キャンパス内全面禁煙の推進 - Hiroshima University · 全面禁煙の看板を主要3キャンパスの計26か所に設置するとともに、既設の案内板等に「構
Campus LAN Design Guide - Juniper...
Transcript of Campus LAN Design Guide - Juniper...
DESIGN GUIDE
Copyright © 2010, Juniper Networks, Inc.
1
キャンパスLANデザインガイド高性能なキャンパスLAN設計に関する検討事項
2 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
目次はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
キャンパスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
適用範囲 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
キャンパスLAN設計に関する検討事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
インフラストラクチャ・ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
キャンパス・アーキテクチャ概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
階層型アプローチ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
階層型アプローチのメリットと課題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
ネットワーク革命 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
実装:アクセスレイヤー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
アクセスレイヤー設計に関する検討事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
有線ポートのコネクティビティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
WLANのコネクティビティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
PoE(Power over Ethernet) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
バーチャルLAN(VLAN)とスパニング・ツリー・プロトコル(STP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
アクセスレイヤーにおけるレイヤー2またはレイヤー3の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
統合型通信の導入における検討事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
脅威への対処 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
モジュール型シャーシテクノロジー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
アクセスレイヤー・ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
バーチャルシャーシ・テクノロジーを搭載した拡張可能なアクセスソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
無線ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
アグリゲーション・レイヤー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
アグリゲーション・レイヤー設計に関する検討事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
セグメント化/仮想化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
分散スイッチング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
アグリゲーション・レイヤー・ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
拡張可能なアグリゲーション・レイヤー・ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
コアレイヤー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
コアレイヤーに関する検討事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
コアレイヤー・ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
ハイパフォーマンスなコアレイヤー・ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
コアレイヤーは必要か? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
問題点とメリット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
コアレイヤーとアグリゲーション・レイヤーの統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
キャンパスネットワークの高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
デバイスレベルの高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
リンクレベルの高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
冗長リンク:スクエア構成vsトライアングル構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
バーチャルシャーシ・テクノロジー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
リンク・アグリゲーション・グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
冗長トランクグループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
キャンパスリンクの冗長化に関するベストプラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
ネットワーク・ソフトウェアの高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Copyright © 2010, Juniper Networks, Inc. 3
設計ガイド - キャンパスLAN
図図1:高可用性を実現するキャンパスLAN構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
図2:階層型アプローチ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
図3:高可用性キャンパスLANにおけるアクセスレイヤー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
図4:柔軟かつローミング可能な無線アクセスソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
図5:アクセスレイヤーでレイヤー2/レイヤー3を使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
図6:バーチャルシャーシ・テクノロジー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
図7:バーチャルシャーシ・テクノロジーによるCAPEXおよびOPEXの削減 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
図8:高可用性キャンパスLANにおけるアグリゲーション・レイヤー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
図9:コア/アグリゲーション・レイヤーにおける分散スイッチング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
図9:高可用性キャンパスLANのコアレイヤー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
図11:コアレイヤーのメリット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
図12:コアレイヤーをアグリゲーション・レイヤーに統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
図13:デュアルホーミング:スクエア構成vsトライアングル構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
図14:リンク・アグリゲーション・グループ(LAG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
図15:バーチャルシャーシとLAG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
図16:リンク冗長化のベストプラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
図17:キャンパスのセキュリティアーキテクチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
図18:あらゆるタイプのユーザーにエンドポイント・ヘルス・ポリシーを適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
図19:複数の部門、リソース、サービスにセキュリティポリシーを適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
図20:Dynamic ARP Inspection(DAI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
図21:NSMのデバイス管理とデバイスのオートディスカバリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
図22:NSMのトポロジー検出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
図23:NSMのテンプレートベースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
図24:NSMのイベント/ログ管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
図25: J-Webの使いやすいグラフィカル・インタフェース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
セキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
統合型アクセス・コントロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
IEEE 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
ユビキタスアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
セグメント化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
アクセス・コントロール・リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
アクセスセキュリティのさらなる向上 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
運用の簡素化と統合型管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
ジュニパーネットワークスNetwork and Security Manager (NSM)を利用した統合型管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
NSMのメリット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
ジュニパーネットワークスJ-Webソフトウェアを利用したリモート設定および管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
J-Webのメリット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
おわりに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
ジュニパーネットワークスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
はじめに企業内LANはかつて、受動的なバックグラウンドのビジネスコンポーネントでしたが、今日では企業にとって、日常業務の遂行や市場での成功を目指す上で不可欠な、極めてアクティブかつ重要なコアアセットへと進化しました。ネットワークは今や戦略的手段であり、いつ、どこからでもアクセス可能で、場所を問わず迅速かつセキュアで信頼性の高いサービスを提供できることが必須条件になっています。また、従来のクライアント-サーバー間のデータフローに加えて、ピアツーピアのデータフローをサポートできるようになり、多数のデバイスやサービスへの対応が求められています。現在、多くの企業がアプリケーションやデータセンターを集中管理するだけでなく、サーバーとデータセンターを統合することで運営の簡素化とコストの削減を図ろうとしています。しかし、既存のキャンパス・インフラストラクチャ・ソリューションでは、高い安全性と優れた信頼性を備えた高性能のアクセスをキャンパスユーザーに提供するための要件を満たすことができない上、コストの削減や運用の合理化を実現する上で不可欠な集中管理機能も提供できません。
そのため、キャンパスのセキュリティやコネクティビティ、パフォーマンスなどの課題に対応しながら、主要なITイニシアチブを実現できる、新しいキャンパスLAN設計に対するニーズが高まっています。さらに、優れた拡張性によって運用を簡素化でき、全体を再設計することなく、新しいコンピューティング・トレンドに柔軟に対応できる設計が求められています。
キャンパスについて
