連載
» 2003年10月17日 00時00分 公開

最適インフラビルダーからの提言(4):VPNのアクセス回線を二重化する

[大宅宗次,@IT]

 前回「専用線二重化と同レベルの安心をVPNで得るには」では、ユーザー側でVPNバックボーンへのアクセス回線が必要な理由と、その際に気を付けたいIP-VPNの広域イーサネットのルーティングの自由度、また回線の使い方のポイントを述べた。

BGP/MPLS-VPNの仕組み

 前回「VPNで専用線二重化と同レベルの安心を得るには」は、通信事業者が提供するVPNサービスの雲型部分の信頼性が高いという前提で話を進めてきた。実際にはVPNサービスの信頼性はどれほど高いのであろうか。どの通信事業者のVPNサービスでも全く冗長構成をしていないサービスはない。ただし、冗長構成をしている部分は通信事業者やサービスにより異なる。

 ここでは、MPLSを用いてIP-VPNサービスを提供する「BGP/MPLS VPN」方式のバックボーンを前提に考察したい(図1)。

図1 通信事業者側からみたBGP/MPLS-VPN構成 図1 通信事業者側からみたBGP/MPLS-VPN構成

 例えば、MPLSがバックボーンとなるIP-VPNサービスでは、ユーザー回線をPE(プロバイダエッジ)ルータに収容する。ほとんどの通信事業者では、基幹部分の伝送路を含むMPLS網や網を構成するP(プロバイダ)ルータについて冗長構成が取られ非常に信頼性が高いといえる。しかし、冗長目的の2回線を通信事業者が1台のPEルータで収容するとすれば信頼性に疑問がわいてくる。

 もちろん、たとえPEルータが1台だとしても、共通部などの内部冗長を施してあり、予備機を置いている通信事業者もいる。一概に信頼性が低いとは判断できないが、信頼性が非常に高いとは言い難い。

広域イーサネット、障害時「切り替え」対応への課題も

 広域イーサネットでも状況は同じである。しかも、一般的にイーサネットはIPに比べ障害発生時の切り分けや復旧の難しさなど運用で劣る面がある。また、障害の状態によりループが発生してしまう問題は、広域イーサネットの網内でも同じ課題を抱えている。

 前回述べたとおり、広域イーサネットを用いれば企業側で切り替え時間を短縮する構成を組む自由度は高い。場合によっては数秒レベルの切り替えも実現できる。半面、IP-VPNに比べ網自体の信頼性は劣る。

異なるISPのVPNサービスでVPNそのものの二重化

 もちろん、交渉次第では例えばIP-VPNの2回線を2台のPEルータに分散して収容する対応をする通信事業者もいる。しかし、もっと簡単に信頼性を高める手段がある。それは異なる通信事業者のVPNサービスを組み合わせて使用する方法だ。これは「キャリアダイバーシティー」と呼び、昔から専用線でも使っていた手法だ。

 アクセス回線の種類にもよるが、先のアクセス回線の二重化で提供する通信事業者を2社に分散する手段もある。しかし、単純にアクセス回線を二重化するより、VPNサービスそのものを二重化する方が有効だ(図2)。

図2 VPN回線そのものを違うプロバイダ回線を併用することによって二重化する 図2 VPN回線そのものを違うプロバイダ回線を併用することによって二重化する

メインに広域イーサ、バックアップ用に低速IP-VPN

 異なる通信事業者を組み合わせるのと同様に、異なるVPNサービスの種類を組み合わせる構成も考えられる。例えばメインとして広帯域な広域イーサネット、バックアップ用に低速回線を組み合わせたIP-VPNという構成だ。

 もちろん、同じ通信事業者の異なるVPNサービスの利用でもよい。不思議な話だが、1つの通信事業者でもVPNサービスの種類が異なれば網として共有している部分はほとんどない。リスク分散の観点からも有効であるという意味だ。

まだまだ捨てきれないバックアップ用のISDN回線

 ここまで、VPNサービスとしてはIP-VPNや広域イーサネットを中心に話を進めてきた。しかし、信頼性を意識しながらコストをさらに落とす構成や末端拠点周りの構成では、インターネットVPNの適用やいまだにバックアップとしては有効なISDNの利用も候補に挙がる。

 実際に中小企業では、そのようなISDN回線の利用法が多く見られ、使い方に関しては前回「VPNで専用線二重化と同レベルの安心を得るには─バックアップ回線」という考え方」で述べたとおり、格安に済ませる方法などもあるので、よく検討していただきたい。

インターネットVPNはどこまで信頼性が強化されるか

 インターネットVPNなどに使用するVPN装置は回線の信頼性があまり高くないという前提で、ベンダ独自でそれをカバーする冗長機能が豊富に搭載されている。例えば、本来は通らないはずのルーティングプロトコルをトンネルさせエンドツーエンドで冗長構成を提供する機能などが挙げられる。

 しかし、通信事業者の提供するインターネットVPNサービスでは二重化するVPNサービスの1つという使い方を考慮していない。あくまでインターネットVPNのみを使った場合の信頼性を高める機能を提供しているだけだ。

 また、通信事業者の提供するインターネットVPNは設定を代行するといったアウトソーシング的なサービスである。よって、冗長機能などの設定を駆使する構成への適用にはあまり向かない。企業側がインターネットとVPN装置を使って自前で構築した方が冗長構成の自由度が高いだろう。VPN装置の冗長機能もフルに利用できるので信頼性性をさらに高める構成も組める。

 連載3回目「専用線二重化と同レベルの安心をVPNで得るには」 と今回で、コスト削減と高信頼性を両立するVPNサービスの導入方法を連続で紹介してきた。結果としてコスト削減と高信頼性を両立するには企業側の負担が大きいと感じたかもしれない。当然ながら、ユーザー側としては低コストのまま高信頼を提供するVPNサービスがあれば済むのは確かだ。

 述べるまでもなく、通信事業者はVPNサービスの信頼性を向上させる努力をしている。例えば、最近では信頼性への自信の指標となるSLAの適用やIP-VPNでのMPLS高速迂回機能ファスト・リル−トの採用などを発表している通信事業者もいる。VPNサービスの信頼性は日々向上しているものの、もうしばらくは企業側でも努力が必要だ。皆さんの努力にこの記事を参考にしていただきたい。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。