...

Campus LAN Design Guide

by user

on
Category: Documents
12

views

Report

Comments

Transcript

Campus LAN Design Guide
DESIGN GUIDE
キャンパスLANデザインガイド
高性能なキャンパスLAN設計に関する検討事項
Copyright © 2010, Juniper Networks, Inc.
1
設計ガイド - キャンパスLAN
目次
はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
キャンパスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
適用範囲 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
キャンパスLAN設計に関する検討事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
インフラストラクチャ・ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
キャンパス・アーキテクチャ概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
階層型アプローチ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
階層型アプローチのメリットと課題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
ネットワーク革命 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
実装:アクセスレイヤー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
アクセスレイヤー設計に関する検討事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
有線ポートのコネクティビティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
WLANのコネクティビティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
PoE(Power over Ethernet). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
バーチャルLAN(VLAN)
とスパニング・ツリー・プロトコル(STP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
アクセスレイヤーにおけるレイヤー2またはレイヤー3の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
統合型通信の導入における検討事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
脅威への対処 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
モジュール型シャーシテクノロジー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
アクセスレイヤー・ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
バーチャルシャーシ・テクノロジーを搭載した拡張可能なアクセスソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
無線ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
アグリゲーション・レイヤー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
アグリゲーション・レイヤー設計に関する検討事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
セグメント化/仮想化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
分散スイッチング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
アグリゲーション・レイヤー・ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
拡張可能なアグリゲーション・レイヤー・ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
コアレイヤー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
コアレイヤーに関する検討事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
コアレイヤー・ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
ハイパフォーマンスなコアレイヤー・ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
コアレイヤーは必要か? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
問題点とメリット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
コアレイヤーとアグリゲーション・レイヤーの統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
キャンパスネットワークの高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
デバイスレベルの高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
リンクレベルの高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
冗長リンク:スクエア構成vsトライアングル構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
バーチャルシャーシ・テクノロジー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
リンク・アグリゲーション・グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
冗長トランクグループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
キャンパスリンクの冗長化に関するベストプラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
ネットワーク・ソフトウェアの高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
セキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
統合型アクセス・コントロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
IEEE 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
ユビキタスアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
セグメント化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
アクセス・コントロール・リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
アクセスセキュリティのさらなる向上 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
運用の簡素化と統合型管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
ジュニパーネットワークスNetwork and Security Manager (NSM)を利用した統合型管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
NSMのメリット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
ジュニパーネットワークスJ-Webソフトウェアを利用したリモート設定および管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
J-Webのメリット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
おわりに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
ジュニパーネットワークスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
図
図1:高可用性を実現するキャンパスLAN構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
図2:階層型アプローチ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
図3:高可用性キャンパスLANにおけるアクセスレイヤー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
図4:柔軟かつローミング可能な無線アクセスソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
図5:アクセスレイヤーでレイヤー2/レイヤー3を使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
図6:バーチャルシャーシ・テクノロジー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
図7:バーチャルシャーシ・テクノロジーによるCAPEXおよびOPEXの削減 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
図8:高可用性キャンパスLANにおけるアグリゲーション・レイヤー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
図9:コア/アグリゲーション・レイヤーにおける分散スイッチング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
図9:高可用性キャンパスLANのコアレイヤー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
図11:コアレイヤーのメリット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
図12:コアレイヤーをアグリゲーション・レイヤーに統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
図13:デュアルホーミング:スクエア構成vsトライアングル構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
図14:リンク・アグリゲーション・グループ(LAG). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
図15:バーチャルシャーシとLAG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
図16:リンク冗長化のベストプラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
図17:キャンパスのセキュリティアーキテクチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
図18:あらゆるタイプのユーザーにエンドポイント・ヘルス・ポリシーを適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
図19:複数の部門、
リソース、サービスにセキュリティポリシーを適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
図20:Dynamic ARP Inspection(DAI). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
図21:NSMのデバイス管理とデバイスのオートディスカバリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
図22:NSMのトポロジー検出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
図23:NSMのテンプレートベースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
図24:NSMのイベント/ログ管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
図25: J-Webの使いやすいグラフィカル・インタフェース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Copyright © 2010, Juniper Networks, Inc.
3
設計ガイド - キャンパスLAN
はじめに
企業内LANはかつて、受動的なバックグラウンドのビジネスコンポーネントでしたが、今日では企業にとって、日常業務の遂行や市場
での成功を目指す上で不可欠な、極めてアクティブかつ重要なコアアセットへと進化しました。ネットワークは今や戦略的手段であり、
いつ、
どこからでもアクセス可能で、場所を問わず迅速かつセキュアで信頼性の高いサービスを提供できることが必須条件になってい
ます。また、従来のクライアント-サーバー間のデータフローに加えて、ピアツーピアのデータフローをサポートできるようになり、多数
のデバイスやサービスへの対応が求められています。現在、多くの企業がアプリケーションやデータセンターを集中管理するだけでな
く、サーバーとデータセンターを統合することで運営の簡素化とコストの削減を図ろうとしています。
しかし、既存のキャンパス・インフ
ラストラクチャ・ソリューションでは、高い安全性と優れた信頼性を備えた高性能のアクセスをキャンパスユーザーに提供するための要
件を満たすことができない上、コストの削減や運用の合理化を実現する上で不可欠な集中管理機能も提供できません。
そのため、キャンパスのセキュリティやコネクティビティ、パフォーマンスなどの課題に対応しながら、主要なITイニシアチブを実現で
きる、新しいキャンパスLAN設計に対するニーズが高まっています。さらに、優れた拡張性によって運用を簡素化でき、全体を再設計す
ることなく、新しいコンピューティング・トレンドに柔軟に対応できる設計が求められています。
キャンパスについて
本書において「キャンパス」
という用語は、同じ敷地内で相互に近接する1棟以上のビルで構成される、企業の主要拠点を意味します。
通常は、企業の本社または重要拠点を指しますが、必ずしもそうとは限りません。キャンパスの例としては、企業が入居している複数階
のオフィスビルや、オフィスパーク内に複数のビルを所有している企業、敷地内の広範囲に施設が散在している大学などが挙げられ
ます。キャンパス内のビルやフロアはすべて、キャンパスLAN/WAN接続によってデータセンター内の共有リソースやサービスなどに
接続されています。データセンターは、キャンパスの中にある場合と外にある場合があります。また、遠隔地の支店や支社などに対して
WAN経由で接続されているキャンパスもあります。
ビジネスプロセスのほとんどはオンラインで実行されるため、キャンパスLANでダウンタイムが発生したり非効率な状態が続いたりす
ると、企業の収益に悪影響が生じます。各キャンパスの施設がネットワークに接続されている状態を常に維持し、ビジネスの生産性や
顧客満足度を最大化するためには、セキュアで高性能、高可用性のLANサービスが不可欠です。本書は、企業が今日直面している課題
や検討事項に注目し、それらの要件を満たすLANの設計、構築を可能とするために作成されたものです。
キャンパスLANは主に、アクセスレイヤー、アグリゲーション・レイヤー、コアレイヤーという3つのレイヤーで構成されます。それぞれの
レイヤーは企業の課題に対応するためのサービスを提供しますが、各レイヤーの詳細や構成にあたっての検討事項については後に詳
しく説明します。
キャンパスLANに必要なサービス
キャンパスLANは、業務の効率性を最適化するために、以下のハイレベルなサービスを提供しなくてはなりません。
• LANコネクティビティ̶キャンパス・インフラストラクチャは、コンピュータや電話機、PDA、監視カメラ、スマートフォンなど、増加し
続ける多様なIPデバイスに対して、セキュアな有線/無線LANコネクティビティを提供する必要があります。
• セキュリティ̶セキュリティは、すべてのキャンパスLANサービスにおいて非常に重要です。ネットワークやアプリケーションに対す
る広範囲でオープンなアクセスを実現しながら、同時にセキュリティとコントロールを確保する必要があります。また、今日のネット
ワークは、ネットワークにアクセスしようとする未管理のデバイスやゲストユーザーに効率的に対処しながら、管理が困難なデバイ
スに対するサポートや、不正プログラムの拡散防止、アプリケーションへのアクセス・コントロール、視認性、モニタリングなどの各機
能を兼ね備えている必要があります。主要なセキュリティ・コンポーネントおよびポリシーは、以下のとおりです。
- サービス品質(QoS)を保証するポリシー
- サービス拒否(DoS)、分散サービス拒否(DDoS)攻撃およびその脅威の軽減
- 企業がコンプライアンス基準を遵守していること
セキュリティポリシーはすべて集中管理し、遠隔地に適用されなければなりません。
• 統合型通信̶PoE技術を利用したVoIP電話の配備や、ビデオ会議、VODアプリケーションによるWebベーストレーニングを同一
LANインフラストラクチャ内で提供する必要があります。
これらのサービスを提供するためには、データを論理的に分割させる必要
があるためです。また、
レイテンシ/ジッター、データの損失に繊細なVoIP、ビデオトラフィックなどをデータトラフィックよりも優先さ
せ、確実に配信するために、QoSポリシーの導入も必要です。
4
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
• ハイパフォーマンス̶キャンパス内では、LANと同様のアプリケーション・パフォーマンスを常に提供する必要があります。LANの
アクセスレイヤーでは、ある程度のオーバーサブスクリプションは一般的ですが、LANのアグリゲーション・レイヤーおよびコアレイ
ヤーにおいては、ラインレート・パフォーマンスを実現することが求められます。
• 高可用性̶今日のキャンパスLAN環境では、ダウンタイムの発生は許されません。公衆交換電話網(PSTN)が提供するサービスレ
ベルを目標として、少なくとも99.999%の信頼性を実現する必要があります。高可用性は、LAN設計全体において不可欠です。ダ
ウンタイムの低減と運用コストの削減を実現するためには、コスト効率性に優れ、豊富な機能や高い信頼性を備えるとともに、集中
管理機能を提供できるネットワーク機器やソフトウェアが必須です。さらに、堅牢性と信頼性に優れたコネクティビティも求められま
す。また、統合型通信などの新しい技術を導入するには、高性能かつ最適化された常時接続ネットワークがエンド・ツー・エンドで機
能していることが必要です。
• 集中管理̶キャンパスLANでは、あらゆるネットワークスイッチやファイアウォール、ルーター、VPN、侵入検知防御システム(IDS/
IPS)対応デバイスなどを集中管理するサービスが不可欠です。集中管理ソリューションを導入することによって、ネットワークデバイ
スの設定や管理に必要な時間とコストを削減できます。さらに、ネットワーク・トラフィックをより簡単に分析できるようになるため、
ネットワーク・パフォーマンスの最適化にもつながります。
上記の各項目については、以下で詳細に説明します。また必要に応じて、特定のサービスや機能に関する検討事項や課題についても
解説します。
適用範囲
本設計ガイドは、キャンパスのアーキテクトやエンジニアが近代的なキャンパスLANを設計する上で役立つ、実践手法やテクノロ
ジー、製品などを提案するものです。
また、変化し続けるキャンパスのニーズに関する情報を提供するとともに、キャンパスのアーキテクトやエンジニアに向けて、実践手法
やテクノロジー、設計上の検討事項なども提示します。さらに、ジュニパーネットワークスのインフラストラクチャ・ソリューションが提供
する革新的なオペレーティング環境によって、企業がどのようにネットワークの経済性を向上させることができるか、また、今日そして未
来における収益をどのように増大し、生産性を向上させることができるかについて説明します。
キャンパスLAN設計に関する検討事項
現在、新しいキャンパスLAN設計の必要性が高まっているのは、従来のソリューションでは、上記で挙げた重要な要件に対応できず、コ
スト削減や運用の合理化も難しいからです。また、新しいLAN設計には、全体を再設計する必要なく、新たなコンピューティング・トレ
ンドへの対応や新たなネットワークサービスの導入が実現できる拡張機能も求められます。以下のセクションでは、
このような要件に
対応する近代的なキャンパスネットワークの設計について、最近のトレンドと技術上の検討課題について簡単に説明します。検討内容
は、ジュニパーネットワークスのソリューションだけでなく、ベンダーを問わず、あらゆるキャンパスのネットワーク設計にも同様に適用
できます。
エンタープライズ環境におけるコンピューティング・トレンド
キャンパスLAN設計においては、上記で述べたサービス以外にも、以下のトレンドを考慮する必要があります。
• 統合型通信の拡大
近年、音声、動画、データサービスなどをはじめとする統合型通信を導入する企業が増えてきています。米国の調査会社Forrester
Researchが2006年に発表した報告によると、北米の全企業のうち46%がIP電話システムを導入しており、39%がリモートユー
ザーとの通信でVoIPを使用していることが明らかになりました。
この傾向はキャンパスLANに求められる高性能性、高可用性の要
件に直接影響を与えるものです。たとえば、十分なLAN/WAN帯域の確保が不可欠となるだけでなく、効率的なVoIP通信サービス
を提供するためにトラフィックの識別、
クラス分けや優先順位の決定を行うQoSルールも必要になります。
• 大量の帯域幅を必要とするアプリケーション
統合型通信の拡大により、これまで以上の帯域幅が必要になるのに加え、最近では、OracleやSAP、PeopleSoftなどといった一
般的なビジネス・アプリケーションのWeb対応バージョンが続々と発表されています。
こうしたアプリケーションは、LANベースのも
のと比べて10倍以上の帯域幅が必要な場合もあり、パフォーマンスや信頼性、可用性に対して深刻な影響を与えかねません。通常、
ネットワークの使用率が低い時間帯にローカルサーバーへのデータのバックアップをスケジュールすることが推奨されていますが、
このようなネットワークサービスが帯域幅を消費してしまう可能性もあります。
Copyright © 2010, Juniper Networks, Inc.
