オーバーレイネットワークとは?仕組み・種類・設計と運用のポイント
エバープレイ編集部オーバーレイネットワークとは
オーバーレイネットワークは、既存の物理ネットワーク(アンダーレイ)の上に論理的に構築されるネットワーク層を指します。物理的な経路やスイッチングインフラに依存せずに、仮想的なトポロジーやポリシーを実現できるのが特徴です。これにより、マルチテナント環境、データセンターの仮想ネットワーク、SD-WAN、CDN、P2Pアプリケーションなど多様な用途が可能になります。
基本的な仕組み:カプセル化とトンネリング
オーバーレイは主にカプセル化によって実現されます。オーバーレイパケットは元のペイロード(例えば仮想マシンのイーサネットフレームやIPパケット)を新たなヘッダで包み、アンダーレイ上をトンネルとして転送します。受け側がカプセル化を剥がすことで、論理的な通信が成立します。
代表的なカプセル化方式とその役割:
- GREやIP-in-IP:単純なトンネリング機構。多くのプラットフォームでサポートされる。
- VXLAN、NVGRE、GENEVE:データセンター仮想ネットワーク向けに開発された拡張性の高いカプセル化。多数の仮想ネットワークID(例:VXLANのVNI)を扱える。
- IPsec:オーバーレイに暗号化を付加するために使用。WAN越しのセキュアな接続で利用される。
主な種類とプロトコル
オーバーレイには用途や実現方法に応じた多くの実装が存在します。代表的なものを挙げます。
- データセンター仮想ネットワーク(VXLAN、NVGRE、GENEVE): L2セグメントをL3インフラ上に拡張し、仮想マシンの移動性やマルチテナンシーを実現。
- SD-WAN: ブランチ拠点とクラウド/データセンター間でパス選択・トラフィック制御・セキュリティをポリシーで実現するオーバーレイ。
- 仮想プライベートネットワーク(VPN/IPsec、SSL-VPN): インターネットをアンダーレイにして、暗号化トンネルでプライベート通信を実現。
- ピアツーピアオーバーレイ(BitTorrentや分散ハッシュテーブル): アプリケーションレベルでノード間の論理的接続を作り分散処理を行う。
- コンテンツ配信ネットワーク(CDN): コンテンツ配信経路の最適化のための論理的ネットワークやエッジ配置の管理。
オーバーレイとアンダーレイの関係
オーバーレイはアンダーレイの上に構築されますが、両者は完全に独立というよりは相互に影響します。アンダーレイの遅延、帯域、パケット損失はオーバーレイの性能に直接影響します。一方で、オーバーレイはアンダーレイのトポロジー変化に対して抽象化を提供し、論理トポロジーの柔軟な再構築を可能にします。
実運用での考慮点と設計指針
オーバーレイ導入時に注意すべき点を整理します。
- 性能とスケーラビリティ: カプセル化ヘッダはMTUに影響し、フラグメンテーションのリスクがあるためMTU設計が重要です。また、トンネルエンドポイントのCPU負荷やハードウェアのオフロード機能(例えばVXLANオフロード)を評価する必要があります。
- 遅延とパス選択: WAN上のオーバーレイでは遅延やジッタが品質に直結します。経路のヘルスチェックや複数リンクの負荷分散ポリシーの設計が重要です。
- セキュリティ: オーバーレイ自体は論理分離を提供しますが、暗号化(IPsecやTLS)を併用しない場合は中間者攻撃や盗聴のリスクがあります。アクセス制御リストやマイクロセグメンテーションも考慮しましょう。
- 可観測性とトラブルシューティング: 伝統的なL2/L3ツールだけでなく、オーバーレイ固有のメトリクス(VNI単位のトラフィック、トンネルヘルス)を収集・可視化する仕組みが必要です。
- 名前解決とルーティング: オーバーレイ上でのルーティング方式(制御プレーンを持つか、完全にデータプレーンで分散するか)を決めます。例としては、EVPN+BGPを使ってL2オーバーレイのMAC学習を分散させる設計があります。
制御プレーンの選択肢
オーバーレイは制御プレーンの設計によって大きく性格が変わります。主に次のアプローチがあります。
- データ駆動(Flood-and-learn): シンプルだがスケーラビリティと収束性に課題がある。従来のL2ブロードキャストや学習に近いモデル。
- 集中型コントローラ(SDN): コントローラがトポロジーやパスを管理し、スイッチにフローをプッシュする。高い可視性とポリシー制御が可能。
- 分散制御(BGP/EVPNなど): 既存のルーティングプロトコルを拡張してオーバーレイの制御プレーンを実装。運用面での一貫性を保ちやすい。
代表的な実装例と技術動向
現場でよく使われる技術や組み合わせ:
- データセンター: VXLAN+EVPN+BGPによるL2オーバーレイで、スケールとマルチテナンシーを両立。
- クラウド環境: 仮想ネットワーク(VPC/VNet)としてクラウドプロバイダが提供するオーバーレイ機能を利用し、ユーザは抽象化されたL3/L4サービスを利用。
- WAN/拠点接続: SD-WANソリューションがインテリジェントなオーバーレイを提供し、複数回線の利用やアプリケーションごとの最適経路選択を実現。
トラブルシューティングのポイント
オーバーレイ特有の障害切り分けは次の順序で行うと効率的です。
- 物理層とアンダーレイの確認: アンダーレイでのルーティング、MTU、リンク品質を先に確認する。
- トンネルのヘルスチェック: トンネルエンドポイント間でICMPや専用ヘルスプローブを使って疎通確認。
- カプセル化/非カプセル化の動作確認: パケットをキャプチャしてヘッダが正しく付与・除去されているかを検証。
- 制御プレーンの同期: BGPピア、コントローラとの接続、LLDP/ARPなどの学習情報を確認。
ベストプラクティス
設計・運用を成功させるための推奨事項:
- アンダーレイ設計を軽視しない: アンダーレイが安定していればオーバーレイの信頼性も高まる。
- MTUの余裕を確保する: カプセル化ヘッダ分の余裕を設計段階で確保することでフラグメンテーション問題を回避。
- 可視化を強化する: トンネル単位・VNI単位での監視、アラート、ログ収集を導入する。
- 段階的導入と検証: 小規模で検証を行い、スケールアップ時の挙動やフォールトモードを予め確認。
- セキュリティの二重化: 論理分離だけでなく暗号化や認証、ゼロトラスト原則の適用を検討する。
今後の展望
オーバーレイはクラウドネイティブ化、エッジコンピューティング、SASEやゼロトラストといったセキュリティアーキテクチャの普及に合わせて重要性を増しています。GENEVEのような汎用的で拡張性の高いカプセル化仕様や、BGP EVPNを中心とした制御プレーンの標準化が進むことで、異種環境間での一貫したネットワーク抽象化がさらに容易になると期待されます。
まとめ
オーバーレイネットワークは、柔軟性・分離性・迅速なサービス展開を可能にする強力な手段です。しかし同時にアンダーレイ依存性、性能面や可観測性の課題、セキュリティ設計の必要性といった運用上の考慮点も伴います。導入にあたっては目的に応じたプロトコル選定、MTU・ルーティング・モニタリングの設計、段階的な検証を重ねることが重要です。
参考文献
- RFC 7348 - Virtual eXtensible Local Area Network (VXLAN)
- RFC 2784 - Generic Routing Encapsulation (GRE)
- RFC 7432 - BGP MPLS-Based Ethernet VPN
- RFC 4301 - Security Architecture for the Internet Protocol
- オーバーレイネットワーク - Wikipedia(日本語)
- Cisco - What is VXLAN?
投稿者プロフィール
