前回まで、ヤマハのネットワーク機器の管理監視・管理をクラウドベースで実現するネットワーク統合管理サービス「Yamaha Network Organizer(YNO)」を紹介しました。YNOを利用すれば、遠隔地とのVPNを追加で構築するような場合、既存のコンフィグを使い回すことができたり、現地に赴かなくてもVPNの構築作業ができたり、ネットワーク管理者の負担を低減することができます。
さて今回からは、VPN構築後の通信品質の改善について説明していきましょう。通信データが多様化し、通信容量も大きくなってくると、通信が不安定になってしまうことがあります。特にインターネット回線を使ったVPNの場合は、インターネット側でのトラフィックに影響されることがあり、意図せず遅延が起きてしまう場合もあります。
そこで、安定した通信品質を確保するためにヤマハルータには「QoS」という機能が備わっています。今回は、この「QoS」について解説します。
QoSとは
ネットワークで能力の限界以上のトラフィックが発生すると、通信の遅延が発生したり、場合によってはタイムアウトが発生したりすることがあります。遅延やタイムアウトが発生してもよい通信など存在しないのですが、それでも通信内容を基準に重要度を付けて、重要なものは遅延やタイムアウトなく確実に通信させようという考え方があります。
例えば、基幹系アプリケーションやVoIP関連のアプリケーションは、遅延やタイムアウトなく安定した通信を行いたいでしょう。このように、通信の中で重要なものを確実にやりとりできるようにする目的で利用する機能が「QoS(Quality of Service)」です。QoSを実現する方法としては、次の2つがあります。
優先制御……トラフィックの種類ごとに優先度を設定して、トラフィックが集中した場合、優先度の髙いトラフィックから順番に流す方法。
帯域制御……優先度が髙いトラフィックのために、常に一定の帯域幅を空けておく方法
優先制御によるQoS
優先制御は、通信の種類ごとに、優先順位を判断する単位となる「クラス」へ割り当てを行います。ヤマハルータ「RTX830」の場合、1~4のクラスを設定することができ、数値が大きいほど優先順位が高く処理されます。デフォルトではすべての通信がクラス2に分類されていますが、コマンドを発行することで優先順位を変更することができます。
ここでは、本社と、拠点1および拠点2をVPNで接続するようなネットワークに、QoSを設定してみましょう。本社と拠点1は基幹系の優先度を高く、本社と拠点2はVoIPの優先度を高くするような構成を考えています。
設定はコマンドベースで行いますが、本社ルータも拠点ルータも設定するコマンドに大きな違いはありません。それぞれで使用しているIPアドレスやポート番号などに注意して設定していきます。
(1)lan2インタフェース(VPN側)に優先制御の使用を宣言します。
queue lan2 type priority
(2)送出帯域の設定をします。ここでは、10Mbit/secに制限します。
speed lan2 10m
(3)WANインターフェースの設定をします。queueコマンドでIPSecトンネルの制御パケットを優先させるようにしています。
pp select 1
pp always-on on
queue pp class filter list 1 2 3
・・・
(4)設定対象のVPN トンネルインタフェースを選択し、フィルターの指定をします。
tunnel select 1
queue tunnel class filter list 4 5 6
(5)優先制御を適用すると、優先順位が入れ替わり、パケットの順番が入れ替わってしまいます。そうすると、シーケンス番号が不正になり、不正アクセス検知機能が働いてしまうので、そのチェックを行わないようにします。
ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=off
(6)拠点2のVPNトンネルに対しても、同様にフィルターの指定をします。
tunnel select 2
・・・
(7)優先パケットフィルターの定義をします。queue class filterコマンドに続く数字は、フィルター番号、クラス番号、送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポート番号、宛先ポート番号を指定します。
queue class filter 1 4 ip * * udp * 500
queue class filter 2 3 ip * * esp
queue class filter 3 2 ip * *
queue class filter 4 4 ip "基幹サーバ" *
queue class filter 5 4 ip "VoIP端末" *
queue class filter 6 2 ip * *
このように、プロトコルと宛先ポート番号が確定していれば、優先制御を設定することができます。優先制御するアプリケーションが2つのプロトコルを使っている場合は、フィルター番号を変えて、2つのフィルター設定が必要になりますので、注意してください。
帯域制御も優先制御と同様に、通信の種類ごとにフィルターを設定していくことに変わりありません。違いは、クラスごとに帯域幅を割り当てる点です。帯域制御は、クラスごとに設定された帯域幅を超えないようにデータを送出するような仕組みです。
今回は、VPN構築後の通信品質を改善する方法として、「QoS」という機能を紹介しました。今までWebGUIで設定を行ってきたので、コマンドによる設定は少し戸惑ってしまうかもしれません。しかし、QoSを設定すれば、トラフィックが多い環境においても安定した通信ができるようになります。ネットワークが遅いと感じたら、ぜひQoSを設定することを検討してみてください。