Comments
Description
Transcript
スマートデバイス時代における企業ネットワークの最適化
スマートデバイス時代における企業ネットワークの最適化 安全で低コストなネットワークインフラの実現に向けて シスコシステムズ合同会社 2015/3/13 検討すべき社内ネットワークの課題 Ø 複雑化する社内ネットワーク 「運⽤用負荷軽減」と「セキュリティ」 ü ü ü ü ü 閉域性を確保するVLAN運⽤用の複雑化(有線LANに加え、無線LANの登場) 増えるモバイルデバイス(モバイルPC、スマートフォン、タブレット) 持ち込みデバイス/BYODによる社内情報の漏漏洩リスク モバイルデバイス紛失による端末保存データの漏漏洩 迅速なトラブルからの復復旧(管理理外デバイスによる接続断と切切り分け) Ø 「最新技術の導⼊入検討」と「投資保護」 ü SDN(Software-‐‑‒Defined Network)への投資と移⾏行行 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2 複雑化する社内ネットワークの運⽤用負荷軽減 IT管理理者が求められる運⽤用も複雑に 運⽤用管理理は⼤大変ですが、 • 増えるモバイルデバイス(モバイルPC、スマートフォン、タ ブレット) • 有線LANから無線LANへの移⾏行行と電波状況の把握 • 迅速なトラブルからの復復旧(トラブルシューティング) 無線LAN導⼊入の時代 1990年年代〜~(有線LANが中⼼心) ü ⼀一⼈人⼀一台のデスクトップPC • 設置場所が固定 ü 閉域性を確保 • Web/MACアドレス認証+認証VLAN • 持ち込みPCの禁⽌止 無線LANへの移⾏行行は進むがしばらく併存 モバイルデバイスは 必ず利利⽤用されます。 ü ノート型PCやスマートデバイスの登場 移⾏行行 • 座席以外にも働く場所がある。 ü BYOD/会社⽀支給/VDIでは端末共有 • MACアドレス認証に加えて、ID毎の VLAN割当 益々、端末は増えて管理理対象が増える。 有線・無線LANを統括する社内ネットワークが必要です。 他にもアクセス制御のためのVLAN運⽤用等も統括できなければ負荷軽減できません。 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3 Cisco Catalyst 2960-X セキュリティ機能を実装したアクセススイッチ MACアドレス認証の実装 製品概要 § 24/48ポートモデル § § 端末のネット接続時、MACアドレスやユーザIDを 組合せて認証し、VLANを割り当てる。 § ポート毎に複数の認証方式が利用できる。 § 端末との間に島ハブがあっても、ポートで認証する。 POE/POE+ / non-POE アップリンク § § 10Gbps x2 / 1Gbps x4 Catalyst 2960-X FlexStack 最大8台の多段接続(Stack) Cisco ISE (RADIUS) 802.1x認証 802.1x認証 MAC認証 ü TrustSec対応 ü ポートベース認証対応 帯域80Gbps (2960-Sの2倍) MACアドレス認証 Web認証 無線LAN AP 島ハブ AnyConnect 会社支給 © 2013-2014 Cisco and/or its affiliates. All rights reserved. 会社支給 BYOD Cisco Confidential 4 Cisco Catalyst 3850/3650 無線LANコントローラ内蔵、3750-X/3560-Xの後継機種 § Converged Accessの展開 § 製品概要 Catalyst 3850 無線LANコントローラ Catalyst 3650 それぞれ 100AP, 50AP になる予定 無線LAN 有線LAN 項目 3850 3650 コントローラ内蔵 ✔ 50AP ✔ 25AP 802.11ac ✔ Ready CleanAir ✔ 対応 侵入防御(IPS) ✔ 対応 スイッチ容量 480Gbps 160Gbps 多段接続(Stack) ✔ 対応 10Gインターフェース ✔ 対応 TrustSec ✔ 対応 POE/POE+/UPOE ✔ 対応 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco ISE MC Cisco Prime Catalyst 3850/3650 MA MC Catalyst 3850/3650 Catalyst 3850/3650 MA MC Aironet Aironet フロアX フロアA&B MC: Mobility Controller MA: Mobility Agent MA MC Aironet 支店Z Cisco Confidential 5 802.11ac導入に向けた「利点」と「懸念点」 11ac Wave1/Wave2で何を解決してくれるの? ü 無線LANの高速化 (Wave1: 最大1.3Gbps/Wave2: 最大3.5Gbps) ü 高速データ転送によるスマートデバイスの省電力化 (バッテリー消費減) 導入しようと思うと・・・ 無線アクセスポイント ノートPC タブレット 1Gbpsでは、 帯域足りない。 