本書において「キャンパス」という用語は、同じ敷地内で相互に近接する1棟以上のビルで構成される、企業の主要拠点を意味します。通常は、企業の本社または重要拠点を指しますが、必ずしもそうとは限りません。キャンパスの例としては、企業が入居している複数階のオフィスビルや、オフィスパーク内に複数のビルを所有している企業、敷地内の広範囲に施設が散在している大学などが挙げられます。キャンパス内のビルやフロアはすべて、キャンパスLAN/WAN接続によってデータセンター内の共有リソースやサービスなどに接続されています。データセンターは、キャンパスの中にある場合と外にある場合があります。また、遠隔地の支店や支社などに対してWAN経由で接続されているキャンパスもあります。
ビジネスプロセスのほとんどはオンラインで実行されるため、キャンパスLANでダウンタイムが発生したり非効率な状態が続いたりすると、企業の収益に悪影響が生じます。各キャンパスの施設がネットワークに接続されている状態を常に維持し、ビジネスの生産性や顧客満足度を最大化するためには、セキュアで高性能、高可用性のLANサービスが不可欠です。本書は、企業が今日直面している課題や検討事項に注目し、それらの要件を満たすLANの設計、構築を可能とするために作成されたものです。
キャンパスLANは主に、アクセスレイヤー、アグリゲーション・レイヤー、コアレイヤーという3つのレイヤーで構成されます。それぞれのレイヤーは企業の課題に対応するためのサービスを提供しますが、各レイヤーの詳細や構成にあたっての検討事項については後に詳しく説明します。
キャンパスLANに必要なサービス
キャンパスLANは、業務の効率性を最適化するために、以下のハイレベルなサービスを提供しなくてはなりません。
• LANコネクティビティ̶キャンパス・インフラストラクチャは、コンピュータや電話機、PDA、監視カメラ、スマートフォンなど、増加し続ける多様なIPデバイスに対して、セキュアな有線/無線LANコネクティビティを提供する必要があります。
• セキュリティ̶セキュリティは、すべてのキャンパスLANサービスにおいて非常に重要です。ネットワークやアプリケーションに対する広範囲でオープンなアクセスを実現しながら、同時にセキュリティとコントロールを確保する必要があります。また、今日のネットワークは、ネットワークにアクセスしようとする未管理のデバイスやゲストユーザーに効率的に対処しながら、管理が困難なデバイスに対するサポートや、不正プログラムの拡散防止、アプリケーションへのアクセス・コントロール、視認性、モニタリングなどの各機能を兼ね備えている必要があります。主要なセキュリティ・コンポーネントおよびポリシーは、以下のとおりです。
- サービス品質(QoS)を保証するポリシー
- サービス拒否(DoS)、分散サービス拒否(DDoS)攻撃およびその脅威の軽減
- 企業がコンプライアンス基準を遵守していること
セキュリティポリシーはすべて集中管理し、遠隔地に適用されなければなりません。
• 統合型通信̶PoE技術を利用したVoIP電話の配備や、ビデオ会議、VODアプリケーションによるWebベーストレーニングを同一LANインフラストラクチャ内で提供する必要があります。これらのサービスを提供するためには、データを論理的に分割させる必要があるためです。また、レイテンシ/ジッター、データの損失に繊細なVoIP、ビデオトラフィックなどをデータトラフィックよりも優先させ、確実に配信するために、QoSポリシーの導入も必要です。
Copyright © 2010, Juniper Networks, Inc. 5
設計ガイド - キャンパスLAN
• ハイパフォーマンス̶キャンパス内では、LANと同様のアプリケーション・パフォーマンスを常に提供する必要があります。LANのアクセスレイヤーでは、ある程度のオーバーサブスクリプションは一般的ですが、LANのアグリゲーション・レイヤーおよびコアレイヤーにおいては、ラインレート・パフォーマンスを実現することが求められます。
• 高可用性̶今日のキャンパスLAN環境では、ダウンタイムの発生は許されません。公衆交換電話網(PSTN)が提供するサービスレベルを目標として、少なくとも99.999%の信頼性を実現する必要があります。高可用性は、LAN設計全体において不可欠です。ダウンタイムの低減と運用コストの削減を実現するためには、コスト効率性に優れ、豊富な機能や高い信頼性を備えるとともに、集中管理機能を提供できるネットワーク機器やソフトウェアが必須です。さらに、堅牢性と信頼性に優れたコネクティビティも求められます。また、統合型通信などの新しい技術を導入するには、高性能かつ最適化された常時接続ネットワークがエンド・ツー・エンドで機能していることが必要です。
• 集中管理̶キャンパスLANでは、あらゆるネットワークスイッチやファイアウォール、ルーター、VPN、侵入検知防御システム(IDS/
IPS)対応デバイスなどを集中管理するサービスが不可欠です。集中管理ソリューションを導入することによって、ネットワークデバイスの設定や管理に必要な時間とコストを削減できます。さらに、ネットワーク・トラフィックをより簡単に分析できるようになるため、ネットワーク・パフォーマンスの最適化にもつながります。
上記の各項目については、以下で詳細に説明します。また必要に応じて、特定のサービスや機能に関する検討事項や課題についても解説します。
適用範囲本設計ガイドは、キャンパスのアーキテクトやエンジニアが近代的なキャンパスLANを設計する上で役立つ、実践手法やテクノロジー、製品などを提案するものです。
また、変化し続けるキャンパスのニーズに関する情報を提供するとともに、キャンパスのアーキテクトやエンジニアに向けて、実践手法やテクノロジー、設計上の検討事項なども提示します。さらに、ジュニパーネットワークスのインフラストラクチャ・ソリューションが提供する革新的なオペレーティング環境によって、企業がどのようにネットワークの経済性を向上させることができるか、また、今日そして未来における収益をどのように増大し、生産性を向上させることができるかについて説明します。
キャンパスLAN設計に関する検討事項現在、新しいキャンパスLAN設計の必要性が高まっているのは、従来のソリューションでは、上記で挙げた重要な要件に対応できず、コスト削減や運用の合理化も難しいからです。また、新しいLAN設計には、全体を再設計する必要なく、新たなコンピューティング・トレンドへの対応や新たなネットワークサービスの導入が実現できる拡張機能も求められます。以下のセクションでは、このような要件に対応する近代的なキャンパスネットワークの設計について、最近のトレンドと技術上の検討課題について簡単に説明します。検討内容は、ジュニパーネットワークスのソリューションだけでなく、ベンダーを問わず、あらゆるキャンパスのネットワーク設計にも同様に適用できます。
エンタープライズ環境におけるコンピューティング・トレンド
キャンパスLAN設計においては、上記で述べたサービス以外にも、以下のトレンドを考慮する必要があります。
• 統合型通信の拡大
近年、音声、動画、データサービスなどをはじめとする統合型通信を導入する企業が増えてきています。米国の調査会社Forrester
Researchが2006年に発表した報告によると、北米の全企業のうち46%がIP電話システムを導入しており、39%がリモートユーザーとの通信でVoIPを使用していることが明らかになりました。この傾向はキャンパスLANに求められる高性能性、高可用性の要件に直接影響を与えるものです。たとえば、十分なLAN/WAN帯域の確保が不可欠となるだけでなく、効率的なVoIP通信サービスを提供するためにトラフィックの識別、クラス分けや優先順位の決定を行うQoSルールも必要になります。
• 大量の帯域幅を必要とするアプリケーション
統合型通信の拡大により、これまで以上の帯域幅が必要になるのに加え、最近では、OracleやSAP、PeopleSoftなどといった一般的なビジネス・アプリケーションのWeb対応バージョンが続々と発表されています。こうしたアプリケーションは、LANベースのものと比べて10倍以上の帯域幅が必要な場合もあり、パフォーマンスや信頼性、可用性に対して深刻な影響を与えかねません。通常、ネットワークの使用率が低い時間帯にローカルサーバーへのデータのバックアップをスケジュールすることが推奨されていますが、このようなネットワークサービスが帯域幅を消費してしまう可能性もあります。
6 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
• ユーザーの生産性
現在ではビジネス処理の大半がオンラインで実行されるため、企業LANはビジネスの成長と革新を実現する上で不可欠な要素となりました。そのため、LANでダウンタイムが発生したり非効率な状態が続いたりすると、企業の収益にも悪影響が及びます。しかし裏を返せば、Information Week(2007年)に書かれているように、ネットワーク・パフォーマンスを向上させれば、ビジネスの生産性も向上できるということです。したがって、生産性を最大化するためには、ネットワークに無線対応やリモートアクセスなどといったサービスが備わっている必要があるのです。
• セキュリティの重視
アメリカFBIとCSIが共同で行った調査によると、2006年には、調査対象となった全企業の72%で、何らかのセキュリティ上のトラブルが少なくとも1件発生していることがわかりました。そして、内外からの攻撃は年々増加する一方です。Forrester Researchが2006年に実施した調査で、全企業のうち57%が最優先課題として「セキュリティ環境の向上」を挙げているのも当然の結果でしょう。多くの企業が重要なビジネスプロセスを分散させる傾向にあることや、統合型通信の普及によってセキュリティ上の弱点が増える可能性を考えると、堅牢なセキュリティに対するニーズがさらに高まることは容易に予測できます。ユーザー・アクセス・ポリシーも必要になるでしょう。
• 無線サービスへのニーズの高まり
より良いビジネス上の意思決定を行うために不可欠な要素の1つとして、重要な情報およびリソースへ常にアクセスできることが挙げられます。現代の企業では、社員がミーティングにノートパソコンを持参するのが当然になっており、その際にすべてのアプリケーションやデータストア、リソース、サービスに無線アクセスできることが期待されます。またキャンパス内のどこでも無線サービスが利用可能であるだけでなく、携帯電話のローミングサービスと同様に、ユーザーがキャンパス内を移動してもサービスが中断されないことも必要です。そのような無線サービスを提供することによって、ユーザーがプレゼンテーションや予算予測の発表の際に必要となる資料にアクセスし、集中サーバーからダウンロードして、会議室に到着するまでの間にノートパソコンで準備を完了できるようになります。また、キャンパス内のどこにいてもWi-Fi電話で通話することも可能になります。
無線サービスや無線アクセスは、常にセキュアでなくてはなりません。請負業者やパートナー、ゲストユーザーなどに対して異なるレベルの無線アクセス権を設定し、適切なレベルのサービスを提供しつつ、リソースに対するアクセスを適宜制限することが重要です。
• サーバーの集中管理とデータセンターの統合
Forrester Researchが2007年に実施した調査報告では、全企業の51%が、重要な優先課題としてサーバーの集中管理を挙げていることが明らかになりました。またGartnerによる2007年の報告書において、企業内サーバーの大半はリソースの20%程度しか利用されていないことがわかっています。リソースをより効率的に活用するためには、仮想化などの新しいテクノロジーが必要です。また、多くのキャンパスでは、より高度なレベルのセキュリティや、帯域幅の最適化、トラフィックの優先順位づけなどの機能を備えたローカルサーバーの設置も必要でしょう。
さらなるコスト削減や運用の簡略化、そして規制ガイドラインへの準拠などを進めるために、データセンターの統合を行う企業が増えています。米調査会社Nemertes Researchが2006年に発表した報告によると、インタビューを実施した全企業の91%が規制順守の制約を受けており、そのうち50%を超える企業が最近12か月以内に、分散していた多数のデータセンターを数箇所の大規模なデータセンターに統合し、今後12か月以内にさらなる統合を進める予定だということが明らかになりました。
集中管理を行うにあたっては、ノンストップの運用を保証する高可用性要件に加え、待ち時間やセキュリティに関する課題も新たに発生します。キャンパス内のオンラインで運用可能な状態を維持するために必要な時間とリソースを削減するためには、集中管理ソリューションを導入することも必要です。
インフラストラクチャ・ソリューション
現在のキャンパスにおけるネットワーク・インフラストラクチャでは、もはや上記のような要件を満たすことはできません。キャンパスネットワークにおいて増加し続ける機器やサービスに対応するためには、コストの高いレガシー機器や、高度な技術を要するITリソースなどを追加するのではなく、より統合的な新しいキャンパスソリューションが必要です。
ジュニパーネットワークスは、こうした課題に対応すべく、業界でも定評のあるキャンパス向けIPインフラストラクチャを提供し、キャンパスユーザーの生産性を維持するだけでなく、さらに向上させるために必要なパフォーマンスや拡張性、柔軟性、セキュリティ、インテリジェンスを実現します。また、あらゆるキャンパスのニーズを満たすことのできる柔軟な構成を低価格で提供すると共に、ファイアウォールやジュニパーネットワークス適応型脅威管理ソリューション(AdTM)、VPN、MPLS(Multiprotocol Label Switching)、IPv6、CLNS(Connectionless Network Service)などを始めとするサービスによって高性能なスループットを実現しています。
Copyright © 2010, Juniper Networks, Inc. 7
設計ガイド - キャンパスLAN
図1:高可用性を実現するキャンパスLAN構成
キャンパス・アーキテクチャ概要
階層型アプローチ
企業のキャンパスLANアーキテクチャは、アクセスレイヤー上にあるワイヤリング・クローゼットのスイッチに接続されたデスクトップ機器から、大規模なキャンパスLANの中心部にあるコアレイヤーに至るまで、最大3つのレイヤーで構成することができます。階層的なトポロジーによってネットワークを物理的な構成要素にセグメント化することで、運用が簡素化され、可用性も向上します。階層的なインフラストラクチャにおいては、各レイヤーがそれぞれ特定の役割を担っています。
図2:階層型アプローチ
• アクセスレイヤーは、キャンパス内のエンドユーザーに対してアクセス・コントロールの境界を提供し、ネットワークのコネクティビティを実現します。
• アグリゲーション・レイヤーは、複数のアクセスレイヤーのスイッチからの接続とトラフィックフローを集約し、コアレイヤーのスイッチにトラフィックを提供して、主要な機能を実行する周辺環境を実現します。
• コアレイヤーは、アグリゲーション・レイヤーのスイッチとWANおよびインターネットへ接続するルーター間において、セキュアなコネクティビティを提供し、企業間の連携を実現します。
本書では主に、キャンパスネットワークにおいて以上の3つのレイヤーをどのように配備するかについて説明します。また、関連する事項についても、必要に応じて説明します。たとえば、キャンパス構成によっては、1つまたはそれ以上のレイヤーを省略する場合もあります。
MシリーズEX8200シリーズ
Mシリーズ
SBRシリーズ
EX8200シリーズEX8200シリーズ
ISGシリーズSAシリーズアクセスポイントOAC
ICシリーズ
EX4200シリーズ
EX4200シリーズ
EX4200シリーズ
EX2200/EX3200シリーズ
インターネット/プライベートWAN
本社
OAC
アクセスレイヤー – 10/100/1000BASE-T
