6.WAN・VPN・クラウド

WANやVPNなどの技術に関して

6.1. WAN

WANは広範囲ネットワークを指し、管理は国や自治体から許可を得てケーブルや機器を設置している通信事業者(キャリア)が管理を行っているため、利用にはそのサービスを利用する。

WANサービスの種類には専用線サービス回線交換サービスパケット交換サービスがある。

サービス説明プロトコル
専用線サービス専用線サービスでは1対1で接続し、回線を占有できる形の利用サービスPPP, HDLC
回線交換サービス電話網の公衆交換電話網(PSTN)を利用するサービス-
パケット交換サービスインターネットVPN広域イーサネットなどがあり、回線は他ユーザと共有するEhternet, IP

なおパケット交換サービスは以下のように細分化される。

サービス説明プロトコル
広域イーサネット(イーサネットWAN)イーサネットインターフェイスの使用、専用線より高速通信が可能、プロバイダ独自回線を使用Ethernet
インターネットVPNイーサネットインターフェイスの使用、公衆回線を仮想的な専用線のように利用IP

広域イーサネットの主なサービスにはEoMPLS(Ethernet over MPLS)などがある。

6.1.1. WANの構成

WAN構成

6.1.1.1. DTE

DTEは顧客の企業などのLANに構築される機器でDCE経由で通信事業者のネットワークに接続して通信を行う。 DTEは実際の通信やデータなどの送信を行うルータやコンピュータなどの機器がDTEに該当する。

6.1.1.2. DCE

DCEは通信事業者のネットワークに接続するための機器を指す。DCEはWAN種類により異なる。

種類説明
DSUデジタルネットワークでの利用
モデムアナログネットワークでの利用
ONU光ネットワークでの利用

6.1.1.3. ローカルループ(アクセス回線)

ローカルループ(アクセス回線)は利用客設備と通信事業者のネットワークの設備との責任境界線(責任分界点)を指す。実際には通信事業者から借りているDCEから通信事業者の基地局の回線までを指す。

ローカルループネットワーク網末端機器
デジタルローカルループISDNDSU
アナログローカルループ PSTN(公衆交換電話網)モデル

6.1.2. WANのトポロジ

6.1.2.1. ポイントツーポイント

1対1で接続するトポロジ。

6.1.2.2. フルメッシュ

複数の拠点を接続するトポロジ。 どこかの拠点で影響が発生しても拠点間通信に影響しない。 デメリットとして契約すべき回線数が拠点数が増えるにしたがって増大するため費用が高額になる。

6.1.2.3. パーシャルメッシュ

フルメッシュと異なり重要拠点のみをメッシュ状にするトポロジ。 契約すべき回線数を減らすことができるメリットがある。

6.1.2.4. ハブアンドスポーク

中心となる拠点から拠点に対し接続するトポロジ。 中心となる拠点がハブ、その他の拠点がスポークとなる。 ハブがダウンすると他の拠点と通信ができなくなる特徴がある。

6.1.3. 拠点間の接続

拠点間の接続には以下のようなサービスが使われる。

  • インターネット
  • 専用線
  • VPN
  • 広域イーサネット(イーサネットWAN) など

WAN接続

6.1.4. ISPとの接続形態

企業などの組織や家庭でISPと契約してインターネットに接続する場合、いくつかの接続パターンがある。 具体的には接続パターンは「ISPとの接続リンク数」と「接続するISP数」の組み合わせで決定する。

6.1.4.1. シングルホームとデュアルホーム

同一ISPとの接続リンク数によって分類する。

  • シングル:ISPと1本のリンクで接続する
  • デュアル:ISPと2本以上のリンクで接続する

6.1.4.2. シングルホームとマルチホーム

接続するISPの数によって分類する。

  • シングル:単一のISPのみと接続する
  • マルチ:複数のISPと接続する

シングルマルチ

6.2. WANのプロトコル

WANのプロトコルにはHDLCPPPフレームリレーがある。

6.2.1. HDLC

HDLCはISOにより標準化されたポイントツーポイントで使用されるプロトコル。

HDLCヘッダ

Cisco社製デバイスのシリアルインターフェースではデフォルトでHDLCにてカプセル化を行うようになっている。

またHDLCのフレームにはネットワーク層のプロトコルを識別するフィールドがないため各ベンダーは独自仕様でHDLCを実装する。 Ciscoの場合はISO標準のHDLCにタイプフィールドを追加したHDLCを使用している。

