本ブログは、日々お客様よりいただくネットワーク・セキュリティプロダクトに関するお問い合わせを、

エンジニア1年生が先輩の指導を受けながら検証などを行い、回答した内容を一問一答方式でまとめたブログです。

＜番外編 VXLAN over IPSec＞

今回はL2トンネルテクノロジーのVXLANを紹介します。

VXLAN（Virtual eXtensible Local Area Network）とは2014年にRFC7348で定義されたネットワークを仮想化するテクノロジーです。

この機能を利用する事でL3ネットワークをまたいだ環境でも、
L2フレームをリモートサイトへ延伸する事ができます。

またタグVLANで利用されるVLAN IDは最大4094個に対して、VXLANセグメントを識別するVXLAN Network ID（VNI）はなんとVLAN IDよりも大幅に多い約1600万個のVXLANセグメントが利用できます。

FortiGateではFortiOS 5.6からVXLAN機能をサポートし始めました。

番外編Vol.2ではそんなVXLAN機能をFortiGateで使って検証してみました。

＜構成と環境＞

今回の構成では以下のポイントを押さえておきましょう。

・拠点をまたいだL2ネットワークを形成する(拠点間はゲートウェイ無しで通信可)

・拠点間はIPSsec-VPNにより暗号化通信を行う

では設定を見ていきましょう。

＜FortiGate設定イメージ＞

FortiGateではVXLANの設定はCLIからのみ可能です。

・VxLANのVPN設定

・ソフトウェアスイッチの作成

　VXLANではセグメント間をルーティングさせずスイッチと同様にパケット送るため、VXLANインターフェースとLAN接続インターフェースをスイッチインターフェースで合成します。

上記の設定により以下のインターフェースが作成されます。

・確認

HQサーバー側からBranchサーバー側へ以下のサイズでpingを飛ばしてみましょう。送信できるフラグメントサイズは1362byteまでで、1363byte以上はpingが通らないことが確認できます。

続いてCLIからVPNトンネルの確認をしていきます。

HQからBranchへのVPNトンネルでVXLANのカプセル化が適用されていることが確認できます。

----------------------

検証後記

FortiGateはFortiOSの機能が拡張されるにつれ、今回紹介したVXLANのように様々の便利な機能が追加されます。

データセンターで使用されるルーターはL2TPV3で拠点間L2トンネル通信の処理するため非常に高性能かつ高額です。

しかしFortiGateでVXLANを使用すれば、小規模なデータセンター環境の延長など、高価なデータセンタースイッチが無くても簡単にサイトの延長が可能となります。

FortiGateは高性能なルータと比較すると性能は不足する部分がありますが、VXLANなど様々機能を用いることで安価で同じ機能を利用できます。

是非ご活用ください。