アクセスレイヤー – 10/100/1000BASE-T
アグリゲー
ション・レイヤー – 10 GbEファイバー
アグリゲーショ
ン・レイヤー – GbE and 10 GbE LAGファ
イバー
コアレイヤー - 10 GbE
コアレイヤー – 10 GbE LAG
デバイスのコネクティビティ
データセンターのコネクティビティデータセンター
キャンパス
WAN(複数SPS)
8 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
階層型アプローチのメリットと課題
多層アーキテクチャは、迅速かつ経済的に拡張可能なモジュール設計を提供するため、簡単にネットワーク構成を行うことができます。また、再設計することなく、新しいサービスを追加することのできる柔軟なネットワークを構築することが可能になります。さらに、トラフィックを分離し、負荷を各デバイスに分散できるため、トラブルシューティングを簡素化することができます。
3つのレイヤーでネットワークを構成するアプローチを採用するには、一般的に追加のハードウェアが必要となります。小規模のキャンパスにおいては構成、配備、管理にコストの負担がかかる可能性があるため、1つまたはそれ以上のレイヤーを省略することも可能です。
注: 本書は主に、3階層型のLAN設計を対象としていますが、アグリゲーション・レイヤーとコアレイヤーを統合した2階層型の設計についても説明します。非常に規模の小さいキャンパスのLAN設計を行う場合は、「ジュニパー拠点/支店LANデザインガイド」に記載の、複数のレイヤーを省略するLAN設計に関する記述を参照してください。
従来のネットワークは、帯域幅やスループット、ポート密度などの高まるばかりの要件に対応するために、非効率的かつ不向きなレガシーハードウェアを何層も追加し、肥大化していく傾向にありました。その結果、これらのニーズに結局対応できないばかりか、管理もより複雑になり、ネットワークの可用性が低下したり、設備投資や運用コストが増大するなどといった問題も発生していました。
ネットワーク革命
ジュニパーネットワークスは、進化し続けるスイッチ市場に新規参入するために、これまでに学んだ教訓と幅広い経験を活かし、現時点で表面化している課題だけでなく、将来の成長拡大にも対応できるような新しいイーサネットスイッチ製品シリーズとネットワーク・ソリューション設計を開発しました。これらの新製品は、不必要なネットワークレイヤーを排除するように設計されており、高可用性や通信の集約化、統合セキュリティ、高い運用効率などを実現するプラットフォームを提供します。ジュニパーネットワークスのソリューションによって、ネットワークを簡素化しつつもその価値を高め、かつ運用コストを削減することが可能になります。つまり、ネットワークの原理の向上と経済性の向上を同時に実現できるのです。
実装:アクセスレイヤーキャンパスネットワークのアクセスレイヤーは、コンピュータやプリンター、IP電話、CCTVカメラなどの機器を有線または無線LAN
(WLAN)のアクセスポイント経由で企業LANに接続し、エンドユーザーに向けてネットワーク・コネクティビティを提供します。アクセスレイヤーのスイッチは通常、各キャンパス施設内の各フロアに配置されたワイヤリング・クローゼット内に配置されます。
図3:高可用性キャンパスLANにおけるアクセスレイヤー
アクセスレイヤーは、ポリシーサービスやネットワーク・アクセス・コントロールによって、コネクティビティやPoE(Power over
Ethernet)、QoS、セキュリティなどを提供します。
アグリゲーション・レイヤー
コアレイヤー
L2/L3スイッチ
L2/L3スイッチ
L2/L3スイッチ
L2/L3スイッチ
L2スイッチ
L2スイッチ
アクセスレイヤー
インターネット/プライベートWAN
Copyright © 2010, Juniper Networks, Inc. 9
設計ガイド - キャンパスLAN
アクセスレイヤー設計に関する検討事項
有線ポートのコネクティビティ
ポート要件に対応するためにはまず、あらゆるコンピュータやIP電話、CCTVカメラ、無線LANアクセスポイント、各種IPデバイスに対して十分な数の有線ポートを用意する必要があります。次に、必要な論理セグメントや、1つのLANを共有する論理的に異なるネットワークの数を決定しなくてはなりません。アクセスレイヤーのスイッチは拡張性と高可用性を備えている必要があり、また、アグリゲーション・レイヤーのスイッチに対して、過剰供給されたために使用されていないギガビットイーサネットまたは10ギガビットイーサネットのアップリンクを提供する必要があります。これらの条件をもとに、必要なハードウェア構成の種類を決定します。
WLANのコネクティビティ
会議室やオフィス外で会議に参加する社員や、請負業者、パートナー、ゲストにとって、キャンパス内のどこでも無線アクセスができるのが理想です。現在では、さまざまな種類のIP機器が販売されており、実際に職場でも使われています。そのような機器は、特に身元が不明なゲストが使用する場合が多く、包括的なセキュリティポリシーによって、信頼できるデバイス以外はキャンパスネットワークにアクセスできないようにする必要があります。また、特に請負業者、パートナー、ゲストなどに対してLANリソースの利用を制限し、認証されたユーザーだけが利用できるようにすることも必要です。さらに、ユーザーがキャンパス内のどの場所からでも同じように確実にログインできるように、シームレスなサービスの提供も不可欠です。
柔軟かつローミング可能な無線ソリューションを実現する設計は、主に2種類あります。
• コントローラを使用しない無線アクセス̶この設計では、スイッチへのアクセスポイントとして802.1qトランクが必要です。ローミングには、アクセスレイヤーのスイッチ間で、2つ以上のVLANをスパンする必要があります。
• コントローラを使用した無線アクセス̶この設計では、仮想化された集中型無線コントローラを使用します。アクセスポイントのVLANは、アクセススイッチに対してローカルに配置します。ローミングを行うために、キャンパスネットワーク内でVLANをスパンする必要はありません。
図4:柔軟かつローミング可能な無線アクセスソリューション
PoE(Power over Ethernet)
現在では、多くのキャンパスでIP電話が使用されていますが、IP電話のほとんどはPoE機能を必要とします。また、PoE対応のセキュリティカメラやWLANデバイスを導入しているキャンパス施設も増えています。システム構成は、PoEポート数によって左右されるため、その数を正確に把握する必要があります。アクセス機器によってはPoE機能を備えていない場合もあるため、その場合は従来の壁面コンセントを使用するIP電話やCCTVカメラ、WLANアクセスポイントなどを使用する必要があります。また、PoEポート数だけでなく、各ポートに接続されている機器が必要とする電力レベルの確認も必要です。PoE機能を必要とする機器の多くは、最大で15.4ワットを使用します。これは、クラス3のPoEの最大許容値です。
アグリゲーション
アクセス
コアへ
無線コントローラ
無線VLANs
L2/L3スイッチ
L2/L3スイッチ
無線OAC 無線OAC
L2/L3スイッチ
L2/L3スイッチ
アクセスポイント アクセスポイント
10 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
しかし、高性能なパンやチルト、ズーム機能、IEEE802.11n規格に対応したWLANアクセスポイント機能などを搭載したセキュリティカメラなど、一部の機器では、15.4ワット以上のPoEが必要な場合もあります。
バーチャルLAN(VLAN)とスパニング・ツリー・プロトコル(STP)
キャンパスLANはVLANを使用して、場所に関係なく、ユーザーやデバイス、データなどを論理的にグループ化し、論理ネットワークに割り当てます。その際、LAN上で物理的に機器を再配置するのではなく、ソフトウェア構成を変更します。VLANを採用することにより、拡張性やセキュリティ、ネットワーク管理などの課題に対応しやすくなります。
VLANは、実質的に定義済みスイッチ内にのみ存在する、レイヤー2のブロードキャスト・ドメインです。パケットは、IEEE 802.1Q標準のプロトコルを使用してカプセル化され、ユニークなVLANタグでマーキングされます。タグ付きパケットは、同じVLAN内のステーションにのみ転送または送信されます。同じVLANに属さないステーションにタグ付きパケットを送信するには、ルーター経由で転送する必要があります。スイッチおよびスイッチポートはすべて、動的または静的にVLANにグループ化することが可能です。また、トラフィックをVLANにグループ化し、LAN上で送信される特定のデータプロトコルに基づいて特定のポート経由で転送することも可能です。たとえば、ソフトフォンからのVoIPトラフィックを他のトラフィックからセグメント化して、より高いQoSを実現するVLAN上に配置することもできます。
• スパニング・ツリー・プロトコル(STP)
VLANは、ネットワークノード間で複数のアクティブパスを作成する場合があるため、ブリッジループの問題が発生するおそれがあります。複数のポート上に同じMACアドレスが存在することから、スイッチのフォワーディングテーブルに障害が発生する可能性もあります。また、ブロードキャスト・パケットがスイッチ間でエンドレスに転送され続ける可能性があり、その場合、使用可能な帯域やCPUリソースをすべて占有してしまいます。IEEE 802.1D標準であるSTPは、ブリッジ接続されたすべてのLANに対してループフリーのトポロジーを保証します。STPは、接続されているLANスイッチのメッシュネットワーク内で最初にツリーを作成してから、そのツリーに属さないリンクを無効にすることで、2つのネットワークノード間にアクティブパスを1つだけ残すように設計されています。そのため、アクティブなリンクに障害が発生した場合でも、自動的にバックアップパスを提供する冗長リンクを含むようにネットワークを設計することが可能です。したがって、ブリッジループが生じる危険性や、バックアップリンクを手作業で有効/無効にする必要もありません。VLANはそれぞれ、STPのインスタンスを個別に実行可能です。
• STPの問題点
ルーティングが複雑な場合や、コンフィグレーションや配線が誤っている場合は、STPでのトラブルシューティングが困難になることがあります。また、パケットはすべて、スパニングツリーのルートブリッジを経由する必要があるため、ルーティングのパフォーマンスが不十分になる場合があります。さらに、負荷分散機能がなく、活用されないリンクが作成される場合も多々あります。加えて、トポロジー変更後のコンバージェンスに時間がかかり、最大30~50秒を要します。こうした問題に対処するために作成されたのが、サブセカンド・コンバージェンスを提供するラピッドSTP(RSTP)です。802.1s標準であるマルチプルSTP(MSTP)は、複数のSTPインスタンスを同時に実行できますが、コンフィグレーションが複雑になるという欠点があります。
アクセスレイヤーにおけるレイヤー2またはレイヤー3の使用
アクセススイッチは、レイヤー2またはレイヤー3のいずれかを使用するように構成されています。
図5:アクセスレイヤーでレイヤー2/レイヤー3を使用
レイヤー3
レイヤー2
L2/L3スイッチ
L2/L3スイッチ
WANレイヤー
アグリゲーション・レイヤー
アクセスレイヤーでレイヤー3を使用
アクセスレイヤー
L2/L3スイッチ
レイヤー3
レイヤー2
アクセスレイヤーでレイヤー2を使用
L2スイッチ
Copyright © 2010, Juniper Networks, Inc. 11
設計ガイド - キャンパスLAN
• アクセスレイヤーでレイヤー2を使用した場合
アクセスレイヤーでレイヤー2を使用するのは、従来型のコンフィグレーションです。このため、プラグ・アンド・プレイのコンフィグレーションを提供でき、小規模なネットワークでも実装や管理などが簡単です。
とは言え、レイヤー2の使用には、さまざまな課題も伴います。通常、STPが必要となるため、一方がアクティブで、もう一方が冗長という複数の接続が発生します。また、OSPFでレイヤー2とレイヤー3との境界を設定すると、複数の故障分離ドメインが追加されるため、ネットワークの構成や管理がさらに複雑化します。また、トラブルシューティングも困難になりがちです。さらに、スイッチやリンクに障害が発生した場合に、コンバージェンスに時間がかかりすぎるため、キャンパスLANの高可用性が保証できなくなる可能性があります。
• アクセスレイヤーでレイヤー3を使用した場合
アクセスレイヤーでレイヤー3を使用する場合は、スイッチでのルーティングが可能ですが、別のVLAN上にユーザーを配置する機能も提供できます。レイヤー3はより確定性があります。レイヤー2のループがこの設計上で作成されることはありません。レイヤー3
は、アクセススイッチからアグリゲーション・レイヤーへのアップリンク側に構成し、レイヤー2は、デバイスへのアクセススイッチ側に構成します。STPを有効にすると、不用意なループを防止することができます。また、STPを無効にしてブリッジ・プロトコル・データ・ユニット(BPDU)の保護を有効にすると、トラブルシューティングがより簡単になります。STPを無効にした状態で、OSPFなどのオープンスタンダード・プロトコルを使用して、サブセカンド・コンバージェンスを行うことも可能です。大規模で複雑なネットワークの場合は、アクセスレイヤーでレイヤー2を使用するソリューションと比べて、メンテナンスの手間が少なくて済みます。ただし、レイヤー3を使用する場合は通常、追加のライセンス料が発生するため、従来型のネットワーク機器を使用する場合はコストが高くなります。
• 推奨事項
競合他社の製品とは異なり、ジュニパーネットワークスのソリューションは、アクセスレイヤーでレイヤー2およびレイヤー3のどちらを使用しても追加コストがかかることはありません。レイヤー3の機能は、ベースとなるJunos® OSライセンスに組み込まれているため、ライセンス料金が追加で発生することはありません。また、ジュニパーネットワークスのソリューションは、STPの代わりに、OSPFなどのオープンスタンダード・プロトコルを採用しており、等価コストマルチパス(ECMP)によって迅速なコンバージェンスを実現します。バーチャルシャーシ・テクノロジーを搭載したジュニパーネットワークスのEX4200イーサネットスイッチを使用したLAN設計では、STPの代わりに最適化を実現した冗長トランクグループ(RTG)プロトコルを内蔵しているため、サブセカンド・コンバージェンスや自動化された高性能な負荷分散などが可能になります。さらに、Lake Partners1が2007年に発表した調査結果によると、ジュニパーネットワークスのソリューションを導入した場合の運用コストは、競合他社のソリューションと比べて最大で29%
も低いことが明らかになりました。また、バーチャルシャーシ・テクノロジーを搭載したジュニパーネットワークスのスイッチ製品は、デバイス管理も簡単なため、競合他社と比べてCAPEX(設備投資)やOPEX(運用コスト)を削減することが可能になります。
統合型通信の導入における検討事項
1つのネットワーク・インフラストラクチャ上で音声や動画、データを配信すれば、コストを大幅に削減できるだけでなく、運用を簡素化できるというメリットも生じます。また、通信コストや、ネットワークのTCOの削減も可能な上、ネットワーク管理やメンテナンス業務も簡素化できます。しかしその一方で、QoSやセキュリティ、ポート設定要件など、ネットワークに関連したさまざまな課題も発生します。
