのレイヤー2テクノロジーを使用してVPNを実装するのと同様です。ただし、ルーター上のレイヤー2 VPNの場合、トラフィックはレイヤー2形式でルーターに転送されます。MPLS によってサービス プロバイダのネットワークを介して伝送され、受信側のレイヤー 2 フォーマットに戻されます。送受信サイトで異なるレイヤー 2 フォーマットを設定できます。MPLS レイヤー 2 VPN のセキュリティとプライバシは、ATM またはフレーム リレー VPN のセキュリティとプライバシと同じです。

レイヤー 2 VPN では、顧客のルーター(通常は CE ルーター)でルーティングが行われます。レイヤー 2 VPN 上のサービス プロバイダに接続された CE ルーターは、トラフィックを送信する適切な回線を選択する必要があります。トラフィックを受信する PE ルーターは、サービス プロバイダのネットワークを介して、受信サイトに接続された PE ルーターにトラフィックを送信します。PE ルーターは、顧客のルートを保存または処理する必要はありません。適切なトンネルにデータを送信するように設定するだけです。

レイヤー 2 VPN の場合、顧客はすべてのレイヤー 3 トラフィックを伝送するように独自のルーターを設定する必要があります。サービス プロバイダは、レイヤー 2 VPN が伝送する必要があるトラフィック量のみを把握する必要があります。サービス プロバイダのルーターは、レイヤー 2 VPN インターフェイスを使用して顧客のサイト間でトラフィックを伝送します。VPN トポロジーは、PE ルーターに設定されたポリシーによって決定されます。

レイヤー 3 VPN

レイヤー 3 VPN では、ルーティングはサービス プロバイダのルーターで行われます。そのため、サービス プロバイダの PE ルーターは顧客のルートを保存して処理する必要があるため、レイヤー 3 VPN はサービス プロバイダ側でより多くの設定を必要とします。

Junos OS では、レイヤー 3 VPN は RFC 4364、 BGP/MPLS IP 仮想プライベート ネットワーク(VPN)に基づいています。この RFC では、サービス プロバイダが IP バックボーンを使用して顧客にレイヤー 3 VPN サービスを提供できるメカニズムを定義しています。レイヤー 3 VPN を構成するサイトは、プロバイダの既存のパブリック インターネット バックボーンを介して接続されます。

RFC 4364に基づくVPNは、BGP/MPLS VPNとも呼ばれ、BGPはプロバイダのバックボーン全体にVPNルーティング情報を配信するために使用され、MPLSはバックボーンを介してリモートVPNサイトにVPNトラフィックを転送するために使用されるためです。

顧客ネットワークはプライベートであるため、RFC 1918 の「 プライベート インターネットのアドレス割り当て」で定義されているように、パブリック アドレスまたはプライベート アドレスのいずれかを使用できます。プライベート アドレスを使用する顧客ネットワークがパブリック インターネット インフラストラクチャに接続する場合、プライベート アドレスは他のネットワーク ユーザーが使用するプライベート アドレスと重複する可能性があります。BGP/MPLS VPNは、特定のVPNサイトの各アドレスにVPN識別子のプレフィックスを付けることでこの問題を解決し、VPN内とパブリックインターネット内の両方で固有のアドレスを作成します。さらに、各VPNには、そのVPNのルーティング情報のみを含む独自のVPN固有のルーティングテーブルがあります。

VPLS

VPLS(仮想プライベートLANサービス)を使用すると、地理的に分散した顧客サイトを、同じLANに接続しているかのように接続できます。さまざまな意味で、これはレイヤー 2 VPN のように機能します。VPLSとレイヤー2 VPNは、同じネットワークトポロジーを使用し、同様に機能します。顧客のネットワーク内から発信されたパケットが、まず CE デバイスに送信されます。その後、サービス プロバイダのネットワーク内の PE ルーターに送信されます。パケットは、MPLS LSP を介してサービス プロバイダのネットワークを通過します。エグレスPEルーターに到着し、宛先カスタマーサイトのCEデバイスにトラフィックを転送します。