5
設計ガイド - キャンパスLAN
• ユーザーの生産性
現在ではビジネス処理の大半がオンラインで実行されるため、企業LANはビジネスの成長と革新を実現する上で不可欠な要素と
なりました。そのため、LANでダウンタイムが発生したり非効率な状態が続いたりすると、企業の収益にも悪影響が及びます。
しかし
裏を返せば、Information Week(2007年)に書かれているように、ネットワーク・パフォーマンスを向上させれば、ビジネスの生産
性も向上できるということです。
したがって、生産性を最大化するためには、ネットワークに無線対応やリモートアクセスなどといった
サービスが備わっている必要があるのです。
• セキュリティの重視
アメリカFBIとCSIが共同で行った調査によると、2006年には、調査対象となった全企業の72%で、何らかのセキュリティ上のトラ
ブルが少なくとも1件発生していることがわかりました。そして、内外からの攻撃は年々増加する一方です。Forrester Researchが
2006年に実施した調査で、全企業のうち57%が最優先課題として「セキュリティ環境の向上」を挙げているのも当然の結果でしょ
う。多くの企業が重要なビジネスプロセスを分散させる傾向にあることや、統合型通信の普及によってセキュリティ上の弱点が増え
る可能性を考えると、堅牢なセキュリティに対するニーズがさらに高まることは容易に予測できます。ユーザー・アクセス・ポリシーも
必要になるでしょう。
• 無線サービスへのニーズの高まり
より良いビジネス上の意思決定を行うために不可欠な要素の1つとして、重要な情報およびリソースへ常にアクセスできることが挙
げられます。現代の企業では、社員がミーティングにノートパソコンを持参するのが当然になっており、その際にすべてのアプリケー
ションやデータストア、
リソース、サービスに無線アクセスできることが期待されます。またキャンパス内のどこでも無線サービスが
利用可能であるだけでなく、携帯電話のローミングサービスと同様に、ユーザーがキャンパス内を移動してもサービスが中断されな
いことも必要です。そのような無線サービスを提供することによって、ユーザーがプレゼンテーションや予算予測の発表の際に必要
となる資料にアクセスし、集中サーバーからダウンロードして、会議室に到着するまでの間にノートパソコンで準備を完了できるよう
になります。また、キャンパス内のどこにいてもWi-Fi電話で通話することも可能になります。
無線サービスや無線アクセスは、常にセキュアでなくてはなりません。請負業者やパートナー、ゲストユーザーなどに対して異なる
レベルの無線アクセス権を設定し、適切なレベルのサービスを提供しつつ、
リソースに対するアクセスを適宜制限することが重要で
す。
• サーバーの集中管理とデータセンターの統合
Forrester Researchが2007年に実施した調査報告では、全企業の51%が、重要な優先課題としてサーバーの集中管理を挙げている
ことが明らかになりました。またGartnerによる2007年の報告書において、企業内サーバーの大半はリソースの20%程度しか利用さ
れていないことがわかっています。
リソースをより効率的に活用するためには、仮想化などの新しいテクノロジーが必要です。また、多
くのキャンパスでは、より高度なレベルのセキュリティや、帯域幅の最適化、
トラフィックの優先順位づけなどの機能を備えたローカル
サーバーの設置も必要でしょう。
さらなるコスト削減や運用の簡略化、そして規制ガイドラインへの準拠などを進めるために、データセンターの統合を行う企業が増え
ています。米調査会社Nemertes Researchが2006年に発表した報告によると、インタビューを実施した全企業の91%が規制順守
の制約を受けており、そのうち50%を超える企業が最近12か月以内に、分散していた多数のデータセンターを数箇所の大規模なデー
タセンターに統合し、今後12か月以内にさらなる統合を進める予定だということが明らかになりました。
集中管理を行うにあたっては、ノンストップの運用を保証する高可用性要件に加え、待ち時間やセキュリティに関する課題も新たに
発生します。キャンパス内のオンラインで運用可能な状態を維持するために必要な時間とリソースを削減するためには、集中管理ソ
リューションを導入することも必要です。
インフラストラクチャ・ソリューション
現在のキャンパスにおけるネットワーク・インフラストラクチャでは、もはや上記のような要件を満たすことはできません。キャンパス
ネットワークにおいて増加し続ける機器やサービスに対応するためには、コストの高いレガシー機器や、高度な技術を要するITリソー
スなどを追加するのではなく、
より統合的な新しいキャンパスソリューションが必要です。
ジュニパーネットワークスは、こうした課題に対応すべく、業界でも定評のあるキャンパス向けIPインフラストラクチャを提供し、キャ
ンパスユーザーの生産性を維持するだけでなく、さらに向上させるために必要なパフォーマンスや拡張性、柔軟性、セキュリティ、イ
ンテリジェンスを実現します。また、あらゆるキャンパスのニーズを満たすことのできる柔軟な構成を低価格で提供すると共に、ファイ
アウォールやジュニパーネットワークス適応型脅威管理ソリューション(AdTM)、VPN、MPLS(Multiprotocol Label Switching)、
IPv6、CLNS(Connectionless Network Service)などを始めとするサービスによって高性能なスループットを実現しています。
6
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
EX4200
シリーズ
ICシリーズ
EX8200シリーズ
Mシリーズ
EX4200
シリーズ
EX4200
シリーズ
Mシリーズ
インターネット/
プライベートWAN
EX2200/
EX3200
シリーズ
本社
EX8200
シリーズ
OAC
OAC
EX8200シリーズ
SAシリーズ
アクセスポイント
ISGシリーズ
SBRシリーズ
図1:高可用性を実現するキャンパスLAN構成
キャンパス・アーキテクチャ概要
階層型アプローチ
企業のキャンパスLANアーキテクチャは、アクセスレイヤー上にあるワイヤリング・クローゼットのスイッチに接続されたデスクトップ
機器から、大規模なキャンパスLANの中心部にあるコアレイヤーに至るまで、最大3つのレイヤーで構成することができます。階層的な
トポロジーによってネットワークを物理的な構成要素にセグメント化することで、運用が簡素化され、可用性も向上します。階層的なイ
キャンパス
ンフラストラクチャにおいては、各レイヤーがそれぞれ特定の役割を担っています。
デバイスのコネクティビティ
コ
アグリゲ
ーシ
ョ
ア
コ
リゲ
アグ
AG
フ
ァ
イ
バー
WAN
(複数SPS)
バー
ァイ
Gフ
LA
E
ー – 10/ 100/ 100
0B
イヤ
AS
スレ
Eセ
T
ク
– GbE and 1
ア
ー
0G
ヤ
イ
bE
レ
・
ン
イヤー - 10 G
b
アレ
T
ア
データセンター
ー
レ
L
イヤ
E
ー – 10 Gb
シ
E
ョン
Gb
・レ
イヤー – 1 0
ク
セ
SE
ス
レイ
BA
0
0
ヤー
– 1 0 / 1 0 0/ 1 0
データセンターのコネクティビティ
図2:階層型アプローチ
• アクセスレイヤーは、キャンパス内のエンドユーザーに対してアクセス・コントロールの境界を提供し、ネットワークのコネクティビ
ティを実現します。
• アグリゲーション・レイヤーは、複数のアクセスレイヤーのスイッチからの接続とトラフィックフローを集約し、コアレイヤーのスイッ
チにトラフィックを提供して、主要な機能を実行する周辺環境を実現します。
• コアレイヤーは、アグリゲーション・レイヤーのスイッチとWANおよびインターネットへ接続するルーター間において、セキュアなコ
ネクティビティを提供し、企業間の連携を実現します。
本書では主に、キャンパスネットワークにおいて以上の3つのレイヤーをどのように配備するかについて説明します。また、関連する事項
についても、必要に応じて説明します。たとえば、キャンパス構成によっては、1つまたはそれ以上のレイヤーを省略する場合もあります。
Copyright © 2010, Juniper Networks, Inc.
7
設計ガイド - キャンパスLAN
階層型アプローチのメリットと課題
多層アーキテクチャは、迅速かつ経済的に拡張可能なモジュール設計を提供するため、簡単にネットワーク構成を行うことができます。
また、再設計することなく、新しいサービスを追加することのできる柔軟なネットワークを構築することが可能になります。さらに、
トラ
フィックを分離し、負荷を各デバイスに分散できるため、
トラブルシューティングを簡素化することができます。
3つのレイヤーでネットワークを構成するアプローチを採用するには、一般的に追加のハードウェアが必要となります。小規模のキャン
パスにおいては構成、配備、管理にコストの負担がかかる可能性があるため、1つまたはそれ以上のレイヤーを省略することも可能で
す。
注: 本書は主に、3階層型のLAN設計を対象としていますが、アグリゲーション・レイヤーとコアレイヤーを統合した2階層型の設計に
「ジュニパー拠点/支店LANデザインガイド」に記載
ついても説明します。非常に規模の小さいキャンパスのLAN設計を行う場合は、
の、複数のレイヤーを省略するLAN設計に関する記述を参照してください。
従来のネットワークは、帯域幅やスループット、ポート密度などの高まるばかりの要件に対応するために、非効率的かつ不向きなレガ
シーハードウェアを何層も追加し、肥大化していく傾向にありました。その結果、
これらのニーズに結局対応できないばかりか、管理もよ
り複雑になり、ネットワークの可用性が低下したり、設備投資や運用コストが増大するなどといった問題も発生していました。
ネットワーク革命
ジュニパーネットワークスは、進化し続けるスイッチ市場に新規参入するために、
これまでに学んだ教訓と幅広い経験を活かし、現時点
で表面化している課題だけでなく、将来の成長拡大にも対応できるような新しいイーサネットスイッチ製品シリーズとネットワーク・ソ
これらの新製品は、不必要なネットワークレイヤーを排除するように設計されており、高可用性や通
リューション設計を開発しました。
信の集約化、統合セキュリティ、高い運用効率などを実現するプラットフォームを提供します。ジュニパーネットワークスのソリューショ
ンによって、ネットワークを簡素化しつつもその価値を高め、かつ運用コストを削減することが可能になります。つまり、ネットワークの
原理の向上と経済性の向上を同時に実現できるのです。
実装:アクセスレイヤー
キャンパスネットワークのアクセスレイヤーは、コンピュータやプリンター、IP電話、CCTVカメラなどの機器を有線または無線LAN
(WLAN)のアクセスポイント経由で企業LANに接続し、エンドユーザーに向けてネットワーク・コネクティビティを提供します。アクセ
スレイヤーのスイッチは通常、各キャンパス施設内の各フロアに配置されたワイヤリング・クローゼット内に配置されます。
アクセスレイヤー
L2
スイッチ
L2
スイッチ
アグリゲーション・
レイヤー
L2/L3
スイッチ
L2/L3
スイッチ
コアレイヤー
L2/L3
スイッチ
L2/L3
スイッチ
インターネット/
プライベートWAN
図3:高可用性キャンパスLANにおけるアクセスレイヤー
アクセスレイヤーは、ポリシーサービスやネットワーク・アクセス・コントロールによって、コネクティビティやPoE(Power over
Ethernet)、QoS、セキュリティなどを提供します。
8
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
アクセスレイヤー設計に関する検討事項
有線ポートのコネクティビティ
ポート要件に対応するためにはまず、あらゆるコンピュータやIP電話、CCTVカメラ、無線LANアクセスポイント、各種IPデバイスに対
して十分な数の有線ポートを用意する必要があります。次に、必要な論理セグメントや、1つのLANを共有する論理的に異なるネット
ワークの数を決定しなくてはなりません。アクセスレイヤーのスイッチは拡張性と高可用性を備えている必要があり、また、アグリゲー
ション・レイヤーのスイッチに対して、過剰供給されたために使用されていないギガビットイーサネットまたは10ギガビットイーサネッ
トのアップリンクを提供する必要があります。
これらの条件をもとに、必要なハードウェア構成の種類を決定します。
WLANのコネクティビティ
会議室やオフィス外で会議に参加する社員や、請負業者、パートナー、ゲストにとって、キャンパス内のどこでも無線アクセスができるの
が理想です。現在では、さまざまな種類のIP機器が販売されており、実際に職場でも使われています。そのような機器は、特に身元が不
明なゲストが使用する場合が多く、包括的なセキュリティポリシーによって、信頼できるデバイス以外はキャンパスネットワークにアク
セスできないようにする必要があります。また、特に請負業者、パートナー、ゲストなどに対してLANリソースの利用を制限し、認証され
たユーザーだけが利用できるようにすることも必要です。さらに、ユーザーがキャンパス内のどの場所からでも同じように確実にログイ
ンできるように、シームレスなサービスの提供も不可欠です。
柔軟かつローミング可能な無線ソリューションを実現する設計は、主に2種類あります。
• コントローラを使用しない無線アクセス̶この設計では、スイッチへのアクセスポイントとして802.1qトランクが必要です。ローミン
グには、アクセスレイヤーのスイッチ間で、2つ以上のVLANをスパンする必要があります。
• コントローラを使用した無線アクセス̶この設計では、仮想化された集中型無線コントローラを使用します。アクセスポイントの
VLANは、アクセススイッチに対してローカルに配置します。ローミングを行うために、キャンパスネットワーク内でVLANをスパン
する必要はありません。
アクセスポイント
アクセスポイント
無線OAC
無線OAC
L2/L3
スイッチ
アクセス
L2/L3
スイッチ
無線VLANs
アグリゲーション
L2/L3
スイッチ
L2/L3
スイッチ
コアへ
無線コントローラ
図4:柔軟かつローミング可能な無線アクセスソリューション
PoE(Power over Ethernet)
現在では、多くのキャンパスでIP電話が使用されていますが、IP電話のほとんどはPoE機能を必要とします。また、PoE対応のセキュリ
ティカメラやWLANデバイスを導入しているキャンパス施設も増えています。システム構成は、PoEポート数によって左右されるため、
その数を正確に把握する必要があります。アクセス機器によってはPoE機能を備えていない場合もあるため、その場合は従来の壁面コ
ンセントを使用するIP電話やCCTVカメラ、WLANアクセスポイントなどを使用する必要があります。また、PoEポート数だけでなく、
各ポートに接続されている機器が必要とする電力レベルの確認も必要です。PoE機能を必要とする機器の多くは、最大で15.4ワットを
使用します。
これは、
クラス3のPoEの最大許容値です。
Copyright © 2010, Juniper Networks, Inc.
