【VPNについて】
このHPはVPN(広域イーサネット)についてまとめたものです。
インターネットVPNやIP-VPN以外のVPNには、下記のVPNがある。
・SSL-VPN
・広域イーサネット
1-1 広域イーサネット
広域イーサネットはIP-VPNと同じく、通信事業者の閉域網を利用したVPN。レイヤ2で拠点間をつなぐ。
レイヤ2なので、IP以外のプロトコルを通すこともでき、また各拠点のネットワーク機器の設定も自社で管理することになるので、ネットワークに高い自由度が、必要な要件に適している。
このイーサネットのネットワークは、高速のレイヤ2スイッチで構成され、ユーザーのLANから送信されたイーサネットフレームはそのまま電気通信事業者のIPネットワーク上を通過(トンネリング)し、遠隔地にある宛先LANへと送信される。
広域イーサネットは、タグVLAN技術を利用したVPN。
1-2 利用できるプロトコル
特徴として、IP-VPNと広域イーサネットでは使用するプロトコルレイヤが異なる。IP-VPNサービスは基本的にIPプロトコルのみをサポートしている。
広域イーサネットでは、イーサネットでレイヤ2をサポートしているので、ほとんどのプロトコルに対応できる。
1-3 広域イーサネットの仕組み
広域イーサネット網は共有ネットワークで、他の顧客も接続している。広域イーサネット網では、通信が他の顧客と混在しない様、「VLANタグ」で識別する。
VPNは様々な顧客が利用しているため、各顧客の通信が混在しない様にしなければならない。そのため、広域イーサネットでは、通信事業者側で各顧客を識別するための「VLANタグ」を付ける。
例として、A社からの通信であれば「VLAN50」、B社からの通信であれば「VLAN100」の様にタグ付けをする。
IEEE802.1Qでは、2段階のタグ多重化が許可されていて、顧客側VLANタグ(C-Tag)と顧客側エンドノードのMACアドレス部との間にキャリアVLANのタグ(S-Tag)を挿入して顧客のVLANフレームをキャリア網VLANに配送する。
このスタックVLANは「Q-in-Q」方式として「IEEE802.1ad」で標準化されている。
◆Mac-in-Mac(IEEE802.1ah)
「Q-in-Q」方式ではユーザー識別のためのVLANタグは、ユーザーがつけるVLANタグと同じ形式のため、VLANIDの長さの12ビットである、2の12乗-2=4094個のVPNしか構築できない。
また、キャリアネットワーク内のスイッチは、ユーザ端末のMACアドレスで転送テーブルを検索し、転送先を決定する。
そのため、多数の端末がネットワークに接続すると、スイッチの転送テーブルは膨大な数のMACアドレスを学習し、管理しなくてはならない。
そこで、2008年に「IEEE802.1ah」という規格が策定された。
IEEE802.1ahは「Mac-in-Mac(PBB)」とも呼ばれ、網内のエッジスイッチが、ユーザーから送信されてきたイーサネットフレームを受信すると、そのイーサネットフレームに対し、網側で新たにMACヘッダを付加(カプセル化)する他、B-TAG(中継VLANタグ)、及び、I-TAG(サービスインスタンスタグ)がつけられる。
このI-TAGの中には、ユーザーを識別するための3バイトのサービスインスタンス識別子が含まれているので、1600万以上のユーザーを識別する
ことが可能になる。
また、Mac-in-Mac(PBB)では、事業者ネットワーク内のスイッチは、中継先のMACアドレスを参照するだけで、ユーザー端末のMACアドレスを参照しない。
そのため、ネットワーク内の装置のMACアドレスだけを学習し管理することができる。
このHPはVPN(広域イーサネット)についてまとめたものです。
インターネットVPNやIP-VPN以外のVPNには、下記のVPNがある。
・SSL-VPN
・広域イーサネット
1-1 広域イーサネット
広域イーサネットはIP-VPNと同じく、通信事業者の閉域網を利用したVPN。レイヤ2で拠点間をつなぐ。
レイヤ2なので、IP以外のプロトコルを通すこともでき、また各拠点のネットワーク機器の設定も自社で管理することになるので、ネットワークに高い自由度が、必要な要件に適している。
このイーサネットのネットワークは、高速のレイヤ2スイッチで構成され、ユーザーのLANから送信されたイーサネットフレームはそのまま電気通信事業者のIPネットワーク上を通過(トンネリング)し、遠隔地にある宛先LANへと送信される。
広域イーサネットは、タグVLAN技術を利用したVPN。
1-2 利用できるプロトコル
特徴として、IP-VPNと広域イーサネットでは使用するプロトコルレイヤが異なる。IP-VPNサービスは基本的にIPプロトコルのみをサポートしている。
広域イーサネットでは、イーサネットでレイヤ2をサポートしているので、ほとんどのプロトコルに対応できる。
1-3 広域イーサネットの仕組み
広域イーサネット網は共有ネットワークで、他の顧客も接続している。広域イーサネット網では、通信が他の顧客と混在しない様、「VLANタグ」で識別する。
VPNは様々な顧客が利用しているため、各顧客の通信が混在しない様にしなければならない。そのため、広域イーサネットでは、通信事業者側で各顧客を識別するための「VLANタグ」を付ける。
例として、A社からの通信であれば「VLAN50」、B社からの通信であれば「VLAN100」の様にタグ付けをする。
IEEE802.1Qでは、2段階のタグ多重化が許可されていて、顧客側VLANタグ(C-Tag)と顧客側エンドノードのMACアドレス部との間にキャリアVLANのタグ(S-Tag)を挿入して顧客のVLANフレームをキャリア網VLANに配送する。
このスタックVLANは「Q-in-Q」方式として「IEEE802.1ad」で標準化されている。
◆Mac-in-Mac(IEEE802.1ah)
「Q-in-Q」方式ではユーザー識別のためのVLANタグは、ユーザーがつけるVLANタグと同じ形式のため、VLANIDの長さの12ビットである、2の12乗-2=4094個のVPNしか構築できない。
また、キャリアネットワーク内のスイッチは、ユーザ端末のMACアドレスで転送テーブルを検索し、転送先を決定する。
そのため、多数の端末がネットワークに接続すると、スイッチの転送テーブルは膨大な数のMACアドレスを学習し、管理しなくてはならない。
そこで、2008年に「IEEE802.1ah」という規格が策定された。
IEEE802.1ahは「Mac-in-Mac(PBB)」とも呼ばれ、網内のエッジスイッチが、ユーザーから送信されてきたイーサネットフレームを受信すると、そのイーサネットフレームに対し、網側で新たにMACヘッダを付加(カプセル化)する他、B-TAG(中継VLANタグ)、及び、I-TAG(サービスインスタンスタグ)がつけられる。
このI-TAGの中には、ユーザーを識別するための3バイトのサービスインスタンス識別子が含まれているので、1600万以上のユーザーを識別する
ことが可能になる。
また、Mac-in-Mac(PBB)では、事業者ネットワーク内のスイッチは、中継先のMACアドレスを参照するだけで、ユーザー端末のMACアドレスを参照しない。
そのため、ネットワーク内の装置のMACアドレスだけを学習し管理することができる。