VPLS の主な違いは、パケットがポイントツーマルチポイントでサービス プロバイダのネットワークを通過できることです。つまり、CE デバイスから発信されたパケットを VPLS の PE ルーターにブロードキャストできます。対照的に、レイヤー 2 VPN はポイントツーポイントの方法でのみパケットを転送します。PE ルーターによって CE デバイスから受信したパケットの宛先は、レイヤー 2 VPN が正しく機能するように知っている必要があります。

レイヤー 3 ネットワークのみで、仮想プライベート LAN サービス(VPLS)を設定して、地理的に分散したイーサネット LAN(ローカル エリア ネットワーク)サイトを MPLS バックボーンを介して相互に接続できます。VPLSを実装するISP顧客の場合、トラフィックがサービスプロバイダのネットワークを通過していても、すべてのサイトが同じイーサネットLANにあるように見えます。VPLSは、MPLS対応のサービスプロバイダネットワーク上でイーサネットトラフィックを伝送するように設計されています。VPLSは、特定の方法でイーサネットネットワークの動作を模倣します。VPLSルーティングインスタンスで設定されたPEルーターがCEデバイスからパケットを受信すると、まずVPLSパケットの宛先に対する適切なルーティングテーブルをチェックします。ルーターに宛先がある場合、適切な PE ルーターに転送します。宛先がない場合、同じVPLSルーティングインスタンスのメンバーである他のすべてのPEルーターにパケットをブロードキャストします。PE ルーターは、パケットを CE デバイスに転送します。パケットの意図した受信者である CE デバイスは、パケットを最終宛先に転送します。他の CE デバイスはそれを破棄します。

仮想ルーター ルーティング インスタンス

仮想ルータールーティングインスタンスは、VPNルーティングおよび転送(VRF)ルーティングインスタンスと同様に、インスタンスごとに個別のルーティングテーブルと転送テーブルを維持します。ただし、VRFルーティングインスタンスに必要な多くの設定手順は、仮想ルータールーティングインスタンスでは必要ありません。具体的には、P ルーター間でルート識別、ルーティング テーブル ポリシー(vrf-exportvrf-importroute-distinguisher ステートメント)、または MPLS を設定する必要はありません。

ただし、仮想ルータールーティングインスタンスに参加する各サービスプロバイダルーター間で、個別の論理インターフェイスを設定する必要があります。また、各ルーティング インスタンスに参加しているサービス プロバイダ ルーターと顧客ルーター間で、個別の論理インターフェイスを設定する必要があります。各仮想ルーター インスタンスには、すべての参加ルーターに固有の論理インターフェイス セットが必要です。

図 1 は、この仕組みを示しています。サービス プロバイダ ルーター G と H は、仮想ルーター ルーティング インスタンス Red と Green に対して設定されています。各サービスプロバイダルーターは、各ルーティングインスタンスに1つずつ、2つのローカルカスタマールーターに直接接続されています。また、サービス プロバイダ ルーターは、サービス プロバイダ ネットワークを介して相互に接続されています。これらのルーターには、ローカルに接続された各顧客ルーターへの 論理インターフェイス と、仮想ルーター インスタンスごとに 2 つのサービス プロバイダ ルーター間のトラフィックを伝送する論理インターフェイスという 4 つの論理インターフェイスが必要です。

図 1:仮想ルーター ルーティング インスタンス Logical Interface per Router in a Virtual-Router Routing Instance内のルーターごとの論理インターフェイス

レイヤー 3 VPN には、この設定要件はありません。PE ルーター上で複数のレイヤー 3 VPN ルーティング インスタンスを設定すると、すべてのインスタンスが同じ論理インターフェイスを使用して別の PE ルーターに到達できます。これは、レイヤー 3 VPN がさまざまなルーティング インスタンスとの間で行くトラフィックを区別する MPLS(VPN)ラベルを使用しているために可能です。仮想ルータールーティングインスタンスのように、MPLSとVPNラベルがない場合、トラフィックを異なるインスタンスから分離するには、個別の論理インターフェイスが必要です。

サービス プロバイダ ルーター間でこの論理インターフェイスを提供する方法の 1 つは、それらの間のトンネルを設定することです。IPセキュリティ(IPsec)、GRE(一般ルーティングのカプセル化)、またはサービスプロバイダルーター間のIP-IPトンネルを設定し、仮想ルーターインスタンスでトンネルを終端することができます。