2010年、ShowNetの本気を幕張に見た
ネットワークの仮想化で次世代サービスを柔軟に
高橋 睦美
@IT編集部
2010/6/18
無線LANもセキュリティも一目瞭然
さらに、文字通り目に見えない無線LANについては、シスコシステムズの「CleanAir」を使って、アクセスポイントおよび電波の状況を可視化した。
CleanAirは、無線LAN通信に干渉する各種の電波を検出する技術だ。シスコシステムズの無線LAN製品「Cisco Aironet 3500シリーズ」に実装されているASICと専用ソフトウェアを用いて、2.4G帯、5G帯の無線LANに加え、電子レンジや監視カメラ、Bluetooth機器などさまざまな機器が出す電波を検出し、その発生源がどこにあるかを地図上に表示し、特定できる。iPadなどとの組み合わせが便利だとして注目を集めているモバイルルータの場所も、もちろん捕そく可能だ。
その上で、アクセスポイントが使用するチャネルやセル、範囲、電波送出のタイミングなどを細かくコントロールし、本来の無線LAN通信を問題なく行えるよう最適化する。シスコシステムズのブースでは「無線もインフラ。これからはパフォーマンスやセキュリティに加え、次に安定した品質が求められる」と説明していた。
アクセスポイントをはじめ、電波を発している機器が一目で分かる |
ShowNetのNOCに置かれたCleanAirの画面を見ると、会場にいかに多くの「野良アクセスポイント」があるかが一目瞭然となった。この仕組みを活用して、IPv6端末に対してアドレス設定などを行うRouter Advertisement(RA)を勝手に送信している「野良」ルータも発見できるという。問題があったとき「有線ならば線をたぐっていって原因を突き止めることもできるが、無線ではそうもいかない」(関谷氏)。
セキュリティ面では、ここ数年ですっかりおなじみとなった情報通信研究機構(NICT)の「NICTER」が今年も登場。ShowNetのライブトラフィックにリアルタイムに相関分析を加え、脅威の状況を可視化した。今年の特徴は、マルウェア本体に対するミクロ的な解析と、実際のインターネットの姿を把握するマクロ的な解析を組み合わせて相関分析を行い、攻撃とマルウェア、両方に関する情報を表示すること。攻撃元がどこかという情報だけでなく、そこをクリックしてドリルダウン的に深掘りし、詳細な情報を把握できるという。
リアルタイムの相関分析を加えた今年のNICTER |
ちなみにNICTブースの担当者によると、攻撃トラフィックの量はこの数年で急増し、数十倍に至っているという。攻撃の発信元も分散化しており、南米やインド、ロシアなどいわゆるBRICs諸国にも攻撃元が拡散した。初日の場合は、Confickerによるものと思しきポート445関連の攻撃が非常に多かったそうだ。
ShowNetの可視化には、NTTコミュニケーションズの「SAMURAI」も活用された。SAMURAIも前述のxFlow技術の1つで、バックボーンを流れるパケットをサンプリングして収集し、ネットワークの状態を可視化する。ShowNetでは仮想面ごとにトラフィックを可視化したほか、DoS攻撃などを検出し、必要に応じて迂回/フィルタを行う仕組みも備えている。
ネットワークオペレーターの観点から注目したいツールが、同じくNTTコミュニケーションズが参考展示していた「maiko」だ。マルチベンダ環境でのネットワーク設定作業を自動化してくれる「夢のツール」と表現できそうだ。
ネットワーク設定、運用の自動化を目指すmaiko |
現状の環境では、ネットワークにトラブルが起こると、ルータ1台1台に個別にログインして状況を確認して回る必要がある。その際、機器のベンダごとに、下手をすると型番ごとにコマンドが違っていたりするため、手間は倍増する。
maikoはこうしたコマンドの違いを吸収し、ベンダフリーで、複数のネットワークの管理をまとめて作業できるよう支援するツールだ。個々に操作を行わなくとも、Configやルーティングに関する情報を一括して取ってきてくれるため、オペレーションが非常に楽になるうえ、人的ミスを防ぐことができる。たいていの作業には複数のオペレータがかかわることを考慮し、設定に対する変更管理機能も備えた。ShowNetでは、仮想面ごとにOSPFやBGPのルーティング情報を収集する際に活用したという。