統合型通信では、大半のデータアプリケーションには不要とされている、リアルタイム要件が発生します。たとえば、VoIPパケットは、ネットワークの利用率が高い場合や過密状態にあっても、高品質の音声通信を実現するためにLAN/WAN内を効率的に伝送する必要があります。LANやWANの帯域幅を追加することもできますが、それだけでは音声配信に適したネットワーク環境にはなりません。高品質のVoIP通信を保証するためには、QoSキューイングやスケジューリングによって、レイテンシやジッター、パケットロスなどの一般的な課題を解消しなくてはならないのです。確実な設計を実現するためには、アクセスベースのセキュリティ対策だけでなく、IP電話の導入に伴って発生するポート密度やPoEといった要件への対応も不可欠となります。
1. QoS
アクセスレイヤーのデバイスは、パフォーマンスを最適化、つまりQoSを保証するめに、LAN上のトラフィックの認識や分類、キューイングなどの機能を備えている必要があります。認識されたトラフィックを適切に割り当てて管理することによって、統合型通信などの各アプリケーションがLAN全体で十分なパフォーマンスを発揮できるようになります。
• クラス分け機能とエンフォースメント
QoS要件は、LAN上のデータフローの種類によって異なります。Webブラウザや電子メールなどを始めとする従来のアプリケーションについては、IPネットワークのベストエフォート型の送信基準で問題なく機能します。ただし、音声の送信やテレビ会議など、さまざまなリアルタイム・アプリケーションを効果的に実行するためには、さらなる要件を満たす必要があります。たとえば、リアルタイムの音声データは、ストリーミングビデオとは異なり、キャッシュに格納したり、損失したパケットを再伝送することができません。音声データの大幅な遅延が発生することで通信の質が損なわれてしまい、カスタマー・エクスペリエンスが著しく低下する可能性があるためです。したがって、QoSポリシーを作成する場合には、音声パケットを最優先に考慮する必要があります。
12 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
IP電話などの通信機器は通常、LAN上で物理的に散在しています。前述のように、VLANは、場所に関係なく音声やテレビ会議、データトラフィックなどを論理VLANにセグメント化することができるため、適切なQoSパラメータを簡単に適用し、各データフローに対する最適なサービスを維持することが可能です。
QoSを実現するには、MACアドレスやIPアドレス、物理ポート、プロトコルなどを組み合わせてデータをクラス分けします。たとえば、特定のLANセグメントに接続されているIP電話のブロックは、IP電話のポート番号に基づいて音声伝送用として指定されたVLAN上に配置することができます。または、LLDP-MEDを使用してIP電話を検知し、自動的にVLAN上に配置することも可能です。さらに、ソースポートに関係なく音声データを最優先に設定することで、ソフトフォンからのトラフィックをプロトコルレベルで分析することもできます。DSCPに基づき、データが適切にクラス分けされたら、次にキューイングとスケジューリングを実行します。最も重要なのは、LAN/WAN全体で同じQoSルールを一貫して適用することです。
• 組み込み式QoS
ジュニパーネットワークスのインフラストラクチャやセキュリティ、アプリケーション・アクセラレーション・ソリューションにはすべて、QoSおよびCoS(Class of Service)機能が組み込まれています。ジュニパーネットワークスのスイッチおよびルーターにはすべてJunos OSが搭載されています。Junos OSは、標準仕様としてQoSサービスをフル装備しています。たとえば、EXシリーズ イーサネットスイッチは、1ポート当たり8個のハードウェアキューに対応でき、ベストエフォート型の配信から、高度かつ確実な配信まで、幅広いポリシングを提供しています。ジュニパーが提供するすべてのルーターおよびスイッチ・ソリューションに同じJunos OSが採用されているため、LAN/WAN設計全体においてQoSポリシーを統一することが可能です。したがって、一貫性のあるトラフィック管理が簡単に実現できます。さらに、ジュニパーの全ソリューションで採用されているASICはQoSに対応しているため、優先順位が高く設定されたデータを処理し、CPU負荷を最小限に抑えることが可能です。
注: VoIP QoSの詳細については、ジュニパーネットワークスの「VoIP on the WAN: It’s a Matter of Priorities」(2005年8月出版番号351113-001)を参照してください。
2. セキュリティ
データネットワークに統合型通信を導入すると、セキュリティの脅威が増え、サービスに深刻な影響を及ぼす可能性があります。したがって、ネットワーク外部からの悪意のある攻撃や、ネットワーク内からの不注意による攻撃などを防御する必要が生じます。今日では、新たな手法による通話料金詐欺や、傍受などを始めとする新しいセキュリティ脅威が続々と検出されています。新しいエントリーポイントが作成され、VoIPシステムに不正侵入されると、企業LANへのバックドアができてしまいます。その結果、企業LANはウィルスやワーム、DoS攻撃、不正アクセスなどあらゆるセキュリティリスクにさらされてしまうのです。そのため、VoIPソリューションを配備する際は、他のネットワーク・アプライアンスの場合と同様に、デバイス自体のセキュリティを確保するだけでなく、VoIPを配備することによって生じるネットワーク全体へのリスクについても把握する必要があります。VoIP関連の攻撃や一般的な侵入を阻止するためには、ジュニパーネットワークスのIDPシリーズ 侵入検知防御アプライアンスが最適です。また、802.1Xソリューションを導入し、ポリシーベースのアクセスによってエンドポイントの認証と管理を行う必要があります。802.1XクライアントをサポートしていないVoIP電話を使用する場合は、MACベースの認証機能を備えたEXシリーズのスイッチの利用をお勧めします。また、プロトコルに特化したALG(Application Level Gateway)機能を全ファイアウォールに設けて、VoIP通話のたびにポートを動的に開閉する手法も効果的です。
脅威への対処
DDoS攻撃など外部からの侵入者やその他の脅威を防御するためには、アクセスレイヤーに統合セキュリティ機能を装備することが不可欠です。まず、ユーザー認証とウィルスチェックを実施し、その後、誰がどのネットワークリソースにアクセス可能かを決定するエンド・ツー・エンドの綿密なセキュリティポリシーを実行するなど、セキュリティ機能の強化が必要です。さらに、ビジネスプロセスを確実に実行するためにQoSポリシーの設定も必要となります。
モジュール型シャーシテクノロジー
キャンパスLANは、新たな設備投資やネットワーク・オーバーヘッド、運用コストなどをあまり発生させずに、成長や新しい技術に迅速かつシームレスに対応できる必要があります。そのような課題を解決するためには、アクセスレイヤーにモジュール型シャーシソリューションを導入することをお勧めします。
Copyright © 2010, Juniper Networks, Inc. 13
設計ガイド - キャンパスLAN
モジュール型ソリューションは、オプションとしてコスト効率の高いPoE機能を備えた、高密度かつ高速なポートを提供することが理想的です。また、モジュール型シャーシはそれぞれ、高速のアップリンク接続を提供し、従来のシャーシベースのソリューションと同様の高可用性を実現する必要があります。さらに、複数のスイッチを単独のバーチャルシャーシとして構成し、一括して管理できることも必要です。これにより、高可用性の向上とともに、設備投資や運用コストの大幅な削減も可能になります。
アクセスレイヤー・ソリューション
バーチャルシャーシ・テクノロジーを搭載した拡張可能なアクセスソリューション
ジュニパーネットワークスは、拡張性の高い革新的なアクセスソリューションとして、バーチャルシャーシ・テクノロジー搭載のEX4200
イーサネットスイッチを提供しています。このソリューションは、コンパクトでコスト効率の高い「pay-as-you-grow(成長に応じた投資)」プラットフォームにおいて、モジュール型シャーシの高可用性と高ポート密度を実現することにより、ネットワークの経済性を高めます。
1. 特長・メリット
EX4200スイッチはコンパクトな筐体の中に、24ポートの100BASE-FX/1000BASE-X、24ポートの10/100/1000BASE-T、48ポートの10/100/1000BASE-Tのいずれかを備えています。10/100/1000BASE-Tプラットフォームでは、すべてまたは一部のポートにPoE機能を搭載しています(一部の場合は、スイッチの最初の8ポートがPoEに対応しており、すべての場合は全24ポートまたは48ポートがPoE対応)。各PoEポートは、最大電力15.4ワットを供給し、クラス0~3のIP電話に対して互換性を備えています。また、EX4200シリーズ スイッチはLLDP-MED機能を搭載しており、各PoEエンドポイントの電力管理を自動化したり拡張できるだけでなく、インベントリ管理やディレクトリの作成もサポートします。
EX4200イーサネットスイッチはオプションとして、4ポートのギガビットイーサネットまたは2ポートの10ギガビットイーサネットのいずれかに対応可能な、フロントパネルのアップリンクモジュールをサポートしているため、アグリゲーション・スイッチまたはコアスイッチへの高速接続が可能です。これらのアップリンクは、オンラインでの追加や削除にも対応しています。
図6:バーチャルシャーシ・テクノロジー
2. Pay-As-You-Grow(成長に応じた投資)による拡張性
EX4200イーサネットスイッチはジュニパーネットワークスのバーチャルシャーシ・テクノロジーを採用しているため、必要に応じてキャンパスにいくつでも追加することが可能です。それによって、コネクティビティ要件を満たすことができます。ジュニパーネットワークス独自のpay-as-you-grow(成長に応じた投資)型モデルでは、まず1台のEX4200イーサネットスイッチ(1RU)から始めて、バーチャルシャーシに段階的にスイッチを9台追加し、全部で10台になった時点で、次のバーチャルシャーシの構成を開始します。各スイッチは128Gbpsのバーチャル・バックプレーン、ギガビットイーサネットまたは10ギガビットイーサネットのアップリンクモジュール、最大で240ポートの100BASE-FX/1000BASE-Xまたは480ポートの10/100/1000BASE-Tもしくはこの2種類の組み合わせをサポートするフル装備のバーチャルシャーシ構成、さらに最大で20個の10ギガビットイーサネットのアップリンクポートまたは40ギガビットイーサネットのアップリンクポートもしくはこの2種類の組み合わせによって相互接続されています。
バーチャルシャーシ・テクノロジーを採用することで、相互接続されているスイッチのグループを、ネットワーク上で1つのユニットとして遠隔管理でき、従来のシャーシシステムと比べて設備投資や運用コストを大幅に低減することが可能になります。バーチャルシャーシ構成がもともとコンパクトであることに加え、段階的に拡張可能な「Pay-As-You-Growモデル」を活用することにより、キャンパス内のラックスペースの使用面積を直接的に低減できるだけでなく、電力コストや冷却コストの削減も実現できます。予算に限りのある小規模なキャンパスの場合は、ジュニパーネットワークスEX3200イーサネットスイッチもお勧めです。バーチャルシャーシ・テクノロジーは搭載されていませんが、それ以外には、EX4200とほぼ同等の堅牢性を備えています。
EX4200シリーズEX4200シリーズ
EX4200シリーズ
EX4200シリーズ スイッチ1ラックユニット
48ギガビットイーサネット+ 10ギガビットイーサネット
×2ポート
EX4200シリーズ スイッチ2ラックユニット
96ギガビットイーサネット+10ギガビットイーサネット
×4ポート
EX4200シリーズ スイッチ4ラックユニット
192ギガビットイーサネット+10ギガビットイーサネット
×8ポート
レガシースイッチ12-15ラックユニット(RU)
48-288ギガビット イーサネットポート+4
14 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
3. キャリアクラスの信頼性
バーチャルシャーシ・テクノロジー搭載のEX4200スイッチは、モジュール型シャーシをベースにしたシステムと同等の高可用性を備えています。各スイッチは、負荷分散機能を備えたホットスワップ対応冗長AC/DC電源と、冗長ブロア付きでフィールド交換可能なホットスワップ対応ファントレーを装備しており、万一障害が発生した場合でも、運用に支障が出ることはありません。
バーチャルシャーシ・テクノロジーは、バーチャル・バックプレーン・プロトコルとJunos OSを活用し、優れた性能を備えたデバイスと、高可用性リンクを実現します。相互接続された各スイッチセットは、バーチャルシャーシ・テクノロジーを搭載しているため、複数のルーティングエンジンに備わったグレースフル・ルートエンジン・スイッチオーバー(GRES)機能とノンストップ・フォワーディング(NSF)機能を自動的に活用でき、万が一個別のスイッチが故障した場合でも、運用が中断されることはありません。デバイスや高可用性リンクを追加する際にも、バーチャルシャーシを構成することで、あらゆる要件に対応することが可能になります。たとえば、10個のスイッチで構成されているバーチャルシャーシをスイッチ5個ずつからなる2つのバーチャルシャーシに再構成するなど、組み合わせを自由に変更することもできます。
4. ロケーションの独立性
バーチャルシャーシ・テクノロジーのもう1つの大きな特長は、バーチャル・バックプレーン・プロトコルをオプションのギガビットイーサネットまたは10ギガビットイーサネットのアップリンクポートにも適用することで、数メートル以上離れているスイッチを相互接続できるという点です。これにより、複数のワイヤリング・クローゼットやフロア、サーバーラック、ビルなどにまたがるスイッチを1つのバーチャルスイッチとして管理できるようになります。場所が離れていても、バーチャルシャーシ・テクノロジーを利用して相互接続されたスイッチは一括して管理、監視、アップグレードなどができるため、弾力性を備えた1つのスイッチとして扱うことができます。そのため、管理コストや保守コストを大幅に削減することが可能になります。
図7:バーチャルシャーシ・テクノロジーによるCAPEXおよびOPEXの削減
EX4200シリーズ
EX4200シリーズ
L2/L3スイッチ
1階フロア
フロア
1階フロア
バーチャルシャーシ バーチャルシャーシ
フロア
西側クローゼット 東側クローゼット
西側クローゼット 東側クローゼット
スタンドアロン型またはスタッカブル型の配備
EXシリーズ バーチャルシャーシ・テクノロジーを採用した場合の配備
管理が必要なワイヤリング・クローゼットを
50%削減
L2/L3スイッチ
L2/L3スイッチ L2/L3スイッチ
EX4200シリーズ
EX4200シリーズ
Copyright © 2010, Juniper Networks, Inc. 15
設計ガイド - キャンパスLAN
5. CAPEXおよびOPEXの削減
バーチャルシャーシ・テクノロジーを搭載したEX4200は、次世代のスイッチングを実現します。ファイバー用の48ポート・ギガビットイーサネットとワイヤスピード対応の4ポート・10ギガビットイーサネットを搭載した、現在最も一般的であるシャーシベースのスイッチと比較して設置面積を6分の1に、コストを3分の1以下に削減します。
