【Event Report.Part2】
「IP Network Meeting II Workshop」
IPv6デュアル・スタックに対応
「エンタープライズネットワークの最新構築トレンド」
鈴木淳也
2002/11/23
 |
| 講師:アイエスアイディ・ホライゾン FMインフラ本部マネージャー 岩佐 克也氏 |
IP-VPNやギガビット・イーサネットの普及、そしてセキュリティを向上する仕組みなど、近年の技術革新の波を受け、企業のエンタープライズ・ネットワークにも見直しの時期が到来したのではないか。いまは現状に満足していても、数年先のことを考えれば、遅かれ早かれ検討しなければいけない。そんなエンタープライズネットワーク構築の最新トレンドについて、ある先進企業の事例を基に考えていくことにしよう*1
*1 本記事は、2002年10月29日に開催された「IP Network Meeting II」内のセッション「T-3 エンタープライズネットワークの最新構築トレンド」の概要をまとめたものです
■最新フィーチャを盛り込んだ社内ネットワーク「SuccessNet-21」
講演者の岩佐氏が所属するアイエスアイディ・ホライゾンは、国内初といわれる社内ネットワークのIPv6デュアル・スタック完全対応で知られる、電通国際情報サービス(ISID)のバックオフィス・サービス部門である。ISIDでは、5年をめどに社内ネットワークのリニューアルを行っており*2、2000〜2001年は、1995年より稼働を開始した「SuccessNet」の更新時期でもあった。同社の新しい社内ネットワーク「SuccessNet-21」は、この刷新のタイミングで数々のフィーチャーを盛り込んでリニューアルされたものである。*2 ISIDの熊谷氏(IPv6 Trend Review 第6回を参照)によると、社内ネットワークの刷新タイミングが5年となっている理由としては、リース期間満了が挙げられるという。機器をばらばらに導入していくよりは、あるタイミングで一気に入れ替えてしまった方が、手間が掛からないからだそうだ。特に全端末へのIPv6デュアル・スタック導入に際しては、このメリットをフルに生かすことができたと考えられる
ところで、SuccessNet-21は、どのような特徴を持っているのだろうか?
●ブロードバンド対応
「ブロードバンド対応」の意味するものは広いが、ここでは社内LANとWANのことを指している。社内LANについては、ギガビット・イーサネットの導入を推進した。ルータ―コア・スイッチとエッジ・スイッチ―コア・スイッチの間はギガビットによる接続を行い、エッジ・スイッチと端末との接続はファスト・イーサネット(100Mbps)を採用した。これらの改良により、将来的なトラフィックの増大にも耐えられる環境を整備できたといえる(図1)。
 |
| 図1 ギガビット・イーサネットを導入した直後のSuccessNet-21 |
同社では、日本国内に9カ所の拠点を持っている。これら拠点間を接続するために、WANを構成する必要がある。SuccessNet-21導入以前は、この拠点間接続は専用線型のサービスを利用していた。今回のネットワーク刷新に伴い、広域イーサネット接続サービスの導入を決めたという。広域イーサネット導入のポイントの1つは、拠点間接続のイーサネット集約にあったと説明する。新しいインフラの導入により、コスト・ダウンと高速化を同時に実現できたといえるだろう(図2)。
 |
| 図2 WAN接続に広域イーサネット接続サービスを導入した後のSuccessNet-21 |
また、インターネット接続については、本社にトラフィックを集中させたうえで、1カ所からの接続のみとした。管理やセキュリティ面を考えての判断だと推察される。なお、インターネット接続は、後述の方法で冗長化が行われている。
●ネットワークの冗長化
インターネットや社内のネットワーク・システムが重要なインフラになればなるほど、何かのトラブルで止まってしまったときのダメージは大きい。そこで、最近のシステムでは、さまざまな手法を用いてネットワークの冗長構成を取るのがトレンドとなっている。
同社では、まずインターネット接続を二重化することにした。異なる2つのISPとインターネット接続を行い、万が一、片方の回線に障害が発生しても、もう片方の回線から迂回する形でインターネットにアクセスできる。両回線が正常に動作している場合には、負荷分散として機能することになる。このような接続形態を「マルチ・ホーム(デュアル・ホーム)」と呼んでいるが、その実現にはルーティング・プロトコルであるBGP(Border Gateway Protocol)が用いられる。
通常、企業がISPに接続する際には、1つの回線だけが利用されるため、BGPを使用することはない(通り道が1カ所しかないため、意味を成さないから)。だが、接続先のISPが2つになり、やりとりを行う相手のAS(Autonomous System)が2つになると、BGPを用いた経路制御が必要になってくる。これまでの企業ユーザーにはなじみのなかったプロトコルだが、最近ではMPLSによるIP-VPNなどで用いられていることもあり、ネットワーク技術者でもBGPスキル習得に対する意識が高まっているようだ。今回のSuccessNet-21でも、回線の冗長化にはBGPが用いられている。
また同社では、インターネット接続以外にも、コア・スイッチやルータ、拠点間接続の部分において二重化を行っている。ルーティング・プロトコルには、拠点内にESRP(Extream Standby Routing Protocol)、拠点間にOSPF(Open Shortest Path First)を、それぞれ用いている。
●IPv6デュアル・スタック対応
実際のところ、現時点でIPv6に対応しても、その用途は特に見当たらない。IPv4があればほとんどのことができてしまうからだ。しかし、「将来を見据えたネットワーク」ということを考慮すれば、最も重要なファクターだといっても過言ではないだろう。なぜなら、ネットワークの次の刷新時期である5〜6年後には、IPv6対応は必須となっているかもしれないからだ。「XP