NTTコミュニケーションズの説明によると、maikoが最終的に目指しているのは、「いまはスーパーオペレータが手でやっている作業の自動化」だ。設定情報の収集だけでなく、ログの一括収集や一括設定変更なども行えるようにする計画という。また、ネットワークのフロー情報とトリガーモジュールを組み合わせて、「こんな障害が生じたらそれに応じてこう対処する」といったところまで、オペレータの手を煩わせることなく実現したいという。ちなみにmaiko自体はRubyで作成したプログラムで、現在はβ版。2011年夏の提供を考えているという。
日本のエンジニアらしさが表れたスイッチ
「ネットワークは文字通りインフラになった。それゆえ、インフラゆえのリクワイアメント(要求)が生じているが、それにちゃんと応えようとする製品が出てきた」(NOCアドバイザリーメンバーの慶應義塾大学 中村修氏)。Interop Tokyo 2010のBest of Show Award受賞製品からは、そのような傾向が見て取れるという。
例えば、大企業向けネットワークインフラ構築製品部門で特別賞を受賞した富士通の「SR-X526R1」は、見た目は何の変哲もない普通のスイッチだが、「サーバと一緒にラックに入れること」を念頭に置いて設計された。
サーバに合わせたスイッチ、SR-X526R1 |
スイッチ製品の多くは「左側から吸気し、右側に排気する」というエアフローを採用しているため、サーバと同一のラックに収納したときの冷却効率が悪い。これに対しSR-Xシリーズはエアフローをサーバに合わせ、前面吸気、背面排気にしている。また、ネットワークインターフェイスを収容するパッチも背面に回し、サーバの電源などと同じく、オペレーターが後ろ側でまとめて作業できるようにした。当たり前といえば当たり前だが、「現場のニーズに合ったものを、エンジニアが自分の力で作った」(中村氏)ことが評価されたという。
また、中小企業向けネットワークインフラ構築製品でグランプリに輝いたアラクサラネットワークスの「AX1250S」は、工場の現場などいろいろな環境で動作するよう設計された耐環境型スイッチだ。ホコリが舞い込んで故障の原因とならないようファンレス設計としているほか、チップやコンデンサといった部品1つ1つを見直して、マイナス10度から50度までの範囲で動作するようにした。
今年は、このように「インフラとしてのニーズに真正面から向き合う製品が登場してきたことが面白い」と中村氏は述べている。
なおユニークなところでは、ヤマハが「つぶやくルータ」を住商情報システムのブースで参考展示した。現行機種「x58i」の後継モデルとなる、小規模拠点/SOHO向けルータ「X10」だ。全ポートがギガビットイーサネットに対応するほか、携帯電話を接続してモバイルルータとして利用できる機能を追加した。また、電源オフの際にログを残す「パワーオフログ機能」や、microSDやUSBメモリを介して設定を行う機能、ファイルサーバ/NAS機能などが加わるという。
Luaスクリプトで、メモリカードを抜き差ししたりするとTwitterでつぶやくX10 |
さらに、独自のLuaスクリプトをサポートし、障害時の通知やコマンド実行などを柔軟に行えるようにした。会場で披露したTwitterへの投稿デモもこれを利用したもので、アイデア次第でさまざまな活用が可能になりそうだ。
IPv6、「カウントゼロ」の年
ShowNetでは今年を、IPv6移行への「カウントゼロ」の年と位置付けた。
数年前からIPv4アドレス在庫の枯渇が指摘されていたこともあり、IPv6への移行期を支援する技術は、LSN(Large Scale NAT)にはじまり、IPv4/v6トランスレータやDS-Lite(Dual stack lite)、IPv6をIPv4上でトンネルして運ぶ6RDなどいくつかあるが、ShowNetではこうした移行技術ごとに「仮想面」を構築して提供した。「ここ数年カウントダウンしてきたが、今年はついにカウントゼロ。移行のための技術がきちんと使えるかどうか、相互接続できるかどうかを検証した」(関谷氏)。