9
設計ガイド - キャンパスLAN
しかし、高性能なパンやチルト、ズーム機能、IEEE802.11n規格に対応したWLANアクセスポイント機能などを搭載したセキュリティカ
メラなど、一部の機器では、15.4ワット以上のPoEが必要な場合もあります。
バーチャルLAN(VLAN)
とスパニング・ツリー・プロトコル(STP)
キャンパスLANはVLANを使用して、場所に関係なく、ユーザーやデバイス、データなどを論理的にグループ化し、論理ネットワークに
割り当てます。その際、LAN上で物理的に機器を再配置するのではなく、ソフトウェア構成を変更します。VLANを採用することにより、
拡張性やセキュリティ、ネットワーク管理などの課題に対応しやすくなります。
VLANは、実質的に定義済みスイッチ内にのみ存在する、レイヤー2のブロードキャスト・ドメインです。パケットは、IEEE 802.1Q標
準のプロトコルを使用してカプセル化され、ユニークなVLANタグでマーキングされます。タグ付きパケットは、同じVLAN内のステー
ションにのみ転送または送信されます。同じVLANに属さないステーションにタグ付きパケットを送信するには、ルーター経由で転送
する必要があります。スイッチおよびスイッチポートはすべて、動的または静的にVLANにグループ化することが可能です。また、
トラ
フィックをVLANにグループ化し、LAN上で送信される特定のデータプロトコルに基づいて特定のポート経由で転送することも可能で
す。たとえば、ソフトフォンからのVoIPトラフィックを他のトラフィックからセグメント化して、より高いQoSを実現するVLAN上に配置
することもできます。
• スパニング・ツリー・プロトコル(STP)
VLANは、ネットワークノード間で複数のアクティブパスを作成する場合があるため、ブリッジループの問題が発生するおそれがあ
ります。複数のポート上に同じMACアドレスが存在することから、スイッチのフォワーディングテーブルに障害が発生する可能性も
あります。また、ブロードキャスト・パケットがスイッチ間でエンドレスに転送され続ける可能性があり、その場合、使用可能な帯域や
CPUリソースをすべて占有してしまいます。IEEE 802.1D標準であるSTPは、ブリッジ接続されたすべてのLANに対してループフ
リーのトポロジーを保証します。STPは、接続されているLANスイッチのメッシュネットワーク内で最初にツリーを作成してから、そ
のツリーに属さないリンクを無効にすることで、2つのネットワークノード間にアクティブパスを1つだけ残すように設計されていま
す。そのため、アクティブなリンクに障害が発生した場合でも、自動的にバックアップパスを提供する冗長リンクを含むようにネット
ワークを設計することが可能です。
したがって、ブリッジループが生じる危険性や、バックアップリンクを手作業で有効/無効にする必
要もありません。VLANはそれぞれ、STPのインスタンスを個別に実行可能です。
• STPの問題点
ルーティングが複雑な場合や、コンフィグレーションや配線が誤っている場合は、STPでのトラブルシューティングが困難になること
があります。また、パケットはすべて、スパニングツリーのルートブリッジを経由する必要があるため、ルーティングのパフォーマンス
が不十分になる場合があります。さらに、負荷分散機能がなく、活用されないリンクが作成される場合も多々あります。加えて、
トポロ
ジー変更後のコンバージェンスに時間がかかり、最大30∼50秒を要します。
こうした問題に対処するために作成されたのが、サブ
セカンド・コンバージェンスを提供するラピッドSTP(RSTP)です。802.1s標準であるマルチプルSTP(MSTP)は、複数のSTPイン
コンフィグレーションが複雑になるという欠点があります。
スタンスを同時に実行できますが、
アクセスレイヤーにおけるレイヤー2またはレイヤー3の使用
アクセススイッチは、
レイヤー2またはレイヤー3のいずれかを使用するように構成されています。
WANレイヤー
レイヤー3
L2/L3
スイッチ
レイヤー2
L2
スイッチ
アグリゲーション・レイヤー
L2/L3
スイッチ
アクセスレイヤー
レイヤー3
L2/L3
スイッチ
レイヤー2
アクセスレイヤーでレイヤー2を使用
アクセスレイヤーでレイヤー3を使用
図5:アクセスレイヤーでレイヤー2/レイヤー3を使用
10
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
• アクセスレイヤーでレイヤー2を使用した場合
アクセスレイヤーでレイヤー2を使用するのは、従来型のコンフィグレーションです。このため、プラグ・アンド・プレイのコンフィグ
レーションを提供でき、小規模なネットワークでも実装や管理などが簡単です。
とは言え、
レイヤー2の使用には、さまざまな課題も伴います。通常、STPが必要となるため、一方がアクティブで、もう一方が冗長と
いう複数の接続が発生します。また、OSPFでレイヤー2とレイヤー3との境界を設定すると、複数の故障分離ドメインが追加される
ため、ネットワークの構成や管理がさらに複雑化します。また、
トラブルシューティングも困難になりがちです。さらに、スイッチやリン
クに障害が発生した場合に、コンバージェンスに時間がかかりすぎるため、キャンパスLANの高可用性が保証できなくなる可能性
があります。
• アクセスレイヤーでレイヤー3を使用した場合
アクセスレイヤーでレイヤー3を使用する場合は、スイッチでのルーティングが可能ですが、別のVLAN上にユーザーを配置する機
能も提供できます。
レイヤー3はより確定性があります。
レイヤー2のループがこの設計上で作成されることはありません。
レイヤー3
は、アクセススイッチからアグリゲーション・レイヤーへのアップリンク側に構成し、
レイヤー2は、デバイスへのアクセススイッチ側
に構成します。STPを有効にすると、不用意なループを防止することができます。また、STPを無効にしてブリッジ・プロトコル・デー
タ・ユニット
(BPDU)の保護を有効にすると、
トラブルシューティングがより簡単になります。STPを無効にした状態で、OSPFなどの
オープンスタンダード・プロトコルを使用して、サブセカンド・コンバージェンスを行うことも可能です。大規模で複雑なネットワーク
レイ
の場合は、アクセスレイヤーでレイヤー2を使用するソリューションと比べて、メンテナンスの手間が少なくて済みます。ただし、
ヤー3を使用する場合は通常、追加のライセンス料が発生するため、従来型のネットワーク機器を使用する場合はコストが高くなり
ます。
• 推奨事項
競合他社の製品とは異なり、ジュニパーネットワークスのソリューションは、アクセスレイヤーでレイヤー2およびレイヤー3のどち
らを使用しても追加コストがかかることはありません。
レイヤー3の機能は、ベースとなるJunos® OSライセンスに組み込まれてい
るため、ライセンス料金が追加で発生することはありません。また、ジュニパーネットワークスのソリューションは、STPの代わりに、
OSPFなどのオープンスタンダード・プロトコルを採用しており、等価コストマルチパス(ECMP)によって迅速なコンバージェンス
を実現します。バーチャルシャーシ・テクノロジーを搭載したジュニパーネットワークスのEX4200イーサネットスイッチを使用した
LAN設計では、STPの代わりに最適化を実現した冗長トランクグループ(RTG)プロトコルを内蔵しているため、サブセカンド・コン
バージェンスや自動化された高性能な負荷分散などが可能になります。さらに、Lake Partners1が2007年に発表した調査結果に
よると、ジュニパーネットワークスのソリューションを導入した場合の運用コストは、競合他社のソリューションと比べて最大で29%
も低いことが明らかになりました。また、バーチャルシャーシ・テクノロジーを搭載したジュニパーネットワークスのスイッチ製品は、
デバイス管理も簡単なため、競合他社と比べてCAPEX(設備投資)やOPEX(運用コスト)を削減することが可能になります。
統合型通信の導入における検討事項
1つのネットワーク・インフラストラクチャ上で音声や動画、データを配信すれば、コストを大幅に削減できるだけでなく、運用を簡素化
できるというメリットも生じます。また、通信コストや、ネットワークのTCOの削減も可能な上、ネットワーク管理やメンテナンス業務も
簡素化できます。
しかしその一方で、QoSやセキュリティ、ポート設定要件など、ネットワークに関連したさまざまな課題も発生します。
統合型通信では、大半のデータアプリケーションには不要とされている、
リアルタイム要件が発生します。たとえば、VoIPパケットは、
ネットワークの利用率が高い場合や過密状態にあっても、高品質の音声通信を実現するためにLAN/WAN内を効率的に伝送する必
要があります。LANやWANの帯域幅を追加することもできますが、それだけでは音声配信に適したネットワーク環境にはなりません。
高品質のVoIP通信を保証するためには、QoSキューイングやスケジューリングによって、
レイテンシやジッター、パケットロスなどの一
般的な課題を解消しなくてはならないのです。確実な設計を実現するためには、アクセスベースのセキュリティ対策だけでなく、IP電話
の導入に伴って発生するポート密度やPoEといった要件への対応も不可欠となります。
1. QoS
アクセスレイヤーのデバイスは、パフォーマンスを最適化、つまりQoSを保証するめに、LAN上のトラフィックの認識や分類、キュー
イングなどの機能を備えている必要があります。認識されたトラフィックを適切に割り当てて管理することによって、統合型通信など
の各アプリケーションがLAN全体で十分なパフォーマンスを発揮できるようになります。
• クラス分け機能とエンフォースメント
QoS要件は、LAN上のデータフローの種類によって異なります。Webブラウザや電子メールなどを始めとする従来のアプリケーショ
ンについては、IPネットワークのベストエフォート型の送信基準で問題なく機能します。ただし、音声の送信やテレビ会議など、さま
リアルタイム
ざまなリアルタイム・アプリケーションを効果的に実行するためには、さらなる要件を満たす必要があります。たとえば、
の音声データは、ストリーミングビデオとは異なり、キャッシュに格納したり、損失したパケットを再伝送することができません。音声
データの大幅な遅延が発生することで通信の質が損なわれてしまい、カスタマー・エクスペリエンスが著しく低下する可能性がある
ためです。
したがって、QoSポリシーを作成する場合には、音声パケットを最優先に考慮する必要があります。
Copyright © 2010, Juniper Networks, Inc.