Wave1: 最大1.3Gbps 無線アクセスポイント スマホ Wave2: 最大3.5Gbps © 2013-2014 Cisco and/or its affiliates. All rights reserved. 1Gbpsでは、 帯域足りない 下位 LANスイッチ 上位 LANスイッチ インターネット向け トラフィック Wave1: AP数 x 1.3Gbps Wave2: AP数 x 3.5Gbps 無線LANの高速化に伴って、 LANインフラの増強も必要です。 Cisco Confidential 6 802.11ac導入に向けた「利点」と「懸念点」 11acによるLANインフラ増強は、コストが伴います。 ü 無線アクセスポイントとLANスイッチ間の帯域がボトルネックとなる。 ü 下位〜上位スイッチ間の帯域もボトルネックになり得る。 ü 10Gbps接続には、光ファイバやカテゴリ6A品質のケーブルが必要です。 10G接続でカテゴリ6A/光ケーブルが 必要。しかもPOE+の給電ができない。 無線アクセスポイント ノートPC タブレット Wave1: 最大1.3Gbps 無線アクセスポイント スマホ Wave2: 最大3.5Gbps © 2013-2014 Cisco and/or its affiliates. All rights reserved. 下位 LANスイッチ 下位スイッチからのトラ フィック次第で10Gbps接 続が求められる。 上位 LANスイッチ インターネット向け トラフィック Wave1: AP数 x 1.3Gbps Wave2: AP数 x 3.5Gbps 1.3G/3.5Gbpsの帯域に対応する ネットワークインフラが必要になる。 Cisco Confidential 7 NBASE-Tアライアンスの創設 www.nbaset.org アライアンスの目的 • カテゴリ5e/6のケーブルで、より高速な伝送速を実現するソリューションを推進していく。 • 業界内での合意と推進力をNBASE-Tアライアンスを通じて構築していく。 • IEEEのような標準化に向けて調整していく。 2014年10月31日 以下のメンバーにより報道発表した。 それ以降、以下の12メンバーがNBASE-Tアライアンスに加入した。 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8 mGig/NBASE-Tによる“高速化”と“コスト低減” 既設ケーブルの利用でコスト低減しながら11ac導入を! mGig(Multi-Gigabit Ethernet)接続なら、コスト抑えて高速化! ü 既設のUTPカテゴリ5eケーブルを利用して、2.5Gbps、5Gbps接続を実現します。 しかも、ケーブル長100m対応可能です。 ü POE+(802.11at)でアクセスポイントに給電できます。(AP用電源不要) 下位スイッチからのトラフィック次第で 10Gbps接続が求められる。 上位 Catalyst LANスイッチ 3560-CX カテゴリ5e/6ケーブルで2.5G/5Gbps接続 ノートPC タブレット Wave1: 最大1.3Gbps mGig: 最大2.5Gbps インターネット向け トラフィック Wave1: AP数 x 1.3Gbps Wave2: AP数 x 3.5Gbps スマホ Wave2: 最大3.5Gbps © 2013-2014 Cisco and/or its affiliates. All rights reserved. mGig 5Gbps Cisco Confidential 9 mGig対応LANスイッチ Catalyst 4500-E/3850/3560-CX 今春夏 販売開始(予定) スタック接続可能 無線LANコントローラ内蔵 モジュラー型LANスイッチ 無線LANコントローラ内蔵 固定型LANスイッチ コンパクトスイッチ Catalyst 4500-E Catalyst 3850 Catalyst 3560-CX 48 port mGig対応ラインカード 48 / 24 port mGig対応ラインカード 8 port Multigigabit Switch 12 ports mGig対応 12 / 24 ports mGig対応 2 ports mGig対応 10Gアップリンクにも対応可 10Gアップリンクにも対応可 10Gアップリンクにも対応可 802.11acとmGigによる無線LANの高速化 ü 802.11acで無線LANを高速化 • • 11nを超える高速化を実現できます。 