またShowNetはこれまで、/8という広大なアドレス空間を利用していた。だが、v4アドレス在庫の枯渇を背景に、IANAに返却することを決定。来年以降は、より狭いアドレス空間でネットワークを構築することになるという。在庫の厳しさを感じさせるエピソードだ。
IPv4アドレス枯渇対応タスクフォースのブースで行われたプレゼンテーションでは、同タスクフォース広報ワーキンググループのサトウススム氏が、IPv4アドレスの在庫が本当に枯渇しつつある現状を説明した。同氏によると、在庫がなくなる時期は当初の予測よりも前倒しとなり、2011年秋から8月と見込まれるという。「残る/8の在庫は11個のみ。どうみても来年にはなくなる」(同氏)。
いよいよ在庫が枯渇に近付いたIPv4アドレス |
これを踏まえて、IPv6への移行を促すさまざまな取り組みが進んでいる。例えば総務省では、エンドユーザーへの情報開示の指針をまとめた「ISPのIPv4アドレス在庫枯渇対応に関する情報開示ガイドライン」を公開した。
アクションプランワーキンググループの今井恵一氏は、こうした取り組みの結果か「ISPでの枯渇対策は進んでいる」と述べた。ただ、データセンターやサービスプロバイダーでは対応が二極化しているし、企業に至っては対応はまだまだと指摘。「ISP以外での対応はこれからが正念場だ」という。
IPv6対応は企業にとってはそれほど関係ない話と思われがちだが、今井氏によるとそうでもない。「外部に公開するサーバについてはv6対応が必要になる。また、リモートアクセスがIPv6のアドレスから行われるケースも増えてくるだろう。日本国内はまだいいけれど、アジア、アフリカなどにグローバルに展開する企業ならば、真剣に対応を考えなければならない」(今井氏)という。
IPv4アドレス枯渇対応タスクフォースのプレゼンテーションには、フレッド・ベイカー氏も姿を見せた。「トランスレータや6RDといった技術はあくまで移行を支援するものであり、長期的な解決策ではないことに注意が必要だ」という |
「IPv4がなくなったらどうなるの?〜枯渇問題と現実解〜」と題したパネルディスカッションでは、奈良先端科学技術大学院大学の山口英氏が、「IPv4でやっていることの大半はIPv6でもできる。問題は共存させること。コンバーターなどをかませ、それぞれをマッピングしようなどとする途端にややこしくなる。半透明につながっている(v4とv6という2つの)世界をどのように管理するかは、われわれが経験したことのない問題だ」と指摘した。
山口氏は、4年前であれば、セキュリティをはじめさまざまな困難がつきまとったIPv6だが、いまではほぼ問題なく使うことができると述べ、「いまこそIPv6生活を始めるときだ」と呼び掛けた。「移行期間が長くなればなるほど、社会的コストは高くなる」(同氏)。利用者にはベンダやサービス事業者に対して「IPv6に対応してほしい」という声を上げ、プロダクトやサービスの設計側も、いまからIPv6を視野に入れた製品設計を始めてほしいという。
【コラム】 枯渇はIPv4アドレスだけではない IPv4アドレス在庫の枯渇が叫ばれる一方で、実は、BGPルーティングに利用される「AS番号」の枯渇問題が地味に浮上している。AS番号は長らく2バイト長で運用されてきたが、インターネットの拡大にともないそれが足りなくなってきた。そこで、AS番号の空間を4バイトに拡大しようというわけだ。ShowNetではそれを踏まえ、4バイトASでの運用を検証した。また、本番機が故障した際にスタンバイ機に処理を引き継いで冗長性を確保するVRRPにも、IPv6版の「VRRPv3」が定義されており、その検証も実施したという。 |
2/2 |
Index | |
見逃した人必見、Interop Tokyo 2010レポート | |
Page1 2種類の100Gbps接続が幕張に インフラに手を加えずオンデマンドで「面」を提供 仮想化されたネットワークを可視化、xFlowとEtherOAM 【コラム】 xFlow技術に限界? |
|
Page2 無線LANもセキュリティも一目瞭然 日本のエンジニアらしさが表れたスイッチ IPv6、「カウントゼロ」の年 【コラム】 枯渇はIPv4アドレスだけではない |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
|
|