EX4200イーサネットスイッチは、競合他社のソリューションでは高コストなアドオン機能として提供されている機能を標準装備しています。たとえば、EX4200は、ベースプラットフォームにレイヤー3を備えており、10ギガビットイーサネットのアップリンク機能を内蔵しています。さらに、一部または全体においてPoE機能を提供し、内蔵型の冗長電源も装備しています。つまり、1つのプラットフォームにさまざまな機能を搭載し、コストの最適化を実現した製品なのです。設備投資に関しては、Junos OSの機能セットと遠隔ミラーリング機能を搭載しているため、中央のネットワーク・オペレーション・センター(NOC)にトラブルシューティングを全面的に任せることが可能です。つまり、メンテナンスやアップグレード、デバッグなどの際にオンサイトのITスタッフを派遣する必要がないことから、運用コストも削減できます。
ジュニパーネットワークスは、レイヤーを省略することによって、ネットワーク上のデバイス数を削減し、設備投資や運用コストの低減を実現するだけでなく、さらにバーチャルシャーシ・テクノロジーを採用することで、貴重なラックスペースや電力コスト、冷却コストなどの削減にも寄与します。また、バーチャルシャーシ・テクノロジーによって、貴重なIT予算をビジネスの生産性向上にむけた新技術への投資へ回すことが可能になります。
注: 特長やメリット、仕様などの詳細については、ジュニパーネットワークスEX4200イーサネットスイッチのデータシートを参照してください。
無線ソリューション
キャンパスにおいて無線サービスの提供を考えているお客様には、ジュニパーネットワークスのパートナー企業であるAruba
Networks、Trapeze Networks、Meru Networksが提供するセキュアなWLANソリューションをお勧めします。ソリューションはいずれも、ジュニパーネットワークスのエンタープライズ向け802.1Xアクセス・クライアント・ソフトウェア、Odysseyアクセス・クライアント(OAC)にシームレスに統合されています。OACは、ジュニパーネットワークスのOdysseyアクセス・クライアント・サーバーやSBR
シリーズ Steel-Belted Radiusサーバーなど、802.1Xとの互換性を備えたRADIUSサーバーと連動することにより、認証ユーザーだけに接続を許可して、ログインの信頼性を確保するとともに、無線リンク上で送受信されるデータのプライバシーを保護し、WLAN
ユーザーの認証と接続の安全性を確保します。OACの特別バージョンでは、米国連邦情報処理規格(FIPS)の140-2レベル1の暗号モジュールを採用しているため、政府機関のセキュリティ要件にも対応しています。またOACでは、有線と無線による802.1Xアクセスの一括導入が可能なため、時間や手間を省くことができる上、ユーザー・エクスペリエンスを簡素化し、トレーニング費用を削減することができます。そのため、IDベース(有線802.1X)のネットワークを配備する企業に最適です。
16 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
アグリゲーション・レイヤーアグリゲーション・レイヤー(分散レイヤーともいう)は、複数のアクセスレイヤー・スイッチからの接続とトラフィックフローを集約し、LANコアへの高密度なコネクティビティを提供します。
図8:高可用性キャンパスLANにおけるアグリゲーション・レイヤー
アグリゲーション・レイヤーのスイッチは、ネットワーク上におけるその位置により、拡張性、ワイヤレート対応の高密度ポート、高可用性のハードウェアおよびソフトウェア機能を備え、キャリアクラスの信頼性と堅牢性を実現する必要があります。また、冗長性を確保するためには、アクセス・ワイヤリング・クローゼットからの複数のギガビットイーサネット・ダウンリンクが必要です。コアへの10ギガビットイーサネット・アップリンクも複数確保しなくてはなりません。
アグリゲーション・レイヤーでは、決定的動作を行うために、ワイヤレートのパフォーマンスを提供する複数のスイッチを配備することで、冗長性を保証します。ルート集約や高速コンバージェンス、負荷分散、冗長パスを実行するには、スイッチはレイヤー3で動作する必要があります。
アグリゲーション・レイヤー設計に関する検討事項
セグメント化/仮想化
アグリゲーション・スイッチは、GRE(Generic Routing Encapsulation)トンネリングにも対応している必要があります。遠隔地からNOCのモニタリングデバイスへミラーリングされたトラフィックを送信することで、トラブルシューティングや分析を集中管理したり、STP関連の問題を発生させることなく独立したオーバーレイ・ネットワークを構築するためです。
分散スイッチング
新しい技術の登場に伴い、近年ネットワークの設計にも変化が生じています。管理者は常に、レイヤー3をアクセスレイヤーに押しやることなくSTPを排除する方法を模索しています。最近、コア/アグリゲーション・レイヤーに分散スイッチングを導入するという方法が注目を集めています。この方法では、冗長なデバイスが1つの論理デバイスを構成します(図9参照)。
コアレイヤー
L2/L3スイッチ
L2/L3スイッチ
L2/L3スイッチ
L2/L3スイッチ
L2スイッチ
L2スイッチ
アクセスレイヤー
アグリゲーション・レイヤー
インターネット/プライベートWAN
Copyright © 2010, Juniper Networks, Inc. 17
設計ガイド - キャンパスLAN
図9:コア/アグリゲーション・レイヤーにおける分散スイッチング
コア/アグリゲーション・レイヤーに分散スイッチングを導入することで、以下のメリットが実現できます。
• STP排除(リンク・アグリゲーション・グループを構成し、レイヤー3をアクセスレイヤーに押しやることなくSTPを排除)
• レイヤー2はアクティブ/アクティブトポロジーを構成
• 単一管理
コア/アグリゲーション・レイヤーに分散スイッチングを導入する際には、以下の点を考慮する必要があります。
• 空間冗長性の欠如
• ソフトウェア管理̶アップグレードプロセスはどのようなものか?
• シャーシ内の高可用性̶ルーティングエンジンの機能が停止した場合は、バーチャルスイッチの半分が作動しなくなる可能性はあるか?
• システムの一部の機能が停止した際のスイッチ容量̶バーチャルシステムの半分が機能停止した場合、残りの半分でその分の負担も処理できるか?
• スプリットブレイン̶システムを2つに分割した場合どうなるか?
アグリゲーション・レイヤー・ソリューション
拡張可能なアグリゲーション・レイヤー・ソリューション
高可用性キャンパスのパフォーマンス要件に対応するために、LAN設計にアグリゲーション・レイヤーを含めることで、高可用性機能や拡張性を向上させることができます。ジュニパーネットワークスのEX4200やEX8200シリーズのイーサネットスイッチは、両製品ともアグリゲーション・レイヤーで必要とされるパフォーマンスとサービスを提供します。
1. 高可用性
ハードウェア・コンポーネントの冗長性については、EX4200およびEX8200シリーズはいずれも、ネットワーク・アグリゲーション・デバイスには不可欠な冗長ルーティングエンジン、冗長スイッチファブリック、冗長電源やファンを備えています。また、いずれのプラットフォームもモジュール性、弾力性の高いJunos OSを搭載しているため、GRESなどソフトウェアの高可用性機能だけでなく、ルーティングプロトコルのグレースフル・リスタートやBFD(Bidirectional Forwarding Detection)プロトコルなども提供できます。これにより、フォワーディング操作を維持できるため、デバイス障害やリンク障害の際のダウンタイムを最小限に抑えることが可能になります。EXシリーズのプラットフォームは、ソフトウェア・ロードマップが許す限り、Junos OSのノンストップ・ルーティングやブリッジング、統合型インサービス・ソフトウェア・アップグレード(ISSU)にも対応できます。
EX4200シリーズ
EX4200シリーズ
分散スイッチング
バーチャルシャーシ バーチャルシャーシ バーチャルシャーシ
インターネット/WAN
コアレイヤー
LAG LAG LAG
アクセスレイヤー
18 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
2. 拡張可能なパフォーマンス
EX8200シリーズのモジュール式スイッチは、大規模キャンパスのアグリゲーション要求にも応えることのできる、高密度、ハイパフォーマンスかつパワフルな10ギガビットイーサネットおよびギガビットイーサネット・ソリューションを提供します。EX8200シリーズのイーサネットスイッチは、最大スループット3.2Tbpsを実現するとともに、最大64ポート(8スロットシャーシ)または128
ポート(16スロットシャーシ)の10ギガビットイーサネットをワイヤスピードで提供します。
EX4200-24Fの24ポートSFP+2ポート10ギガビットイーサネット製品ラインは、低から中程度の密度のギガビットイーサネットのアグリゲーションニーズに理想的です。高度なバーチャルシャーシ・テクノロジーにより、128Gbpsのバックプレーン経由、またはオプションのギガビットイーサネットまたは10ギガビットイーサネットのいずれかのアップリンクモジュール経由で最大10個のEX4200スイッチを相互に接続することが可能となり、シームレスな拡張性を実現できます。また、これらのデバイスを1つのユニットとして扱うことができるため、管理も簡単になります。さらに、同じバーチャルシャーシ(最大10個のEX4200スイッチ)を構成するスイッチであれば、どのスイッチからでも複数の10ギガビットイーサネット・アップリンクを物理的なロケーションに関係なくリンク集約できるため、他のアグリゲーション・スイッチやコアスイッチに対する高帯域接続が可能になります。
3. CAPEXおよびOPEXの削減
現在のハイパフォーマンスなキャンパスで必要とされる、ワイヤスピードポート密度を実現するためには、レガシーなレイヤー3スイッチの場合では通常、3階層以上で構成する必要があります。しかし、ジュニパーネットワークスのEX4200イーサネットスイッチは、こうしたニーズにも対応できるだけでなく、LANのコアレイヤーやアグリゲーション・レイヤーの省略を可能とするため、ネットワークの経済性を直接的に向上できます。さらに、バーチャルシャーシ・テクノロジーの採用により、Junos OSのアップグレードや移行、追加、変更だけでなく、トラブルシューティングや問題解決に至るまで、ネットワーク運用の簡素化を実現し、あらゆる面において運用コストを低減できます。
これまでは、アグリゲーション・レイヤーの要件である、1000BASE-Xの光ファイバーに対応できる高ポート密度と高可用性機能の両方を備えているのは、高価なシャーシベースのスイッチだけとされてきました。しかし、このようなモジュール式のシャーシ型スイッチは、拡張性と高可用性は備えていても、こうしたアプリケーションにおけるコスト効率の良いソリューションではありません。まず、フルに搭載する前から、シャーシや一般機器などに対する大規模な投資が必要になります。また、モジュール型シャーシは大きいため、すでに込み合っている状態のラック内でさらなるスペースが必要となり、貴重な資産を占有してしまいます。さらに、消費電力や冷却コストが大きいため、運用コストの増大につながるだけでなく、環境に悪影響を及ぼす温室効果ガス排出の要因にもなっています。
バーチャルシャーシ・テクノロジー搭載のEX4200は、次世代のアグリゲーション・スイッチングを実現します。設備投資や運用コストを削減しながら、より大きな価値を提供できるため、余剰として生じた貴重なITリソースを、ビジネスの生産性向上にむけた新技術への投資へ回すことが可能になります。
注: 特長やメリット、仕様などの詳細については、ジュニパーネットワークスEX4200イーサネットスイッチのデータシートを参照してください。
Copyright © 2010, Juniper Networks, Inc. 19
設計ガイド - キャンパスLAN
コアレイヤーコアレイヤーは、複数のアグリゲーション・デバイス間や、レイヤーが省略されたネットワークのアクセスレイヤーにおいて高速パケットスイッチングを行うための構造です。WANエッジなど他のモジュールがすべて集合するゲートウェイとして機能します。
図9:高可用性キャンパスLANのコアレイヤー
コアレイヤーに関する検討事項
コアレイヤーに関して検討すべき主な機能は、高密度スループットと高可用性です。通常、コアで高スループットとワイヤレートのパフォーマンスを実現するには、10ギガビットイーサネットのインタフェースが必要です。また、コアレイヤーのスイッチは、デバイスの冗長性を実現するために、冗長な制御プレーンや電源、冷却用コンポーネントを装備している必要があります。さらに、コアレイヤーの設計に際しては、ネットワークの冗長性や最適な収束性を実現するために、複数のスイッチを装備してシステムの冗長性を確保する必要があります。
コアレイヤー・ソリューション
ハイパフォーマンスなコアレイヤー・ソリューション
高可用性とハイパフォーマンスを備えたジュニパーネットワークスのEX8200シリーズは、コアレイヤー・スイッチ・ソリューションに最適です。
1. 高可用性
EX8200シリーズのイーサネットスイッチは、フェイルセーフ機構を備えたコアレイヤー・ソリューションを実現します。デバイスやリンクに障害が発生した場合に備え、コアレイヤーの各デバイスに対して冗長リンクを提供しています。また、冗長ルーティングエンジンやスイッチファブリックに加え、冗長電源や冗長ファンも搭載しています。すべての機器にJunos OSを採用しているため、QoSやGRESなどといったソフトウェアの高可用性機能を提供でき、ノンストップ・フォワーディングや自動負荷分散などのデバイスのイベント中でも、フォワーディング処理やルーティング処理を維持できます。
コアレイヤー
L2/L3スイッチ
L2/L3スイッチ
L2/L3スイッチ
L2/L3スイッチ
L2スイッチ
L2スイッチ
アクセスレイヤー
アグリゲーション・レイヤー
インターネット/プライベートWAN
20 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
2. 拡張可能なパフォーマンス
EX8200シリーズのモジュール式スイッチは、パワフルで高密度かつハイパフォーマンスなソリューションを実現します。最大スループットは3.2Tbpsで、最大64ポート(8スロットシャーシ)または128ポート(16スロットシャーシ)のワイヤスピード対応10ギガビットイーサネットを提供します。スロット当たりのスイッチング容量は現在、最大で80Gbpsです。したがって、EX8200シリーズを導入することにより、スイッチファブリックやルーティングエンジン、電源、冷却システムなどに変更を加える必要なしに、いつでも簡単に高速接続へ移行することが可能になります。また、制御プレーンの冗長化やJunos OSの採用により、ソフトウェアの高可用性を最大限実現できます。
3. CAPEXおよびOPEXの削減
現在のハイパフォーマンスなキャンパスで必要とされる、ワイヤスピードポート密度を実現するためには、レガシーなレイヤー3スイッチの場合では通常、3階層以上で構成する必要があります。しかし、高密度かつ高性能なジュニパーネットワークスのEX8200シリーズのイーサネットスイッチを導入することにより、コアレイヤーの数を少なくすることが可能となるため、ネットワークの経済性が向上します。さらに、Junos OSの採用により、ネットワーク運用が簡素化され、運用コストも低減できます。
EX8200シリーズは、設備投資や運用コストを削減しながら、より大きな価値を提供します。その結果、余剰として生じた貴重なITリソースを、ビジネスの生産性向上にむけた新技術への投資へ回すことが可能になります。
注: 特長やメリット、仕様などの詳細については、ジュニパーネットワークスEXシリーズ イーサネットスイッチのデータシートを参照してください。
コアレイヤーは必要か?
