Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

VPNの種類

仮想プライベートネットワーク(VPN)は、プロバイダのネットワークとお客様のネットワークという2つのトポロジー領域で構成されています。お客様のネットワークは通常、複数の物理サイトに配置されており、プライベート(非インターネット)でもあります。顧客サイトは通常、単一の物理的な場所に配置されたルーターまたはその他のネットワーク機器のグループで構成されます。パブリックインターネットインフラストラクチャ全体で実行されるプロバイダのネットワークは、顧客のネットワークにVPNサービスを提供するルーターと、その他のサービスを提供するルーターで構成されています。プロバイダのネットワークは、顧客とプロバイダからはプライベートネットワークのように見える形で、さまざまな顧客サイトを接続します。

VPNをプライベートに保ち、他のVPNやパブリックインターネットから分離するために、プロバイダのネットワークは、異なるVPNからのルーティング情報を分離するポリシーを維持しています。プロバイダは、ポリシーで異なるVPNからのルートを分離している限り、複数のVPNにサービスを提供できます。同様に、顧客サイトは、異なるVPNからのルートを分離している限り、複数のVPNに所属することができます。

Junos®オペレーティングシステム(Junos OS)には、いくつかのタイプのVPNが用意されています。お客様のネットワーク環境に最適なソリューションを選択できます。以下の各VPNには異なる機能があり、必要な設定の種類も異なります。

レイヤー 2 VPN

ルーターへのレイヤー2VPNの実装は、他のレイヤー2テクノロジーを使用したVPNの実装と似ています。ただし、ルーター上のレイヤー2 VPNの場合、トラフィックはレイヤー2形式でルーターに転送されます。これはサービスプロバイダのネットワークを介してMPLSによって伝送され、受信サイトでレイヤー2フォーマットに変換されます。送信サイトと受信サイトで異なるレイヤー2フォーマットを設定できます。

レイヤー2 VPNでは、ルーティングは顧客のルーター(通常はCEルーター)で行われます。レイヤー2 VPN上のサービスプロバイダに接続されたCEルーターは、トラフィックを送信する適切な回線を選択する必要があります。トラフィックを受信するPEルーターは、サービスプロバイダのネットワークを介して、受信サイトに接続されたPEルーターにトラフィックを送信します。PE ルーターは、顧客のルートを保存または処理する必要はありません。適切なトンネルにデータを送信するように設定するだけで済みます。

レイヤー 2 VPN の場合、お客様はすべてのレイヤー 3 トラフィックを伝送するように独自のルーターを設定する必要があります。サービスプロバイダは、レイヤー2 VPNが伝送する必要があるトラフィック量だけを知る必要があります。サービスプロバイダのルーターは、レイヤー2 VPNインターフェイスを使用して顧客のサイト間でトラフィックを伝送します。VPNトポロジーは、PEルーターに設定されたポリシーによって決定されます。

レイヤー3 VPN

レイヤー3 VPNでは、ルーティングはサービスプロバイダのルーターで行われます。そのため、レイヤー3 VPNでは、サービスプロバイダのPEルーターが顧客のルートを保存および処理する必要があるため、サービスプロバイダ側でより多くの設定が必要になります。

Junos OSでは、レイヤー3 VPNは、RFC 4364、 BGP/MPLS IP仮想プライベートネットワーク(VPN)に基づいています。このRFCは、サービスプロバイダがIPバックボーンを使用してレイヤー3 VPNサービスを顧客に提供できるメカニズムを定義します。レイヤー3 VPNを構成するサイトは、プロバイダの既存のパブリックインターネットバックボーンを介して接続されます。

RFC 4364に基づくVPNは、プロバイダのバックボーン全体にVPNルーティング情報を配布するために使用され、BGPがバックボーンを介してリモートVPNサイトにVPNトラフィックを転送するため、BGP/MPLSとも呼ばれMPLS。

顧客ネットワークはプライベートであるため、RFC 1918、 プライベートインターネットのアドレス割り当てで定義されているように、パブリックアドレスまたはプライベートアドレスのいずれかを使用できます。プライベートアドレスを使用する顧客ネットワークがパブリックインターネットインフラストラクチャに接続する場合、プライベートアドレスが他のネットワークユーザーが使用するプライベートアドレスと重複する場合があります。BGP/MPLS VPN は、特定の VPN サイトからの各アドレスに VPN 識別子をプレフィックスで付けることでこの問題を解決し、VPN 内とパブリックインターネット内の両方で一意のアドレスを作成します。さらに、各VPNには、そのVPNのルーティング情報のみを含む独自のVPN固有のルーティングテーブルがあります。

