// シス担のミカタ
VPN

DMVPN(Dynamic Multipoint VPN) でぃーえむぶいぴーえん

VPNGRENHRPスポークハブIPsec
DMVPNについて教えて

簡単に言うとこんな感じ!

複数の拠点を結ぶVPNを「自動で動的につなぐ」仕組みだよ!従来は拠点が増えるたびに手動で接続設定を追加しなきゃいけなかったけど、DMVPNなら拠点同士が必要なときに自動でトンネルを張り合えるんだ。大規模な拠点ネットワークを賢く束ねる技術ってこと!

DMVPNとは

DMVPN(Dynamic Multipoint VPN) は、Cisco Systems が開発したVPN技術で、複数の拠点間のトンネル接続を動的・自動的に確立できる仕組みです。従来のVPNでは拠点が増えるたびに管理者が一本一本トンネルを手動設定する必要がありましたが、DMVPNではその手間を大幅に省くことができます。

DMVPNは「ハブ(Hub)」と「スポーク(Spoke)」という役割分担を使います。ハブは本社など中央拠点のルーターで、スポークは各支社のルーターです。スポーク同士が直接通信したいときは、ハブを経由せずスポーク間で直接トンネルを張る(スポーク-to-スポーク通信) ことができるのが最大の特徴です。

内部的には GRE(Generic Routing Encapsulation) でパケットをカプセル化し、NHRP(Next Hop Resolution Protocol) でアドレス解決を行い、IPsec暗号化する、という3つの技術を組み合わせて動作します。

DMVPNの構造と仕組み

構成要素役割
ハブルーター中央拠点に配置。スポークの登録を管理するNHRPサーバーとして機能
スポークルーター各拠点に配置。起動時にハブへNHRP登録を行う
mGRE(Multipoint GRE)1つのトンネルインターフェースで複数の相手と通信できるGREの拡張版
NHRPスポークのIPアドレスを動的に解決するプロトコル(電話帳のような仕組み)
IPsecGREトンネルを暗号化してセキュリティを確保

DMVPNのフェーズ(Phase)

DMVPNには動作の違いによって3つのフェーズがあります。

フェーズスポーク-to-スポーク通信特徴
Phase 1不可(必ずハブ経由)シンプルだが帯域を消費しやすい
Phase 2可能(直接トンネル)スポーク間直結が可能。ただしルーティングに制約あり
Phase 3可能(最も効率的)NHRPリダイレクトで最適経路を自動選択。大規模向け

覚え方

Dynamic = 動的、Multipoint = 複数点、VPN = 暗号化トンネル」
ハブは電話交換手、スポークは各社員。社員同士が直接連絡できるようになるのがPhase2以降!

歴史と背景

  • 1990年代後半〜2000年代初頭:企業の広域ネットワーク(WAN)は専用線やフレームリレーが主流。拠点が増えると接続数が爆発的に増加する「フルメッシュ問題」が深刻化
  • 2001年頃:Cisco がDMVPNの概念を発表。GRE + NHRP + IPsec を組み合わせた独自ソリューションとして登場
  • 2003年〜:Cisco IOS への実装が本格化し、エンタープライズで急速に普及
  • 2010年代:クラウドの台頭でSD-WANが注目されはじめるも、既存Ciscoインフラを持つ企業でDMVPNは引き続き広く使われる
  • 現在:SD-WANへの移行が進む一方、オンプレミスVPN基盤としてDMVPNはまだ現役。Cisco の IWAN(Intelligent WAN) アーキテクチャのコア技術としても位置づけられている

通信フローとアーキテクチャ

DMVPNでスポーク同士が通信するとき、どんな順序でトンネルが確立されるかを見てみましょう。

DMVPN スポーク-to-スポーク 通信フロー(Phase 2/3) ハブルーター (本社 / NHRPサーバー) スポークA (支社A) スポークB (支社B) 常時トンネル 常時トンネル ③ 直接IPsecトンネル確立 ① SpokeA → Hub: NHRPクエリ送信 ② Hub → SpokeA: SpokeB のIPアドレス返答 ※ NHRPが電話帳のように各Spokeの実IPを管理することでダイナミック接続が可能

DMVPNとSD-WANの比較

比較軸DMVPNSD-WAN
設計ルーター中心・手動設定ベースソフトウェア制御・クラウド管理
柔軟性中程度(フェーズ設計が必要)高い(GUIで簡単に変更可能)
コスト既存Cisco資産を活用可初期導入コストがかかる場合も
マルチリンク対応限定的得意(MPLS+インターネット自動切替等)
クラウド親和性低め高い(SaaS向け最適化機能あり)
向いている規模中〜大規模の既存Ciscoインフラ新規導入・クラウドシフト推進企業

関連する規格・RFC

規格・RFC番号内容
RFC 1701GRE(Generic Routing Encapsulation)の基本仕様
RFC 2784GREの改訂版仕様
RFC 2332NHRP(Next Hop Resolution Protocol)の仕様
RFC 4301IPsecアーキテクチャの標準仕様
RFC 7348VXLANの仕様(関連するオーバーレイ技術として)

関連用語

  • VPN — 仮想プライベートネットワーク。インターネット上に暗号化されたトンネルを作る技術
  • IPsec — VPNの暗号化に使われる標準プロトコルスイート
  • GRE — パケットをカプセル化するトンネリングプロトコル。DMVPNの内部で使用
  • SD-WAN — ソフトウェアで広域ネットワークを制御する次世代WAN技術
  • MPLS — 通信キャリアが提供するラベルスイッチング型の広域ネットワーク
  • ルーター — ネットワーク間でパケットを転送する機器。DMVPNのハブ・スポークとして動作
  • フルメッシュVPN — すべての拠点間を直接接続するVPN構成。拠点数増加で設定が爆発的に増える
  • WAN — 広域ネットワーク。拠点間を結ぶ通信基盤の総称