ファイアウォールの新たなゼロデイ脆弱性が話題になっています。ファイアウォールやVPNについて不安をお持ちの場合は、Zscalerの特別オファーをご活用ください。

詳細はこちら
Zpedia / マルチプロトコル ラベル スイッチング(MPLS)とは

マルチプロトコル ラベル スイッチング(MPLS)とは

マルチプロトコル ラベル スイッチング(MPLS)は、ネットワーク アドレスの代わりにラベルを使用してトラフィックをルーティングし、パケット転送の最短パスを決定する広域ネットワーク(WAN)の一種です。パケット スイッチングを介してルーターからルーターに送信するのではなく、各データ パケットにラベルを付与してパケットがたどるパスを制御します。MPLSは、ダウンタイムの抑制、サービス品質(QoS)の向上、トラフィックの高速転送を目的としています。

クラウドとSD-WANのトランスフォーメーション
見る

MPLSにおけるルーティングの仕組み

MPLS機能は表面上、ラベルに基づいて事前に決められたパスをトラフィックに付与することでルーターをスイッチに置き換えます。このため、MPLS接続は従来のパケット交換接続や回線交換接続よりもはるかに強力で信頼性の高い手段となります。

MPLSを使用すると、OSIの第2層(データ リンク)のスイッチング レベルでIPパケットを転送し、第3層のネットワークやルーティングのレベルに渡さずに処理できます。インターネット プロトコル(IP)ルーティングでは何度も停止する長いパスでトラフィックが送信されますが、MPLSではトラフィックにMPLSラベルが付与され、ヘッダーの第2層と第3層の間に挿入されたラベル スイッチ パス(LSP)を介してトラフィックが送信されます。この方法では、ルーターはMPLSラベルだけを参照するため、トラフィックのIPアドレスすべてを理解する必要がなくなります。

MPLSルーターには、受信データにラベルを付与する入り口のラベル エッジ ルーター(LER)、ラベルが付与されたデータを送信する出口のラベル スイッチ ルーター(LSR)の2種類が存在します。また、パケットが送信されるデータ リンクを必要に応じて修正する中間LSRも存在します。

これらのルーターは同様の特性を持つパケットを組み合わせ、同じ転送等価クラス(FEC)に配置することで、同じラベルを付与した後に同じLSPに送信できるようにします。企業の場合、これによってネットワーク層のトラフィックの種類が大幅に削減されるため、遅延の短縮が可能になります。

MPLSの用途

MPLSは回線交換接続として動作しながら、第3層のIPパケットも配信するポイントツーポイント パスを作成することで機能します。データ センターへのアクセスを必要とする遠隔地の支店がさまざまな地域に存在する組織には最適な技術であり、オフィス勤務が主流の時代には最も使用された技術の1つとなっていました。

多くの組織は、前述のポイントツーポイント パスを作成するため、またはプライベートLANサービスのために仮想プライベート ネットワーク(VPN)内でMPLSを実行します。MPLSは、基盤となるネットワーク プロトコル(イーサネット、SDH、ATMなど)の使用状況に関係なく展開できる多様性を備えています。この場合も、ラベルが一致するかどうかだけが重要なポイントで、その他の要因が転送の決定に影響することはありません。

MPLSの構成

MPLSには、接続の品質と安定性を向上させる独自の仕組みが4つあります。

  1. ラベル:MPLSには必ず各接続にラベルが付与されます。
  2. トラフィック クラス フィールド:この構成要素はQoSによってパケットに優先順位を付けます。
  3. 一番下のスタック フラグ:この接続にこれ以上ラベルを付与しないことを出口のルーターに伝えます。
  4. 生存時間:データが破棄されるまでに作成できるホップ数を指します。

これらの要素により、MPLSでは他の柔軟性の低いトラフィック転送方式よりも簡単な管理が可能になります。例えるなら、荷物の追跡に配送トラックのナンバー プレートや車体番号ではなく、追跡番号を使用するようなものです。