6.2.2. PPP

PPPはポイントツーポイントで使用されるプロトコル。 PPPはダイヤルアップ接続の電話に利用してインターネット接続するダイヤルアップ接続にも利用されている。 また標準化されているためデータ部のプロトコルを識別するフィールドがあるため、ベンダーの異なる機器間でも接続通信が可能。

6.2.2.1. PPPの機能

PPPにはユーザ認証圧縮機能、また複数のPPPリンクを1つとして扱うマルチリンク機能エラー検出機能がある。

RFCの定義ではPPPの構成要素は以下で定義される。

  • 複数プロトコルのカプセル化
  • リンク制御プロトコル
  • ネットワーク制御プロトコル

PPPのカプセル化

PPPでは複数のプロトコルがカプセル化できる。

PPP

プロトコルフィールドにはデータ部にカプセル化している上位層のプロトコルの識別子が入る。

リンク制御のプロトコル

PPPではリンク制御プロトコル(LCP)でリンクの通信設定/確立/終了等を処理する。

ネットワーク制御プロトコル

PPPではネットワーク制御プロトコル(NCP)でネットワーク層のプロトコルの設定を行う。 ネットワーク層のプロトコルごとにNCPがありIPにはIPCPが使用される。

6.2.2.2. PPPの認証

PPPの認証機能の利用は任意だが、認証時は以下プロトコルのいずれかが使用される。

6.2.2.2.1. PAP

PAPでは2ウェイハンドシェイクで身元確認を行う。 PAPでは平文でユーザ名とパスワードが送信されるため安全な認証プロトコルとは言い難い。

PAP

6.2.2.2.2. CHAP

CHAPでは3ウェイハンドシェイクで身元確認を行う。 CHAPの場合ユーザ名とパスワードを直接送信せずに、認証側がチャレンジメッセージという乱数を送信し、受信側(認証される側)はその値とパスワードを基にハッシュ関数を用いて計算し、その結果を返送する。認証側もこの値をハッシュ関数で計算を行い、その値と送られた値を比較して同じであれば認証する。

パスワード解析される危険性はないためPAPより安全な認証方法となる。

CHAP

6.2.3. PPPのフェーズ遷移

PPPではリンク確率から接続までにいくつかのフェーズがある。

PPP接続

6.2.3. フレームリレー

フレームリレーはX.25というWANサービスからエラー訂正機能を取り除いたWANサービス。 フレームリレーはエラー訂正、確認応答、再送制御等を行わないため高速なデータ伝送が可能。

ちなみに現在の企業ネットワークでは使用されていない。

フレームリレーではHDLCを拡張したLAPFというプロトコルがデータリンク層で使用されている。

6.3. 専用線

6.3.1. 専用線の特徴

専用線は拠点間の接続をするためのサービス。 帯域が完全に保証されているため通信品質の安定が見込め、信頼性やセキュリティも高いサービスとなる。

ただし他のWANサービスに比べると高額となる。 特徴としては以下の通り。

  • 帯域幅が完全に保証
  • 通信品質/セキュリティが高い
  • メンテナンス/設置に関する専門的技術の要求が少ない
  • 1対1の接続となる

また専用線ではデータリンクのプロトコルではHDLCまたはPPPが使用される。

6.3.2. 専用線の種類

専用線には様々なニーズにあわせたサービスを提供できるように様々な種類がある。

種類伝送速度
T4274.176Mbps
T344.736Mbps
T26.312Mbps
T11.544Mbps

6.4. VPN

最近は拠点間の接続を行う際によく利用されるのがVPNとなっている。 VPNは各拠点のプライベートネットワークが直接つながっているように見せかけることが可能。

VPNには以下の特徴がある。

  • 拠点間通信を安全にする
  • コストを専用線などよりも抑えることができる
  • 拡張性が高い

6.4.1. VPNの種類

6.4.1.1. インターネットVPN

インターネットを利用するVPNサービス。 インターネット上の回線で仮想的な専用線接続を行うことで拠点間を安全に接続する。 インターネットに接続するルータをVPN対応のものに替える必要があるが、インターネット回線自体はそのまま利用できる。

低コストでVPNを構築できる一方、パブリックインターネットをデータが通過するため暗号化が必要となる。 なお帯域幅はインターネットを利用するため常に保証されない、そのため速度の安定化は望みにくい。

6.4.1.2. IP-VPN

通信事業者が用意した閉域網を使用するVPNサービス。 インターネットとは別で隔離されているネットワークなため一般ユーザがアクセスすることはない。インターネットVPNよりも安全に利用でき、専用線よりは安価となる。