キャンパスLANでは、2層ネットワークでアグリゲーション・レイヤーをメッシュ化することができるため、コアレイヤーは必要ではないという考え方もあります。
図11:コアレイヤーのメリット
L2/L3スイッチ
L2/L3スイッチ
L2/L3スイッチ
L2/L3スイッチ
L2/L3スイッチ
L2/L3スイッチ
L2/L3スイッチ
L2/L3スイッチ
L2/L3スイッチ
L2/L3スイッチ
アグリゲーション
統合型コアコアなし
デュアルホーミングされたアグリゲーション・スイッチを使用したシンプルなコア設計
各スイッチでNリンクが必要(N=レイヤーにおけるスイッチ数)
アグリゲーション
コア
Copyright © 2010, Juniper Networks, Inc. 21
設計ガイド - キャンパスLAN
問題点とメリット
現在のハイパフォーマンスなキャンパスで必要とされる、ワイヤスピードポート密度を実現するためには、レガシーなレイヤー3スイッチの場合では通常、3階層以上で構成する必要があります。アグリゲーション・スイッチをメッシュ状に相互接続することは可能ですが、その場合、Nがアグリゲーション・グループだとすると、1つのスイッチにつきN-1個のメッシュリンクが必要となります。そのような設計は、管理が難しく、拡張性も低くなるため、アグリゲーション・スイッチが追加された際に、各グループの貴重なポートを無駄に使用することになってしまいます。これまでは、アグリゲーション・レイヤーの要件である、1000BASE-Xの光ファイバーに対応できる高ポート密度と高可用性機能の両方を備えているのは、高価なシャーシベースのスイッチだけとされてきました。しかし、このようなモジュール式のシャーシ型スイッチは、拡張性と高可用性は備えていても、こうしたアプリケーションにおけるコスト効率の良いソリューションではありません。まず、フルに搭載する前から、シャーシや共通の機器などに対する大規模な投資が必要になります。また、モジュール型シャーシは大きいため、すでに込み合っている状態のラック内でさらなるスペースが必要となり、貴重な土地面積を占有してしまいます。さらに、消費電力や冷却コストが大きいため、運用コストの増大につながるだけでなく、環境に悪影響を及ぼす温室効果ガス排出の要因にもなっています。
専用のコアレイヤーは、コアに対してデュアルホーミングされたアグリゲーションを提供します。これにより、拡張が簡単になるだけでなく、負荷分散を行う冗長リンクのためのOSPFのECMPも提供します。
コアレイヤーとアグリゲーション・レイヤーの統合
ギガビットイーサネットが最先端かつ最高速な技術とされていた頃に設計されたコアスイッチのほとんどは、キャンパス全体に配備されているアグリゲーション・スイッチからのハイパフォーマンスな高速アップリンクに対して、限られた数の10ギガビットイーサネット・ポートで対応しています。最初のうちは、こうしたデバイスが提供する限られたポート密度でも十分に対応は可能ですが、ネットワークが拡大していくうちに不十分になってしまいます。
効率的な拡張性を実現し、今日のLANコアに必要とされる10ギガビットイーサネットの高ポート密度を提供するためには、コア内でこれらのレガシースイッチを複数レイヤーにわたって配備する必要があります。このやり方は非常に効果的ではありますが、コアスイッチのレイヤーが余分に必要になります。したがって、大規模な設備投資によってかなりのIT予算を消費してしまうだけでなく、運用も複雑化し、メンテナンスや管理の負担も増加します。さらに、ネットワーク・レイテンシが増えたり、オーバーサブスクリプション比率が高くなることで、全体的なアプリケーション・パフォーマンスが低下する恐れもあります。
図12:コアレイヤーをアグリゲーション・レイヤーに統合
EX8200シリーズ
EX8200シリーズ
EX2200/EX3200シリーズ
EX4200 シリーズ
EX4200シリーズ
インターネット/プライベート
22 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
ジュニパーネットワークスのEX8200シリーズのモジュール式イーサネットスイッチは、2つの面からネットワークの経済性を向上させます。まず、EX8200シリーズはコアで必要とされる10ギガビットイーサネットの高ポート密度をワイヤレートで実現でき、複数のスイッチレイヤーを配備しなくて済むため、複雑性やコスト、オーバーサブスクリプション、レイテンシなどが増大する心配がありません。また、10ギガビットイーサネットの高ポート密度を実現しているため、中規模のエンタープライズ・ネットワークでは、アグリゲーション・レイヤー自体を省略することが可能になります。そのため、ワイヤスピードの10ギガビットイーサネット・リンク経由で、アクセススイッチを直接コアに接続することが可能です。アグリゲーション・スイッチのレイヤーを排除できるため、設備投資を大幅に削減できるだけでなく、OSのアップグレードや移行、追加、変更、トラブルシューティングや問題解決に至るまで、あらゆる面でネットワーク運用の簡素化につながります。
アグリゲーション・レイヤーを必要とする大規模なエンタープライズ・ネットワークであっても、ジュニパーネットワークスのソリューションを導入することで、アグリゲーション・レイヤーに関する設備投資を削減することが可能になります。アグリゲーション・スイッチは、1つのプラットフォーム上に分散されているワイヤリング・クローゼットを統合してコアスイッチに接続するため、フロア間やビル間にまたがる長距離接続にも対応できる、高密度のファイバーインタフェースが必要です。また、アグリゲーション・スイッチは、企業ネットワーク上に分散しているユーザーと集中サーバーとの間を接続するという重大な役割を担うため、アプリケーションやビジネスプロセスを継続的かつ確実に提供できるよう、高可用性機能を備えている必要もあります。
キャンパスネットワークの高可用性本書でこれまで何度も強調しているとおり、キャンパスネットワークは、PSTNや通信ネットワークと同レベルもしくは限りなく近いレベルの信頼性とアップタイムを備えていなくてはなりません。どの業界であっても、市場における競争力を維持していく上で、ダウンタイムの発生は許されません。ネットワークプロトコルやデバイスレベルの高可用性リンク、ネットワーク・ソフトウェアなどあらゆるレベルにおいて高可用性を保証する必要があります。
デバイスレベルの高可用性
デバイスの不具合の大半は、電源の故障や冷却機能の不具合などが原因で発生します。したがって、ビジネスプロセスを常にサポートするためには、EXシリーズ イーサネットスイッチやジュニパーネットワークスのMXシリーズ イーサネットサービスルーターなどの、高品質なキャリアクラスのネットワークデバイスが必要となります。デュアル電源、冗長ファンや冗長ブロアを搭載した機器を導入することで、機器の故障を最小限に抑え、平均修理時間(MTTR)を短縮することが可能になります。また、主要デバイスを二重化して、万一障害が発生した場合に利用可能なバックアップデバイスを用意することにより、デバイスレベルの高可用性をさらに高めることができます。すべてのデバイスに対してバックアップを用意することが予算的にも構成的にも困難な場合は、フィールド交換可能またはホットスワップ可能な電源やファンなどの主要なデバイス・コンポーネントだけでも予備を準備しておけば、デバイスの不具合による影響を軽減することができます。
リンクレベルの高可用性
リンクレベルの高可用性を実現すれば、ビジネスプロセスにおいて、内部および外部のリソースからの重要なデータフローを確実に維持することが可能になります。キャンパス内でリンクレベルの高可用性を実現するためには、アクティブ/バックアップ構成において2つのリンクを稼動させる必要があります。これにより、一方のリンクに障害が発生した場合に、もう一方が引き継ぎ、故障したリンク上で転送されていたトラフィックを回復することができます。
Copyright © 2010, Juniper Networks, Inc. 23
設計ガイド - キャンパスLAN
冗長リンク:スクエア構成vsトライアングル構成
デバイス間の冗長パスには、スクエア構成またはトライアングル構成のリンクを使用します。
図13:デュアルホーミング:スクエア構成vsトライアングル構成
1. ピアリングスクエア構成
この設計では、アグリゲーション・レイヤーとコアレイヤーの間で、レイヤー3のピアリングスクエアを構成します。冗長パスは、ルートピアリングによって形成されます。リンクに障害が発生した場合は、レイヤー3のプロトコルのコンバージェンスが必要になりますが、ルートに決定性がないために、一貫性に欠ける可能性があります。その結果、セッションドロップやパケットロスが発生し、パフォーマンスが低下します。
2. デュアルホーミングしたトライアングル構成
この設計では、アグリゲーション・レイヤーとコアレイヤーの間で、レイヤー3のデュアルホーミングしたトライアングル(三角形)を構成します。冗長な負荷分散パスは、ECMPによって形成されます。ルートに決定性があるため、リンクに障害が発生した場合でもフェイルオーバー時間を短縮できます。その結果、パケットロスを最小限に抑えた最適なパフォーマンスを実現できます。
バーチャルシャーシ・テクノロジー
バーチャルシャーシ・テクノロジーを搭載したジュニパーネットワークスのEX4200スイッチは、最大10台まで接続して、1つの論理スイッチとして取り扱うことができます。バーチャルシャーシ構成はそれぞれ、フェイルセーフ機能を備えているため、障害が発生した場合は、各ユニットが相互にデータを転送します。また、デバイスまたはリンクに障害が発生した場合に備えて、各WANエッジデバイスへの冗長リンクを実現しています。EX4200に標準で装備されているデバイスの高可用性機能に加えて、すべての機器でJunos OSを採用しているため、QoSやGRESなどソフトウェアの高可用性機能も実現でき、ノンストップ・フォワーディングや自動負荷分散などのデバイスのイベント中でも、フォワーディング処理やルーティング処理を維持することが可能になります。
リンク・アグリゲーション・グループ
ハイパフォーマンスなリンクとポートレベルの冗長性を実現するためには、デバイスレイヤー間にリンク・アグリゲーション・グループ(LAG)を構成することをお勧めします。
図14:リンク・アグリゲーション・グループ(LAG)
1つの論理トランクグループとしてLAGを構成する場合には、複数の物理インタフェースが必要なため、デバイス間の帯域幅が増加します。また、アクティブなグループポートおよびリンク間でトラフィックが分散されるため、内蔵の負荷分散機能に加えて、リンクやポートレベルの冗長性を実現できます。LAGを構成していれば、リンクやポートに障害が発生した場合でも、フェイルオーバー時間を短縮することが可能になります。
L2スイッチ
L2/L3スイッチ
L2/L3スイッチ
スクエア構成 トライアングル構成
L2/L3スイッチ
L2/L3スイッチ
リンクアグリゲーション
24 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
図15:バーチャルシャーシとLAG
バーチャルシャーシ・テクノロジーを搭載したEX4200スイッチは、1つのワイヤリング・クローゼット内または複数のワイヤリング・クローゼットにまたがって、複数のバーチャールシャーシ・グループを構成することができます。最も近いバーチャールシャーシ・グループからのアップリンクは、アグリゲーション・レイヤーに配置された複数のEX4200ユニットに展開されます。このようなシンプルな設計の場合、STPは不要ですが、1つのバーチャールシャーシ・グループ内で複数のEX4200スイッチにアップリンクを分散することで、冗長性が向上します。アップリンクがすべて冗長化され、負荷分散が可能となるため、運用コストの節減や高可用性の向上にもつながります。
冗長トランクグループ
冗長トランクグループ(RTG)は、ジュニパーネットワークスのEXシリーズ イーサネットスイッチに搭載されている高可用性リンク機能です。この機能により、STPが不要になります。RTGは、デュアルホーム接続によってスイッチに搭載することが望ましく、一方のリンクをトラフィック転送用のアクティブリンクとして、もう一方をブロッキング用のバックアップリンクとして構成します。また、リンクで障害が発生した場合に、高速コンバージェンスが可能になります。実質的には、RSTPルートや代替ポートの機能によく似ていますが、RSTP
の設定が不要という点で異なります。
EX4200シリーズ EX4200シリーズ
西側クローゼット 東側クローゼットバーチャルシャーシ1
LAG LAG128 Gb/s
VCP
EX4200シリーズ EX4200シリーズ
アグリゲーション・レイヤー
アクセスレイヤー
Copyright © 2010, Juniper Networks, Inc. 25
設計ガイド - キャンパスLAN
キャンパスリンクの冗長化に関するベストプラクティス
以上を踏まえた上で、ジュニパーネットワークスは以下のリンク構成を推奨します。
図16:リンク冗長化のベストプラクティス