Wave1: 最大1.3Gbps、Wave2: 最大3.5Gbps ü 既設UTPケーブル(5e/6)の利用でコスト低減 • • mGigなら、既設UTPケーブルで2.5Gbps, 5Gbpsを利用できます。 アクセスポイント(AP)-LANスイッチ間でカテゴリ6A(10GBASE-T)や光ファイバ敷設は不要です。 また、POE+(802.11at)によるアクセスポイントへの給電が可能です。(AP用個別電源が不要) ü スイッチ間接続に10Gbps接続で最適化 • • 無線LANアクセスポイントからインターネット方向にはトラフィックが集まる。 10G接続コストにより11ac導入によるネットワークの最適化できる。 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11 お客様から聞けた声(一例) Ø 接続できる端末をACL、VLANで運用しています。 ü ビル/棟、フロア、本社/支社/支店の単位で ネットワーク利用できる端末やユーザを特定している。 ü 正社員と派遣・契約社員が働いていて、 社内ディレクトリサービス(AD等)の社員はID登録あり、 派遣社員はIDなしで無線LAN利用中、ならびに検討中である。 ü 無線LAN環境下で、IPアドレス単位でアクセス制御している。 例えば、インターネット接続可否、ビル/棟間、本社/支店間 ü DHCPで接続端末にIPアドレスを割り当てる運用をしているが、 割り当てるアドレスは、ビル・棟・フロア等のエリア内のアクセス権しか 許可されていない。 ACLやVLANの運用で困っていませんか? © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12 Cisco TrustSec 複雑化する社内ネットワークの運用負荷軽減 導入前 導入後 ü ACL、VLAN等のアクセス権・ポリシーの設計で、管理時間大 ü ユーザIDやデバイス単位のアクセス権・ポリシーの設計で、管理時間減 ü 各拠点/サイトの機器へログイン後に設定するため、作業量大 ü ISEに設定するだけで全拠点に設定投入できるため、作業量少 タグ IT管理者 ACL ACL ACL VLAN VL VLAN AN SSI D 設計書 IT管理者 • ユーザID・デバイス毎のアクセス制御 (ACL/VLAN以上のきめ細かい制御) • ユーザIDやデバイスIDによる制御 設計書 ログイン→設定 設定 • GUIによる設定 Cisco ISE 管理 • ユーザ利用状況の表示 ログイン→設定 拠点 拠点 拠点 拠点 © 2013-2014 Cisco and/or its affiliates. All rights reserved. • • • • LANスイッチ ルータ 無線LAN ファイアウォール 拠点 拠点 拠点 拠点 • • • • LANスイッチ ルータ 無線LAN ファイアウォール Cisco Confidential 13 企業ネットワークの設定・管理・セキュリティ ユーザ認証とVLAN・ACL設定の管理 オフィス VLAN毎のACL設定 アクセス先、プロトコル等 VLANとACL設定 アクセス先、プロトコル等 データセンター VLANとACL設定 アクセス先、プロトコル等 ユーザグループ毎の VLAN割当て 会社支給 PC Servers VLANトランク 会社支給 PC 無線LAN アクセスポイント Si LANスイッチ (アクセス) Si LANスイッチ (コア・ディストリビューション) BYOD PC 802.1X認証に加え、 VLAN・ACL割当て 会社支給とBYODで SSIDを分ける? 