 |
||
|
|
|
| 注意: 本製品は既に生産⁄販売を終了しております。 |
|
IPsec と マルチプロトコル・ラベル・スイッチング・バーチャル・プライベート・ネットワークの比較
| 概要 |
IP ベースの VPN(Virtual Private Network)は急速に 次世代サービスの提供基盤となりつつあり、VPN トランスポート・ネットワークで付加価値アプリケーションを提供するサービス・プロバイダが増えています。E コマースやアプリケーション・ホスティング、マルチメディア・アプリケーションなどの新しいサービスは、サービス・プロバイダに、新たな収益増を作り出し長期的な競争優位を維持する可能性をもたらします。新しく登場した IPsec(IP Security)と MPLS(Multiprotocol Label Switching)というテクノロジーに基づく 2 つの固有で補完的な VPN アーキテクチャは、次世代サービスを提供する有力な基盤を形成しつつあります。この文書では、この 2 つの VPN アーキテクチャを取り上げ、その共通点と相違点、そして、それらが提供する利益について説明します。最後に、それぞれの長所に基づいて IPsec と MPLS を結合した IP VPN について、統一的に考察します。
| 2 つの VPN アーキテクチャが存在する理由 |
VPN のサービス目標は、専用ネットワークと同じポリシを使用して、共有インフラストラクチャ上で、ユーザに接続を提供することです。したがって、侵入やデータの改ざんを防止できること、信頼性の高いタイムリな方法でミッション・クリティカルなデータを配信できること、そして管理が容易であることが VPN ソリューションの条件になります。VPN の必須属性は、次のような 5 つのカテゴリに大別できます(表 1)。
表 1 バーチャル・プライベート・ネットワークの必須属性
| スケーラビリティ |
小規模オフィス構成から、世界中に広がる最大規模の企業実装まで、多様な VPN プラットフォームに対応できること。変化する帯域や接続性のニーズに VPN を適応できることは、VPN ソリューションにとって不可欠の要素です。また、競争が熾烈で変化の激しい市場では、大口取引を受注(または逸注)する可能性があり、素早いプロビジョニングが必要です。したがって、VPN には予想外の拡張(または縮小)にも対応できる高いスケーラビリティが求められます。 |
|---|---|
| セキュリティ |
トンネリングや暗号化、トラフィックの分離、パケット認証、ユーザ認証、アクセス制御などのセキュリティ・メカニズムを介して、ビジネス・クリティカルなトラフィックの機密性を確保すること。 |
| QoS(Quality of Service) |
多様な帯域レートにわたって、ミッション・クリティカルまたは遅延に影響されやすいトラフィックおよびメッセージの輻輳に優先順位を設定できること。キューイングやネットワーク輻輳回避、トラフィック・シェーピング、パケット分類などの QoS(Quality of Service)機能や、最適なルーティング・プロトコルを使用した VPN ルーティング・サービス。 |
| 管理容易性 |
新しいサービスを迅速に提供し、SLA(Service Level Agreement)をサポートするための高度な監視システムと自動化されたフロースルー・システムを通じて、セキュリティ・ポリシおよび QoS ポリシ、管理、課金を実施する、費用対効果の高いプロビジョニングに不可欠。 |
| 信頼性 |
ビジネス・カスタマの期待と要件に対応する、予測可能できわめて高いサービス・アベイラビリティを実現すること。 |
近年、IETF(Internet Engineering Task Force)の 2 つのワーキング・グループが、VPN のビルディング・ブロックに密接に関連したインターネット・セキュリティとラベル・スイッチングの標準化という課題に取り組んできました。IETF の IPsec ワーキング・グループ(セキュリティ・エリアに属する)は、認証、完全性、アクセス制御および機密性をまとめて柔軟にサポートできる暗号化セキュリティ・メカニズムを設計することで、ネットワーク・レイヤの保護という課題に集中的に取り組んでいます。他方、IETF MPLS ワーキング・グループ(ルーティング・エリアに属する)は、上位レイヤのリソース予約、QoS およびホスト動作の定義をサポートするメカニズムの開発を進めています。
IETF では、IPsec と MPLS の統合という課題をインプリメンタに一任しました。こうして誕生したのが、それぞれ IPsec テクノロジーまたは MPLS テクノロジーを基盤とした 2 つの VPN アーキテクチャです。現在、サービス・プロバイダは、それぞれの市場セグメントやカスタマ、および提供を計画している次世代付加価値サービスに基づいて、この 2 つの VPN アーキテクチャのいずれか、または両方を展開しています。
| IPsec および MPLS に基づく VPN の比較 |
表 2 は、IPsec および MPLS に基づく VPN の特性、利点、位置付け、および相違点をまとめたものです。
表 2:IPsec および MPLS に基づく VPN の比較
| IPsec ベースの VPN | MPLS ベースの VPN | |
|---|---|---|
| サービス・モデル |
高速インターネット・サービス、ビジネス品質の IP VPN サービス、E コマースおよびアプリケーション・ホスティング・サービス |
高速インターネット・サービス、ビジネス品質の IP VPN サービス、E コマースおよびアプリケーション・ホスティング・サービス |