11
設計ガイド - キャンパスLAN
IP電話などの通信機器は通常、LAN上で物理的に散在しています。前述のように、VLANは、場所に関係なく音声やテレビ会議、
データトラフィックなどを論理VLANにセグメント化することができるため、適切なQoSパラメータを簡単に適用し、各データフロー
に対する最適なサービスを維持することが可能です。
QoSを実現するには、MACアドレスやIPアドレス、物理ポート、プロトコルなどを組み合わせてデータをクラス分けします。たとえ
ば、特定のLANセグメントに接続されているIP電話のブロックは、IP電話のポート番号に基づ いて音声伝送用として指定された
VLAN上に配置することができます。または、LLDP-MEDを使用してIP電話を検知し、自動的にVLAN上に配置することも可能で
す。さらに、ソースポートに関係なく音声データを最優先に設定することで、ソフトフォンからのトラフィックをプロトコルレベルで分
析することもできます。DSCPに基づき、データが適切にクラス分けされたら、次にキューイングとスケジューリングを実行します。最
も重要なのは、LAN/WAN全体で同じQoSルールを一貫して適用することです。
• 組み込み式QoS
ジュニパーネットワークスのインフラストラクチャやセキュリティ、アプリケーション・アクセラレーション・ソリューションにはすべて、
QoSおよびCoS(Class of Service)機能が組み込まれています。ジュニパーネットワークスのスイッチおよびルーターにはすべて
Junos OSが搭載されています。Junos OSは、標準仕様としてQoSサービスをフル装備しています。たとえば、EXシリーズ イーサ
ネットスイッチは、1ポート当たり8個のハードウェアキューに対応でき、ベストエフォート型の配信から、高度かつ確実な配信まで、幅
広いポリシングを提供しています。ジュニパーが提供するすべてのルーターおよびスイッチ・ソリューションに同じJunos OSが採用
されているため、LAN/WAN設計全体においてQoSポリシーを統一することが可能です。
したがって、一貫性のあるトラフィック管
理が簡単に実現できます。さらに、ジュニパーの全ソリューションで採用されているASICはQoSに対応しているため、優先順位が高
く設定されたデータを処理し、CPU負荷を最小限に抑えることが可能です。
注: VoIP QoSの詳細については、ジュニパーネットワークスの「VoIP on the WAN: It s a Matter of Priorities」
(2005年8月出版
番号351113-001)を参照してください。
2. セキュリティ
データネットワークに統合型通信を導入すると、セキュリティの脅威が増え、サービスに深刻な影響を及ぼす可能性があります。
した
がって、ネットワーク外部からの悪意のある攻撃や、ネットワーク内からの不注意による攻撃などを防御する必要が生じます。今日で
は、新たな手法による通話料金詐欺や、傍受などを始めとする新しいセキュリティ脅威が続々と検出されています。新しいエントリー
ポイントが作成され、VoIPシステムに不正侵入されると、企業LANへのバックドアができてしまいます。その結果、企業LANはウィ
ルスやワーム、DoS攻撃、不正アクセスなどあらゆるセキュリティリスクにさらされてしまうのです。そのため、VoIPソリューションを
配備する際は、他のネットワーク・アプライアンスの場合と同様に、デバイス自体のセキュリティを確保するだけでなく、VoIPを配備
することによって生じるネットワーク全体へのリスクについても把握する必要があります。VoIP関連の攻撃や一般的な侵入を阻止す
るためには、ジュニパーネットワークスのIDPシリーズ 侵入検知防御アプライアンスが最適です。また、802.1Xソリューションを導入
し、ポリシーベースのアクセスによってエンドポイントの認証と管理を行う必要があります。802.1Xクライアントをサポートしていな
いVoIP電話を使用する場合は、MACベースの認証機能を備えたEXシリーズのスイッチの利用をお勧めします。また、プロトコルに
特化したALG(Application Level Gateway)機能を全ファイアウォールに設けて、VoIP通話のたびにポートを動的に開閉する手
法も効果的です。
脅威への対処
DDoS攻撃など外部からの侵入者やその他の脅威を防御するためには、アクセスレイヤーに統合セキュリティ機能を装備することが不
可欠です。まず、ユーザー認証とウィルスチェックを実施し、その後、誰がどのネットワークリソースにアクセス可能かを決定するエンド・
ツー・エンドの綿密なセキュリティポリシーを実行するなど、セキュリティ機能の強化が必要です。さらに、ビジネスプロセスを確実に実
行するためにQoSポリシーの設定も必要となります。
モジュール型シャーシテクノロジー
キャンパスLANは、新たな設備投資やネットワーク・オーバーヘッド、運用コストなどをあまり発生させずに、成長や新しい技術に迅速
かつシームレスに対応できる必要があります。そのような課題を解決するためには、アクセスレイヤーにモジュール型シャーシソリュー
ションを導入することをお勧めします。
12
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
モジュール型ソリューションは、オプションとしてコスト効率の高いPoE機能を備えた、高密度かつ高速なポートを提供することが理想
的です。また、モジュール型シャーシはそれぞれ、高速のアップリンク接続を提供し、従来のシャーシベースのソリューションと同様の高
可用性を実現する必要があります。さらに、複数のスイッチを単独のバーチャルシャーシとして構成し、一括して管理できることも必要
です。
これにより、高可用性の向上とともに、設備投資や運用コストの大幅な削減も可能になります。
アクセスレイヤー・ソリューション
バーチャルシャーシ・テクノロジーを搭載した拡張可能なアクセスソリューション
ジュニパーネットワークスは、拡張性の高い革新的なアクセスソリューションとして、バーチャルシャーシ・テクノロジー搭載のEX4200
イーサネットスイッチを提供しています。
このソリューションは、コンパクトでコスト効率の高い「pay-as-you-grow(成長に応じた投
資)」プラットフォームにおいて、モジュール型シャーシの高可用性と高ポート密度を実現することにより、ネットワークの経済性を高め
ます。
1. 特長・メリット
EX4200スイッチはコンパクトな筐体の中に、24ポートの100BASE-FX/1000BASE-X、24ポートの10/100/1000BASE-T、
48ポートの10/100/1000BASE-Tのいずれかを備えています。10/100/1000BASE-Tプラットフォームでは、すべてまたは一部
のポートにPoE機能を搭載しています(一部の場合は、スイッチの最初の8ポートがPoEに対応しており、すべての場合は全24ポー
トまたは48ポートがPoE対応)。各PoEポートは、最大電力15.4ワットを供給し、
クラス0∼3のIP電話に対して互換性を備えていま
す。また、EX4200シリーズ スイッチはLLDP-MED機能を搭載しており、各PoEエンドポイントの電力管理を自動化したり拡張でき
るだけでなく、インベントリ管理やディレクトリの作成もサポートします。
EX4200イーサネットスイッチはオプションとして、4ポートのギガビットイーサネットまたは2ポートの10ギガビットイーサネットの
いずれかに対応可能な、フロントパネルのアップリンクモジュールをサポートしているため、アグリゲーション・スイッチまたはコア
スイッチへの高速接続が可能です。
これらのアップリンクは、オンラインでの追加や削除にも対応しています。
EX4200シリーズ
EX4200シリーズ
レガシースイッチ
12-15ラックユニット
(RU)
48-288ギガビット
イーサネットポート+4
EX4200シリーズ スイッチ
1ラックユニット
48ギガビットイーサネット+
10ギガビットイーサネット
×2ポート
EX4200シリーズ
EX4200シリーズ スイッチ
2ラックユニット
96ギガビットイーサネット+
10ギガビットイーサネット
×4ポート
EX4200シリーズ スイッチ
4ラックユニット
192ギガビットイーサネット+
10ギガビットイーサネット
×8ポート
図6:バーチャルシャーシ・テクノロジー
2. Pay-As-You-Grow(成長に応じた投資)による拡張性
EX4200イーサネットスイッチはジュニパーネットワークスのバーチャルシャーシ・テクノロジーを採用しているため、必要に応じ
てキャンパスにいくつでも追加することが可能です。それによって、コネクティビティ要件を満たすことができます。ジュニパーネット
ワークス独自のpay-as-you-grow(成長に応じた投資)型モデルでは、まず1台のEX4200イーサネットスイッチ(1RU)から始め
て、バーチャルシャーシに段階的にスイッチを9台追加し、全部で10台になった時点で、次のバーチャルシャーシの構成を開始しま
す。各スイッチは128Gbpsのバーチャル・バックプレーン、ギガビットイーサネットまたは10ギガビットイーサネットのアップリンク
モジュール、最大で240ポートの100BASE-FX/1000BASE-Xまたは480ポートの10/100/1000BASE-Tもしくはこの2種類の
組み合わせをサポートするフル装備のバーチャルシャーシ構成、さらに最大で20個の10ギガビットイーサネットのアップリンクポー
トまたは40ギガビットイーサネットのアップリンクポートもしくはこの2種類の組み合わせによって相互接続されています。
バーチャルシャーシ・テクノロジーを採用することで、相互接続されているスイッチのグループを、ネットワーク上で1つのユニット
として遠隔管理でき、従来のシャーシシステムと比べて設備投資や運用コストを大幅に低減することが可能になります。バーチャル
シャーシ構成がもともとコンパクトであることに加え、段階的に拡張可能な「Pay-As-You-Growモデル」を活用することにより、キャ
ンパス内のラックスペースの使用面積を直接的に低減できるだけでなく、電力コストや冷却コストの削減も実現できます。予算に限
りのある小規模なキャンパスの場合は、ジュニパーネットワークスEX3200イーサネットスイッチもお勧めです。バーチャルシャー
シ・テクノロジーは搭載されていませんが、それ以外には、EX4200とほぼ同等の堅牢性を備えています。
Copyright © 2010, Juniper Networks, Inc.
