SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

【SD-WAN vs 閉域網】インターネットVPNが思ったより高速・安定な話

ネットワーク
    2022.01.31

     複数拠点間を接続する場合、閉域網のサービスとインターネットVPN のどちらを利用するかの選択肢があります。ここでインターネットVPNの特徴について、どのようなイメージを持たれているでしょうか。閉域網に比べて、一般的には以下のようなイメージがあるかと思います。

    matsuura-1.png


     20年程度前からこのイメージであり、これはこれで正しいとは言えるものの、近年はSD-WANなど多拠点間インターネットVPNの利用を容易にする製品の登場もあるので改めて考えてみたいと思います。


    構成について

     インターネットVPNの構成は、以下のようなイメージであることが多いと思います。

    matsuura-2.png

     概念的には正しいものの、インターネット回線を同一のISP事業者から調達した場合、以下のように考えたほうが現実に近いと言えます。

    matsuura-3.png


     つまり「インターネット」 VPNとは名ばかりで、実際はインターネットを経由せず事業者内の通信網内で通信が完結することになります。この場合、インターネットVPNのデメリットとして一番大きい「通信の不安定性」は大幅に低減されることになりますし、速度(帯域幅)も期待できます。東京と大阪にある弊社の検証環境においては、ソフトバンクの「SmartInternet Suite Ether スタンダードタイプ(1Gのベストエフォート)」でインターネット回線を引いてあるのですが、今回これを専有する機会があったため、速度測定ツールを用いて検証を行いました。結果は本ページの最後にまとめてありますのでご参照ください。

     拠点によっては、上図のように拠点からISP事業者ネットワークに直接接続できず、NTT東日本、NTT西日本の提供するフレッツサービスを経由して接続しなければならない場合があると思います。ここで、PPPoEとIPoEについて意識する必要があります。PPPoEは長く使われており、技術的な懸念点は特にないものの混雑しがちであり、IPoEに比べ速度が大きく劣る傾向があります。ですので可能な限りIPoEを使いたいのですが、SD-WAN機器は海外の製品が多く、これに対応していない場合が大半です。ですので下図のようにIPoE(IPv4 over IPv6トンネル)を実行するルータと、SD-WAN機器を別個とする構成を検討します。

    matsuura-5.png


     このとき、IPv4のNATがどこで実施されるかが重要です。ISP事業者によってMAP-E、DS-Lite、4rd/SAMなどIPoE(IPv4 over IPv6)で利用される技術が異なっており、下図のようにIPv4のグローバルアドレスにNATされるポイントも異なってきます。

    matsuura-6.png


     NATを超えてVPNトンネルを構成することになりますが、Cisco Merakiなど一部のSD-WAN機器では「ホールバンチング」という機構を用いて、NATを超えてVPNを構成することが可能になっています。ところがこの機構はあらゆる環境下で確実に動作が保証されているものではありませんし、またそういった機構を持たない機器も少なくありません。その場合従来の「ポートフォワーディング」を用いてNAT外部から内部への通信を実現するわけですが、上図の構成BのようにNATがISP事業者内で実行されているとこれを構成することができません。

    以上のことから、インターネットVPNを前提として回線契約を検討するときは単に回線速度だけではなく

    • ISP事業者内のネットワークが国内のどこまでをカバーし、広帯域で接続されているか
    • フレッツ経由となってしまう場合に、IPoE+ポートフォワーディングを実行可能か

    に対しての考慮が重要になります。

     なお海外拠点がある場合はこのような形態にはならず、インターネットを経由してしまうため低速、不安定化が避けられません。これには下図のようにCloud InterConnect事業者を介して通信することで国内-海外のトラフィックを事業者のバックボーン経由とさせる方法があります。またパブリッククラウドサービス事業者とも広帯域で接続されているため、高速な通信が期待できるなど大きな利点がありますが、これについてはまた別の機会にお伝えできればと思います。

    matsuura-12.png

    SD-WANのコストについて

     高速なインターネット通信環境が得られたとして、次に考えなければいけないのは他拠点間のVPNを構成するルータとそのコストについてです。SD-WANを構成する場合、ルータのハードウェア費用に加えてサブスクリプション費用がかかるのはご存知の通りかと思います。加えて閉域網と比較する場合インターネットVPNは機器上で暗号化・復号化を行うため、高いスループットを得ようとするとHW費用が高額になる傾向があり、またプロダクトによっては「平均通信量」でライセンス費用が変わってきます。

