SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

新人ブログ 番外編 Vol.2 (VXLAN over IPsec)

Fortinet
2019.09.24

本ブログは、日々お客様よりいただくネットワーク・セキュリティプロダクトに関するお問い合わせを、

エンジニア1年生が先輩の指導を受けながら検証などを行い、回答した内容を一問一答方式でまとめたブログです。

<番外編 VXLAN over IPSec>

今回はL2トンネルテクノロジーのVXLANを紹介します。

VXLAN(Virtual eXtensible Local Area Network)とは2014年にRFC7348で定義されたネットワークを仮想化するテクノロジーです。

この機能を利用する事でL3ネットワークをまたいだ環境でも、
L2フレームをリモートサイトへ延伸する事ができます。

またタグVLANで利用されるVLAN IDは最大4094個に対して、VXLANセグメントを識別するVXLAN Network ID(VNI)はなんとVLAN IDよりも大幅に多い約1600万個のVXLANセグメントが利用できます。

FortiGateではFortiOS 5.6からVXLAN機能をサポートし始めました。

番外編Vol.2ではそんなVXLAN機能をFortiGateで使って検証してみました。

<構成と環境>

今回の構成では以下のポイントを押さえておきましょう。

・拠点をまたいだL2ネットワークを形成する(拠点間はゲートウェイ無しで通信可)

・拠点間はIPSsec-VPNにより暗号化通信を行う

では設定を見ていきましょう。

<FortiGate設定イメージ>

FortiGateではVXLANの設定はCLIからのみ可能です。

・VxLANのVPN設定

・ソフトウェアスイッチの作成

 VXLANではセグメント間をルーティングさせずスイッチと同様にパケット送るため、VXLANインターフェースとLAN接続インターフェースをスイッチインターフェースで合成します。


上記の設定により以下のインターフェースが作成されます。



・確認

HQサーバー側からBranchサーバー側へ以下のサイズでpingを飛ばしてみましょう。送信できるフラグメントサイズは1362byteまでで、1363byte以上はpingが通らないことが確認できます。



続いてCLIからVPNトンネルの確認をしていきます。

HQからBranchへのVPNトンネルでVXLANのカプセル化が適用されていることが確認できます。



----------------------

検証後記

FortiGateはFortiOSの機能が拡張されるにつれ、今回紹介したVXLANのように様々の便利な機能が追加されます。

データセンターで使用されるルーターはL2TPV3で拠点間L2トンネル通信の処理するため非常に高性能かつ高額です。

しかしFortiGateでVXLANを使用すれば、小規模なデータセンター環境の延長など、高価なデータセンタースイッチが無くても簡単にサイトの延長が可能となります。


FortiGateは高性能なルータと比較すると性能は不足する部分がありますが、VXLANなど様々機能を用いることで安価で同じ機能を利用できます。

是非ご活用ください。

著者紹介

SB C&S株式会社
第3技術部2課

渡邊 理史

2018年 SB C&S入社。一人前のネットワーク&セキュリティエンジニアになるべく、日々技術書を片手にうどんをすする。
趣味はジビエ料理。特にワイン煮込みには自信あり。熊を料理するならお任せください。