IP-VPNとインターネットVPNについて | インターネット接続とVPNの選定ポイント

IP-VPNとインターネットVPNについて | インターネット接続とVPNの選定ポイント

イントロダクション


情シスになりたての頃の話です。経営層からの依頼がありました。

「インターネット接続業者を変更したいので、候補を選定してほしい。」

私が入社する半年くらい前にインターネット接続方式が変更されていました。
それ以来インターネット接続に時々問題が発生している状態でした。
キャリアに対応を依頼しても改善せず、これ以上続くようなら乗換も、ということでした。
結論としては設定変更で問題は解決し、キャリア乗換は無くなりました。

問題解決までの間に色々調べたので、今回はそれをご説明します。

スポンサーリンク

インターネット接続とVPNの方式について


インターネット接続の話をするには、どうしても接続方法の話をしなければいけません。
あくまで簡易版なので、細かい点はもっと詳しい(正しい?)情報源をご参考ください。

一番単純な接続例

会社の拠点が1か所、もしくは他拠点との社内ネットワーク接続をしない場合こんな感じです。
小規模オフィスや店舗の場合、家庭用と同じくルータとPoE装置のみということもあります。

機器やサービスの役割もごく簡単にだけ説明しておきます。

・ルーター:インターネット接続を複数のコンピューターに振り分ける。
・ファイアーウォール:通信を通すかどうかを判断し、許可/拒否する。
・回線収容:回線業者が顧客まで敷設している線(光ケーブル等)をとりまとめる。
・プロバイダ:インターネット接続サービスを提供する。

多拠点接続の場合 その1

VPNの話

拠点が複数あって、拠点間でデータのやり取りがある場合の例です。
拠点間のデータのやりとりとは、以下のような場合を指します。

・本社のファイルサーバに他拠点から接続する
・本社設置の社内システムに他拠点から接続する
・本社にウイルス対策ソフトの配布サーバがあって、全拠点がパターンファイルを取得している。
・全社でWindowsのActiveDirectorを構築しており、ドメインコントローラーが本社にある。

複数拠点間のデータのやりとりを実現する方法として「VPN」があります。
(専用線から話をするのは実態に即していないかと思い、今回は割愛します。)

・VPN:VertualPrivateNetworkの略。仮想プライベートネットワーク。
遠隔地であってもあたかも同じ拠点内のネットワークのように利用できる。

IP-VPN

上の図は、所謂「IP-VPN」や「広域イーサネット」という方式です。
こちらも詳細は詳しい(正しい?)情報源に譲ります。
全部書いているときりがなくなるのと、本題はここではないので。

サービスとしてはNTT東西の「フレッツVPN」が代表的です。
他には以下のようなものがあります。

・ソフトバンク「ULTINA
・K-OPTI.COM「mineo IP-VPN
・エネルギア・コミュニケーションズ「V-LAN

IP-VPNのメリットは、閉塞網を利用してインターネットに接続されないことによる安全性です。
また、閉塞網内の通信品質(平たく言うと速度)を保証してくれるサービスもあります。
デメリットはコストが高いことです。

VPNとインターネット

上の図の「インターネット接続」の矢印もポイントです。
他拠点からの矢印がうねりながら本社からの矢印に合流しています。

この構成では、閉塞網を経由して別の拠点からインターネットに接続するという方式が取れます。
インターネット回線の数を減らせることで、IP-VPNのコスト高を少しだけ相殺できます。

インターネット接続全体を特定の拠点で集中管理できるので、一見情シスの管理は楽に見えます。
しかしきちんとしたネットワーク構成を考えていないと、逆に仕事を増やすことになります。

IP-VPNで起こりうる問題

以下、IP-VPN構成の場合に情シスに寄せられる(可能性がある)利用者の声です。

「朝一のインターネット接続が遅い!」
「インターネットだけじゃない、社内サーバにも繋がらない!」
「なんで本社の計画停電だけで全社のネットワークが接続できなくなるんだ!」
「インターネット繋がらなくなったぞ!早く直せ!業務が止まってるんだ!」

朝はパソコンの電源が入ると同時に色んなソフトが通信を開始します。
ログインしたら溜まったメールを受信します。
ブラウザからクラウド利用のグループウェアに接続します。