     さて、実際に閉域網(速度保証)とSD-WAN機器を用いたインターネットVPNの価格を比較してみましょう。もちろん同じ速度では閉域網が高額になるのは目に見えており意味が薄いので、価格感の近い「100M閉域網(ギャランティ)」と「インターネット回線(1Gベストエフォート)+SD-WAN費用」、期間は3年で考えてみます。

    matsuura-8.png

     あくまで「費用イメージ」であって、図の横幅は金額に正確に比例しているわけではありませんが、回線費用やSD-WAN機器の実売価格を考慮して作成した図となります。実売価格の考慮にあたり、SD-WANはMerakiのMX75、ライセンスはエンタープライズライセンスとしています。

    matsuura-11.png

     参考:Meraki MXサイジングガイド


     図にあるよう運用費用が読みにくいところがありますが、上記の例としてあげたMerakiではライセンスがサポート費用込みとなっていることもあり、大きな負担とはならない事がほとんどでしょう。インターネットVPNはコストを閉域網より下げつつ、大幅な高速化が可能になります。もちろんISP事業者内のネットワークとはいえ帯域は契約で保証されておらず、今後も安定した通信が約束されているというわけではありませんし、そもそもセキュリティ観点から両者を同じ土俵で比較できない場合もありますが、拠点間通信の実現という観点ではコスト・性能とも圧倒的な違いがあることがご理解頂けると思います。

    Smart Internet回線速度検証結果

     今回検証用インターネット回線を専有する機会がありましたので、以下の3つの項目て速度測定を行いました。回線はソフトバンクが提供している「SmartInternet Suite Ether」です。測定はいずれも2021年12月の日中(平日午後)に行っています。もちろん「弊社試験環境で、ある日時に測定した結果」でしかなく、なんらかの性能・品質を保証するものではないことにご注意ください。

    matsuura-13.png

    • 東京-大阪間通信速度測定
    • 速度測定サイトでの測定
    • Azure、AWSとの通信速度測定

    【東京-大阪間通信速度測定結果】

     東京、大阪の両インターネット回線にPCを直結し、PC上の速度測定ツール(IxChariot)を用いて双方向同時に1500byteのUDPパケットを30秒間印加しnon-dropレートを測定。

    続きをご覧になる場合は下記をご記入ください。

    EV_袋とじ_技術ブログ
    職種必須
    入力例:foo@example.com
    入力例:0312345678
    SB C&Sとのご関係必須
    個人情報保護方針必須
    ■SB C&S(株) は、お客さまの個人情報 (氏名、住所、電話番号、メールアドレスなど) を、個人情報保護法、および、当社プライバシーポリシーに従い適切に取り扱います。 <https://cas.softbank.jp/privacy/> 詳細な個人情報の利用目的は、以下に定めるとおりとし、これらに関連する目的を含むものとします。 (ただし法令により例外として扱うことを認められている場合を除きます。) 1. IT流通サービスの提供 ・お取引にかかわる当社のシステムの機能提供のため ・お取引にかかわるお見積もり、受発注、物品・サービス・役務等の提供を行うため 2. 会員サービスおよび対象サービスの提供 ・会員サービスおよび対象サービスを提供するため ・会員サービスおよび対象サービスに関連して、お客さまに商品の発送、サービス、コンテンツ、インセンティブおよび情報を提供するため 3. 広告・宣伝・マーケティング お客さまの同意に基づき、または法令で許容されている範囲および手段で、当社または他社の商品やサービス、キャンペーンやセミナーなどのダイレクトメール、メールマガジンなどの広告を、お客さまに送付または表示するため 4. サービスの改善および研究開発 既存サービスの改善および新サービスにかかわる当社による研究開発のため 5. お問い合わせ等への適切な対応 サービスまたは広告等にかかわるお客さまからのお問い合わせやクレームに、当社が適切に対応するため 6. 不正行為等の防止・対応 詐欺、サイバー攻撃、その他の違法または不正なおそれのある行為を防止、調査、および特定して、当社または第三者の権利利益を保護するため なお、上記以外の目的で当該個人情報を利用させていただく場合は、その都度、その利用目的を明確にし、お客さまから事前の同意をいただきます。 ■お預かりしたお客さま情報はお客さまご本人から、当社の運営上支障が無い範囲で閲覧、修正、削除を要求することができます。 その場合はお問い合わせ先までご連絡いただけますようお願いいたします。  ・メールアドレス : SBBGRP-ENGINEER-VOICE@g.softbank.co.jp