IP-VPNでは他の契約者と通信が混在して届かないようにMPLSという技術で宛先の識別を行う。またIP-VPNではインターネットVPNと異なり帯域が保証される場合もある。

またネットワーク層のプロトコルはIPしか利用できない。

6.4.2. MPLS

MPLSは現在のWANサービスのほとんどに使われている技術。 MPLSでは4Byteの固定量ラベルをつけ、それに完全一致するネクストホップをLFIBから検索を行ってからパケット転送する。 これにより転送処理の高速化を実現している。

わかりやすく言うとレイヤ2ヘッダとレイヤ3ヘッダの間にラベルと呼ばれるタグを付加する技術である。 またMPLSはIPv4やIPv6などさまざまなプロトコルをサポートしている。 最近ではMPLSはQoSの実装やIP-VPN網での顧客識別に利用されている。

MPLS

またMPLSでは顧客側のルータはCE(Customer Edge)と呼ばれ、サービスプロバイダ側のルータはPE(Provider Edge)と呼ばれる。またPE-CE間の回線はアクセス回線と呼ばれる。

CE-PE

6.4.3. インターネットVPNの種類

6.4.3.1. サイト間VPN

サイト間VPNは拠点間のLAN接続のためのVPN接続を指す。 それぞれの拠点にVPN対応ルータを設置し、VPN設定を行うことでトンネルが生成され暗号化や複合化の処理が行われる。なおトンネリングにはIPsecが使用される。

サイト間VPN

6.4.3.2. リモートアクセスVPN(クライアントVPN)

リモートアクセスVPNはモバイル端末などが社内ネットワーク等に接続するためのVPN接続を指す。 これには拠点にVPNアクセスを受け付ける機器が必要で、アクセスするクライアント端末にVPN接続の専用ソフトウェアをインストールする必要がある。 IPsecやSSL/TLSを使ったVPN(SSL/TLS VPN)接続を行う。

Cisco製品ではCisco AnyConnect Secure Mobility Client(Cisco AnyConnect)とファイアウォール製品であるASAの接続で、SSL/TLS VPNを使用している。

また一般的にSaaS企業が行う一般C向けのVPNを提供するサービスはこのクライアントVPNである。

クライアント間VPN

6.4.4. VPNの技術

6.4.4.1. トンネリング

トンネリングは通信したい端末間にネットワーク上に仮想の専用線を作成するもの。 トンネリングでは通信相手と通信するためのパケットを別のプロトコルのデータ部にカプセル化して隠ぺいする。

トンネリング

6.4.4.2. 暗号化

トンネリングでカプセル化しただけでは盗聴されるとパケットの中身が解析できてしまう。 そのため元のパケット自体を暗号化することで情報を隠蔽する。

なお暗号化はデータを送信する際に送信元の拠点ルータで行われ、宛先の拠点のルータで複合を行う。

6.4.5. トンネリングのプロトコル

6.4.5.1. PPTP

PPTPはPPPを拡張したプロトコル。 PPTPには暗号化機能がないのでMPPEという暗号化プロトコルと組み合わせて利用する。

6.4.5.2. L2TP

L2TPはデータリンク層のプロトコル。 L2TPには暗号化機能がないのでIPsecと組み合わせて使用される。

6.4.5.3. IPsec

IPsecはIPを使った通信でセキュリティを確保するための規格インターネットVPNでよく利用される。 IPsecで実現できる機能には以下のようなものがある。

  • 完全性
  • 機密性
  • データ発信元の認証
  • アンチリプレイ

IPsecはトンネリングと暗号化の両方の機能を備えているが、IPsec単体ではユニキャストのパケットしか転送できない特徴がある。 またAHESPという2つのセキュリティプロトコルから成り立つ。

プロトコル機能
AH認証機能と未改竄の保証
ESPAHの機能+暗号化
IKE共有鍵の交換を安全に行う

またIPsecにはトランスポートモードトンネルモードの2つがある。

現在は通信モードはトンネルモードが主流となっており、パケットの暗号化にはESPが利用される。

IPsecモード

  • トランスポートモード:IPヘッダの暗号化は行わない
  • トンネルモード:IPヘッダを含めたパケットの全体を暗号化する

6.4.5.4. PPPoE

PPPoE(PPP over Ethernet)はPPPの機能をEthernet上で利用できるようにしたプロトコルを指す。 PPPoEはPPPをカプセル化してEthernet上で伝送する。