13
設計ガイド - キャンパスLAN
3. キャリアクラスの信頼性
バーチャルシャーシ・テクノロジー搭載のEX4200スイッチは、モジュール型シャーシをベースにしたシステムと同等の高可用性を備
えています。各スイッチは、負荷分散機能を備えたホットスワップ対応冗長AC/DC電源と、冗長ブロア付きでフィールド交換可能なホッ
トスワップ対応ファントレーを装備しており、万一障害が発生した場合でも、運用に支障が出ることはありません。
バーチャルシャーシ・テクノロジーは、バーチャル・バックプレーン・プロトコルとJunos OSを活用し、優れた性能を備えたデバイスと、
高可用性リンクを実現します。相互接続された各スイッチセットは、バーチャルシャーシ・テクノロジーを搭載しているため、複数のルー
ティングエンジンに備わったグレースフル・ルートエンジン・スイッチオーバー(GRES)機能とノンストップ・フォワーディング(NSF)機
能を自動的に活用でき、万が一個別のスイッチが故障した場合でも、運用が中断されることはありません。デバイスや高可用性リンク
を追加する際にも、バーチャルシャーシを構成することで、あらゆる要件に対応することが可能になります。たとえば、10個のスイッチで
構成されているバーチャルシャーシをスイッチ5個ずつからなる2つのバーチャルシャーシに再構成するなど、組み合わせを自由に変
更することもできます。
4. ロケーションの独立性
バーチャルシャーシ・テクノロジーのもう1つの大きな特長は、バーチャル・バックプレーン・プロトコルをオプションのギガビットイー
サネットまたは10ギガビットイーサネットのアップリンクポートにも適用することで、数メートル以上離れているスイッチを相互接続
できるという点です。
これにより、複数のワイヤリング・クローゼットやフロア、サーバーラック、ビルなどにまたがるスイッチを1つの
バーチャルスイッチとして管理できるようになります。場所が離れていても、バーチャルシャーシ・テクノロジーを利用して相互接続
されたスイッチは一括して管理、監視、アップグレードなどができるため、弾力性を備えた1つのスイッチとして扱うことができます。
そのため、管理コストや保守コストを大幅に削減することが可能になります。
スタンドアロン型またはスタッカブル型の配備
西側クローゼット
東側クローゼット
L2/L3スイッチ
L2/L3スイッチ
フロア
L2/L3スイッチ
L2/L3スイッチ
1階フロア
西側クローゼット
管理が必要な
ワイヤリング・
クローゼットを
50%削減
東側クローゼット
フロア
EX4200
シリーズ
EX4200
シリーズ
バーチャルシャーシ
バーチャルシャーシ
EX4200
シリーズ
EX4200
シリーズ
1階フロア
EXシリーズ バーチャルシャーシ・テクノロジーを採用した場合の配備
図7:バーチャルシャーシ・テクノロジーによるCAPEXおよびOPEXの削減
14
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
5. CAPEXおよびOPEXの削減
バーチャルシャーシ・テクノロジーを搭載したEX4200は、次世代のスイッチングを実現します。ファイバー用の48ポート・ギガビッ
トイーサネットとワイヤスピード対応の4ポート・10ギガビットイーサネットを搭載した、現在最も一般的であるシャーシベースのス
イッチと比較して設置面積を6分の1に、コストを3分の1以下に削減します。
EX4200イーサネットスイッチは、競合他社のソリューションでは高コストなアドオン機能として提供されている機能を標準装備し
ています。たとえば、EX4200は、ベースプラットフォームにレイヤー3を備えており、10ギガビットイーサネットのアップリンク機能
を内蔵しています。さらに、一部または全体においてPoE機能を提供し、内蔵型の冗長電源も装備しています。つまり、1つのプラット
フォームにさまざまな機能を搭載し、コストの最適化を実現した製品なのです。設備投資に関しては、Junos OSの機能セットと遠隔
ミラーリング機能を搭載しているため、中央のネットワーク・オペレーション・センター(NOC)にトラブルシューティングを全面的に
任せることが可能です。つまり、メンテナンスやアップグレード、デバッグなどの際にオンサイトのITスタッフを派遣する必要がない
ことから、運用コストも削減できます。
ジュニパーネットワークスは、
レイヤーを省略することによって、ネットワーク上のデバイス数を削減し、設備投資や運用コストの低
減を実現するだけでなく、さらにバーチャルシャーシ・テクノロジーを採用することで、貴重なラックスペースや電力コスト、冷却コス
トなどの削減にも寄与します。また、バーチャルシャーシ・テクノロジーによって、貴重なIT予算をビジネスの生産性向上にむけた新
技術への投資へ回すことが可能になります。
注: 特長やメリット、仕様などの詳細については、ジュニパーネットワークスEX4200イーサネットスイッチのデータシートを参照して
ください。
無線ソリューション
キャンパスにお いて無 線 サービスの 提 供を考えているお 客 様 には、ジュニ パーネットワークスの パートナー企 業であるA r u ba
Networks、Trapeze Networks、Meru Networksが提供するセキュアなWLANソリューションをお勧めします。ソリューションはい
ずれも、ジュニパーネットワークスのエンタープライズ向け802.1Xアクセス・クライアント・ソフトウェア、Odysseyアクセス・クライアン
ト
(OAC)にシームレスに統合されています。OACは、ジュニパーネットワークスのOdysseyアクセス・クライアント・サーバーやSBR
シリーズ Steel-Belted Radiusサーバーなど、802.1Xとの互換性を備えたRADIUSサーバーと連動することにより、認証ユーザー
だけに接続を許可して、ログインの信頼性を確保するとともに、無線リンク上で送受信されるデータのプライバシーを保護し、WLAN
ユーザーの認証と接続の安全性を確保します。OACの特別バージョンでは、米国連邦情報処理規格(FIPS)の140-2レベル1の暗号モ
ジュールを採用しているため、政府機関のセキュリティ要件にも対応しています。またOACでは、有線と無線による802.1Xアクセスの
一括導入が可能なため、時間や手間を省くことができる上、ユーザー・エクスペリエンスを簡素化し、
トレーニング費用を削減すること
ができます。そのため、IDベース(有線802.1X)のネットワークを配備する企業に最適です。
Copyright © 2010, Juniper Networks, Inc.
15
設計ガイド - キャンパスLAN
アグリゲーション・レイヤー
アグリゲーション・レイヤー(分散レイヤーともいう)は、複数のアクセスレイヤー・スイッチからの接続とトラフィックフローを集約し、
LANコアへの高密度なコネクティビティを提供します。
アクセスレイヤー
L2
スイッチ
L2
スイッチ
アグリゲーション・
レイヤー
L2/L3
スイッチ
L2/L3
スイッチ
コアレイヤー
L2/L3
スイッチ
L2/L3
スイッチ
インターネット/
プライベートWAN
図8:高可用性キャンパスLANにおけるアグリゲーション・レイヤー
アグリゲーション・レイヤーのスイッチは、ネットワーク上におけるその位置により、拡張性、ワイヤレート対応の高密度ポート、高可用
性のハードウェアおよびソフトウェア機能を備え、キャリアクラスの信頼性と堅牢性を実現する必要があります。また、冗長性を確保する
ためには、アクセス・ワイヤリング・クローゼットからの複数のギガビットイーサネット・ダウンリンクが必要です。コアへの10ギガビット
イーサネット・アップリンクも複数確保しなくてはなりません。
アグリゲーション・レイヤーでは、決定的動作を行うために、ワイヤレートのパフォーマンスを提供する複数のスイッチを配備すること
で、冗長性を保証します。ルート集約や高速コンバージェンス、負荷分散、冗長パスを実行するには、スイッチはレイヤー3で動作する必
要があります。
アグリゲーション・レイヤー設計に関する検討事項
セグメント化/仮想化
アグリゲーション・スイッチは、GRE(Generic Routing Encapsulation)
トンネリングにも対応している必要があります。遠隔地から
NOCのモニタリングデバイスへミラーリングされたトラフィックを送信することで、
トラブルシューティングや分析を集中管理したり、
STP関連の問題を発生させることなく独立したオーバーレイ・ネットワークを構築するためです。
分散スイッチング
新しい技術の登場に伴い、近年ネットワークの設計にも変化が生じています。管理者は常に、
レイヤー3をアクセスレイヤーに押しやる
ことなくSTPを排除する方法を模索しています。最近、コア/アグリゲーション・レイヤーに分散スイッチングを導入するという方法が注
目を集めています。
この方法では、冗長なデバイスが1つの論理デバイスを構成します(図9参照)。
16
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
バーチャルシャーシ
バーチャルシャーシ
LAG
バーチャルシャーシ
LAG
LAG
アクセスレイヤー
コアレイヤー
分散スイッチング
EX4200
シリーズ
EX4200
シリーズ
インターネット/WAN
図9:コア/アグリゲーション・レイヤーにおける分散スイッチング
コア/アグリゲーション・レイヤーに分散スイッチングを導入することで、以下のメリットが実現できます。
• STP排除(リンク・アグリゲーション・グループを構成し、
レイヤー3をアクセスレイヤーに押しやることなくSTPを排除)
• レイヤー2はアクティブ/アクティブトポロジーを構成
• 単一管理
コア/アグリゲーション・レイヤーに分散スイッチングを導入する際には、以下の点を考慮する必要があります。
• 空間冗長性の欠如
• ソフトウェア管理̶アップグレードプロセスはどのようなものか?
• シャーシ内の高可用性̶ルーティングエンジンの機能が停止した場合は、バーチャルスイッチの半分が作動しなくなる可能性はあ
るか?
• システムの一部の機能が停止した際のスイッチ容量̶バーチャルシステムの半分が機能停止した場合、残りの半分でその分の負担
も処理できるか?
• スプリットブレイン̶システムを2つに分割した場合どうなるか?
アグリゲーション・レイヤー・ソリューション
拡張可能なアグリゲーション・レイヤー・ソリューション
高可用性キャンパスのパフォーマンス要件に対応するために、LAN設計にアグリゲーション・レイヤーを含めることで、高可用性機能
や拡張性を向上させることができます。ジュニパーネットワークスのEX4200やEX8200シリーズのイーサネットスイッチは、両製品と
もアグリゲーション・レイヤーで必要とされるパフォーマンスとサービスを提供します。
1. 高可用性
ハードウェア・コンポーネントの冗長性については、EX4200およびEX8200シリーズはいずれも、ネットワーク・アグリゲーション・
デバイスには不可欠な冗長ルーティングエンジン、冗長スイッチファブリック、冗長電源やファンを備えています。また、いずれのプ
ラットフォームもモジュール性、弾力性の高いJunos OSを搭載しているため、GRESなどソフトウェアの高可用性機能だけでなく、
ルーティングプロトコルのグレースフル・リスタートやBFD(Bidirectional Forwarding Detection)プロトコルなども提供できま
す。
これにより、フォワーディング操作を維持できるため、デバイス障害やリンク障害の際のダウンタイムを最小限に抑えることが可能
になります。EXシリーズのプラットフォームは、ソフトウェア・ロードマップが許す限り、Junos OSのノンストップ・ルーティングやブ
リッジング、統合型インサービス・ソフトウェア・アップグレード(ISSU)にも対応できます。
Copyright © 2010, Juniper Networks, Inc.
17
設計ガイド - キャンパスLAN
2. 拡張可能なパフォーマンス
EX8200シリーズのモジュール式スイッチは、大規模キャンパスのアグリゲーション要求にも応えることのできる、高密度、ハイパ
フォーマンスかつパワフルな10ギガビットイーサネットおよびギガビットイーサネット・ソリューションを提供します。EX8200シ
リーズのイーサネットスイッチは、最大スループット3.2Tbpsを実現するとともに、最大64ポート(8スロットシャーシ)または128
ポート
(16スロットシャーシ)の10ギガビットイーサネットをワイヤスピードで提供します。
EX4200-24Fの24ポートSFP+2ポート10ギガビットイーサネット製品ラインは、低から中程度の密度のギガビットイーサネット
のアグリゲーションニーズに理想的です。高度なバーチャルシャーシ・テクノロジーにより、128Gbpsのバックプレーン経由、また
はオプションのギガビットイーサネットまたは10ギガビットイーサネットのいずれかのアップリンクモジュール経由で最大10個の
EX4200スイッチを相互に接続することが可能となり、シームレスな拡張性を実現できます。また、
これらのデバイスを1つのユニッ
トとして扱うことができるため、管理も簡単になります。さらに、同じバーチャルシャーシ(最大10個のEX4200スイッチ)を構成する
スイッチであれば、
どのスイッチからでも複数の10ギガビットイーサネット・アップリンクを物理的なロケーションに関係なくリンク
集約できるため、他のアグリゲーション・スイッチやコアスイッチに対する高帯域接続が可能になります。
3. CAPEXおよびOPEXの削減
現在のハイパフォーマンスなキャンパスで必要とされる、ワイヤスピードポート密度を実現するためには、
レガシーなレイヤー3ス
イッチの場合では通常、3階層以上で構成する必要があります。
しかし、ジュニパーネットワークスのEX4200イーサネットスイッチ
は、
こうしたニーズにも対応できるだけでなく、LANのコアレイヤーやアグリゲーション・レイヤーの省略を可能とするため、ネット
ワークの経済性を直接的に向上できます。さらに、バーチャルシャーシ・テクノロジーの採用により、Junos OSのアップグレードや移
行、追加、変更だけでなく、
トラブルシューティングや問題解決に至るまで、ネットワーク運用の簡素化を実現し、あらゆる面において
運用コストを低減できます。
これまでは、アグリゲーション・レイヤーの要件である、1000BASE-Xの光ファイバーに対応できる高ポート密度と高可用性機能
の両方を備えているのは、高価なシャーシベースのスイッチだけとされてきました。
しかし、
このようなモジュール式のシャーシ型ス
イッチは、拡張性と高可用性は備えていても、
こうしたアプリケーションにおけるコスト効率の良いソリューションではありません。ま
ず、フルに搭載する前から、シャーシや一般機器などに対する大規模な投資が必要になります。また、モジュール型シャーシは大きい
ため、すでに込み合っている状態のラック内でさらなるスペースが必要となり、貴重な資産を占有してしまいます。さらに、消費電力
や冷却コストが大きいため、運用コストの増大につながるだけでなく、環境に悪影響を及ぼす温室効果ガス排出の要因にもなって
います。
バーチャルシャーシ・テクノロジー搭載のEX4200は、次世代のアグリゲーション・スイッチングを実現します。設備投資や運用コス
トを削減しながら、より大きな価値を提供できるため、余剰として生じた貴重なITリソースを、ビジネスの生産性向上にむけた新技
術への投資へ回すことが可能になります。
注: 特長やメリット、仕様などの詳細については、ジュニパーネットワークスEX4200イーサネットスイッチのデータシートを参照して
ください。
18
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
コアレイヤー
コアレイヤーは、複数のアグリゲーション・デバイス間や、
レイヤーが省略されたネットワークのアクセスレイヤーにおいて高速パケッ
トスイッチングを行うための構造です。WANエッジなど他のモジュールがすべて集合するゲートウェイとして機能します。
アクセスレイヤー
L2
スイッチ
L2
スイッチ
アグリゲーション・
レイヤー
L2/L3
スイッチ
L2/L3
スイッチ
コアレイヤー
L2/L3
スイッチ
L2/L3
スイッチ
インターネット/
プライベートWAN
図9:高可用性キャンパスLANのコアレイヤー
コアレイヤーに関する検討事項
コアレイヤーに関して検討すべき主な機能は、高密度スループットと高可用性です。通常、コアで高スループットとワイヤレートのパ
フォーマンスを実現するには、10ギガビットイーサネットのインタフェースが必要です。また、コアレイヤーのスイッチは、デバイスの冗
長性を実現するために、冗長な制御プレーンや電源、冷却用コンポーネントを装備している必要があります。さらに、コアレイヤーの設
計に際しては、ネットワークの冗長性や最適な収束性を実現するために、複数のスイッチを装備してシステムの冗長性を確保する必要
があります。
コアレイヤー・ソリューション
ハイパフォーマンスなコアレイヤー・ソリューション
高可用性とハイパフォーマンスを備えたジュニパーネットワークスのEX8200シリーズは、コアレイヤー・スイッチ・ソリューションに最
適です。
1. 高可用性
EX8200シリーズのイーサネットスイッチは、フェイルセーフ機構を備えたコアレイヤー・ソリューションを実現します。デバイスやリ
ンクに障害が発生した場合に備え、コアレイヤーの各デバイスに対して冗長リンクを提供しています。また、冗長ルーティングエンジ
ンやスイッチファブリックに加え、冗長電源や冗長ファンも搭載しています。すべての機器にJunos OSを採用しているため、QoSや
GRESなどといったソフトウェアの高可用性機能を提供でき、
ノンストップ・フォワーディングや自動負荷分散などのデバイスのイベ
ント中でも、フォワーディング処理やルーティング処理を維持できます。
Copyright © 2010, Juniper Networks, Inc.
