ネットワークの世界では、拠点間を安全につなぐ技術としてVPNが広く活用されています。
その中でも「L2 VPN」は、レイヤー2レベルでネットワークを延伸できる仕組みとして、企業ネットワークの設計において重要な役割を担っています。
L2TPやIPsec、トンネリングといった技術との関係性も複雑に絡み合っており、「L2 VPNとL3 VPNはどう違うのか」「どんな場面で使うべきか」と疑問を持つ方も多いでしょう。
本記事では、L2 VPNの基本的な意味と仕組みから、代表的な種類、L3 VPNとの違いまでを丁寧に解説していきます。
L2 VPNとは?レイヤー2でネットワークを延伸する技術
それではまず、L2 VPNの基本概念について解説していきます。
L2 VPNとは、OSI参照モデルの第2層(データリンク層)レベルでネットワークを仮想的に延伸するVPN技術のことです。
通常、異なる拠点のネットワークはルーターを介してIPアドレスベース(レイヤー3)で接続されますが、L2 VPNではMACアドレスやイーサネットフレームをそのままトンネリングして転送します。
これにより、物理的に離れた拠点同士でも、あたかも同じLANセグメントに接続しているかのような通信環境を実現できます。
企業がデータセンターと本社をシームレスにつなぐ際や、クラウド環境と社内ネットワークを統合する際に活用されるケースが多いでしょう。
L2 VPNの最大の特徴は、レイヤー2のフレームをそのまま運べる点にあります。IPアドレスの設計を変えることなく、既存のネットワーク構成を維持したまま拠点間を接続できるため、移行コストを抑えた柔軟なネットワーク設計が可能です。
L2 VPNでは、送信元のレイヤー2フレームをカプセル化し、インターネットや広域イーサネット上のトンネルを通じて宛先に届ける仕組みを採用しています。
このカプセル化・トンネリングの手法によって、異なるネットワーク間でもレイヤー2の透過性を保つことができます。
代表的なユースケースとしては、仮想マシンのライブマイグレーション、IPアドレスを変えずにデータセンター間を移行するシナリオ、ブロードキャストドメインの延伸などが挙げられます。
L2 VPNにおけるトンネリングの仕組み
L2 VPNの核心となるのが、トンネリング技術です。
トンネリングとは、あるプロトコルのパケットを別のプロトコルでカプセル化し、ネットワーク上を透過的に転送する手法を指します。
L2 VPNでは、イーサネットフレームをIPパケットやMPLSラベルなどでラップし、拠点間のトンネルを通じて配送する仕組みをとっています。
受信側ではカプセル化を解いて元のフレームを取り出し、宛先のネットワークに渡すため、エンドポイントはVPNの存在を意識せずに通信できます。
この透過性こそが、L2 VPNが「ネットワークの延伸」と表現される理由です。
L2 VPNで使われる主なプロトコル
L2 VPNを実現するためのプロトコルにはいくつかの種類があります。
代表的なものとして、L2TP(Layer 2 Tunneling Protocol)、VXLAN、EoMPLS(Ethernet over MPLS)、GREなどが挙げられます。
L2TPは主にPPPセッションをトンネリングするために使われており、インターネットVPNと組み合わせて広く普及しているプロトコルです。
VXLANはデータセンターやクラウド環境での大規模なL2延伸に対応した比較的新しいプロトコルであり、仮想化環境での利用が増えています。
EoMPLSはキャリア向けのWAN環境でよく採用されており、MPLSネットワーク上でイーサネットフレームを転送します。
L2 VPNの延伸とブロードキャストドメインの関係
L2 VPNで特に理解しておきたいのが、ブロードキャストドメインの延伸という概念です。
通常、ブロードキャストはルーターを越えられないため、拠点をまたいだブロードキャスト通信は不可能です。
しかしL2 VPNを用いると、異なる拠点間でもブロードキャストが届くようになり、同一セグメントとして振る舞います。
これはネットワーク設計の自由度を高める一方で、ブロードキャストストームのリスクも生じるため、スパニングツリープロトコル(STP)などの対策と合わせて設計することが重要です。
ネットワーク規模が大きくなるほどこのリスクは顕在化するため、L2 VPN導入時には慎重な設計が求められます。
L2 VPNの主な種類と特徴
続いては、L2 VPNの代表的な種類とそれぞれの特徴を確認していきます。
L2 VPNは実現方式によっていくつかの種類に分類されており、用途やネットワーク環境によって使い分けるのが一般的です。
| 種類 | 主なプロトコル | 特徴 | 主な用途 |
|---|---|---|---|
| インターネットVPN(L2) | L2TP/IPsec | インターネット経由でL2トンネルを確立 | リモートアクセス・拠点間接続 |
| 広域イーサネット | EoMPLS・VPLS | キャリア網上でイーサネットを延伸 | 企業WANの構築 |
| VXLAN | VXLAN | UDP上でL2フレームをカプセル化 | データセンター・クラウド環境 |
