// シス担のミカタ
VPN

VPN冗長化 ぶいぴーえんじょうちょうか

VPN冗長化フェイルオーバー高可用性バックアップ回線拠点間VPN
VPN冗長化について教えて

簡単に言うとこんな感じ!

VPN冗長化は「通信の保険」みたいなものだよ!VPNトンネルを複数用意しておいて、1本が切れても別のルートに自動で切り替わる仕組みなんだ。大事な拠点間の接続が1本の線だけだと、それが切れたら一発アウト。だから「予備の道」を作っておくってこと!

VPN冗長化とは

VPN冗長化とは、本社と拠点を結ぶVPN接続を複数経路で構成し、障害発生時にも通信が途切れないようにする設計手法のことです。「冗長化(じょうちょうか)」とは、システムをバックアップも含めて二重・三重に備えておくことを指します。

たとえば、東京本社と大阪拠点をVPNでつないでいる場合、その回線が1本しかなければ、ISP(インターネットサービスプロバイダー)側の障害やルーター機器の故障が起きた瞬間に、拠点間の通信がすべて止まってしまいます。VPN冗長化を行うことで、メインのVPNトンネルがダウンしても予備のトンネルへ自動的に切り替わり(フェイルオーバー)、業務への影響を最小限に抑えられます。

システム発注・選定の立場では、「VPNを導入する=安全・安定」と思いがちですが、冗長化なしのVPNは「一本橋」と同じリスクを抱えています。特に業務の基幹システムやクラウド接続に使う回線であれば、冗長化は必須の検討項目です。

VPN冗長化の主な構成パターン

構成パターン概要メリット注意点
デュアルISP構成2社のISPからそれぞれVPN回線を引くISP障害に強いコストが2倍になる
アクティブ/スタンバイ常時1本使用し、障害時に予備へ切替コストを抑えやすい切替時に数秒〜数十秒の断が生じる場合がある
アクティブ/アクティブ複数トンネルを同時使用・負荷分散帯域を最大活用できる設定が複雑になる
SD-WAN活用ソフトウェアで複数回線を自動制御柔軟な経路制御が可能対応機器・サービスの選定が必要
バックアップ回線追加光回線+LTE/5G回線の組み合わせ物理障害にも対応LTEはコストや遅延に注意

覚え方:「橋は2本渡せ」

冗長化の発想は「橋を2本架けておく」イメージが一番わかりやすいです。川に橋が1本しかなければ、その橋が壊れたら対岸に渡れません。でも2本あれば、1本が工事中でも迂回できます。VPNも同じで、トンネルを2本以上用意することが冗長化の基本です。

フェイルオーバーの速度(目安)

方式切替時間の目安
BGPによる動的ルーティング数秒〜30秒程度
スタティックルート+死活監視数秒〜1分程度
SD-WANによる自動制御1秒以下〜数秒
手動切替数分〜数十分(人が気づいてから)

歴史と背景

  • 1990年代後半専用線MPLS等)での拠点間接続が主流。冗長化は高コストで大企業のみ
  • 2000年代前半IPsec VPNが普及し始め、インターネット回線を使った低コストなVPN接続が一般化
  • 2000年代後半インターネットVPNの普及とともに「1本だけでは心配」という意識が高まり、デュアルISP構成が検討されるように
  • 2010年代:クラウドサービスの普及により、本社〜クラウド間のVPNも冗長化対象に拡大。AWS Direct ConnectやAzure ExpressRouteのバックアップVPNという構成が登場
  • 2010年代後半〜現在SD-WAN(Software-Defined WAN)の登場により、複数回線の自動制御・冗長化がより柔軟かつ低コストで実現可能になった

冗長化構成の全体図

東京本社 VPNルーター(2台) ISP-A 回線 (メイン) ISP-B 回線 (バックアップ) 大阪拠点 VPNルーター VPNトンネル① VPNトンネル② ① が切れたら ② へ自動切替

アクティブ/スタンバイ vs アクティブ/アクティブの違い

【アクティブ/スタンバイ】
  ┌──────────────────────────────────────┐
  │ トンネル①  ━━━━━━━━━━━━━ 通信中(メイン)│
  │ トンネル②  ─ ─ ─ ─ ─ ─ 待機中(予備)  │
  │                                      │
  │ ①が切れた瞬間 → ②が自動で起動!      │
  └──────────────────────────────────────┘

【アクティブ/アクティブ】
  ┌──────────────────────────────────────┐
  │ トンネル①  ━━━━━━━━━━━━━ 通信中(50%)│
  │ トンネル②  ━━━━━━━━━━━━━ 通信中(50%)│
  │                                      │
  │ ①が切れた瞬間 → ②が100%に増加!      │
  └──────────────────────────────────────┘

関連する規格・RFC

規格・RFC番号内容
RFC 4301IPsec アーキテクチャの基本仕様
RFC 4271BGP-4(動的ルーティングによる経路制御)
RFC 7348VXLAN(仮想ネットワークのトンネル技術)
RFC 8986SRv6(SD-WANなどで活用される経路制御技術)

関連用語

  • VPN — 仮想プライベートネットワークの基本概念
  • IPsec — VPNで広く使われる暗号化プロトコル
  • フェイルオーバー — 障害時に予備システムへ自動切替する仕組み
  • SD-WAN — ソフトウェアで複数WAN回線を柔軟に制御する技術
  • BGP — インターネット上の経路情報を交換するルーティングプロトコル
  • 冗長化 — システムをバックアップ込みで二重に備える設計思想