MPLSのメリット

MPLSは従来のIPルーティングよりも優れていると考えられていますが、技術自体は新しいものではなく、SD-WANのような俊敏で柔軟な方法に対抗できるわけではありません。それでも、MPLSには多くのメリットがあります。

MPLSは、パケットや回線を切り替えるよりもスケーラブルで高レベルなパフォーマンスを提供すると同時に、ネットワーク トラフィックの輻輳を軽減し、エンド ユーザー エクスペリエンスを向上させます。さらに、停止するたびにルーティング テーブルで検索する必要がなくなります。また、前述したように、どのネットワーク プロトコルを使用していても展開できるルーティング プロトコルであるため、柔軟性が向上します。

クラウドでMPLSを使用する方法

MPLSをクラウドで動作させるには、次のようなテクノロジーでMPLSを補完する必要があります。

  • 仮想ルーティング サービス:MPLSアプライアンス上でクラウド ルーターを使用することで、ソフトウェア定義型ネットワーク(SDN)を活用してMPLSクラウド接続を確立します。
  • オフロード:インターネットへの直接接続でWebトラフィックの負荷が軽減され、MPLSがオフィスに向かうトラフィックのみを伝送できるようになり、予備のキャパシティーが解放されます。
  • SD-WAN: SD-WANは低コストのブロードバンド インターネット リンクでMPLSを強化したり、インターネットに置き換えたりすることで、アプリケーションと帯域幅のニーズに基づいた設計を行います。

MPLSは、適切に調整すればクラウドに対応できる技術になる可能性があります。しかし、クラウドが普及する中でその旧式のアーキテクチャーは、徐々に姿を消しつつあるのが実状です。これについては、次のセクションで詳しく説明します。

MPLSの課題

リモート ワークやクラウドの導入が進むにつれて、次のようなMPLSの課題が浮き彫りになっています。

複雑さの増大

すべての拠点にルーターを導入して管理しようとすると、時間がかかるばかりか、セキュリティ リスクが発生し、ニーズの変化に柔軟に対応できなくなります。

低品質のユーザー エクスペリエンス

クラウド アプリの処理を前提に設計されていない中央のセキュリティ アプライアンスにトラフィックをバックホールすると、生産性が低下し、ユーザーのストレスにつながります。

セキュリティの欠如

ユーザーがネットワークやMPLS VPNから離れるとセキュリティ ポリシーが適用されなくなり、リスクが高まります。ユーザーの接続方法に関係なく、一貫した保護が求められます。

さらに、MPLSは暗号化を提供しておらず、この点が特に運用をクラウドに移行する際の大きな問題となっています。現在、クラウド サービスによって組織の帯域幅需要が増加し、機密データ(特にクラウド間で送受信されるデータ)の保護に関する多くの規制があるため、MPLSの優位性を示すのはこれまで以上に難しくなっています。

MPLSとSD-WANの比較

MPLSラベリングは、従来のトラフィック ルーティング方法よりも優れていますが、SD-WANはソフトウェア定義型ポリシーを使用して、インターネット、クラウド アプリケーション、データ センターにトラフィックをルーティングする最適なパスを選択するため、UCaaS、VoIP、ビジネス インテリジェンスなどのリアルタイム アプリケーションでより効果を発揮します。

SD-WANはソフトウェア定義の構造のため、よりシンプルなプロビジョニングの提供とトラフィック エンジニアリング構成の拡大が可能になります。また、クラウド経由で確立して施行されるソフトウェア定義ポリシーにより、送受信場所を問わずネットワーク トラフィックが保護されるため、MPLSよりも優れたセキュリティを確保できます。

このようにSD-WANには多くのメリットがありますが、あらゆる場所で優れたエクスペリエンスと強固なセキュリティを提供する完全なクラウド型ネットワーキングとセキュリティ スタックを実現するには、セキュア アクセス サービス エッジ(SASE)が必要です。

