連載
» 2003年11月29日 00時00分 公開

最適インフラビルダーからの提言(5):VPNでQoSの確保は難しいのか (1/2)

[大宅宗次,@IT]

 連載3回目「専用線二重化と同レベルの安心をVPNで得るには」 と連載第4回「VPN のアクセス回線を二重化する」で、コスト削減と高信頼性を両立するVPNサービスの導入方法を解説した。

 インターネットVPNなどに使用するVPN装置は回線の信頼性があまり高くないという前提で、今回はVPNでQoSを確保する方法について考えたい。

IPしか通せないIP-VPN

 企業ネットワークにVPNサービスを導入する前提条件の1つに、すべてのアプリケーションのIP化が挙げられる。なぜなら、IP-VPNはIPしか通せないサービスだからである。広域イーサネットならIP以外のプロトコルも通せるとはいえ、音声はVoIP化するしかないため、結局は企業内のアプリケーションをすべてIPに対応せざるを得なくなる。

 結果的にVPNサービスには音声や映像、基幹系や情報系データなどさまざまなアプリケーションが同じIPトラフィックとして相乗りすることになる。当然ながら、それぞれのアプリケーションは重要さや性質が異なる。ある社員がそれほど重要ではないデータを大量に送った際に、会社全体の電話や基幹業務がストップしてしまうようでは使い物にならない。

 そうした事態を防ぐには、VPNサービスでそれぞれのトラフィックの特性を考慮し、重要度によってデータの扱い方を差別するQoS(Quality of Service)の実現が必要となる。

トラフィックデータの扱いを差別するQoS

 VPNサービスの導入では、QoSの実現に不安を抱いている人が意外と多い。現状のVPNサービスでは、QoSのタイプやレベルがユーザーにとって分かりにくいからだ。しかし、誤解しないでほしいが、ネットワークのQoSはVPNサービスだけで実現するものではない。

 QoSはトラフィックの送信元とあて先の間、つまり企業内のLANとVPNサービスを利用したWANを含むエンド・ツー・エンドで実現を検討しなければならない。QoSを実現するためには、企業側にもしなければならないことが多いのだ。

 そのことを念頭に置いて、まずはVPNサービスがどんなQoSを提供しているかを知る必要がある。

ATMやフレームリレーのQoSの悪夢がここでも?

 QoSはさまざまなトラフィックをパケット多重する従来のフレームリレーや、ATMで構築された企業ネットワークでも使われてきた、通信品質を管理する技術である。

 ATMは拠点間を結ぶ線、いわゆるパスのサービスであった。例えばA拠点を中心とした、A、B、C拠点の3拠点を接続する企業ネットワークを考えてみる。ATMなどでは通常、A拠点とB拠点を接続するパスと、A拠点とC拠点を接続するパスで構成する。B拠点とC拠点はA拠点を経由して接続する形になる。もちろんB拠点とC拠点を接続するパスも構成できるが、パスに対してコストが発生する。そのため、ほとんどの企業がセンタ拠点を中心としたスター型の構成を取っていた。ユーザーはそれぞれのパスの帯域を借りる。例えばA〜B拠点間は1.5Mbps、A〜C拠点間も1.5Mbpsといった具合だ。

 一方、VPNサービスはご存じのとおりすべての拠点が面のように結ばれるサービスである。ユーザーは拠点から面に接続する線の帯域を借りる形になる。B拠点とC拠点に先の例と同じ帯域を確保すると、A拠点からは3Mbps、B拠点からは1.5Mbps、C拠点からは1.5Mbpsとなる。ここには、それぞれの拠点間を結ぶパスという概念はない(図1)。

図1 3拠点を結ぶATMとVPNの企業ネットワーク例 図1 3拠点を結ぶATMとVPNの企業ネットワーク例

拠点ごとに異なる速度での通信

 従来のATM構成でA拠点からB拠点、C拠点にそれぞれトラフィックを送る場合を見てみる。A拠点からB拠点へ最大1.5Mbps、同様にC拠点へ最大1.5Mbpsを送ることができる。

 同じ条件で構成したVPNサービスでも、A拠点からB拠点、C拠点へそれぞれ1.5Mbpsのトラフィックを送ることができる。

 ところが、A拠点とVPNサービス間は3Mbpsで接続されているので、A拠点からは、B拠点に最大3Mbpsで送ることができてしまう。もちろん、B拠点とVPNサービスは1.5Mbpsでしか接続されていない。残りの1.5MbpsのトラフィックはVPNサービス網内で廃棄される結果となる。これまでATMなどと違う現象、つまり拠点ごとに接続する速度が異なることで、VPNサービス網内で輻輳(ふくそう)する状態が発生する(図2)。

図2 拠点ごとに異なるVPN回線速度では輻輳が起こる 図2 拠点ごとに異なるVPN回線速度では輻輳が起こる

トラフィック集中が引き起こす輻輳

 別のケースを見てみる。ATMなどで構成された構成ではB拠点、C拠点が直接接続されていない場合がほとんどだ。A拠点、B拠点からC拠点にそれぞれ1.5Mbpsトラフィックを送ろうとすると、A拠点でB拠点から来たトラフィックと自分の送ろうとするトラフィックがぶつかる。しかし、A拠点とB拠点間は1.5Mbpsしかないので、結果的に両方合わせて1.5Mbpsしか送れない。

 結果として、A拠点の企業内で輻輳が発生することになる。VPNサービスは面のサービスなのでB拠点とC拠点は直接接続されている状態だ。よって、A拠点からC拠点に3Mbps、B拠点からC拠点に1.5Mbpsを同時に送ろうとすることができてしまう。

 もちろんC拠点は1.5Mbpsでしか接続されていないので、同じように両方合わせて1.5Mbpsしか送れない。ところが、またもATMなどと違う現象、トラフィックの集中によりVPNサービス網内で輻輳する状態が発生する(図3)。

図3 VPNの面のサービスでは拠点BからCに直接通信できるが…… 図3 VPNの面のサービスでは拠点BからCに直接通信できるが……
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。