広域イーサネットもIP-VPNも,事業者が作ったネットワーク(サービス網)を複数の企業ユーザーが使うサービスである。そのため,事業者のネットワークにはたくさんの企業の拠点がつながっている。そうなると,インターネットのように意図しない人から自分の拠点にアクセスされたり,逆に,自分の出したデータがほかの企業のサーバーへ流れ込んだりしないか不安に思う人がいるかもしれない。
しかし,こうした心配は無用。事業者のネットワークの中には,ユーザーを識別してユーザー専用の仮想ネットワーク(VPN*1)を構築するしくみがあるからだ。そこでPart2では,広域イーサネットとIP-VPNがネットワーク内でVPNを作るしくみを解明する。
共用ネット上に自社専用の網を作る
Part1で見てきたように,広域イーサネットもIP-VPNも,自社の拠点同士をつないで自社だけの専用ネットワークを作れるサービスである。これは,事業者のネットワークの中に,ユーザーごとの複数のネットワークがあるイメージだ(図2-1)。
|
|
| 図2-1●広域イーサネットもIP-VPNもユーザー専用のネットを作る 両サービスともユーザーごとにデータを識別するしくみがあるため,一つのネットワークを使っていながら,自社だけの専用ネットワークが作れる。 |
ところが実際は,異なる企業の拠点が,通信事業者の1台のLANスイッチやルーターにつながっているケースもある。事業者のネットワークの中核に流れるデータを処理するのもすべて共通のLANスイッチやルーターだ。
そのため事業者側では,事業者のネットワークを構成するLANスイッチやルーターの機能を使って,特定のユーザーだけが使えるネットワークを仮想的に作り出している。
広域イーサはVLAN技術を使う
VPNを構成するためのしくみは,広域イーサネットとIP-VPNで異なる。それぞれのしくみを見ていこう。
広域イーサネットでは,VPNを実現するために,バーチャルLAN(VLAN(ブイラン))と呼ばれる技術が使われる。VLANは,企業で使うLANスイッチやレイヤー3スイッチが持っている機能で,企業内のLANでも一般的に使われている技術である。
企業のLANでは,一つのLANで通信できる範囲を制限して,仮想的に複数のLANを作るためにVLANを使う。LANスイッチにつながる複数のパソコンに対して,通信できるパソコンと通信できないパソコンをグループ分けするのである。別々のグループに設定したパソコン同士は一切フレームをやりとりしない。広域イーサネットでは,企業単位にグループを設定する。
MACフレームに識別情報を入れる
広域イーサネットでユーザーを識別するのに使われるVLANは,ほとんどが「タグVLAN」と呼ばれる技術である。タグVLANは,通常のMACフレームに,グループを識別するための識別情報(VLAN ID)を入れた「タグ」を付け加えてやりとりする。
具体的に見ていこう(図2-2)。ユーザーの拠点から発信されたMACフレームは,事業者のネットワークの入り口に位置するLANスイッチに到着する(図2-2の(1))。
|
|
| 図2-2●広域イーサネットはタグVLANでユーザーを識別 タグVLANというバーチャルLANの技術を使う。網内のLANスイッチが,MACフレームにユーザーを識別するための情報(タグ)を付けてやりとりする。 [画像のクリックで拡大表示] |
すると入り口のLANスイッチは,MACフレームが到着したポートからユーザーのVLAN IDを判断する。そして,MACフレームのあて先MACアドレスから転送先ポートを調べるとともに,そのあて先MACアドレスのマシンが同じVLANに所属しているかを調べる。同じVLANに所属しており,そのあて先がほかのLANスイッチの先にあるときに*2,VLAN IDの値をタグとしてMACフレームに入れて送り出す(同(2))。
こうして転送されたMACフレームは,ネットワークの出口にあるLANスイッチに到着する。すると出口のLANスイッチは,MACフレームの中のVLAN IDを見て,このフレームがどの企業の拠点から来たかを判別する。そして,この企業の拠点がつながるポートの中からあて先を見つけ出して,MACフレームに付けられたタグを取って送り出す(同(3))。
広域イーサネットではこのように,MACフレームにユーザー企業を識別するための情報を入れて,特定の拠点間だけでMACフレームをやりとりできるようにしているのである。