全社員の通信が本社からインターネットに繋がるルーターに集中します。
当然速度は出にくくなります。

本社の閉塞網に繋がるルーターも各拠点からの通信が集中します。
本社へのアクセスが滞って、拠点からは社内サーバもインターネットも繋がりにくくなります。

停電や故障で本社のルーターが止まると、拠点はどこにも接続できなくなります。

拠点からインターネットにたどり着くまで、長い経路を辿ります。
ネットワークトラブルが発生した時、要素が多いと原因の切り分けが難しくなります。
結果的に復旧に時間がかかりやすくなります。

回線の多重化は必要か。
データ量に見合った通信品質は確保できているか。
インターネットの出口は何処に、いくつ必要なのか。
ネットワーク構成をきちんと把握しなければいけません。

IP-VPNを薦める環境

IP-VPNをお勧めする環境は以下のような組織と考えます。

・拠点や人の増減が少ない。(データ量が予測しやすく、性能を出しやすい)
・拠点間のデータ授受が頻繁。(通信品質の高い閉塞網向き)
・高いセキュリティレベルを求める。(後述のインターネットVPNより安全)

多拠点接続の場合 その2

さっきと比べるとずいぶんシンプルな図になっています。
さっきの「IP-VPN」に対して、こちらは「インターネットVPN」と呼ばれる接続方式です。

インターネットVPN

インターネットVPNのメリットはなんといっても価格です。
インターネット回線があれば、ルーターの調達と設定だけでVPNが開始できます。
また拠点毎に独立したインターネット回線なので、停止時の影響は局所的になります。

デメリットとして、通信品質はインターネット回線に依存します。
ベストエフォート型だと共有している回線によって速度がまちまちです。
IP-VPNの時も書いた「朝一が遅い」「社内接続も遅い」は同じように発生するかもしれません。
占有型にすれば速度は出ますが、価格はベストエフォート型よりかなり高いです。

また、インターネットを経由するので、IP-VPNと比べてセキュリティに不安があります。
もちろん暗号化、カプセル化等のセキュリティ技術と必ずセットではあります。
危険な場所を通らないIP-VPNと、危険な場所を通るので完全防備のインターネットVPN。
こうして比較するとどうしても後者のほうが不安になりますよね。

提供されているサービスは色々あります。
IP-VPNは閉域網というインフラが必要ですが、こちらはルーターがあれば構築できます。
ルーターにUTM機能があり、リモート管理できるサービスとして、以下のようなものがあります。

・富士ゼロックス「beat/active
・USEN ICT Solutions「ビジネスVPN

セキュリティは少し心配だけど、安くて手間がかからないならこっちのほうがいい!と思う方も結構います。
実際インターネットVPNはIP-VPNからシェアを奪ってきています。

インターネットVPNで起こりうる問題

しかし「インターネットに繋がらない!」という問合せはそれでも発生します。
インターネットが繋がらなければVPNも繋がりません。
拠点が多かったり、遠隔地の場合、毎回調査に行くのも難しいものです。
そこで冒頭にあった「beat/active」や「ビジネスVPN」が真価を発揮します。

どちらにも共通することとして、「リモート保守」「駆け付けサポート」が挙げられます。
「リモート保守」はベンダー側で通信生存確認やファームウェアのアップデートを行ってもらえます。
「駆け付けサポート」は、その名の通りSEが駆け付け対応してくれます。
直接現地に行くことの難しい拠点がある場合、うってつけのサービスだと思います。

インターネットVPNを薦める環境

インターネットVPNをお勧めする環境は以下のような組織と考えます。

・拠点数が多い。(コストのメリットが出しやすい)
・拠点や人の増減が多い。(スケールアウト、スケールインが行いやすい)
・拠点間のデータ授受が少ない。(回線速度による業務影響が少ない)

スポンサーリンク

中締め


本当に触れたかった最後の接続方法は後編に持ち越します。
「インターネットとVPNが別で語られてはいけない」と感じていただけたら幸いです。

調査の中で感じたのは、「インターネットとVPNを別々に調べるのが大変」でした。
当時資料を作ったのですが、細かいところを改めて調べて思い出しました。

インターネットやVPNはそう頻繁に乗り換えるようなものでは無いでしょう。
でも放っておいて良くなるものでもありません。
もし何か問題を抱えているのであれば、「替えるなら何がいいか」を考えてみませんか?

ネットワーク・インフラカテゴリの最新記事