SP1のように最新のOSはIPv6にも対応しているため、新規に購入するPCはデュアルスタック対応になっており、4年もあればすべてのパソコンがIPv6対応になっているだろう」とする同社では、ネットワークをIPv6に対応させておけば、IPv6を使える環境は自然に広がっていくと考えている。このタイミングでのIPv6導入が正解だったかどうかは、数年内に結果が出るはずだ。
●暗号メールの導入
電子メールが主要インフラとして活用されるようになると、当然、機密情報を扱う可能性も出てくる。標準の電子メールでは、フラットなテキスト・データがネットワーク上を飛び交うことになるため、機密情報を記したメールをそのままでやりとりするのは、セキュリティ上からも好ましくない。
そこで同社では、S/MIMEによる暗号メールを導入することにした。社内に認証局(CA)を立ち上げ、全社員にキー・ペアと証明書を配布、LDAP(Lightweight Directory Access Protocol)を介して各社員の公開鍵を入手できるようにした。ちなみに、メーラにはオレンジソフトのWinbiffを採用し、S/GomaでS/MIME機能を実現している。
S/MIMEのメリットは、メール自体の暗号化のほか、「なりすまし」や「改ざん」といった、匿名性の高いインターネットならではの事象を防止することが可能である。現在は社内ネットワーク向けだが、将来的に異なる企業間で契約書のやりとりなどが行われるようになれば、S/MIMEなどの技術は重要になってくるだろう。
■今後の拡張計画
以上が、現在のSuccessNet-21の概要だが、今回の講演においては、今後の拡張計画についても触れている。簡単に概要を追っていこう。
●ユーザー認証VLAN
ネットワーク管理者にとって、ユーザーを認証し、適切なアクセス・コントロール環境を提供するのは大きな課題だ。IPアドレス、MACアドレス、イーサネットのポートといった(比較的)固定的な情報を用いれば、アクセス・コントロールを行うのはそれほど難しくない。ところが、社内の組織変更があったり、管理すべきユーザーの数が増えてきたりすると、その手間は煩雑なものとなる。そこで求められるのが、ユーザーを認証したうえで行う、ダイナミックなVLANの仕組み「ユーザー認証VLAN」である。
ユーザー認証VLANで必要となるのは、スイッチのほか、RADIUSサーバ、DHCPサーバ、そしてDHCPをリレーさせる仕組みである。まず、ユーザーがマシンを起動すると、接続したサブネットから仮IPのリースを受ける。このIPを用いてWebブラウザ経由でRADIUSサーバに接続、ユーザーIDとパスワードを入力することで認証を受け、VLAN名の回答を受ける。次に、VLAN名を基にDHCPサーバに問い合わせを行い、正式なIPアドレスの回答を受ける。これにより、初めて当該のサブネットに接続できるようになるのである。
この仕組みのメリットは、マシンや物理的な接続先によらず、ユーザー単位で認証が行われ、一元的な接続環境が提供されることである。
●データ管理の一元化
ネットワークの拡大が進むと、管理の行き届かない情報が各部署に散在することになる。そこで、バックボーンに専用のストレージ領域を設け、各サブネット上の情報を一元管理する仕組みを提供するようにする。これにより、特に重要な情報については、ほかのサブネットからのアクセスを制限するなど、適切なアクセス・コントロールが行えるようになる。
●リモート・アクセス環境の充実
現在、同社が提供しているリモート・アクセス環境は、公衆網経由でRAS(Remote Access Server)に接続し、ワンタイム・パスワード(SecurID)と発信番号通知の組み合わせで認証を行うという仕組みである。また、アクセスできるのは、あらかじめ登録された一部のサーバのみとなっている。
ところが近年では、ADSLの普及やホットスポットの登場など、インターネット経由で高速に接続する手段が多数出現してきたこともあり、公衆網以外からのアクセス環境も求められるようになってきた。今後、同社では、IPSecによるインターネット経由でのVPN接続(インターネットVPN)のほか、SSLを用いた「POP over SSL」による接続環境の導入も検討しているという。
 |
| 会場風景。IPv6とIPv4のデュアル・スタック対応、広域イーサネット、暗号メール、ユーザー認証VLANなどの最新テクノロジ導入に聞き入る姿から関心の高さがうかがえた。 |
以上、駆け足だが、同社が導入した新しい社内ネットワークの概要を紹介してきた。特に、ネットワークの高速化や冗長化の部分は、現在さまざまな企業が注目している重点課題であるため、参考になる部分も多いだろう。
今後の傾向としては、セキュリティを考慮したアクセス・コントロールの仕組みの導入、そして、その仕組みが導入されたうえで成り立つリモート・アクセス環境の充実などが挙げられる。また、さらに先を見据えるなら、IPv6の導入も考慮に入れるべきだと思う。
この内容を、ぜひ自社のネットワーク環境充実の参考にしてもらいたい。
| 関連リンク | |
| IP Network MeetingIIのページ | |
| IP Network Technology & Solution Meetingのページ | |
| Index | |
| 「IP Network Meeting II」 〜イベント・レポート総合インデックス |
|
| オープニング・ディスカッションレポート(Part1) D-1〜「IP-VPN/広域イーサネット導入の課題とは?」 General Session概要 |
|
 |
Workshopレポート(Part2) T-3〜「エンタープライズネットワークの最新構築トレンド」 IPv6デュアル・スタック対応などの導入 |
| Workshopレポート(Part3) S-1〜「IP-VPNを支える技術とサービスの活用法」 MPLSの解説と導入の実践 |
|
 |
「Master of IP Network総合インデックス」 |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
 |
|
|
|
|
注目のテーマ
Master of IP Network 記事ランキング
転職/派遣情報を探す
