仮想ルータを使ったネットワーク設計
VPNには企業規模や運用の考え方により、大きく2つの利用モデルに分かれることを解説しました。
大企業であれば当然のように完全冗長されていたネットワーク設計を、中小企業では資金的な制約から冗長構成を選択しない場合分けもみてきました。これらを踏まえて、ここでは二拠点間を仮想ルータによってVPN接続するネットワーク設計について考えていきましょう。
このケースでは、すでに大企業・中小企業が自社でプライベートクラウドもしくはパブリッククラウドをすでに利用しており、その中で仮想ルータをVPN接続に用いるケースを想定しています(図5)。
中小企業を考えた場合、本社はすでにプライベートクラウドもしくはパブリッククラウドを利用していても、支社や他拠点には大きな設備を持っていないことが考えられます。この場合、仮想ルータを動作させるVMware vSphereやMicrosoft Hyper-V、Linux KVMなどハイパーバイザーがインストールされたサーバ環境はありませんので、必然的に支社や他拠点には市販されている低価格なVPNルータが選ばれます。
大企業・中小企業の一部を考えた場合、冗長構成を必要とするようなシステム環境であれば、必然的に仮想ルータが動作できるハイパーバイザーがインストールされたサーバ環境も存在しますので、両端を仮想ルータとしています。特に冗長構成を組む場合、仮想ルータであるVyatta/VyOSの固有機能が必要となるのですが、それはまた次回以降に解説します。
さて、若干脱線しますが、仮想ルータとして適当なソフトウェア実装とはどのようなものか? ここで考えていきましょう。今回の解説では仮想ルータのソフトウェア実装として、商用版である「Brocade Vyatta vRouter」と、旧Vyattaからオープンソースとして分派した「VyOS」を取り上げています。当然これ以外にも仮想ルータとして利用できるソフトウェア実装として、Endian, Pfsense, M0n0wallなどのオープンソースや商用版が存在しています。
では、なぜBrocade Vyatta vRouterとVyOSに筆者が注目しているのでしょうか? それはVyattaが古くから仮想ルータとして国内実績を持っており、日本語化されたドキュメント・書籍が多数存在するからです。手前味噌ですが、2014年6月にVyattaの二冊目の技術書である『Vyatta仮想ルータ活用ガイド』(技術評論社)を出版させていただきました。
筆者も過去7年近くVyattaを仮想ルータと触れ合ってきましたが、それを取り巻く市場環境にも変化はありました。特に大きな変化として2014年5月以降、Vyattaに使われているオープンソースのファイル公開は継続されつつも、無償版として提供されていたVyattaCoreのISOイメージの配布が停止されたことでした。現在のVyattaは商用版のみとなり、通信事業者・クラウド事業者をメインとしたライセンス提供に切り替わりつつあります(図6)。Amazon Web Service、IBM SoftLayer、Rackspaceなどの海外クラウド事業者では、商用版Brocade Vyatta vRouterを仮想マシン・インスタンスとして提供し続けていますが、Brocade Vyatta vRouterは通信事業者・クラウド事業者をメインとした高性能・高信頼のシステム向け製品へと成熟しつつあります。こちらについても次回以降解説します。
オープンソースに目を向けると、Vyattaから分派したVyOSは順調に開発を継続しつつあり、国内においても「日本VyOSユーザー会」が立ち上がるなどと活動を継続しています。VyOSは旧VyattaCoreを元にして開発されていることもあり、前述の自著『Vyatta仮想ルータ活用ガイド』(技術評論社)の内容は、ほとんどそのまま適用可能です(注1)。
一部、DMVPN(Dynamic Multipoint VPN) などのBrocade Vyatta vRouter固有機能については、VyOSには実装されていないため利用できません。ご注意ください。
さて脱線しましたが、このような背景を踏まえて、仮想ルータ利用モデルについて振り返っていきましょう。
中小企業における仮想ルータ利用モデルを考えた場合、VPN接続を行う時、本社はすでにプライベートクラウドもしくはパブリッククラウドを利用していても、支社や他拠点には大きな設備を持っていないことが考えられます。この状況を踏まえて、さらに具体的な適用事例を考えると図7のようになります。
このケースではネットワーク設計で冗長構成を組む必要がないため、仮想ルータとしてVyatta、VyOSだけでなくVPN接続機能(IPsec)を持つEndian、pfSense、m0n0wallなど、その他オープンソースのソフトウェア実装も利用可能です。前述の脱線話とは相反しますが、ソフトウェア実装の幅は広ければ広いだけ適用範囲も広がります。支社や他拠点では、より低価格なVPNルータ(IPsec)を選択することにより設備投資を抑えることもできるでしょう。
図7のVPNルータ市販製品リストはあくまで参考例であり、すべてが相互接続可能かは読者の皆様の判断ですが、現在このような価格帯でVPN接続が可能になっている点を共有できれば幸いです。
機会を設けて、低価格VPNルータとVyatta/VyOSの相互接続結果は共有したいと思いますが、それはまた次回以降に。
次回予告
さて次回は、仮想ルータを使ったVPN接続の設定例など、実際の使い勝手や注意点を解説していきます。ご期待ください。