ADSLやFTTHをアクセス回線として使える「エントリーVPN」や「マネージドVPN」はコストパフォーマンスに優れるWANサービスである。ただし広域イーサネットやIP-VPNから乗り換えると、網内遅延が増大したり、障害時の対応が違ったりして、業務に悪影響を与えることがある。事前にしっかり確認したい。

 コスト意識の高まりから、FTTHやADSLをアクセス回線として利用する「エントリーVPN」や「マネージドVPN」に乗り換えるケースが増えている。セキュリティを確保しつつ運用コストを大幅に削減できるというメリットがある一方、ベストエフォート回線のため信頼性が劣ると言われている。

 そこで今回は、IP-VPNや広域イーサネットからエントリーVPNへ乗り換えたユーザー企業のトラブル事例を紹介するとともに、乗り換えを検討する際に確認しておくべきポイントを解説する。

エントリーVPNにしたら遅延が増大

 A社は、九州地方を地盤とする企業である。本店や支店などの拠点間を広域イーサネットで結ぶネットワークを構築。ファイルのやり取りや、オンライン系の業務に利用している。

 A社の担当者は以前、コスト面からエントリーVPNへの乗り換えを検討した。ただしA社ではオンライン業務にIP以外のレガシープロトコルも使っている。ほとんどのエントリーVPNは暗号化のためにIPsecを採用していることからIP以外のプロトコルを透過できない。また、広域イーサネットをVLANで分割して利用している。こうしたことからエントリーVPNは利用できないと考えていた。

 しかし最近になって、L2TPv3やEtherIPといった「レイヤー2トンネリング技術」を使うことで、IP網(IPsec)上に仮想的な広域イーサネットを構築できるエントリーVPNサービスが登場してきた(図1)。

図1●イーサネットフレームをIP網上で透過させるレイヤー2トンネリング技術<br>イーサネットフレームを、フレッツ網やインターネットなどのIP網上で透過させるためのトンネリング技術がL2TPv3(RFC3931)やEtherIP(RFC3378)である。対応機器をIP網の両端に設置することで、拠点同士をつないで同一のレイヤー2ネットワーク(仮想的な広域イーサネット)として運用できる。
図1●イーサネットフレームをIP網上で透過させるレイヤー2トンネリング技術
イーサネットフレームを、フレッツ網やインターネットなどのIP網上で透過させるためのトンネリング技術がL2TPv3(RFC3931)やEtherIP(RFC3378)である。対応機器をIP網の両端に設置することで、拠点同士をつないで同一のレイヤー2ネットワーク(仮想的な広域イーサネット)として運用できる。
[画像のクリックで拡大表示]

 そこでA社の担当者は、全面的にこの仮想広域イーサネットサービスに刷新することにした。論理的な変更のない乗り換えなので、作業は順調に進んだ。しかし網を切り替えたところ、オンライン業務のオペレーターからクレームが上がった。以前と比べて作業効率が一段と落ちるというのだ。実際、オペレーターの操作に画面遷移が追い付いていない。ネットワークアナライザーでパケットのやり取りを調べたところ、以前のネットワークでは平均3ミリ~5ミリ秒だった遅延時間が、変更後は60ミリ~80ミリ秒に悪化していることが分かった。