• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

VPNの素朴な疑問

VPNがやたら遅くなる理由

堀内 かほり=日経NETWORK 2017/05/18 日経NETWORK
出典:日経NETWORK 2016年10月号pp.50-51
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

Q. VPNはなぜこんなに遅いの?

A. MTUの調整ができていないから

 インターネットVPN経由の通信が明らかに遅い場合、MTUの調整ができていないことがある。MTUとは1回の転送で送れるパケットの最大容量で、回線ごとに決められている。NCS&A 可視化・プラットフォーム事業部の平岩 雅俊さんは、「MTUのサイズが合ってないとパケット分割が発生し遅くなる。これはVPNでよくあるトラブルの一つ」と言う。

 一例として、LAN内のパソコンからインターネットVPN経由で通信する様子を見てみよう。LANで使うイーサネットのMTUは1500バイト。VPNのMTUはVPNルーターによって異なるが、ここでは1454バイトとする。MTUのサイズを調整していない場合、パソコンが1500バイトのパケットを送信すると、VPNルーターはパケットを1454バイト以下になるように分割してVPN上へ送り出す。このようなパケット分割が発生することで、スループットが落ちる。

MTUを調整しないとスループットが低下
MTU(Maximum Transmission Unit)は1回の転送で送れるパケットの最大容量のこと。MTUのサイズは回線によって異なる場合があり、MTUの調整ができていないと、パケットの分割が発生しスループットが低下する。
[画像のクリックで拡大表示]

 場合によっては、正常な通信ができなくなることもある。パケットのヘッダー内に分割を禁止するフラグ(DFビット)が立っていると、VPNルーターは分割できないためパケットを破棄し、送信元に対してエラーを伝えるICMPパケットを送る。このICMPパケットが途中にあるファイアウォールなどで遮断されると、通信が途切れてしまう。

MTUの調整など対策が必須

 このような場合、主な対策として次の三つが考えられる。

 一つめは、パソコンから送信するパケットのサイズをVPNのMTUに合わせて小さくすること。パソコンの設定でMTUを変更すればよい。サーバーのMTUを調整することもある。

 二つめは、ルーターのMSSの設定値を、MTUを考慮した値に変更すること。MSSはTCPで転送可能なデータ(セグメント)の最大値である。これにより、TCPのネゴシエーション時に、VPNのMTUに見合ったデータサイズを通知できる。

 三つめは、IPsecで暗号化する前にパケットを分割する機能を使うこと。暗号化後にパケットを分割すると、対向ルーターが分割されたパケットを組み立ててから復号しなければならず、パフォーマンスが低下する。IPsecの暗号化前に分割することでこのような事態を回避できる。

▼MTU
Maximum Transmission Unitの略。
▼ICMPパケットを送る
このときのICMPパケットは、パケット分割が必要であることと、回線のMTUを伝える。送信元はMTUを調整してパケットを再送信する。この仕組みをPath MTU Discoveryと呼ぶ。
▼MSS
Maximum Segment Sizeの略。
▼セグメント
TCPでやり取りするデータ(ヘッダー含む)の単位。
▼TCPのネゴシエーション
TCPの接続を確立するために、送信元と宛先の機器が通信に必要な情報をやり取りし、パラメーターを決定すること。
▼機能を使うこと
この機能を持たないルーターもある。

ここから先はITpro会員(無料)の登録が必要です。

次ページ VPNサービスでも速度低下
  • 1
  • 2

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る