1つのSSIDなら無線 LANでACL設定要 © 2013-2014 Cisco and/or its affiliates. All rights reserved. VLAN毎のACL設定 アクセス先、プロトコル等 Si Si IT管理者 ユーザグループ毎に インターネット VLAN接続のルート 管理・設計 ルート設計後のVLAN 内のACLの設計 Cisco Confidential 14 企業ネットワークの設定・管理・セキュリティ Cisco TrustSecによる設計・管理のシンプル化 オフィス 設計変更によるシンプル化 「1つのVLAN」「1つのSSID」 「1つのVLAN」 「1つのVLAN」も可能 データセンターグループ ユーザグループB 会社支給 PC 会社支給 PC データセンター 無線LAN アクセスポイント Servers Si LANスイッチ (アクセス) Si LANスイッチ (コア・ディストリビューション) BYOD PC Si Si ユーザグループA 設計変更によるシンプル化 「1つのSSID」 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco ISE (IdentityServices Engine) IT管理者 ユーザグループ毎 マトリックス管理 DC A B C DC A B C - ✔ ✔ ✔ ✔ - N N ✔ N - ✔ ✔ N ✔ - インターネット Cisco Confidential 15 Cisco TrustSec こんな事ができます。 • アクセス管理をシンプルにできる。 • ユーザID、デバイスIDで管理し、複雑なACLやVLANの管理から開放される。 • セキュリティに対して迅速に対応できる。 • 有線・無線LANへ誰がアクセスし、何をしているのか可視化できる。 • 全社に統一ポリシーを適用できる。 • 機器、棟、フロア単位で管理することなく、ポリシー設定を展開できる。 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16 Cisco TrustSec デモンストレーション(ビデオ) オフィス データセンター Catalyst Catalyst 3850 無線LANコントローラ内蔵 Cisco Aironet アクセスポイント 会社支給グループ 会社支給PC 192.168.21.17 社内ネット ping データセンターグループ Server Si 6 BYODグループ ping 3 BYODタブレット Webサーバ 192.168.21.16 4 インターネット Webサイト閲覧 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17 突然ですが、どこかの端末でマルウェアに感染したようです。 どのように対処しますか? v まずは、ネットワークから全端末を切り離す?イーサネットケーブル抜く?無 線LANを切る? v 感染端末を探す?どこ?何台くらい感染してる?発症してる端末と発症して いないのは区別できる? v IPSで特定できる?特定したところで、その端末が置いてある場所は、どこ? 有線LANでも、無線LANでも、場所を特定するのに時間が掛かる。。。 v 限りあるITスタッフで感染端末の全てを足を使って特定するのは難しい。。。 v とはいえ、ネットワーク全体を止める? © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18 セキュリティ機能とネットワークインフラの制御 FirePOWERとTrustSec/ISEによる脅威検出からのネットワーク制御 ü マルウェア感染が避けられない中、感染後の対応が求められます。 ü FirePOWERによる感染デバイスの検出後、ネットワークからの遮断で安全 性を高めることができます。 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19 FirePOWERによるマルウェア感染の「追跡」と「端末隔離」 Cisco ISE画面 管理画面(例) Cisco FireSIGHT画面 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20 Cisco エンタープライズネットワーキングで 「ネットワークの運用負荷低減」と「情報セキュリティ」を実現 セキュリティリスク 運用コスト¥ Cisco ISE 情報漏洩リスク端末 l 持ち込みPC l 不正侵入PC l 社内ポリシー違反 接続許可端末 l 正規BYOD l 会社支給PC l 社内ポリシー遵守 © 2013-2014 Cisco and/or its affiliates. All rights reserved. 複雑な管理&コスト増加 Cisco Catalyst VLAN トランク Cisco Catalyst Cisco WLC Cisco Catalyst シンプル管理とコスト低減 Cisco Aironet VDI l VLAN設定・管理 l ACL設定・管理 l 図面管理・修正 固定席 PC スマートデバイス l Cisco ISEによる アクセス管理で 運用コスト低減 Cisco Confidential 21 Cisco Catalyst LANスイッチ製品群 ü 適用箇所に合せたCatalystを選択 頂けるようになっています。 