19
設計ガイド - キャンパスLAN
2. 拡張可能なパフォーマンス
EX8200シリーズのモジュール式スイッチは、パワフルで高密度かつハイパフォーマンスなソリューションを実現します。最大ス
ループットは3.2Tbpsで、最大64ポート
(8スロットシャーシ)または128ポート
(16スロットシャーシ)のワイヤスピード対応10ギガ
ビットイーサネットを提供します。スロット当たりのスイッチング容量は現在、最大で80Gbpsです。
したがって、EX8200シリーズを
導入することにより、スイッチファブリックやルーティングエンジン、電源、冷却システムなどに変更を加える必要なしに、いつでも簡
単に高速接続へ移行することが可能になります。また、制御プレーンの冗長化やJunos OSの採用により、ソフトウェアの高可用性を
最大限実現できます。
3. CAPEXおよびOPEXの削減
レガシーなレイヤー3ス
現在のハイパフォーマンスなキャンパスで必要とされる、ワイヤスピードポート密度を実現するためには、
イッチの場合では通常、3階層以上で構成する必要があります。
しかし、高密度かつ高性能なジュニパーネットワークスのEX8200シ
リーズのイーサネットスイッチを導入することにより、コアレイヤーの数を少なくすることが可能となるため、ネットワークの経済性
が向上します。さらに、Junos OSの採用により、ネットワーク運用が簡素化され、運用コストも低減できます。
EX8200シリーズは、設備投資や運用コストを削減しながら、
より大きな価値を提供します。その結果、余剰として生じた貴重なITリ
ソースを、ビジネスの生産性向上にむけた新技術への投資へ回すことが可能になります。
注: 特長やメリット、仕様などの詳細については、ジュニパーネットワークスEXシリーズ イーサネットスイッチのデータシートを参照し
てください。
コアレイヤーは必要か?
キャンパスLANでは、2層ネットワークでアグリゲーション・レイヤーをメッシュ化することができるため、コアレイヤーは必要ではないと
いう考え方もあります。
コアなし
L2/L3
スイッチ
L2/L3
スイッチ
L2/L3
スイッチ
統合型コア
L2/L3
スイッチ
アグリゲーション
L2/L3
スイッチ
L2/L3
スイッチ
L2/L3
スイッチ
L2/L3
スイッチ
コア
L2/L3
スイッチ
L2/L3
スイッチ
アグリゲーション
各スイッチでNリンクが必要
(N=レイヤーにおけるスイッチ数)
デュアルホーミングされたアグリゲーション・スイッチを
使用したシンプルなコア設計
図11:コアレイヤーのメリット
20
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
問題点とメリット
現在のハイパフォーマンスなキャンパスで必要とされる、ワイヤスピードポート密度を実現するためには、
レガシーなレイヤー3スイッ
チの場合では通常、3階層以上で構成する必要があります。アグリゲーション・スイッチをメッシュ状に相互接続することは可能ですが、
その場合、Nがアグリゲーション・グループだとすると、1つのスイッチにつきN-1個のメッシュリンクが必要となります。そのような設計
は、管理が難しく、拡張性も低くなるため、アグリゲーション・スイッチが追加された際に、各グループの貴重なポートを無駄に使用する
ことになってしまいます。
これまでは、アグリゲーション・レイヤーの要件である、1000BASE-Xの光ファイバーに対応できる高ポート
密度と高可用性機能の両方を備えているのは、高価なシャーシベースのスイッチだけとされてきました。
しかし、
このようなモジュール
こうしたアプリケーションにおけるコスト効率の良いソリューションで
式のシャーシ型スイッチは、拡張性と高可用性は備えていても、
はありません。まず、フルに搭載する前から、シャーシや共通の機器などに対する大規模な投資が必要になります。また、モジュール型
シャーシは大きいため、すでに込み合っている状態のラック内でさらなるスペースが必要となり、貴重な土地面積を占有してしまいま
す。さらに、消費電力や冷却コストが大きいため、運用コストの増大につながるだけでなく、環境に悪影響を及ぼす温室効果ガス排出
の要因にもなっています。
専用のコアレイヤーは、コアに対してデュアルホーミングされたアグリゲーションを提供します。
これにより、拡張が簡単になるだけでな
く、負荷分散を行う冗長リンクのためのOSPFのECMPも提供します。
コアレイヤーとアグリゲーション・レイヤーの統合
ギガビットイーサネットが最先端かつ最高速な技術とされていた頃に設計されたコアスイッチのほとんどは、キャンパス全体に配備さ
れているアグリゲーション・スイッチからのハイパフォーマンスな高速アップリンクに対して、限られた数の10ギガビットイーサネット・
ポートで対応しています。最初のうちは、
こうしたデバイスが提供する限られたポート密度でも十分に対応は可能ですが、ネットワーク
が拡大していくうちに不十分になってしまいます。
効率的な拡張性を実現し、今日のLANコアに必要とされる10ギガビットイーサネットの高ポート密度を提供するためには、コア内でこ
れらのレガシースイッチを複数レイヤーにわたって配備する必要があります。
このやり方は非常に効果的ではありますが、コアスイッチ
のレイヤーが余分に必要になります。
したがって、大規模な設備投資によってかなりのIT予算を消費してしまうだけでなく、運用も複雑
化し、メンテナンスや管理の負担も増加します。さらに、ネットワーク・レイテンシが増えたり、オーバーサブスクリプション比率が高くな
ることで、全体的なアプリケーション・パフォーマンスが低下する恐れもあります。
EX2200/
EX3200
シリーズ
EX4200
シリーズ
EX8200
シリーズ
EX4200
シリーズ
EX8200
シリーズ
インターネット/
プライベート
図12:コアレイヤーをアグリゲーション・レイヤーに統合
Copyright © 2010, Juniper Networks, Inc.
21
設計ガイド - キャンパスLAN
ジュニパーネットワークスのEX8200シリーズのモジュール式イーサネットスイッチは、2つの面からネットワークの経済性を向上さ
せます。まず、EX8200シリーズはコアで必要とされる10ギガビットイーサネットの高ポート密度をワイヤレートで実現でき、複数のス
イッチレイヤーを配備しなくて済むため、複雑性やコスト、オーバーサブスクリプション、
レイテンシなどが増大する心配がありません。
また、10ギガビットイーサネットの高ポート密度を実現しているため、中規模のエンタープライズ・ネットワークでは、アグリゲーション・
レイヤー自体を省略することが可能になります。そのため、ワイヤスピードの10ギガビットイーサネット・リンク経由で、アクセススイッ
チを直接コアに接続することが可能です。アグリゲーション・スイッチのレイヤーを排除できるため、設備投資を大幅に削減できるだけ
トラブルシューティングや問題解決に至るまで、あらゆる面でネットワーク運用の簡素
でなく、OSのアップグレードや移行、追加、変更、
化につながります。
アグリゲーション・レイヤーを必要とする大規模なエンタープライズ・ネットワークであっても、ジュニパーネットワークスのソリューショ
ンを導入することで、アグリゲーション・レイヤーに関する設備投資を削減することが可能になります。アグリゲーション・スイッチは、
1つのプラットフォーム上に分散されているワイヤリング・クローゼットを統合してコアスイッチに接続するため、フロア間やビル間に
またがる長距離接続にも対応できる、高密度のファイバーインタフェースが必要です。また、アグリゲーション・スイッチは、企業ネット
ワーク上に分散しているユーザーと集中サーバーとの間を接続するという重大な役割を担うため、アプリケーションやビジネスプロセ
スを継続的かつ確実に提供できるよう、高可用性機能を備えている必要もあります。
キャンパスネットワークの高可用性
本書でこれまで何度も強調しているとおり、キャンパスネットワークは、PSTNや通信ネットワークと同レベルもしくは限りなく近いレベ
ルの信頼性とアップタイムを備えていなくてはなりません。
どの業界であっても、市場における競争力を維持していく上で、ダウンタイ
ムの発生は許されません。ネットワークプロトコルやデバイスレベルの高可用性リンク、ネットワーク・ソフトウェアなどあらゆるレベル
において高可用性を保証する必要があります。
デバイスレベルの高可用性
デバイスの不具合の大半は、電源の故障や冷却機能の不具合などが原因で発生します。
したがって、ビジネスプロセスを常にサポート
するためには、EXシリーズ イーサネットスイッチやジュニパーネットワークスのMXシリーズ イーサネットサービスルーターなどの、高
品質なキャリアクラスのネットワークデバイスが必要となります。デュアル電源、冗長ファンや冗長ブロアを搭載した機器を導入するこ
とで、機器の故障を最小限に抑え、平均修理時間(MTTR)を短縮することが可能になります。また、主要デバイスを二重化して、万一障
害が発生した場合に利用可能なバックアップデバイスを用意することにより、デバイスレベルの高可用性をさらに高めることができま
す。すべてのデバイスに対してバックアップを用意することが予算的にも構成的にも困難な場合は、フィールド交換可能またはホットス
ワップ可能な電源やファンなどの主要なデバイス・コンポーネントだけでも予備を準備しておけば、デバイスの不具合による影響を軽
減することができます。
リンクレベルの高可用性
リンクレベルの高可用性を実現すれば、ビジネスプロセスにおいて、内部および外部のリソースからの重要なデータフローを確実に維
持することが可能になります。キャンパス内でリンクレベルの高可用性を実現するためには、アクティブ/バックアップ構成において2つ
のリンクを稼動させる必要があります。
これにより、一方のリンクに障害が発生した場合に、もう一方が引き継ぎ、故障したリンク上で転
送されていたトラフィックを回復することができます。
22
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
冗長リンク:スクエア構成vsトライアングル構成
デバイス間の冗長パスには、スクエア構成またはトライアングル構成のリンクを使用します。
スクエア構成
トライアングル構成
L2
スイッチ
L2/L3
スイッチ
L2/L3
スイッチ
図13:デュアルホーミング:スクエア構成vsトライアングル構成
1. ピアリングスクエア構成
この設計では、アグリゲーション・レイヤーとコアレイヤーの間で、
レイヤー3のピアリングスクエアを構成します。冗長パスは、ルートピ
アリングによって形成されます。
リンクに障害が発生した場合は、
レイヤー3のプロトコルのコンバージェンスが必要になりますが、ルー
トに決定性がないために、一貫性に欠ける可能性があります。その結果、セッションドロップやパケットロスが発生し、パフォーマンスが
低下します。
2. デュアルホーミングしたトライアングル構成
この設計では、アグリゲーション・レイヤーとコアレイヤーの間で、
レイヤー3のデュアルホーミングしたトライアングル(三角形)を構成
します。冗長な負荷分散パスは、ECMPによって形成されます。ルートに決定性があるため、
リンクに障害が発生した場合でもフェイル
オーバー時間を短縮できます。その結果、パケットロスを最小限に抑えた最適なパフォーマンスを実現できます。
バーチャルシャーシ・テクノロジー
バーチャルシャーシ・テクノロジーを搭載したジュニパーネットワークスのEX4200スイッチは、最大10台まで接続して、1つの論理ス
イッチとして取り扱うことができます。バーチャルシャーシ構成はそれぞれ、フェイルセーフ機能を備えているため、障害が発生した場
合は、各ユニットが相互にデータを転送します。また、デバイスまたはリンクに障害が発生した場合に備えて、各WANエッジデバイスへ
の冗長リンクを実現しています。EX4200に標準で装備されているデバイスの高可用性機能に加えて、すべての機器でJunos OSを採
用しているため、QoSやGRESなどソフトウェアの高可用性機能も実現でき、ノンストップ・フォワーディングや自動負荷分散などのデ
バイスのイベント中でも、フォワーディング処理やルーティング処理を維持することが可能になります。
リンク・アグリゲーション・グループ
ハイパフォーマンスなリンクとポートレベルの冗長性を実現するためには、デバイスレイヤー間にリンク・アグリゲーション・グループ
(LAG)を構成することをお勧めします。
リンクアグリゲーション
L2/L3
スイッチ
L2/L3
スイッチ
図14:リンク・アグリゲーション・グループ(LAG)
1つの論理トランクグループとしてLAGを構成する場合には、複数の物理インタフェースが必要なため、デバイス間の帯域幅が増加しま
す。また、アクティブなグループポートおよびリンク間でトラフィックが分散されるため、内蔵の負荷分散機能に加えて、
リンクやポートレ
ベルの冗長性を実現できます。LAGを構成していれば、
リンクやポートに障害が発生した場合でも、フェイルオーバー時 間を短縮する
ことが可能になります。
Copyright © 2010, Juniper Networks, Inc.
