インターネットブレイクアウトでクラウドやVPNの通信遅延を解決しよう

前回、ヤマハルータ「RTX830」に拡張機能として搭載することができる「アプリケーション制御ライセンスDPI」について、その特徴などを説明しました。今回は、DPIとVPNの関係を紹介しましょう。

DPIを司るシグネチャー

従来のDPIは、レイヤー4レベル(トランスポート層)までのトラフィック識別ができるものが主流でしたが、最新のDPIは、レイヤー7レベル(アプリケーション層)でのトラフィックの識別ができるようになりました。レイヤー７、つまり、アプリケーション層は実際にアプリケーション(ソフトウェア)とやり取りする部分に関するルールが定められているところですが、このレイヤーを識別できると、次のような利点がもたらされます。

(1) SSL/TLSで暗号化されたトラフィックの識別ができる

従来、HTTPベースの通信を行うアプリケーションは、IPヘッダーやTCPヘッダーを検査しても、「HTTP」としか判定できませんでした。それが、アプリケーションを詳細に識別できるだけでなく、SSL/TLSで暗号化されたトラフィックも「HTTPS」「SMTPS」などと識別することができます。

(2)カテゴリに基づいたトラフィック制御ができる

「Twitter」「Facebook」「Office365」「Skype」といったように、アプリケーションを識別できることに加え、そのアプリケーションが属する「SNS」「ゲーム」「P2P」といったカテゴリ情報も取得することができます。これによって、カテゴリごとにトラフィック制御のポリシーを設定可能になるので、数あるアプリケーションを個別に制御する必要がありません。

このようにアプリケーションごとに詳細な制御が行えるのは、「シグネチャー」と呼ばれる識別情報を保持しているデータベースが存在しているからです。DPIでは、シグネチャーが保持するデータベースとのパターンマッチングなどの手法で識別を行います。

シグネチャーはインターネット上の専用サーバで配布されており、通常はおよそ3カ月間隔に更新されます。新たに識別可能になったアプリケーションや、通信仕様の変更されたアプリケーションの情報を含んだものが定期的に更新される仕組みです。

ちなみに、現在のシグネチャーは3287のアプリケーション情報を保持しています。DPIが搭載されているルータでは、このシグネチャーの更新情報を定期的にチェックし、最新のシグネチャーが存在する場合はそれをダウンロードして、使用中のシグネチャーと置き換えます。

• 

  シグネチャーを保持しているデータベースの管理画面

アプリケーション別の経路選択

アプリケーション別またはカテゴリ別に経路選択ができるようになると、「このアプリケーションは本社VPN網に流す」「このアプリケーションは直接インターネットに流す」といった判断が可能になります。近年、クラウドサービスとして提供されているアプリケーションを利用する企業が増えていること、さらに、本社と拠点間をつなぐVPN網のトラフィックが増大してきていることで、すべてのトラフィックを拠点から本社に流さなくてもよいのではないかという議論が出てきています。

例えば、クラウドサービスの1つであるOffice 365は、次のようなアプリケーションです。

• 社内の多数のユーザーが同時に利用するクラウドサービス
• 多数のセッションを同時に張るので通信量が多い
• 社内展開をきっかけに、インターネットへのトラフィックが大幅に増加する
• センター拠点ではファイアウォールなどでセキュリティを確保している
• 各拠点からのインターネットアクセスは、VPNを使用したセンター拠点経由としていることが多い
• 各拠点とセンター拠点をつなぐWAN回線は、大量のインターネットアクセストラフィックを想定していないことが多い

Office 365の利用が増えれば増えるほど、結果的にセンター拠点での負荷が増大し、全体的な速度低下になってしまいます。これを解決するのが、「インターネットブレイクアウト」と呼ばれる技術です。Office 365やWindowsUpdateのように接続先が明確になっているアプリケーションは、それ以外の通信と区別して、VPNでセンター拠点を経由せず、直接インターネットに流してしまおうという仕組みです。

具体的な設定は、WebGUIのかんたん設定から行えます。フィルターと経路の設定で、Office 365のフィルタリングを「破棄する」にチェックすれば、Office 365のトラフィックを遮断するので一斉に使用できなくなります。また、経路を「アプリケーションごとの振り分けをする」にすると、センター拠点を経由せず、直接インターネットにトラフィックを流すことができるようになります。

• 

  WebGUIのかんたん設定の「インターネットブレイクアウトの設定画面

このように、DPIでアプリケーション別の経路選択をすると、ネットワークを逼迫している原因を取り除くことができ、快適な通信環境を提供できる可能性が高まります。

DPIとVPN

ネットワークは常に快適に使えたほうがいいのですが、企業では、クラウドサービスの使用が増加していることで、通信トラフィックは日々増大しています。VPNを構築している場合は、なおのこと、帯域を逼迫しているような感覚を受けるかもしれません。

通信トラフィックが増大すると、インターネットとの出入口であるルータの処理能力の限界に達してしまうので、遅延が発生してしまいます。VPNを構築しても、日々ネットワークが遅くなっていくような状況に見舞われるかもしれません。その上、インフラの増強はすぐに対応できるものでもありません。

一方、DPIはソフトウェアですので、機器が対応していれば、すぐに取り入れることができます。DPIを導入することで、VPNの帯域を逼迫している通信を少なくすることができるので、快適な通信環境を提供できる可能性が高まります。VPNを構築する際は、DPIの導入も検討したほうがよいと思います。

さて、ヤマハルータは、ハードウェアの安定性を求めるだけでなく、一貫して、ネットワーク管理者の運用負荷を低減させるような機能を搭載してきました。特に、中小企業などで専任のネットワーク管理者がいないような状況において、WebGUIでのかんたん設定や見える化は、運用の負荷低減効果が大きいことでしょう。