ü 最新技術により、 運用管理コストの低減、 投資コストの最適化を ご提案できます。 モジュラー型L2/L3スイッチ Converged Access Catalyst 4500E Instant Access Catalyst 3560-CX Catalyst 6800 L2/L3固定型セキュアスイッチ Catalyst 2960-CX/3560-CX Catalyst 2960-X Catalyst 3650 Catalyst 3850 Catalyst 高密度10G対応 4500-X 固定型コアスイッチ 固定型L2/L3スイッチ © 2013-2014 Cisco and/or its affiliates. All rights reserved. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22 「導入検討」と「投資保護」 市場を賑わす最新技術 Cisco製品・ソリューションの状況 テレプレゼンス 802.11ac SDN (高品質ビデオ会議) (高速・広帯域 無線LAN規格) (Software-Defined Network) ü 遠隔地の相手と高度な映像・音 声技術によって、直接対面して いるようなビデオ会議システム ü スマートデバイスと無線LANを 用いた場所を問わない会議環 境 ü 802.11nの後継規格 ü 5GHz帯でMIMO技術を使った 高速・安定化を実現する技術 ü MU-MIMO(8本アンテナ)で、理 最大6.93GBps(理論値)を実現 ü Wave1: 〜1.3Gbps Wave2: 〜2.5Gbps ü Open Networking Foundation の結成から約3年半、ベンダー 各社より、OpenFlow対応製品 が販売開始 ü しかし、オープン性を前提とす る全体像からは、ネットワーク 機器の投資効果は薄い状況 Ciscoからご提案 Ciscoからご提案 Ciscoからご提案 Web会議クラウド とテレプレゼンスの相互接続 802.11ac対応 アクセスポイントの導入 “現在構成”と“SDN構成” ハイブリット共存モデル © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24 SDN(Software-Defined Network) APIC-EMによるハイブリッド運用 APIC-EM: Application Policy Infrastructure Controller Enterprise Module SDN/APIC-EM 「現在構成」と「SDN構成」のハイブリットモデルをご提案 現在構成 ネットワーク 監視 SNMP Get/Trap など Cisco Catalyst SNMP、 NetFlow など VLAN トランク Cisco Catalyst VDI デバイス 管理理 トラフィック 監視 Syslog Cisco Catalyst Cisco SDN構成 コマンド 操作 Telnet/SSH NetConf © 2013-2014 Cisco and/or its affiliates. All rights reserved. ü 既存利用中のCisco機器をそのままご利 用頂けます。 ü これまでの監視・管理(SNMPやsyslog 等)を併用できます。 Cisco製品 Cisco Aironet 固定席 特長 PC スマートデバイス ü APIC Enterprise Module(APIC-EM) • ポリシーコントローラとしてCiscoの全 製品の管理を行います。 • REST API/JSONによって、アプリ ケーションからの制御をCLIを意識せ ずに実現します。 Cisco Confidential 26 SDN/APIC-EM 「現在構成」と「SDN構成」のハイブリットモデルをご提案 現在構成 SNMP Get/Trap など Cisco Catalyst SNMP、 NetFlow など VLAN トランク コマンド 操作 Syslog Telnet/SSH NetConf Cisco Catalyst Cisco WLC Cisco Catalyst VDI デバイス 管理理 トラフィック 監視 Cisco Aironet 固定席 © 2013-2014 Cisco and/or its affiliates. All rights reserved. 