アクセスレイヤー・スイッチは、アグリゲーション・レイヤーの冗長ノードに対して、デュアルホーム構成にするべきです。アグリゲーション・レイヤーとコアレイヤーはいずれもデュアルホーム構成の相互接続で構築します。代替パスはそれぞれ、レイヤー3を使用してコンバージェンスを最適化します。また、コアレイヤースイッチも、WANエッジルーターに対してデュアルホーム接続されるように構成します。すべてのレイヤーにおいて、リンクやノードの障害に対応できるようにリンク帯域幅とノードのキャパシティを設計すると良いでしょう。
ネットワーク・ソフトウェアの高可用性
Junos OSは、ジュニパーネットワークスのスイッチやルーター、ファイアウォール・ソリューションなど、全製品に共通して搭載されており、キャンパスにキャリアクラスのネットワーク・ソフトウェアを提供します。また、ノンストップ・フォワーディング(NSF)やグレースフル・リスタート、統合型インサービス・ソフトウェア・アップグレード(ISSU)、BFDプロトコルなど、さまざまな機能に対応しており、IP
ネットワークを電話網と同レベルのフェイルセーフ機構と高い信頼性を備えたものにします。Junos OSはモジュール性が高く、また全機能を統一的に導入できるため、最小規模のキャンパスでも、最大規模のサービスプロバイダと同じように、Junos OS搭載機器を使用してサービスを強化することが可能になります。
コアレイヤー
L2/L3スイッチ
L2/L3スイッチ
L2スイッチ
L2スイッチ
アクセス-アグリゲーション間の冗長相互接続
アグリゲーション・レイヤーの冗長ノード
アグリゲーション-コア間の冗長相互接続
レイヤー3トライアングルリンク構成
コアレイヤーの冗長ノード
アクセスレイヤー
アグリゲーション・レイヤー
インターネット/プライベートWAN
26 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
セキュリティ現在、キャンパスLANのセキュリティに関する課題は増加する一方です。その要因としては、キャンパスユーザーの移動性の高まりや、請負業者の増加、オンサイトでのパートナー企業とのコロケーションの増加、統合型通信の拡大、無線アクセスに対するニーズの高まりなど、さまざまな要素が挙げられます。ITによって、安全でユビキタスかつ高性能なLAN/WLANアクセスを提供し、大規模LANや複数LANに対する内外からの脅威からキャンパスの大事なリソースを保護しなければなりません。
図17:キャンパスのセキュリティアーキテクチャ
キャンパスLANは、増加するセキュリティ脅威やリスクに対して、あらゆる側面からセキュリティと管理を維持しながらも、同時に生産性の向上のために、オープンで広範囲にわたるアクセスを提供しなくてはなりません。ネットワークやアプリケーション・レイヤーへの脅威を最大限防御するために最も効果的な方法は、ネットワークの各ロケーションに適した、複数レイヤーによるセキュリティアーキテクチャを構成することです。また、包括的なセキュリティ機能や優れた信頼性、並外れたパフォーマンスを提供する全体的なソリューションが必要です。802.1Xや統合型アクセス・コントロールを利用すれば、ネットワークにアクセスしようとする未管理のデバイスやゲストユーザーに効率的に対処できるだけでなく、管理が困難なデバイスや不正プログラムの拡散防止機能、アプリケーション・アクセス・コントロール、視認性、モニタリングなどにも対応可能になります。また、LAN全体のセキュリティを確保するためには、ファイアウォールや侵入検知防御ソリューションも不可欠です。さらに、セキュリティツールとしてQoSを使用すれば、トラフィックの認証やクラス分け、キューイングを行うことができます。たとえば、QoSポリシーを導入することで、各部門のリソースへの不正アクセスを防いだり、優先度の高いデータフローが不正なトラフィックによる影響を受けたりしないよう保証することが可能になります。
SAシリーズ
ICシリーズ
IDPシリーズ
L2/L3シリーズ
SBRシリーズ
各部門
インターネット
ODYSSEYアクセス・クライアント
NetScreenシリーズ
無線アクセスポイント
Copyright © 2010, Juniper Networks, Inc. 27
設計ガイド - キャンパスLAN
統合型アクセス・コントロール
LANのセキュリティを確保する上で有益となる統合型アクセス・コントロール(UAC)ソリューションは、以下の機能を提供する必要があります。
• ネットワークの保護̶ログイン時にユーザー認証を行い、権限を持つユーザーだけにアクセスを許可します。
• 協調型脅威管理̶権限を持つユーザーがログイン時に、ウィルスやワームに感染していたり、システムをハッキングしようとした場合は、ジュニパーネットワークスのICシリーズ 統合型アクセス・コントロール・アプライアンスや他のセキュリティデバイスが、UACによって問題のあるデータの発生場所を特定し、ポートを遮断するか脅威を阻止します。
• ゲストのアクセス̶LANへのアクセスを許可するユーザーおよびそのユーザーが利用できるリソース、アクセス可能な時間枠などを明確に定義します。
• IDベースのQoS̶特定のリソースにアクセスできる社員グループや、特定のアプリケーションに対するサービスレベルを定義します。たとえば、電子メールにアクセスするユーザーにはベストエフォート型のQoSを設定し、財務関連業務などミッションクリティカルなアプリケーションに対してはゴールドのQoSを設定します。
ジュニパーネットワークスの統合型アクセス・コントロールは、IDベースのポリシーとエンドポイント・インテリジェンスとを組み合わせることにより、企業ネットワークの全体にわたってリアルタイムの視認性とポリシーコントロールを実現します。ジュニパーネットワークスのUACソリューションは、集中ポリシー管理を行うICシリーズ 統合型アクセス・コントロール・アプライアンス、動的にダウンロード可能なUACエージェントまたはエージェントレス方式のエンドポイント・ソフトウェア、ファイアウォールと、ベンダー非依存の802.1X対応スイッチおよび/またはWLANアクセスポイントを含む多様な形態のエンフォースメント・ポイントといったコンポーネントの一部またはすべてを活用します。さらに、未管理または管理状態の悪いエンドポイントのセキュリティ上の問題に対しても、LAN全体でコスト効率の高いソリューションを提供します。つまり、UACは、堅牢なアドミッション・コントロールによって、必要なOSアップデートやセキュリティパッチ、パーソナル・ファイアウォール要件、ウィルスシグネチャなどに対してエンドポイントが準拠していることを確認してから、LANへのアクセスを許可するという強力なネットワークの防衛線を形成するのです。ジュニパーネットワークスのUACは、ゲストや請負業者、パートナー、従業員などに対するアクセス・コントロールを実現するソリューションです。
図18:あらゆるタイプのユーザーにエンドポイント・ヘルス・ポリシーを適用
IEEE 802.1X
802.1X標準は、ポートベースのネットワーク・アクセス・コントロールのための認証、アクセス・コントロール、データプライバシーを実現する強固な枠組みを提供します。802.1Xアクセス・コントロール・ソリューションは、ネットワークIPアドレスが割り当てられる以前であっても、ネットワーク・クレデンシャルの認証を完了させることができます。これにより、不正アクセスを防御して、ウィルスなどの脅威が組織中にまん延するのを未然に防ぐことができます。ログイン後は、動的なポートベースのロール設定により、特定リソースの使用を制限します。
SAシリーズファイアウォール
オフィスビル
エキストラネット
アプリケーション
検疫/修復パートナーゲストモバイル従業員
28 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
ユビキタスアクセス
週7日24時間稼働することが求められる現在のグローバル環境においては、従業員や顧客、パートナーおよびその他のネットワークユーザーが、場所を問わずあらゆるデバイスから、ネットワークリソースやアプリケーションにリアルタイムでアクセスできる状態を提供する必要があります。キャンパス内においては、コンピュータやノートパソコン、PDA、インターネット接続可能なスマートフォンなどを始めとするさまざまなIPデバイスから有線/無線アクセスができることが必須です。パートナー企業のビル内やホテルの室内、インターネットカフェなど、インターネット接続ができるキャンパス外の遠隔地からアクセスする場合にも、VPNなどのセキュアな接続によってLANリソースに接続できるようにしなくてはなりません。
セグメント化
セグメント化は、物理インタフェースに制約されることなく、ネットワークをユーザー定義に基づいて個別ゾーンへと論理的に分割する手法です。
図19:複数の部門、リソース、サービスにセキュリティポリシーを適用
追加コストを発生させることなく分散されたセキュリティ要件に対応でき、ポリシーの設定や管理を簡素化できます。つまり、セグメント化は特定のリソースへアクセスできるユーザーをグルーピングする際に最適な手法です。たとえば、人事部門全員を対象として、人事関連のデータベースやその他の従業員データに対するアクセスを許可することなどができます。セグメント化は、VLANなどの仮想化技術によって実行します。
アクセス・コントロール・リスト
企業は、コンプライアンス要件に対応するために、機密データへのアクセスが管理できていることを示す必要があります。つまり、権限を持つユーザー以外は機密データにアクセスできないことを証明しなくてはなりません。また、貴重な企業リソースへのユーザーアクセスのモニタリングや監査、記録を行う必要があります。特に無線アクセスに関しては、多くのキャンパスにおいてゲストのアクセスを制限する必要があります。さらに、ユーザーに対して、ポリシーに基づいた許可がない限り、アプリケーションの使用さえも制限するというリスク軽減策を導入してもよいでしょう。たとえば、ゲストがログインした際に、アクセス・コントロール・リスト(ACL)を使用して動的にアクセスを制御したり、特定のサービスを公開したりすることができます。ACLは、ネットワークアクセスの許可または拒否を実行することでトラフィックを制御することから、フィルタリングと称される場合もあります。ACLは、ネットワークに対するトラフィックの出入りを防御する手段です。ファイアウォールのフィルタパラメータは、ローカルで設定するか、もしくはRADIUSサーバーが送信するベンダー固有属性によって設定することもできます。
財務部門 人事部門
販売部門
インターネット
ISGシリーズ
L2/L3スイッチ
Copyright © 2010, Juniper Networks, Inc. 29
設計ガイド - キャンパスLAN
アクセスセキュリティのさらなる向上
上記で述べた手段以外にも、ポートのセキュリティ対策や脅威検知対策などを実行し、内外からのスプーフィング攻撃や中間者攻撃、DoS攻撃などを防御する必要があります。具体的な手段としては、MAC制限やDHCPスヌーピング、Dynamic ARP Inspection、IP
ソースガードなどが挙げられます。
1. MAC制限
内蔵型またはそれ以外のネットワーク・アダプタには、MACアドレスが関連付けられています。このレイヤー2識別子は、ネットワーク上のコンピュータを一意にマーキングします。ただし、MACアドレスはIPアドレスのようにホスト部とネットワーク部に分割できないため、同じレイヤー2ネットワーク・セグメントを共有しているホスト同士のMACアドレスを識別することはできません。このため、MACアドレスの変更を行うMACスプーフィングと呼ばれる行為を行い、信頼できるホストから、制限されたリソースにアクセスすることができてしまいます。一部のスイッチではMAC制限を設定できるため、MACのフラッディング攻撃やスプーフィング攻撃を防御することができます。
2. DHCPスヌーピング
レイヤー2スイッチポートはセキュリティ機能として、ドメインの完全性を確保するためのDHCPスヌーピング機能も備えています。DHCPスヌーピングは、DHCPサーバーがLANクライアントに対してIPアドレスを割り当てる際に、DHCPサーバーと連携して、特定のIP/MACアドレスを持つクライアントだけに対してネットワークアクセスを許可する機能です。ネットワークにアクセスできるのは、ホワイトリストに載っているIPアドレスのみです。ホワイトリストはスイッチのポートレベルで設定され、DHCPサーバーがアクセス・コントロールの管理を行います。特定のポート上の特定のMACアドレスを含んだ特定のIPアドレスのみが、IPネットワークにアクセスできます。さらに、信頼されていないアクセスポート上のDHCPリクエストは検査および検証が求められます。これにより、攻撃者が自分のDHCPサーバーを勝手にネットワークに追加することを防ぎ、DHCPサーバーへのDoS攻撃や不正に構築したDHCPサーバーを使用した攻撃を予防することができます。
DHCPスヌーピングのセキュリティフィルタは、DHCPサーバーへのDoS攻撃や不正に構築したDHCPサーバーを使用した攻撃を防御することにより、信頼されていないDHCPメッセージのDHCPスヌーピング・バインディング・テーブルを維持します。