| GREトンネル | GRE | 汎用のカプセル化プロトコル | ルーター間のトンネリング |
インターネットVPNとしてのL2 VPNでは、L2TP/IPsecが代表的な組み合わせとして広く使われています。
L2TPがトンネリングを担い、IPsecが暗号化とセキュリティを提供する役割分担になっており、比較的手軽に安全なL2接続を実現できます。
一方、キャリアが提供する広域イーサネットサービスでは、MPLSを活用したVPLS(Virtual Private LAN Service)やEoMPLSが採用されるケースが多く、高品質な帯域保証が可能です。
L2TP/IPsecによるL2 VPN
L2TP/IPsecは、L2 VPNの中でも特に普及しているインターネットVPNの方式です。
L2TP単体では暗号化の機能を持たないため、IPsecと組み合わせることでデータの機密性・完全性を確保しています。
WindowsやAndroidなどのOSに標準で対応しており、専用クライアントソフトなしで利用できるケースも多いでしょう。
ただし、NATトラバーサルの問題やファイアウォールとの相性など、環境によっては接続に注意が必要な場面もあります。
設定項目としては、サーバーアドレス・アカウント情報・事前共有鍵(PSK)などが必要であり、企業の情報システム担当者が環境を整備するのが一般的です。
VPLSとEoMPLSの特徴
VPLS(Virtual Private LAN Service)は、MPLSネットワーク上でマルチポイント型のL2 VPNを実現する技術です。
複数拠点間をあたかも1つのLANスイッチで接続しているように見せることができるため、大規模な企業ネットワークに適しています。
EoMPLS(Ethernet over MPLS)はポイントツーポイント型のL2 VPNであり、2拠点間をイーサネットで直結する形式です。
いずれもキャリア(通信事業者)が提供するマネージドサービスとして利用することが多く、高い信頼性と帯域保証が求められる基幹系ネットワークに適した選択肢です。
MPLSベースのL2 VPNは設定の複雑さがある反面、QoS(Quality of Service)制御も組み合わせやすく、音声や映像などのリアルタイム通信にも対応できます。
VXLANによるクラウド時代のL2延伸
近年のクラウドやSDN(Software-Defined Networking)環境では、VXLANが注目を集めています。
VXLANはUDP上でL2フレームをカプセル化するプロトコルであり、最大約1,600万のセグメント識別子(VNI)をサポートしているため、大規模なマルチテナント環境に対応しています。
従来のVLANが最大4,094セグメントに制限されていたのに対し、VXLANは格段に多くのネットワークセグメントを扱えます。
VMwareやOpenStack、Kubernetesなどの仮想化・コンテナ基盤でも広く使われており、データセンター間のL2延伸においてデファクトスタンダードになりつつあります。
クラウドネイティブなアーキテクチャを採用する組織にとって、VXLANの理解は不可欠といえるでしょう。
L2 VPNとL3 VPNの違いを整理する
続いては、L2 VPNとL3 VPNの違いについて詳しく確認していきます。
VPNを検討する際に混乱しやすいのが、L2 VPNとL3 VPNの違いです。
両者はOSI参照モデルのどのレイヤーで動作するかが根本的に異なり、それに伴って用途や特性も大きく変わります。
L2 VPNはデータリンク層(第2層)でフレームを転送し、MACアドレスで通信を制御します。一方、L3 VPNはネットワーク層(第3層)でパケットを転送し、IPアドレスで通信を制御します。この違いが、ネットワーク設計への影響を大きく左右します。
L2 VPNでは、拠点間を同一のIPサブネットで接続することが可能であるため、既存のIP設計を変更せずに拠点統合できます。
これに対し、L3 VPNでは各拠点が独自のIPサブネットを持ち、ルーティングによって通信を制御します。
L3 VPNの代表例はIPsec VPN(トンネルモード)やMPLS-VPN(RFC 4364)であり、インターネットVPNの多くがこの方式に該当します。
| 比較項目 | L2 VPN | L3 VPN |
|---|---|---|
| 動作レイヤー | データリンク層(第2層) | ネットワーク層(第3層) |
| アドレス管理 | MACアドレス | IPアドレス |
| ブロードキャスト | 拠点間で転送される | 拠点間では転送されない |
| IP設計変更 | 不要 | 必要な場合が多い |
| 主な用途 | 拠点延伸・VM移行 | 拠点間セキュア通信・リモートアクセス |
L2 VPNが適したシナリオ
L2 VPNが特に効果を発揮するのは、既存のIPアドレス体系を変えたくない場面です。
たとえば、サーバーを物理データセンターからクラウドに移行する際、IPアドレスをそのままにしたい場合にL2 VPNが重宝されます。
また、仮想マシンのライブマイグレーションでは、通信を途切れさせないためにL2接続が維持される必要があり、L2 VPNがその基盤を担います。
