Windows Server 2016 における GRE トンネリング

Windows Server 2016 では、RAS ゲートウェイの Generic Routing Encapsulation (GRE) トンネル機能に対する更新が行われています。

GRE は軽量のトンネリング プロトコルで、インターネット プロトコル インターネットワークを介して Point-to-Point 仮想リンク内のさまざまなネットワーク レイヤー プロトコルをカプセル化できます。 Microsoft の GRE の実装では、IPv4 と IPv6 の両方をカプセル化できます。

GRE トンネルは多くのシナリオで役立ちます。その理由を次に示します。

  • これらは軽量であり、RFC 2890 に準拠し、さまざまなベンダー デバイスと相互運用できます

  • 動的ルーティング用に Border Gateway Protocol (BGP) を使用できます

  • GRE マルチテナント RAS ゲートウェイを、ソフトウェア定義ネットワーク (SDN) で使用するように構成できます

  • System Center Virtual Machine Manager を使用して、GRE ベースの RAS ゲートウェイを管理できます

  • GRE RAS ゲートウェイとして構成されている 6 コア仮想マシンで最大 2.0 Gbps のスループットを実現できます

  • 1 つのゲートウェイで複数の接続モードがサポートされます

GRE ベースのトンネルにより、テナントの仮想ネットワークと外部ネットワーク間の接続が可能になります。 GRE プロトコルは軽量であるため、GRE のサポートはほとんどのネットワーク デバイスで利用でき、データの暗号化を必要としないトンネリングに最適な選択肢です。

このトピックの後半で説明するように、サイト間 (S2S) トンネルの GRE サポートは、マルチテナント ゲートウェイを使用して、テナントの仮想ネットワークとテナントの外部ネットワークとの間の転送の問題を解決します。

GRE トンネル機能は、次の要件に対応するように設計されています。

  • ホスティング プロバイダーは、物理スイッチの構成を変更せずに、転送用の仮想ネットワークを作成できる必要があります。

  • ホスティング プロバイダーは、インフラストラクチャ内の物理スイッチの構成を変更せずに、外部に接続するネットワークにサブネットを追加できる必要があります。 GRE トンネル機能を使用すると、Microsoft テクノロジを使用してサービス オファリングにソフトウェア定義ネットワークを実装するホスティング サービス プロバイダー用の主なシナリオが、実現または拡張されます。

シナリオの例をいくつか次に示します。

主なシナリオ

GRE トンネル機能が対応する主なシナリオを次に示します。

テナントの仮想ネットワークからテナントの物理ネットワークへのアクセス

このシナリオでは、テナントの仮想ネットワークから、ホスティング サービス プロバイダーのオンプレミスにあるテナントの物理ネットワークへのアクセスを、スケーラブルに実現します。 1 つの GRE トンネル エンドポイントはマルチテナント ゲートウェイ上に確立され、もう 1 つの GRE トンネル エンドポイントは物理ネットワーク上のサード パーティ デバイス上に確立されます。 レイヤー 3 トラフィックが、仮想ネットワーク内の仮想マシンと物理ネットワーク上のサード パーティ デバイスとの間でルーティングされます。

ホスト物理ネットワークとテナント仮想ネットワークを接続する GRE トンネル

高速接続

このシナリオでは、テナントのオンプレミス ネットワークからホスティング サービス プロバイダー ネットワークにある仮想ネットワークへの高速接続をスケーラブルに実現します。 テナントは、Multiprotocol Label Switching (MPLS) を介してサービス プロバイダー ネットワークに接続します。この場合、GRE トンネルが、ホスティング サービス プロバイダーのエッジ ルーターと、テナントの仮想ネットワークへのマルチテナント ゲートウェイとの間に確立されます。

テナント エンタープライズ MPLS ネットワークとテナント仮想ネットワークを接続する GRE トンネル

VLAN ベースの分離との統合

このシナリオでは、VLAN ベースの分離を Hyper-V ネットワーク仮想化と統合できます。 ホスティング プロバイダー ネットワーク上の物理ネットワークには、VLAN ベースの分離を使用するロード バランサーが含まれています。 マルチテナント ゲートウェイで、物理ネットワーク上のロード バランサーと仮想ネットワーク上のマルチテナント ゲートウェイとの間に GRE トンネルが確立されます。

ソースと宛先の間で複数のトンネルを確立でき、トンネルの区別には GRE キーを使用します。

テナント仮想ネットワークを接続する複数の GRE トンネル

共有リソースへのアクセス

このシナリオでは、ホスティング プロバイダー ネットワークにある物理ネットワーク上の共有リソースにアクセスできます。

ホスティング プロバイダー ネットワークにある物理ネットワーク上のサーバーに、複数のテナントの仮想ネットワークと共有する共有サービスが存在する場合があります。

サブネットが重複していないテナント ネットワークでは、GRE トンネルを介して共通ネットワークにアクセスします。 シングル テナント ゲートウェイによって GRE トンネル間でルーティングされるため、パケットは適切なテナント ネットワークにルーティングされます。

このシナリオでは、シングル テナント ゲートウェイをサード パーティのハードウェア アプライアンスに置き換えることができます。

複数のトンネルを使用して複数の仮想ネットワークを接続するシングルテナント ゲートウェイ

サード パーティ デバイスからテナントへのサービス

このシナリオを使用すると、サード パーティ デバイス (ハードウェア ロード バランサーなど) をテナントの仮想ネットワークのトラフィック フローに統合できます。 たとえば、エンタープライズ サイトから送信されたトラフィックは、S2S トンネルを経由してマルチテナント ゲートウェイに送られます。 トラフィックは、GRE トンネルを介してロード バランサーにルーティングされます。 ロード バランサーは、企業の仮想ネットワーク上の複数の仮想マシンにトラフィックをルーティングします。 仮想ネットワーク内で IP アドレスが重複する可能性がある別のテナントでも同じことが行われます。 ネットワーク トラフィックは、VLAN を使用してロード バランサー上で分離され、VLAN をサポートするすべてのレイヤー 3 デバイスに適用されます。

仮想ネットワークをサードパーティ製デバイスに接続する複数の GRE トンネル

構成とデプロイ

GRE トンネルは、S2S インターフェイス内で追加のプロトコルとして公開されます。 これは、Windows Server 2012 R2 でのマルチテナントのサイト間 (S2S) VPN Gateway に関するネットワーク ブログで説明されている IPSec S2S トンネルと同様の方法で実装されます

GRE トンネル ゲートウェイなどのゲートウェイをデプロイする例については、次のトピックを参照してください。

スクリプトを使用してソフトウェア定義ネットワーク インフラストラクチャを展開する

詳細情報

S2S ゲートウェイのデプロイの詳細については、次のトピックを参照してください。