Virtual Private Network

VPN は名前の通り仮想専用線。

普通、二つの拠点間で通信を行う場合、インターネットを使う。しかし、それだと盗聴される可能性がある。暗号化すればよい、ということになるが暗号化の単位は一般にアプリケーション毎であって、面倒である。

何故専用線を引かない

アメリカ拠点と日本拠点をつなぐ線を引きたいから引くってどれだけお金があればできるんですか……

どうやって実現する

以下のどちらか

• IP VPN
• インターネット VPN

ということで IP VPN

Internet Protocol VPN の略。でも、インターネットは使わない。

契約している通信事業者が持っているネットワークだけで通信を行う。

インターネットに出ないため、しらない第三者に盗聴される可能性は低い。

だが、同じ通信事業者と契約している他の人と同じネットワークを情報が通る。これは大丈夫なのか。MPLS という技術がこれをなんとかしてくれている。

MPLS (Multi-Protocol Label Switching) は MPLS に対応できるルータ (LSR と呼ばれる) がある前提で動く。高速通信のための手段である。MPLS で通信を行う場合、通常のパケットに MPLS 用のラベルという情報が足される。このラベルを見ると LSR は「次はあっちのルータね」と分かる。普通のルータの場合は宛先 IP アドレスからどのルータに飛ばすかその場で考える。 MPLS の場合は転送経路が完全に固定され、転送時に再計算されることはないので速い。……というだけでは安全性は担保されないように見える。

IP VPN ではその上にさらに VRF (Virtual Routing and Forwarding) という技術を使う。一つのルータの上で仮想的なルータを複数動かす技術である。これを前提とし、各通信がどの VRF を使うのかを指定する情報を MPLS のラベルにさらに加える。そのため、論理的ネットワークは利用者ごとに分割されてしまう。他人の流した情報は見られない。

正直後者の方がまだ理解が不十分なので加筆するかも。