さらに、工場の生産ライン制御など、IPアドレス変更が困難なレガシーシステムを別拠点に接続する際にも有効な手段です。
L2 VPNは「ネットワークを変えずにつなぐ」ことを最優先するシナリオに最適といえるでしょう。
L3 VPNが適したシナリオ
L3 VPNは、拠点間のルーティング制御が必要な場面に向いています。
各拠点が独立したIPサブネットを持ち、ルーティングポリシーに基づいてトラフィックを制御したい企業ネットワークではL3 VPNが主流です。
リモートワーカーが社内ネットワークにアクセスする場合も、一般的にはL3 VPN(IPsec VPN)が採用されます。
L3 VPNはブロードキャストが拠点間で広がらないため、大規模ネットワークでも安定性を保ちやすく、スケーラビリティに優れています。
セキュリティポリシーの適用やトラフィックの可視化もレイヤー3で行いやすいため、セキュリティ要件の高い環境に適した選択肢です。
L2とL3を組み合わせたハイブリッド構成
実際の企業ネットワークでは、L2 VPNとL3 VPNを組み合わせたハイブリッド構成が採用されることも少なくありません。
たとえば、データセンター間はL2 VPN(VXLAN)でつなぎ、拠点間通信はL3 VPN(MPLS-VPN)で制御するといった構成です。
このようなハイブリッド設計により、仮想マシンの自由な移動とネットワークの安定性を両立できます。
SDNコントローラーやNFV(ネットワーク機能仮想化)と組み合わせることで、より柔軟かつ動的なネットワーク管理も実現しつつあります。
L2とL3それぞれの特性を理解したうえで最適な構成を選択することが、現代のネットワーク設計の基本となっています。
L2 VPN導入時の注意点とセキュリティ対策
続いては、L2 VPNを導入する際の注意点とセキュリティについて確認していきます。
L2 VPNは便利な技術ですが、導入にあたっていくつかの点に注意しなければなりません。
特にセキュリティ面では、レイヤー2の透過性がそのままリスクにもなり得るため、適切な対策が不可欠です。
ブロードキャストストームとSTPの設定
L2 VPNでブロードキャストドメインを拡張すると、ループ発生時にブロードキャストストームが起きるリスクがあります。
これを防ぐには、スパニングツリープロトコル(STP)またはRSTP・MSTPを適切に設定することが重要です。
特に複数拠点を接続する場合は、STPのルートブリッジ設計を慎重に行い、ループが生じないトポロジーを維持することが求められます。
VXLANを使用する場合はSTPの代わりにEVPN(Ethernet VPN)などの制御プレーンを活用してループを防ぐ手法も広まっています。
ネットワーク設計段階からループ対策を織り込んでおくことが、安定運用の鍵となるでしょう。
暗号化とIPsecによるセキュリティ確保
L2 VPNはデータリンク層のフレームをトンネリングしますが、トンネル自体の暗号化は別途必要です。
L2TP単体では暗号化機能がないため、必ずIPsecと組み合わせて使用することが推奨されます。
IPsecによってデータの機密性(AES暗号化)・完全性(HMACによる改ざん検知)・認証(IKEv2による相互認証)を確保できます。
GREトンネルを使う場合も同様に、IPsecでラップすることでセキュリティを高めるのが一般的な実装方法です。
クラウド環境でのL2 VPN(VXLAN等)においても、VXLANのEncryption拡張やIPsecオーバーレイによって通信を保護する取り組みが進んでいます。
MTU問題とフラグメンテーションへの対応
L2 VPNでよく発生するトラブルの一つが、MTU(最大転送単位)の問題です。
カプセル化によってヘッダーが追加されるため、元のパケットサイズに対して実際に送れるペイロードが小さくなります。
たとえばVXLANではUDP・IP・イーサネットヘッダーが加わるため、エンドツーエンドのMTUを適切に設定しなければパケットのフラグメンテーションや通信障害が発生します。
対策としては、ジャンボフレーム(9,000バイト)の活用や、MTUサイズの適切な調整が有効です。
導入前にMTUの影響を検証しておくことが、スムーズな運用開始につながるでしょう。
まとめ
L2 VPNは、OSI参照モデルのデータリンク層(レイヤー2)でネットワークを仮想的に延伸する技術であり、MACアドレスやイーサネットフレームをそのままトンネリングして異なる拠点間を接続します。
L2TP/IPsec・VXLAN・VPLS・EoMPLSなど多様な実現方式があり、用途や規模に応じて使い分けることが重要です。
L3 VPNとの最大の違いは、ブロードキャストドメインを越えた延伸とIPアドレス設計の維持にあり、仮想マシン移行やレガシーシステム接続など特定のシナリオで大きな効果を発揮します。
一方で、ブロードキャストストーム・セキュリティ・MTU問題など、導入時に注意すべき点も多く存在します。
L2 VPNの特性を正しく理解したうえで、L3 VPNとのハイブリッド構成も視野に入れながら、最適なネットワーク設計を検討してみてください。