23
設計ガイド - キャンパスLAN
アクセスレイヤー
西側クローゼット
東側クローゼット
バーチャルシャーシ1
EX4200シリーズ
LAG
EX4200シリーズ
EX4200シリーズ
LAG
128 Gb/s
VCP
EX4200シリーズ
アグリゲーション・レイヤー
図15:バーチャルシャーシとLAG
バーチャルシャーシ・テクノロジーを搭載したEX4200スイッチは、1つのワイヤリング・クローゼット内または複数のワイヤリング・ク
ローゼットにまたがって、複数のバーチャールシャーシ・グループを構成することができます。最も近いバーチャールシャーシ・グループ
からのアップリンクは、アグリゲーション・レイヤーに配置された複数のEX4200ユニットに展開されます。
このようなシンプルな設計
の場合、STPは不要ですが、1つのバーチャールシャーシ・グループ内で複数のEX4200スイッチにアップリンクを分散することで、冗
長性が向上します。アップリンクがすべて冗長化され、負荷分散が可能となるため、運用コストの節減や高可用性の向上にもつながり
ます。
冗長トランクグループ
冗長トランクグループ(RTG)は、ジュニパーネットワークスのEXシリーズ イーサネットスイッチに搭載されている高可用性リンク機能
です。
この機能により、STPが不要になります。RTGは、デュアルホーム接続によってスイッチに搭載することが望ましく、一方のリンク
をトラフィック転送用のアクティブリンクとして、もう一方をブロッキング用のバックアップリンクとして構成します。また、
リンクで障害が
発生した場合に、高速コンバージェンスが可能になります。実質的には、RSTPルートや代替ポートの機能によく似ていますが、RSTP
の設定が不要という点で異なります。
24
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
キャンパスリンクの冗長化に関するベストプラクティス
以上を踏まえた上で、ジュニパーネットワークスは以下のリンク構成を推奨します。
アクセスレイヤー
L2
スイッチ
L2
スイッチ
アグリゲーション・
レイヤー
アクセス-アグリゲーション間の
冗長相互接続
アグリゲーション・レイヤーの
冗長ノード
L2/L3
スイッチ
アグリゲーション-コア間の
冗長相互接続
レイヤー3トライアングルリンク構成
コアレイヤー
L2/L3
スイッチ
コアレイヤーの冗長ノード
インターネット/
プライベートWAN
図16:リンク冗長化のベストプラクティス
アクセスレイヤー・スイッチは、アグリゲーション・レイヤーの冗長ノードに対して、デュアルホーム構成にするべきです。アグリゲーショ
ン・レイヤーとコアレイヤーはいずれもデュアルホーム構成の相互接続で構築します。代替パスはそれぞれ、
レイヤー3を使用してコン
バージェンスを最適化します。また、コアレイヤースイッチも、WANエッジルーターに対してデュアルホーム接続されるように構成しま
す。すべてのレイヤーにおいて、
リンクやノードの障害に対応できるようにリンク帯域幅とノードのキャパシティを設計すると良いでしょ
う。
ネットワーク・ソフトウェアの高可用性
Junos OSは、ジュニパーネットワークスのスイッチやルーター、ファイアウォール・ソリューションなど、全製品に共通して搭載されて
おり、キャンパスにキャリアクラスのネットワーク・ソフトウェアを提供します。また、
ノンストップ・フォワーディング(NSF)やグレースフ
ル・リスタート、統合型インサービス・ソフトウェア・アップグレード(ISSU)、BFDプロトコルなど、さまざまな機能に対応しており、IP
ネットワークを電話網と同レベルのフェイルセーフ機構と高い信頼性を備えたものにします。Junos OSはモジュール性が高く、また全
機能を統一的に導入できるため、最小規模のキャンパスでも、最大規模のサービスプロバイダと同じように、Junos OS搭載機器を使
用してサービスを強化することが可能になります。
Copyright © 2010, Juniper Networks, Inc.
25
設計ガイド - キャンパスLAN
セキュリティ
現在、キャンパスLANのセキュリティに関する課題は増加する一方です。その要因としては、キャンパスユーザーの移動性の高まりや、
請負業者の増加、オンサイトでのパートナー企業とのコロケーションの増加、統合型通信の拡大、無線アクセスに対するニーズの高まり
など、さまざまな要素が挙げられます。ITによって、安全でユビキタスかつ高性能なLAN/WLANアクセスを提供し、大規模LANや複数
LANに対する内外からの脅威からキャンパスの大事なリソースを保護しなければなりません。
SBRシリーズ
インターネット
ICシリーズ
L2/L3
シリーズ
NetScreen
シリーズ
IDPシリーズ
SAシリーズ
無線
アクセス
ポイント
各部門
ODYSSEY
アクセス・クライアント
図17:キャンパスのセキュリティアーキテクチャ
キャンパスLANは、増加するセキュリティ脅威やリスクに対して、あらゆる側面からセキュリティと管理を維持しながらも、同時に生産
性の向上のために、オープンで広範囲にわたるアクセスを提供しなくてはなりません。ネットワークやアプリケーション・レイヤーへの
脅威を最大限防御するために最も効果的な方法は、ネットワークの各ロケーションに適した、複数レイヤーによるセキュリティアーキ
テクチャを構成することです。また、包括的なセキュリティ機能や優れた信頼性、並外れたパフォーマンスを提供する全体的なソリュー
ションが必要です。802.1Xや統合型アクセス・コントロールを利用すれば、ネットワークにアクセスしようとする未管理のデバイスや
ゲストユーザーに効率的に対処できるだけでなく、管理が困難なデバイスや不正プログラムの拡散防止機能、アプリケーション・アク
セス・コントロール、視認性、モニタリングなどにも対応可能になります。また、LAN全体のセキュリティを確保するためには、ファイア
ウォールや侵入検知防御ソリューションも不可欠です。さらに、セキュリティツールとしてQoSを使用すれば、
トラフィックの認証やクラ
ス分け、キューイングを行うことができます。たとえば、QoSポリシーを導入することで、各部門のリソースへの不正アクセスを防いだ
り、優先度の高いデータフローが不正なトラフィックによる影響を受けたりしないよう保証することが可能になります。
26
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
統合型アクセス・コントロール
LANのセキュリティを確保する上で有益となる統合型アクセス・コントロール(UAC)ソリューションは、以下の機能を提供する必要が
あります。
• ネットワークの保護̶ログイン時にユーザー認証を行い、権限を持つユーザーだけにアクセスを許可します。
• 協調型脅威管理̶権限を持つユーザーがログイン時に、ウィルスやワームに感染していたり、システムをハッキングしようとした場
合は、ジュニパーネットワークスのICシリーズ 統合型アクセス・コントロール・アプライアンスや他のセキュリティデバイスが、UACに
よって問題のあるデータの発生場所を特定し、ポートを遮断するか脅威を阻止します。
• ゲストのアクセス̶LANへのアクセスを許可するユーザーおよびそのユーザーが利用できるリソース、アクセス可能な時間枠など
を明確に定義します。
• IDベースのQoS̶特定のリソースにアクセスできる社員グループや、特定のアプリケーションに対するサービスレベルを定義しま
す。たとえば、電子メールにアクセスするユーザーにはベストエフォート型のQoSを設定し、財務関連業務などミッションクリティカ
ルなアプリケーションに対してはゴールドのQoSを設定します。
ジュニパーネットワークスの統合型アクセス・コントロールは、IDベースのポリシーとエンドポイント・インテリジェンスとを組み合わせ
ることにより、企業ネットワークの全体にわたってリアルタイムの視認性とポリシーコントロールを実現します。ジュニパーネットワーク
スのUACソリューションは、集中ポリシー管理を行うICシリーズ 統合型アクセス・コントロール・アプライアンス、動的にダウンロード可
能なUACエージェントまたはエージェントレス方式のエンドポイント・ソフトウェア、
ファイアウォールと、ベンダー非依存の802.1X対応
スイッチおよび/またはWLANアクセスポイントを含む多様な形態のエンフォースメント・ポイントといったコンポーネントの一部また
はすべてを活用します。さらに、未管理または管理状態の悪いエンドポイントのセキュリティ上の問題に対しても、LAN全体でコスト効
率の高いソリューションを提供します。つまり、UACは、堅牢なアドミッション・コントロールによって、必要なOSアップデートやセキュ
リティパッチ、パーソナル・ファイアウォール要件、ウィルスシグネチャなどに対してエンドポイントが準拠していることを確認してから、
LANへのアクセスを許可するという強力なネットワークの防衛線を形成するのです。ジュニパーネットワークスのUACは、ゲストや請負
業者、パートナー、従業員などに対するアクセス・コントロールを実現するソリューションです。
エキストラネット
SAシリーズ
ファイアウォール
アプリケーション
オフィスビル
モバイル従業員
ゲスト
パートナー
検疫/修復
図18:あらゆるタイプのユーザーにエンドポイント・ヘルス・ポリシーを適用
IEEE 802.1X
802.1X標準は、ポートベースのネットワーク・アクセス・コントロールのための認証、アクセス・コントロール、データプライバシーを実
現する強固な枠組みを提供します。802.1Xアクセス・コントロール・ソリューションは、ネットワークIPアドレスが割り当てられる以前で
あっても、ネットワーク・クレデンシャルの認証を完了させることができます。
これにより、不正アクセスを防御して、ウィルスなどの脅威
が組織中にまん延するのを未然に防ぐことができます。ログイン後は、動的なポートベースのロール設定により、特定リソースの使用を
制限します。
Copyright © 2010, Juniper Networks, Inc.
