第二回：イーサネットVPNとインターネットVPN

前回は、IIJA L2サービスについての特徴をご説明しました。L2サービスは、L2スイッチにてVLANを使い、お客様トラフィックを分離することで閉域なWANを構築できるソリューションです。 今回は、IIJA IP接続サービス、もしくは他社のインターネット接続サービス上で、仮想的にWANを構築できるIIJA Internet LAN (イーサネットVPN) と、IPsec VPN (インターネットVPN) について、仕組みや特徴について下記にご説明させて頂きます。

■IIJA Internet LAN (イーサネットVPN)

IIJが開発したサービスアダプタ、SEIL 2FE Plusを使用し、拠点間のLANをインターネット上にてイーサネットレベルで接続することで、手軽に拠点間のWANを構築することができます。IPネットワーク上でイーサネットトンネルを構築するため、L2TPv3 (Layer 2 Tunnel Protocol Version 3) というプロトコルが用いられます。これにより、L2サービス同様IPだけでなく、IPv6、IPX、SNA、FNA、DEC、AppleTalkなどのプロトコルをネイティブに利用することができます。また、L2TPv3トンネルはIPsecにより暗号化されているため、トンネルを流れるパケットの盗聴や改竄に対する安全性が確保されています。

■IPsec VPN (インターネットVPN)

拠点LAN間にIPsecトンネルを張り、手軽に拠点間のWANを構築することができます。IP層での仮想トンネルなので、IPパケットの通信が許可されることになります。インターネットへのアクセスを、スプリットトンネルにより各拠点から許可するパターンと、ハブ拠点のファイアウォールからのみ許可するパターンを選択することができます。また、機器やインターネットアクセス回線の冗長化に様々なパターンが選択できるなど、お客様のご要望される機能に応じて柔軟なWAN設計が可能です。

いずれのサービスも共通して、下記の特徴があります：
(1) アクセス回線選択の柔軟性
IIJAが提供する広帯域／高品質なIPバックボーン上で提供されるT1/DSLインターネット接続サービス以外に、他社のDSLやCATVなどのIPサービスを用いてもVPNサービスが提供可能です。

(2) IIJAによる完全マネージドサービス
24x7常にネットワーク機器の死活監視、トラフィックモニターを行い、異常発見時には速やかに原因を調べ、お客様にご報告する対応フローを確立しています。

(3) 豊富な機器保守オプション
ホットスタンバイ構成、コールドスタンバイ構成による機器冗長化に加え、機器保守オンサイト交換対応 (最短４時間駆け付け対応から翌営業日対応) などをお客様の要求に合わせてオプションを組み立てることができます。

これらのWANソリューションは、L2や他の閉域網ソリューションに比較し、パフォーマンスやセキュリティの面が劣ることを懸念される傾向があります。パフォーマンスについては、IIJAの接続サービスを利用した場合、アクセス回線帯域とバックボーンネットワークの容量から、帯域的なパフォーマンスが問題になることはまずありません。他社のインターネット接続サービスを使用する場合、そのISPとの接続経路 (IIJと直接ピアしているか、どのISPを経由して到達できるかなど) や相互接続部分の帯域が混みあっているか、などが影響する可能性がありますが、IIJのバックボーン運用チームにより、US国内ISPとの相互接続を日々充実させており、他社を使用する場合でも適切な業者かどうかの確認を行います。また、他社ISPのサービスであっても、ネットワーク監視はIIJA提供の場合と同等に行うため、トラブル発生時も迅速に障害検出と復旧対応を行います。

セキュリティについては、どこからでもアクセスできるインターネットだから、という不安が最も聞かれる声ですが、閉域網を利用したWANを経由してインターネットを利用する場合、インターネットの通常利用とリスクは同じになります。IPsec により拠点間通信を暗号化し、VPN機器へのアクセスはIIJAのマネージメントネットワークからのみに制限されており、WAN/LAN側から機器自体にはアクセスできず、ファイアウォール機能のポリシー管理もIIJAで一元的に行われているため、拠点間通信の傍受や機器への攻撃、さらにインターネットからの侵入に強いWANを、IIJAのマネージドVPNサービスにても安全に構築が可能です。