SASEアプローチ

複雑化するクラウドの課題に対処するために、多くの組織がネットワークとセキュリティの両方をSASEと呼ばれるクラウドベースのインフラに移行させています。このフレームワークにより、すべてのアプリケーションへのセキュアなアクセスとあらゆる接続のトラフィックの完全な可視化と検査が可能になります。

SASEを導入することで、次のようなメリットが実現します。

ITコストと複雑さの軽減

SASEはセキュアな境界ではなく、ユーザーなどのエンティティーに焦点を当て、情報を必要とする人やシステムの近くでデータを処理するエッジ コンピューティングの概念に基づいて、セキュリティとアクセスをユーザーの近くで提供します。SASEはセキュリティ ポリシーを使用して、アプリケーションやサービスへの接続を動的に許可または拒否します。

高速でシームレスなユーザー エクスペリエンス

SASEは保護が必要なものの近くでセキュリティを施行します。つまり、ユーザーをセキュリティに送るのではなく、セキュリティの方をユーザーに届けるのです。SASEはインターネット エクスチェンジでの接続をリアルタイムで効果的に管理し、クラウド アプリケーションやサービスへの接続を最適化して低遅延を実現する、セキュアなクラウド ソリューションです。

リスクの低減

クラウド ネイティブなソリューションであるSASEは、ユーザーとアプリケーションが分散している現代のリスクに対応するためにデザインされています。SASEフレームワークの主要な構成要素のひとつであるゼロトラスト ネットワーク アクセス(ZTNA)は、モバイル ユーザー、リモート ワーカー、拠点に安全なアプリケーション アクセスを提供するとともに、ネットワーク上の攻撃対象領域やラテラル ムーブメントのリスクを排除します。

Zscaler SD-WANとSASE

Zscalerはパートナーの多様なネットワークを活用して、SD-WANを迅速に実装できるようサポートします。Zscalerが提供するクラウドベースのネットワーク アーキテクチャーは、SD-WANを通じてクラウドから提供されるネットワークとセキュリティに最適なフレームワークであることを提唱する、GartnerのSASEのビジョンに従って構築されているため、多くのパートナーが信頼を寄せています。

Zscaler Zero Trust Exchange™はパフォーマンスとスケーラビリティーを実現するために構築された、クラウド ネイティブなSASEプラットフォームです。プラットフォームの基盤は世界各地に分散されており、ユーザーは常に短いホップでアプリケーションにアクセスできます。世界中の主要なインターネット エクスチェンジにおいて、数多くのパートナーと提携することで、ユーザーに最適なルーティング、パフォーマンス、安定性を提供します。

詳細は、ZscalerのSASEアーキテクチャーを参照してください。

おすすめのリソース

よくある質問

ラベル スイッチングとはどういう意味ですか?

データ パケットに誤ったラベルが付与されると、その接続をラベル スイッチング ルーターが傍受し、正しいデータ パスで送信します。これは主に、接続が必要なOSI層(通常は第2層または第3層)に基づいています。

ルーティングは通常どのように機能するのですか?

データ パケットを宛先に送信するには、通常、以下の2つの方法が使用されます。

1つ目はパケット交換で、宛先のIPアドレスとルーティング プロトコルに基づいて転送されますが、これには大量のルーターと固定されていないデータ パスが含まれるため、伝送が遅くなります。2つ目の回線交換は通常、電話接続に使用され、固定されたデータ パスを介して接続を送信します。ただし、このパスは確立までに時間がかかるため、非効率的で費用もかさみます。

MPLSネットワークは「プライベート」ネットワークですか?

MPLS接続は閉鎖されたトンネル内で行われ、データがインターネットに公開されないという点でプライベートにあたります。支店とデータ センター間の接続を確立し、通常は仮想ローカル エリア ネットワーク(VLAN)とVPNの基盤として使用されます。VLANとVPNはいずれも、それぞれ独自にプライベートな通信環境を提供します。