6.4.5.5. PPPoA

PPPoAはATM(Asynchronous Transfer Mode)のネットワーク上でPPPをカプセル化する技術。

6.4.6. その他のVPN

6.4.6.1. SSL-VPN

SSL-VPNはSSLを利用した暗号化技術。 このタイプのVPNの利用には接続受けする機器(サーバ等)にSSL-VPN対応機器が必要。 なお接続側には不要となる。

また、この技術はリモートアクセスVPNに適した技術といえる。

6.4.6.2. 広域イーサネット(イーサネットWAN)

広域イーサネットは拠点間を接続するためのサービス。 具体的には通信事業者が管理する広域イーサネット網を使用し、データリンク層のプロトコルはイーサネットで通信する。 また共有ネットワークでもある。

IP-VPNではインターネット層のプロトコルはIPしか利用できないが、広域イーサネットではIP以外のネットワーク層のプロトコルで拠点間通信を行うことが可能。

一般的にはイーサネットインターフェスを備えた一般的なルータやスイッチで使用することが可能。

広域イーサネットは共有ネットワークであるため、通信の混雑防止のためにVLANタグを付加する。 しかしながら各拠点のLAN内でVLANを使用している場合もVLAN識別にVLANタグが使われる。その状態で広域イーサネットを使用するとVLANタグが上書きされてしまう問題がある。 そのため広域イーサネットでは銃でVLANタグを付加できる技術が使用されている。またIP-VPNで通信識別するための技術であるMPLSベースのEoMPLSという技術も併せて使用されている。

専用線よりもコストや拡張性面、速度で有利なサービスといえる。

6.4.6.3. IEEE 802.1Qトンネリング

IEEE802.1QトンネリングはVLANタグを二重に付与することで組織ごとに通信を分断する技術

同一VLANを複数の組織が使用しているときに組織ごとに通信を分断するためISPで主に使用される。

6.4.6.4. GET VPN(Group Encrypted Transport VPN)

GET VPNはトンネルを使用せずVPN接続を可能にする技術

GET VPNでは、KS(Key Server)と呼ばれるセキュリティポリシーを管理する役割のルータが通信の暗号化および復号化に必要な共有キーを所持する。

各VPN拠点のルータはKSからキー受け取り、そのキーを使用して暗号化された通信を行うためトンネルを使用せず安全なVPN接続が可能となる。

特徴は拠点の追加や管理が容易大規模なネットワークに適している点である。

6.4.7. GRE

GRE(Generic Routing Encapsulation)はトンネリングプロトコルの1つである。

GREトンネリングでは通信したいL3(ネットワーク層)のプロトコルを他のネットワーク層のプロトコルでカプセル化する。

またGREの特徴は以下のものがある。

  • マルチプロトコルへの対応
  • マルチキャスト/ブロードキャストのパケットのトンネリングが可能
  • IPsecと異なりセキュリティ機能が存在しない
  • 動的ルーティングをサポートする

マルチプロトコルへの対応

構造としてはIP以外のプロトコルのパケットにGREヘッダを付加し、それにデリバリヘッダ(例えばIPヘッダ)等を付加して損層が行われる。

マルチキャスト

マルチキャスト/ブロードキャストのパケットのトンネリングが可能

GREを利用したパケットのカプセル化ではマルチキャストやブロードキャストの通信をユニキャスト化することができる。 なおIPsecでは上記を行うことはできない。

1つの拠点で接続するクライアント数が多い場合Staticルーティングは手間がかかるため不向きで、Dynamicルーティングが適している。 このケースはDynamicルーティングのルーティングプロトコルをGREでカプセル化し、IPsecのトンネリングで転送すると拠点間でルート情報を安全に交換することが可能。