| スケーラビリティ |
大規模展開には、鍵配布、鍵管理およびピアリング・コンフィギュレーションの問題に対応するプラニングと調整が必要。 |
サイト間のピアリングが不要なため、スケーラビリティが高い。代表的な MPLS ベースの VPN 展開では、同一ネットワークで何万もの VPN グループをサポートできる。 |
| サービス展開 |
サービスの迅速な市場導入が可能。既存のどの IP ネットワークにも展開できる。 |
ネットワークをアップグレードしたり、新しい MPLS ネットワークを展開する場合には、コアとエッジに位置するネットワーク要素が MPLS 対応であることが必要。 |
| ネットワーク内の場所 (図 1) |
データの機密が最も危険にさらされる場所であり、トンネリングや暗号化などの IPsec セキュリティ・メカニズムを最も適用しやすい場所であるローカル・ループ、エッジおよびオフネットが最適。 |
特に VPN サービスの一部として SLA または SLG が提供される場合には、QoS、トラフィック・エンジニアリングおよび帯域使用率を完全に制御できるサービス・プロバイダのコア・ネットワーク内が最適。 |
図 1:ネットワーク内の配置
表 2 IPsec および MPLS に基づく VPN の比較(続き)
| IPsec ベースの VPN | MPLS ベースの VPN | |
|---|---|---|
| 透過性 |
IPsec VPN は、ネットワーク・レイヤに常駐する。したがって、アプリケーションに対して透過的である。 |
MPLS VPN は、IP+ATM または IP 環境で動作する。したがって、アプリケーションに対して完全に透過的である。 |
| プロビジョニング |
通常は、ネットワーク・レベルでのプロビジョニングは不要。 |
MPLS VPN サイトは、唯一サービス・プロバイダのネットワークとピアリングするため、サービスを有効にするには、CE(Customer Edge)デバイスと PE(Provider Edge)デバイスで一度だけプロビジョニングを行う。それによって、そのサイトは MPLS VPN グループのメンバになる。 |
| 機密性 (図 2) |
IPSec VPN は、IP ネットワーク・レイヤでの暗号化とトンネリング・メカニズムの柔軟な組合せを通じて、データの機密を保護する。 |
MPLS アーキテクチャでは、トラステッド・フレームリレーや ATM ネットワーク環境の場合と同じ方法で、セキュリティを要求するカスタマに関して、トラフィックが分離される。 |
| QoS、Service Level Agreement (図 2) |
IPSec プロトコルでは、ネットワークの信頼性や QoS メカニズムには対応しないが、Cisco IPsec VPN を展開した場合には、IPsec トンネル内でパケット分類を保持して QoS を実現できる。 |
MPLS ベースの VPN を適切に実装すれば、スケーラブルで堅牢な QoS メカニズムとトラフィック・エンジニアリング機能が提供され、サービス・プロバイダは SLA の条件を満たす IP ベースの付加価値サービスを提供できる。 |
図 2:機密性と QoS の位置付け
表 2 IPsec および MPLS に基づく VPN の比較(続き)
| IPsec ベースの VPN | MPLS ベースの VPN | |
|---|---|---|
| セッション認証 |
各 IPsec セッションは、ディジタル証明書または事前共有鍵を通じて認証される必要がある。セキュリティ・ポリシに適合しないパケットは廃棄される。 |
VPN メンバシップは、サービス・プロバイダ、つまり論理ポートと一意なルート・ディスクリプタに基づくプロビジョニング機能によって決定される。VPN グループへの不正アクセスは、デバイス構成によって拒否される。 |
| クライアント・サポート |
クライアント起動の IPsec VPN の展開に必要。Cisco VPN クライアント・ソフトウェアは、Microsoft Windows および Solaris、Linux、Macintosh などの非 Windows プラットフォームにも対応している。 |
該当しない。MPLS VPN はネットワーク・ベースの VPN サービス。 |
| ユーザ対話 |
クライアント起動の IPsec VPN サービスの場合、ユーザは IPsec クライアント・ソフトウェアと対話する必要がある。 |
該当しない。ユーザ対話は不要。 |
| IPsec と MPLS VPN の統合 |
サービス・プロバイダは、この 2 つの VPN アーキテクチャのいずれかを展開すれば次世代付加価値サービスをサポートできます。ただし、2 つのアーキテクチャが統合されれば、メリットはさらに大きくなります。簡単に言えば、包括的な VPN サービスを上手に展開すれば、IPsec と MPLS の両方をフルに活用できるのです。サービス・プロバイダは、トラフィックに対し、強力な認証と機密性が必要であれば IPsec を選び、従来のレイヤ 2 プライベート・データ・ネットワークと比較して、より幅広い接続性とより低いコストを重視するのであれば、MPLS を選ぶことができます。この 2 つのアーキテクチャを組み合わせて Cisco VPN Solution Center で管理すれば、セキュリティ、QoS およびトラフィックの優先順位に対するカスタマのさまざまな要件をカバーする、差別化された次世代サービスの提供が可能になります。
図 3:IPsec と MPLS の統合 VPN アーキテクチャ
| 更新日:2001 年 8 月 27 日 |