管理理、監視、制御の統合 l l l l l APIC-EM l CLI REST API ネットワーク 監視 Cisco SDN構成 ネットワーク全体把握 QoS/ACLコントロール ネットワーク疎通診断機能 ネットワークに繋がるホスト情報の管理理 IWANマネージャー ゼロタッチデプロイメント ポリシー制御アプリケーション セキュリティ 優先制御 経路路管理理 テナント管理理 PC スマートデバイス Cisco Confidential 27 ポリシー制御アプリケーションの例 脅威検出と連動した動的なアクセス制御 ACLを更新 (Southbound) 脅威検出と連動したアクセス制御 (Northbound) REST API Defense Center APIC EM 脅威検出 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28 Cisco SDN/APIC-EM 運用中の機器を活かしながら、最新技術を導入できます。 ü 既存ネットワークをそのままにSDNを導入できます。 MACアドレス認証、VLAN、無線LAN認証、SNMPやsyslogによる監視と管理 ü これまでのノウハウを活かした運用を実現できます。 VLAN/ACL、スパニングツリー運用、BYOD運用、TrustSecなど ü 公開APIでアプリケーションセントリックなSDNを実現できます。 REST APIによる既存機器へのCLI操作、運用環境のかどう状況の把握など © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29 Ciscoエンタープライズネットワーキング 無駄の無い投資で、ネットワークを最適化します。 VLAN/ACL管理・制御 Cisco ISE ネットワーク 監視 管理・認 ACL ACL ACL VLA VLAN N VLAN 証 TrustSecテクノロジー シンプル管理手法で 複雑なVLAN/ACL 管理から開放 BYOD/許可端末 SDN 現在構成 Cisco ルータ デバイス 管理理 トラフィック 監視 SNMP Get/Trap など Cisco Catalyst Cisco Catalyst SNMP、 NetFlow など VLAN トランク コマンド 操作 ポリシー制御アプリケーション セキュリティ Syslog CLI Cisco Aironet 経路路管理理 テナント管理理 REST API Telnet/SSH Cisco NetConf Catalyst Cisco WLC 優先制御 APIC EM Application Policy Infrastructure Controller Enterprise Module 802.11ac 高速無線LAN Aironet 1700/2700/3700 不許可/侵入端末 VDI © 2013-2014 Cisco and/or its affiliates. All rights reserved. 固定席 PC スマートデバイス Cisco Confidential 30 Cisco Catalyst LANスイッチ製品群 ü 適用箇所に合せたCatalystを選択 頂けるようになっています。 ü 最新技術により、 運用管理コストの低減、 投資コストの最適化を ご提案できます。 モジュラー型L2/L3スイッチ Converged Access Catalyst 4500E Instant Access Catalyst 3560-CX Catalyst 6800 L2/L3固定型セキュアスイッチ Catalyst 2960-CX/3560-CX Catalyst 2960-X Catalyst 3650 Catalyst 3850 Catalyst 高密度10G対応 4500-X 固定型コアスイッチ 固定型L2/L3スイッチ © 2013-2014 Cisco and/or its affiliates. All rights reserved. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31 最後に 生産性向上設備投資促進税制の適用について ü 経済産業省ホームページ http://www.meti.go.jp/policy/jigyou_saisei/kyousouryoku_kyouka/seisanseikojo.html ü 「機器製造業者(シスコ)」から、 「最新モデルである証明」を発行します。 Ø 旧機種では減税が受けられないため、提案は最新機種でお願いします。 • Ø 例えば、Catalyst 3750-Xは旧機種 àCatalyst 3850が減税対象機種 類形: 先端設備→設備の種類: 機械装置→細目: 通信業用設備でCatalystやルータ は証明書発行の実績があります。 • 詳細は、お客様から税務署への確認が必要です。 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32