VPLS

仮想プライベートLANサービス(VPLS)を使用すると、地理的に分散した顧客サイトを、あたかも同じLANに接続されているかのように接続できます。多くの点で、レイヤー 2 VPN のように機能します。VPLS とレイヤー 2 VPN は、同じネットワーク トポロジーを使用し、同様に機能します。顧客のネットワーク内から発信されたパケットは、まずCEデバイスに送信されます。その後、サービスプロバイダのネットワーク内のPEルーターに送信されます。パケットは、MPLS LSP を介してサービス プロバイダーのネットワークを通過します。エグレスPEルーターに到着すると、宛先の顧客サイトにあるCEデバイスにトラフィックが転送されます。

VPLSの主な違いは、パケットがポイントツーマルチポイントでサービスプロバイダのネットワークを通過できることです。つまり、CEデバイスから発信されたパケットをVPLS内のPEルーターにブロードキャストできます。一方、レイヤー2 VPNは、ポイントツーポイント方式でのみパケットを転送します。レイヤー 2 VPN が正常に機能するためには、PE ルーターが CE デバイスから受信したパケットの宛先を知っている必要があります。

レイヤー3ネットワークでのみ、仮想プライベートLANサービス(VPLS)を設定して、地理的に分散したイーサネットローカルエリアネットワーク(LAN)サイトをMPLSバックボーンを介して相互に接続できます。VPLSを実装しているISPのお客様は、トラフィックがサービスプロバイダのネットワークを経由していても、すべてのサイトが同じイーサネットLAN内にあるように見えます。VPLSは、MPLS対応のサービスプロバイダネットワークを介してイーサネットトラフィックを伝送するように設計されています。VPLSは、ある意味でイーサネットネットワークの動作を模倣しています。VPLSルーティングインスタンスで設定されたPEルーターがCEデバイスからパケットを受信すると、まずVPLSパケットの宛先について適切なルーティングテーブルを確認します。ルーターに宛先がある場合、宛先はそれを適切なPEルーターに転送します。宛先がない場合は、同じVPLSルーティングインスタンスのメンバーである他のすべてのPEルーターにパケットをブロードキャストします。PE ルーターは、パケットを CE デバイスに転送します。パケットの意図された受信者である CE デバイスは、パケットを最終宛先に転送します。他のCEデバイスはそれを破棄します。

仮想ルータールーティングインスタンス

仮想ルーターのルーティングインスタンスは、VPNルーティングおよび転送(VRF)ルーティングインスタンスと同様に、インスタンスごとに個別のルーティングテーブルと転送テーブルを維持します。ただし、VRF ルーティング インスタンスに必要な多くの設定手順は、仮想ルーター ルーティング インスタンスには必要ありません。具体的には、ルートの識別、ルーティングテーブル ポリシー( vrf-exportvrf-importroute-distinguisher ステートメント)、または P ルーター間のMPLSを設定する必要はありません。

ただし、仮想ルーターのルーティングインスタンスに参加する各サービスプロバイダルーター間に個別の論理ルーターを設定する必要があります。また、各ルーティングインスタンスに参加しているサービスプロバイダルーターとカスタマールーターの間には、個別の論理インターフェイスを設定する必要があります。各仮想ルーターインスタンスには、参加するすべてのルーターに対して独自の論理インターフェイスセットが必要です。

図1 は、その仕組みを示しています。サービスプロバイダルーターGおよびHは、仮想ルータールーティングインスタンス赤と緑に設定されています。各サービスプロバイダルーターは、各ルーティングインスタンスに1つずつ、2台のローカルカスタマールーターに直接接続されます。また、サービスプロバイダのルーターは、サービスプロバイダのネットワークを介して相互に接続されています。これらのルーターには、ローカルに接続された各顧客ルーターへの 論理インターフェイス と、各仮想ルーターインスタンスの2つのサービスプロバイダルーター間でトラフィックを伝送するための論理ルーターの4つの論理インターフェイスが必要です。

図1:仮想ルータールーティングインスタンスLogical Interface per Router in a Virtual-Router Routing Instanceにおけるルーターごとの論理インターフェイス

レイヤー3 VPNには、この設定要件はありません。PEルーター上で複数のレイヤー3 VPNルーティングインスタンスを設定すると、すべてのインスタンスが同じ論理インターフェイスを使用して別のPEルーターに到達できます。これが可能なのは、レイヤー3 VPNが、さまざまなルーティングインスタンスに出入りするトラフィックを区別するMPLS(VPN)ラベルを使用しているためです。仮想ルーターのルーティングインスタンスのように、MPLSやVPNラベルがない場合、異なるインスタンスからトラフィックを分離するために個別の論理インターフェイスが必要です。

サービスプロバイダ間にこの論理インターフェイスを提供する1つの方法は、ルーター間にトンネルを設定することです。サービスプロバイダのルーター間でIPセキュリティ(IPsec)、GRE(Generic Routing Encapsulation)、またはIP-IPトンネルを設定して、仮想ルーターインスタンスでトンネルを終端することができます。