VPN(DMVPN その1)

 「VPN(3拠点のVPN接続 その1)」~「VPN(3拠点のVPN接続 その3)」では、下のネットワーク構成で、3拠点のインターネットVPNの設定と確認を行いました。

しかし、次のような問題点があります。

●グローバルIPアドレスが、拠点の数だけ必要

 グローバルIPアドレスを各拠点ごとに取得すると、コストがかかってしまいます。グローバルIPアドレスは、網側からDHCPで取得しているのが一般的です。

●拠点が多くなるとVPNのHUBとなるルータの設定が煩雑になる

 拠点が多い全国規模の企業では、VPNの拠点となるHUBルータの設定が増えてしまいます。また、拠点が増える度に、ACLや暗号化ポリシー、トンネルインタフェースの設定を追加してゆかなければなりません。ACLは、拠点が増えれば、増えるほど複雑になります。

●HUBルータの負荷が高くなる

 上図のように、HUB-SPOKE型で構成した場合、各拠点のトラフィックは、全てHUBルータを経由することになります。これは、HUBルータ側に負荷をかけると同時に、HUBルータ側の回線の帯域幅を無駄遣いしてしまいます。

これらの問題を解決するために、DMVPN(Dynamic Multipoint VPN)という方法が用意されています。

DMVPN

 DMVPNとは、「Dynamic Multipoint VPN」の略です。DMVPNを利用することで、オンデマンドで拠点間にも IPSec VPN トンネルを張り、全拠点間をフルメッシュ IPSec VPN 環境で構築することができます。

 DMVPNは、「NHRP」と「mGRE」機能を使用することで実現されます。簡単に「NHRP」と「mGRE」機能を説明すると次のとおりです。

NHRP

 NHRP(Next Hop Resolution Protocol)は、クライアント/サーバ方式で対応付けられ、1つのサーバと複数のクライアントで構成されます。

 NHRPを使用すると通信先となる異なるサブネット上に存在する端末の物理アドレスを検知して直接コネクションを設定できるようになります。そうすることで、途中にルータを挟まないで直接通信できるようになります。

●mGRE

「mGRE」とは、multipoint GREの略で、マルチポイントでルーティングカプセル化を行うことができます。

DMVPNの説明に戻ります。

 DMVPNでは、複数のSPOKEルータとHUBルータ間を接続するために「mGRE」インターフェースを利用します。DMVPN環境では、トンネルインターフェース上で「tunnel destination」を指定する必要はありません。HUBルータ側では、NHRPを利用することでSPOKEルータの宛先トンネルアドレスを取得することができます。

 そうすることで、SPOKE側でFTTHやADSLといったサービスを利用してダイナミックにIPアドレスを取得する場合でも、NHRPにより、IPアドレスのマッピングが自動的に行うことができ、IPSec VPNトンネルを構築することが可能になります。

 DMVPNの概要が理解できたところで、次の「VPN(DMVPN その2)」では、DMVPNによるインターネットVPNを構築していきます。