IPsecと異なりセキュリティ機能が存在しない

GREは暗号化機能がないため暗号化されない。 そのため暗号化を行う場合IPsecと組み合わせたGRE over IPsecを用いる。

6.4.7.1. GREトンネリング

GREトンネリングは以下の図のようになる。

GREトンネリング

6.4.8. VPNの構築手法

6.4.8.1. GRE over IPsec VPN

GRE over IPsec VPNはGREとIPsecを組み合わせてVPNを構築する方法。 特徴は以下の通り。

  • IPsecのセキュリティ機能
  • GREのマルチキャストに対応可能

上記メリットを兼ね備えたVPNを構築可能となっている。

6.4.8.2. DMVPN(Dynamic Multipoint VPN)

DMVPNはCISCO独自の複数の拠点を接続するVPNの設定作業を簡略化する設計。 特徴は以下の通り。

  • ハブアンドスポーク構成を取る
  • ハブルータの暗号化にかかる処理負荷を減らすことが出来る

スポーク拠点間の通信時はスポーク拠点同士で動的にGRE over IPsecトンネルを作成することができるため、ハブルータの暗号化処理を削減できる。

DMVPNを構成する技術要素としては以下のものがある。

  • mGRE … 複数のポイントと接続するGREトンネル
  • NHRP … 宛先アドレスを自動的にマッピングする
  • IPsec …(オプション)GREトンネルの暗号化
要素説明
mGRE(Multipoint GRE)1対多で接続可能なGREトンネル。トンネル識別用のキーによって接続すべきトンネルを判断する。
NHRP(ネクストホップ解決プロトコル)ある通信のネクストホップとなる宛先IPアドレスを解決するためのプロトコル
IPsecIPパケットの改ざん防止、暗号化を提供するプロトコル

6.5. クラウド

クラウドはコンピュータ/ネットワーク資源の利用形態の1つである。正式にはクラウドコンピューティングと呼ぶ。

クラウドではクラウドサービス事業者が用意した大規模のデータセンターにある多数のサーバ上に構築されたリソースを、インターネットを介して利用者が使うものとなる。 メリットとしてはソフトウェアの購入/インストール/更新、メンテナンスなど管理にかかる費用を削減できる。

クラウドで提供されるサービスにはアプリケーションの機能を提供するもの(SaaS)、アプリケーションの実行基盤を提供するもの(PaaS)、オンラインストレージ、データベース、仮想マシンなどの基盤構築環境自体を提供するもの(IaaS)などがある。

自前で社内などに物理的なサーバやネットワークなどのリソースを構築/運用/配置することはオンプレミスと呼ばれる。

6.5.1. クラウドの技術

クラウドは仮想化と呼ばれる技術が根幹技術となっている。

6.5.1.1. 従来のオンプレミスサーバ

仮想化技術登場以前では1台の物理的なマシンに1つのOSをインストールしてサービスを展開するのが主流の方式であった。

この当時は異なるOSを扱いたい場合その数分だけサーバ台数が増えてしまい導入コスト/運用保守コストが増大する問題があった。

6.5.1.2. 仮想サーバ

仮想化されたサーバでは1つの物理サーバ上に複数の異なるOSを動かすことができる。

仮想化基盤にはハイパーバイザ型ホスト型コンテナ型がある。

仮想化基盤

ハイパーバイザ型

ハイパーバイザ型では仮想マシンが動く。 また代表的な技術と種類の関係は以下の通り。

技術/製品種類特徴
Vmware ESXI/vSphereハイパーバイザ型vSphereは仮想マシンの管理、クラスタリング、リソースプールなどの高度な機能を提供する
Proxmox VEハイパーバイザ型KVMとLXCを組み合わせたOSSの仮想化プラットフォーム。Webベースの管理インターフェースを備えている
Hyper-Vハイパーバイザ型Windows Server上で動作する
Xenハイパーバイザ型OSSの仮想化プラットフォーム。ハードウェア支援仮想化を提供する
KVMハイパーバイザ型Linuxカーネル内に組み込まれた仮想化技術。Linuxサーバー上で仮想マシンを実行するために使用される。
Virtual Boxホスト型ホストOS上で動作する。仮想マシンを作成し実行できる
VMware Playerホスト型VMware Workstation Playerとも呼ばれる
LXCコンテナ型プロセス間の仮想化を使用してコンテナを提供するOSSの仮想化技術
Dockerコンテナ型アプリケーションをコンテナとしてパッケージ化し簡単にデプロイできるようにする。軽量でポータブル

6.5.2. クラウドのサービス形態

6.5.2.1. プライベートクラウド

プライベートクラウドは企業や機関専用のクラウドとして利用する形態を指す。

クラウド事業者のクラウド内にその企業専用のクラウドを構築するケースもある。 導入コストはパブリッククラウドよりも上がるが、セキュリティの向上や企業独自の基盤に合わせやすいメリットがある。

6.5.2.2. パブリッククラウド

パブリッククラウドは利用者を限定せずに個人や複数ユーザ/企業・機関に向けてクラウド機能を提供する形態を指す。

クラウド機能と代表的なサービスは以下より。

種類代表的サービス説明
SaaSICloud, Microsoft Officeサーバからアプリケーションまでを含めたサービスの提供
PaaSFirebase, Herokuアプリケーションの開発基盤/ミドルウェアの提供
IaaSAWS, GCP, Azure, Alibaba Cloud物理サーバ, ネットワーク, OS等のインフラ部分のリソースのみの提供
最終更新 2025.01.19: Added ss command (683d062)