3. Dynamic ARP Inspection(DAI)
図20:Dynamic ARP Inspection(DAI)
ARP(Address Resolution Protocol)スプーフィングは、攻撃者がスプーフィングされたARPメッセージをイーサネットLANに送信することで開始します。まず、サーバーやゲートウェイといったネットワークノードのIPアドレスが盗まれ、攻撃者のコンピュータに適用されます。そして、ネットワーク・トラフィックが攻撃者のコンピュータに対して送信されると、攻撃者はデータを修正し、中間者攻撃によって別の場所へそのデータを送信します。攻撃者は、ゲートウェイのIPアドレスに存在しないMACアドレスを関連付けることで、DoS攻撃を行うことも可能です。または、パケットを盗聴してから、実在のノードに対して単にトラフィックを転送することもできます。
電子メールサーバー L2/L3スイッチ
ターゲット
攻撃者
30 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
Dynamic ARP Inspection(DAI)は、信頼されていないポート上のARPパケットをインターセプトし、DHCPスヌーピング・データベースと照合して検証します。データベースに存在しないエントリーはドロップされます。これにより、有効なデバイスになりすましているアドレスに対してトラフィックが転送されるのを防ぎ、中間者によるスプーフィング攻撃やDoS攻撃を防御します。
4. IPソースガード
上記以外のポートセキュリティ機能としては、信頼されていないレイヤー2アクセスやトランクポート上のIPトラフィックを制限する、IP
ソースガード機能があります。IPソースガードは、DHCPスヌーピング機能と連動して、手作業で設定されたIPソースバインディングや、DCHPスヌーピング・データベースが自動的に学習した内容に基づいてトラフィックをフィルタリングする機能で、IPスプーフィング攻撃を防御します。監視ポートに入ってくるIPトラフィックが、自動的または静的に割り当てられたものではないIPアドレスを持っている場合、そのIPトラフィックはドロップされます。
運用の簡素化と統合型管理
ジュニパーネットワークスNetwork and Security Manager (NSM)を利用した統合型管理
ジュニパーネットワークスNetwork and Security Managerは、ルーター、スイッチ、ファイアウォール/IP Sec VPNやIDPシリーズ
デバイスなどのライフサイクル全体を管理する強力な集中管理ソリューションです。集中化されたデバイス/設定/ポリシー管理、標準ベースのネットワークトポロジー検出/追跡、ハードウェア/ソフトウェアのインベントリ管理、そしてさまざまなモニタリング機能やトラブルシューティング機能を備えています。
NSMの自動化されたプロセスにより、ネットワークデバイスの追加や削除を自動的に、または手動で行うことができるだけでなく、合理化され、スケジュールされた最新のデバイスアップデートによってデバイスのステータス、設定、在庫状況を継続的に同期することが可能です。
図21:NSMのデバイス管理とデバイスのオートディスカバリ
Copyright © 2010, Juniper Networks, Inc. 31
設計ガイド - キャンパスLAN
NSMのトポロジーマネージャにより、ルーター、スイッチ、セキュリティ・アプライアンスなど、ジュニパー製品であるか否かにかかわらずすべてのネットワークデバイスを検出し、階層セグメント、エンドポイント、ホストをトポロジーマップに適切にマッピングすることができます。トポロジーマップを検出されたネットワークデバイスに関連づけることによって検索可能なデータベースが作成され、管理が容易になります。
図22:NSMのトポロジー検出
数十から時には数千にも及ぶネットワークを構成するネットワーク管理者の仕事をよりシンプルにし、業務負担を減らすために、NSM
は定義済みかつカスタマイズも可能なデバイステンプレートとポート設定テンプレートをサポートしています。これらのテンプレートは、複数のデバイスに同時に適用可能です。あらかじめ定義された設定テンプレートは、それぞれの配備シナリオに関連してジュニパーネットワークスが推奨するベストプラクティスに基づいて設計、構成されています。テンプレートベースの設定が適用できない場合には、CLIの代わりにすべてのデバイス機能の詳細を提供するNSMの「クリック&選択」ベースの設定用ユーザーインタフェースを利用できます。
32 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
図23:NSMのテンプレートベースの設定
NSMは、さまざまなレポート作成ツールを備えており、ネットワーク管理者は、ネットワーク・トラフィック、デバイス統計やイベント、システムリソースやその他の管理情報をリアルタイムで閲覧、分析したり、過去のトレンドや記録を把握することができます。また、頻繁に使用されるレポートについては、定義済みかつカスタマイズ可能なテンプレートやフィルタを使用して定期的に作成することも可能です。
Copyright © 2010, Juniper Networks, Inc. 33
設計ガイド - キャンパスLAN
図24:NSMのイベント/ログ管理
NSMのメリット
NSMは、GUIによってネットワークトポロジーの検出/マッピング、デバイス設定などの複雑なタスクを簡素化します。また、デバイスのテンプレートを提供することで設定エラーを最小限に抑えるだけでなく、調査ツールによってネットワークの視認性を保証するなど、さまざまな機能を提供して運用コストの削減を実現します。
34 Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
ジュニパーネットワークスJ-Webソフトウェアを利用したリモート設定および管理
フル機能のコマンドライン・インタフェース(CLI)以外に、ウェブベースのツールであるJ-Webを利用して、Junos OSで動くすべてのデバイスの設定、管理ができます。
図25: J-Webの使いやすいグラフィカル・インタフェース
J-Webのメリット
Junos OS上に構築されたJ-Webは、デバイス管理を行うためのGUIを提供するツールで、ジュニパーネットワークスが提供しているエレメント管理製品やサービス管理製品を補完するものです。J-Webは操作も簡単で、IT管理者やネットワークオペレータは、簡単にネットワーク上のすべてのスイッチやルーター、ファイアウォールなどを迅速かつシームレスにモニタリング、設定、トラブルシューティング、管理できるようになります。
J-Webを使用すれば、技術者以外のユーザーでも、迅速かつ簡単にルーターをオンライン状態に移すことができます。Junos OSのあらゆる特長や機能に対するシームレスなGUIアクセスが可能になるため、新しいサービスの導入に必要な期間を短縮できます。またJ-Webは、お使いのネットワーク管理アプリケーションだけでなく、Micromuse Netcool OMNIbusやDorado RedCell Manager、IBM Tivoli、HP Openviewなど他社のOSSアプリケーションにも簡単に統合可能です。そのため、サービスプロバイダや顧客企業にとっても、複雑さを最小限に抑えることができます。J-Webの[quick configuration]ウィザードを使用すれば、エラーを発生させることなくサービスの変更やアップグレードを素早く実行できます。さらに、[configuration and QoS]ウィザードを使用すれば、サービスパラメータをリアルタイムで変更できるため、新しいサービスを作成して導入することも簡単です。
Copyright © 2010, Juniper Networks, Inc. 35
設計ガイド - キャンパスLAN
Copyright© 2010, Juniper Networks, Inc. All rights reserved.Juniper Networks、Junos、NetScreen、ScreenOS、Juniper Networksロゴは、米国およびその他の国におけるJuniper Networks Inc.の登録商標または商標です。また、その他記載されているすべての商標、サービスマーク、登録商標、登録サービスマークは、各所有者に所有権があります。ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。
日本ジュニパーネットワークス株式会社
東京本社〒163-1035東京都新宿区西新宿3-7-1 新宿パークタワー N棟35階電話 03-5321-2600FAX 03-5321-2700
西日本事務所〒541-0041大阪府大阪市中央区北浜1-1-27グランクリュ大阪北浜
URL http://www.juniper.net/jp/
米国本社Juniper Networks, Inc.
1194 North Mathilda AveSunnyvale, CA 94089USA
電話 888-JUNIPER (888-586-4737)または408-745-2000FAX 408-745-2100
URL http://www.juniper.net
アジアパシフィックJuniper Networks (Hong Kong) Ltd.
26/FCityplaza One1111 King’ s Road,Taikoo Shing, Hong Kong
電話 852-2332-3636FAX 852-2574-7803
ヨーロッパ、中東、アフリカJuniper Networks Ireland
Airside Business ParkSwords, County DublinIreland
電話 35-31-8903-600FAX 35-31-8903-601
8020001-002 JP Aug 2010
おわりに視認性の高いエンタープライズLANは、企業にとってのコアアセットであり、いつ、どこからでもアクセス可能で、場所に関係なくセキュアでハイパフォーマンスなサービスを提供できなくてはなりません。しかし、既存のキャンパス・インフラストラクチャ・ソリューションでは、増大する一方のセキュリティやパフォーマンスに関する課題に対応することがもはや困難になっています。また、既存のソリューションは、コストの低減や運用の合理化を実現する上で不可欠な集中管理機能も備えていません。つまり、キャンパスのセキュリティやコネクティビティ、パフォーマンスなどの要件を満たし、重要なITイニシアチブを実現できる、新しいキャンパスLAN設計が今、求められているのです。さらに、優れた拡張性、運用のシンプルさを備え、全体を再設計する必要なく新しいコンピューティング・トレンドにも柔軟に対応できることが必要です。
高性能なイーサネットスイッチの新製品シリーズを含めたジュニパーネットワークスのソリューションは、企業にキャンパスネットワークの新たな構築手法を提案します。ジュニパーネットワークスのスイッチは、コンパクトなpay-as-you-growプラットフォームにおいて、高ポート密度、ワイヤスピードのコネクティビティ、高可用性を実現し、大手スイッチベンダーが推奨する旧式で高価なソリューションに代わる、強力かつコスト効率の高いソリューションを提供します。また、従来のソリューションで必要とされていた非効率的なレイヤーを省略することが可能になります。また、ワイヤリング・クローゼット内の設置面積もより小さく済み、消費電力量の削減や冷却要件の低減も可能なことから、将来に向けてネットワークの強化を実現する効率的かつ環境に優しいソリューションと言えます。ジュニパーネットワークスの製品は、あらゆる種類のセキュアなサービスだけでなく、統合型通信などの繊細かつ大量の帯域幅を必要とするアプリケーションに不可欠な、エンド・ツー・エンドのQoSを提供します。
Junos OSは、ジュニパーネットワークスが提供するすべてのスイッチ、ルーターおよびファイアウォール製品で採用されている唯一の共通OSです。Junos OSの採用により、ネットワーク・インフラストラクチャの導入、設定、アップグレードが極めて簡単になるため、時間や運用リソースを大幅に削減でき、その分を業務のさらなる改善と顧客満足度の向上に向けて再配分することが可能になります。
ジュニパーネットワークスのインフラストラクチャ・ソリューションは、ネットワークの経済性を高め、IT投資における「ルールの変革」を実行するとともに、真の革新性を備えた競争環境を整え、現在だけでなく将来に向けて収益の増加と生産性の向上を実現します。
ジュニパーネットワークスについてジュニパーネットワークスは、ハイ・パフォーマンス・ネットワーキングのリーダーです。サービスおよびアプリケーションの一元化されたネットワークにおける展開を加速するのに不可欠な、即応性と信頼性の高い環境を構築するハイ・パフォーマンスなネットワーク・インフラストラクチャを提供するジュニパーネットワークスは、お客様のビジネス・パフォーマンスの向上に貢献します。ジュニパーネットワークスに関する詳細な情報は、以下のURL でご覧になれます。
http://www.juniper.net/jp/