複数拠点間を接続する場合、閉域網のサービスとインターネットVPN のどちらを利用するかの選択肢があります。ここでインターネットVPNの特徴について、どのようなイメージを持たれているでしょうか。閉域網に比べて、一般的には以下のようなイメージがあるかと思います。
20年程度前からこのイメージであり、これはこれで正しいとは言えるものの、近年はSD-WANなど多拠点間インターネットVPNの利用を容易にする製品の登場もあるので改めて考えてみたいと思います。
構成について
インターネットVPNの構成は、以下のようなイメージであることが多いと思います。
概念的には正しいものの、インターネット回線を同一のISP事業者から調達した場合、以下のように考えたほうが現実に近いと言えます。
つまり「インターネット」 VPNとは名ばかりで、実際はインターネットを経由せず事業者内の通信網内で通信が完結することになります。この場合、インターネットVPNのデメリットとして一番大きい「通信の不安定性」は大幅に低減されることになりますし、速度(帯域幅)も期待できます。東京と大阪にある弊社の検証環境においては、ソフトバンクの「SmartInternet Suite Ether スタンダードタイプ(1Gのベストエフォート)」でインターネット回線を引いてあるのですが、今回これを専有する機会があったため、速度測定ツールを用いて検証を行いました。結果は本ページの最後にまとめてありますのでご参照ください。
拠点によっては、上図のように拠点からISP事業者ネットワークに直接接続できず、NTT東日本、NTT西日本の提供するフレッツサービスを経由して接続しなければならない場合があると思います。ここで、PPPoEとIPoEについて意識する必要があります。PPPoEは長く使われており、技術的な懸念点は特にないものの混雑しがちであり、IPoEに比べ速度が大きく劣る傾向があります。ですので可能な限りIPoEを使いたいのですが、SD-WAN機器は海外の製品が多く、これに対応していない場合が大半です。ですので下図のようにIPoE(IPv4 over IPv6トンネル)を実行するルータと、SD-WAN機器を別個とする構成を検討します。
このとき、IPv4のNATがどこで実施されるかが重要です。ISP事業者によってMAP-E、DS-Lite、4rd/SAMなどIPoE(IPv4 over IPv6)で利用される技術が異なっており、下図のようにIPv4のグローバルアドレスにNATされるポイントも異なってきます。
NATを超えてVPNトンネルを構成することになりますが、Cisco Merakiなど一部のSD-WAN機器では「ホールバンチング」という機構を用いて、NATを超えてVPNを構成することが可能になっています。ところがこの機構はあらゆる環境下で確実に動作が保証されているものではありませんし、またそういった機構を持たない機器も少なくありません。その場合従来の「ポートフォワーディング」を用いてNAT外部から内部への通信を実現するわけですが、上図の構成BのようにNATがISP事業者内で実行されているとこれを構成することができません。
以上のことから、インターネットVPNを前提として回線契約を検討するときは単に回線速度だけではなく
- ISP事業者内のネットワークが国内のどこまでをカバーし、広帯域で接続されているか
- フレッツ経由となってしまう場合に、IPoE+ポートフォワーディングを実行可能か
に対しての考慮が重要になります。
なお海外拠点がある場合はこのような形態にはならず、インターネットを経由してしまうため低速、不安定化が避けられません。これには下図のようにCloud InterConnect事業者を介して通信することで国内-海外のトラフィックを事業者のバックボーン経由とさせる方法があります。またパブリッククラウドサービス事業者とも広帯域で接続されているため、高速な通信が期待できるなど大きな利点がありますが、これについてはまた別の機会にお伝えできればと思います。
SD-WANのコストについて
高速なインターネット通信環境が得られたとして、次に考えなければいけないのは他拠点間のVPNを構成するルータとそのコストについてです。SD-WANを構成する場合、ルータのハードウェア費用に加えてサブスクリプション費用がかかるのはご存知の通りかと思います。加えて閉域網と比較する場合インターネットVPNは機器上で暗号化・復号化を行うため、高いスループットを得ようとするとHW費用が高額になる傾向があり、またプロダクトによっては「平均通信量」でライセンス費用が変わってきます。
さて、実際に閉域網(速度保証)とSD-WAN機器を用いたインターネットVPNの価格を比較してみましょう。もちろん同じ速度では閉域網が高額になるのは目に見えており意味が薄いので、価格感の近い「100M閉域網(ギャランティ)」と「インターネット回線(1Gベストエフォート)+SD-WAN費用」、期間は3年で考えてみます。
あくまで「費用イメージ」であって、図の横幅は金額に正確に比例しているわけではありませんが、回線費用やSD-WAN機器の実売価格を考慮して作成した図となります。実売価格の考慮にあたり、SD-WANはMerakiのMX75、ライセンスはエンタープライズライセンスとしています。
図にあるよう運用費用が読みにくいところがありますが、上記の例としてあげたMerakiではライセンスがサポート費用込みとなっていることもあり、大きな負担とはならない事がほとんどでしょう。インターネットVPNはコストを閉域網より下げつつ、大幅な高速化が可能になります。もちろんISP事業者内のネットワークとはいえ帯域は契約で保証されておらず、今後も安定した通信が約束されているというわけではありませんし、そもそもセキュリティ観点から両者を同じ土俵で比較できない場合もありますが、拠点間通信の実現という観点ではコスト・性能とも圧倒的な違いがあることがご理解頂けると思います。
Smart Internet回線速度検証結果
今回検証用インターネット回線を専有する機会がありましたので、以下の3つの項目て速度測定を行いました。回線はソフトバンクが提供している「SmartInternet Suite Ether」です。測定はいずれも2021年12月の日中(平日午後)に行っています。もちろん「弊社試験環境で、ある日時に測定した結果」でしかなく、なんらかの性能・品質を保証するものではないことにご注意ください。
- 東京-大阪間通信速度測定
- 速度測定サイトでの測定
- Azure、AWSとの通信速度測定
【東京-大阪間通信速度測定結果】
東京、大阪の両インターネット回線にPCを直結し、PC上の速度測定ツール(IxChariot)を用いて双方向同時に1500byteのUDPパケットを30秒間印加しnon-dropレートを測定。