27
設計ガイド - キャンパスLAN
ユビキタスアクセス
週7日24時間稼働することが求められる現在のグローバル環境においては、従業員や顧客、パートナーおよびその他のネットワーク
ユーザーが、場所を問わずあらゆるデバイスから、ネットワークリソースやアプリケーションにリアルタイムでアクセスできる状態を提
供する必要があります。キャンパス内においては、コンピュータやノートパソコン、PDA、インターネット接続可能なスマートフォンなど
を始めとするさまざまなIPデバイスから有線/無線アクセスができることが必須です。パートナー企業のビル内やホテルの室内、イン
ターネットカフェなど、インターネット接続ができるキャンパス外の遠隔地からアクセスする場合にも、VPNなどのセキュアな接続に
よってLANリソースに接続できるようにしなくてはなりません。
セグメント化
セグメント化は、物理インタフェースに制約されることなく、ネットワークをユーザー定義に基づいて個別ゾーンへと論理的に分割する
手法です。
インターネット
ISGシリーズ
L2/L3
スイッチ
財務部門
人事部門
販売部門
図19:複数の部門、
リソース、サービスにセキュリティポリシーを適用
追加コストを発生させることなく分散されたセキュリティ要件に対応でき、ポリシーの設定や管理を簡素化できます。つまり、セグメント
化は特定のリソースへアクセスできるユーザーをグルーピングする際に最適な手法です。たとえば、人事部門全員を対象として、人事関
連のデータベースやその他の従業員データに対するアクセスを許可することなどができます。セグメント化は、VLANなどの仮想化技
術によって実行します。
アクセス・コントロール・リスト
企業は、コンプライアンス要件に対応するために、機密データへのアクセスが管理できていることを示す必要があります。つまり、権限を
持つユーザー以外は機密データにアクセスできないことを証明しなくてはなりません。
また、貴重な企業リソースへのユーザーアクセスの
モニタリングや監査、記録を行う必要があります。特に無線アクセスに関しては、多くのキャンパスにおいてゲストのアクセスを制限する必
要があります。さらに、ユーザーに対して、ポリシーに基づいた許可がない限り、アプリケーションの使用さえも制限するというリスク軽減
策を導入してもよいでしょう。たとえば、ゲストがログインした際に、アクセス・コントロール・リスト
(ACL)を使用して動的にアクセスを制
御したり、特定のサービスを公開したりすることができます。ACLは、ネットワークアクセスの許可または拒否を実行することでトラフィック
を制御することから、
フィルタリングと称される場合もあります。ACLは、ネットワークに対するトラフィックの出入りを防御する手段です。
ファイアウォールのフィルタパラメータは、ローカルで設定するか、もしくはRADIUSサーバーが送信するベンダー固有属性によって設定
することもできます。
28
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
アクセスセキュリティのさらなる向上
上記で述べた手段以外にも、ポートのセキュリティ対策や脅威検知対策などを実行し、内外からのスプーフィング攻撃や中間者攻撃、
DoS攻撃などを防御する必要があります。具体的な手段としては、MAC制限やDHCPスヌーピング、Dynamic ARP Inspection、IP
ソースガードなどが挙げられます。
1. MAC制限
内蔵型またはそれ以外のネットワーク・アダプタには、MACアドレスが関連付けられています。
このレイヤー2識別子は、ネットワー
ク上のコンピュータを一意にマーキングします。ただし、MACアドレスはIPアドレスのようにホスト部とネットワーク部に分割できな
いため、同じレイヤー2ネットワーク・セグメントを共有しているホスト同士のMACアドレスを識別することはできません。
このため、
MACアドレスの変更を行うMACスプーフィングと呼ばれる行為を行い、信頼できるホストから、制限されたリソースにアクセスする
ことができてしまいます。一部のスイッチではMAC制限を設定できるため、MACのフラッディング攻撃やスプーフィング攻撃を防御
することができます。
2. DHCPスヌーピング
レイヤー2スイッチポートはセキュリティ機能として、
ドメインの完全性を確保するためのDHCPスヌーピング機能も備えています。
DHCPスヌーピングは、DHCPサーバーがLANクライアントに対してIPアドレスを割り当てる際に、DHCPサーバーと連携して、特定
のIP/MACアドレスを持つクライアントだけに対してネットワークアクセスを許可する機能です。ネットワークにアクセスできるのは、
ホワイトリストに載っているIPアドレスのみです。ホワイトリストはスイッチのポートレベルで設定され、DHCPサーバーがアクセス・
コントロールの管理を行います。特定のポート上の特定のMACアドレスを含んだ特定のIPアドレスのみが、IPネットワークにアクセ
スできます。さらに、信頼されていないアクセスポート上のDHCPリクエストは検査および検証が求められます。
これにより、攻撃者
が自分のDHCPサーバーを勝手にネットワークに追加することを防ぎ、DHCPサーバーへのDoS攻撃や不正に構築したDHCPサー
バーを使用した攻撃を予防することができます。
DHCPスヌーピングのセキュリティフィルタは、DHCPサーバーへのDoS攻撃や不正に構築したDHCPサーバーを使用した攻撃を
防御することにより、信頼されていないDHCPメッセージのDHCPスヌーピング・バインディング・テーブルを維持します。
3. Dynamic ARP Inspection(DAI)
電子メールサーバー
L2/L3スイッチ
ターゲット
攻撃者
図20:Dynamic ARP Inspection(DAI)
ARP(Address Resolution Protocol)スプーフィングは、攻撃者がスプーフィングされたARPメッセージをイーサネットLANに送
信することで開始します。まず、サーバーやゲートウェイといったネットワークノードのIPアドレスが盗まれ、攻撃者のコンピュータに
適用されます。そして、ネットワーク・トラフィックが攻撃者のコンピュータに対して送信されると、攻撃者はデータを修正し、中間者攻
撃によって別の場所へそのデータを送信します。攻撃者は、ゲートウェイのIPアドレスに存在しないMACアドレスを関連付けること
で、DoS攻撃を行うことも可能です。または、パケットを盗聴してから、実在のノードに対して単にトラフィックを転送することもできま
す。
Copyright © 2010, Juniper Networks, Inc.
29
設計ガイド - キャンパスLAN
Dynamic ARP Inspection(DAI)は、信頼されていないポート上のARPパケットをインターセプトし、DHCPスヌーピング・データ
ベースと照合して検証します。データベースに存在しないエントリーはドロップされます。
これにより、有効なデバイスになりすまして
いるアドレスに対してトラフィックが転送されるのを防ぎ、中間者によるスプーフィング攻撃やDoS攻撃を防御します。
4. IPソースガード
上記以外のポートセキュリティ機能としては、信頼されていないレイヤー2アクセスやトランクポート上のIPトラフィックを制限する、IP
ソースガード機能があります。IPソースガードは、DHCPスヌーピング機能と連動して、手作業で設定されたIPソースバインディングや、
DCHPスヌーピング・データベースが自動的に学習した内容に基づいてトラフィックをフィルタリングする機能で、IPスプーフィング攻撃
を防御します。監視ポートに入ってくるIPトラフィックが、
自動的または静的に割り当てられたものではないIPアドレスを持っている場合、
そのIPトラフィックはドロップされます。
運用の簡素化と統合型管理
ジュニパーネットワークスNetwork and Security Manager (NSM)を利用した統合型管理
ジュニパーネットワークスNetwork and Security Managerは、ルーター、スイッチ、ファイアウォール/IP Sec VPNやIDPシリーズ
デバイスなどのライフサイクル全体を管理する強力な集中管理ソリューションです。集中化されたデバイス/設定/ポリシー管理、標準
ベースのネットワークトポロジー検出/追跡、ハードウェア/ソフトウェアのインベントリ管理、そしてさまざまなモニタリング機能やトラ
ブルシューティング機能を備えています。
または手動で行うことができるだけでなく、合理化
NSMの自動化されたプロセスにより、ネットワークデバイスの追加や削除を自動的に、
され、
スケジュールされた最新のデバイスアップデートによってデバイスのステータス、設定、在庫状況を継続的に同期することが可能で
す。
図21:NSMのデバイス管理とデバイスのオートディスカバリ
30
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
NSMのトポロジーマネージャにより、ルーター、スイッチ、セキュリティ・アプライアンスなど、ジュニパー製品であるか否かにかかわら
ずすべてのネットワークデバイスを検出し、階層セグメント、エンドポイント、ホストをトポロジーマップに適切にマッピングすることが
できます。
トポロジーマップを検出されたネットワークデバイスに関連づけることによって検索可能なデータベースが作成され、管理
が容易になります。
図22:NSMのトポロジー検出
数十から時には数千にも及ぶネットワークを構成するネットワーク管理者の仕事をよりシンプルにし、業務負担を減らすために、NSM
は定義済みかつカスタマイズも可能なデバイステンプレートとポート設定テンプレートをサポートしています。
これらのテンプレート
は、複数のデバイスに同時に適用可能です。あらかじめ定義された設定テンプレートは、それぞれの配備シナリオに関連してジュニ
パーネットワークスが推奨するベストプラクティスに基づいて設計、構成されています。テンプレートベースの設定が適用できない場合
には、CLIの代わりにすべてのデバイス機能の詳細を提供するNSMの「クリック&選択」ベースの設定用ユーザーインタフェースを利用
できます。
Copyright © 2010, Juniper Networks, Inc.
31
設計ガイド - キャンパスLAN
図23:NSMのテンプレートベースの設定
NSMは、さまざまなレポート作成ツールを備えており、ネットワーク管理者は、ネットワーク・トラフィック、デバイス統計やイベント、シ
ステムリソースやその他の管理情報をリアルタイムで閲覧、分析したり、過去のトレンドや記録を把握することができます。また、頻繁に
使用されるレポートについては、定義済みかつカスタマイズ可能なテンプレートやフィルタを使用して定期的に作成することも可能で
す。
32
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
図24:NSMのイベント/ログ管理
NSMのメリット
NSMは、GUIによってネットワークトポロジーの検出/マッピング、デバイス設定などの複雑なタスクを簡素化します。また、デバイスの
テンプレートを提供することで設定エラーを最小限に抑えるだけでなく、調査ツールによってネットワークの視認性を保証するなど、さ
まざまな機能を提供して運用コストの削減を実現します。
Copyright © 2010, Juniper Networks, Inc.
33
設計ガイド - キャンパスLAN
ジュニパーネットワークスJ-Webソフトウェアを利用したリモート設定および管理
フル機能のコマンドライン・インタフェース(CLI)以外に、ウェブベースのツールであるJ-Webを利用して、Junos OSで動くすべてのデ
バイスの設定、管理ができます。
図25: J-Webの使いやすいグラフィカル・インタフェース
J-Webのメリット
Junos OS上に構築されたJ-Webは、デバイス管理を行うためのGUIを提供するツールで、ジュニパーネットワークスが提供している
エレメント管理製品やサービス管理製品を補完するものです。J-Webは操作も簡単で、IT管理者やネットワークオペレータは、簡単に
ネットワーク上のすべてのスイッチやルーター、ファイアウォールなどを迅速かつシームレスにモニタリング、設定、
トラブルシューティ
ング、管理できるようになります。
J-Webを使用すれば、技術者以外のユーザーでも、迅速かつ簡単にルーターをオンライン状態に移すことができます。Junos OSのあ
らゆる特長や機能に対するシームレスなGUIアクセスが可能になるため、新しいサービスの導入に必要な期間を短縮できます。また
J-Webは、お使いのネットワーク管理アプリケーションだけでなく、Micromuse Netcool OMNIbusやDorado RedCell Manager、
IBM Tivoli、HP Openviewなど他社のOSSアプリケーションにも簡単に統合可能です。そのため、サービスプロバイダや顧客企業に
とっても、複雑さを最小限に抑えることができます。J-Webの[quick configuration]ウィザードを使用すれば、エラーを発生させるこ
となくサービスの変更やアップグレードを素早く実行できます。さらに、[configuration and QoS]ウィザードを使用すれば、サービス
パラメータをリアルタイムで変更できるため、新しいサービスを作成して導入することも簡単です。
34
Copyright © 2010, Juniper Networks, Inc.
設計ガイド - キャンパスLAN
おわりに
視認性の高いエンタープライズLANは、企業にとってのコアアセットであり、いつ、
どこからでもアクセス可能で、場所に関係なくセキュア
でハイパフォーマンスなサービスを提供できなくてはなりません。
しかし、既存のキャンパス・インフラストラクチャ・ソリューションでは、
増大する一方のセキュリティやパフォーマンスに関する課題に対応することがもはや困難になっています。
また、既存のソリューションは、
コストの低減や運用の合理化を実現する上で不可欠な集中管理機能も備えていません。つまり、キャンパスのセキュリティやコネクティビ
ティ、パフォーマンスなどの要件を満たし、重要なITイニシアチブを実現できる、新しいキャンパスLAN設計が今、求められているのです。
さらに、優れた拡張性、運用のシンプルさを備え、全体を再設計する必要なく新しいコンピューティング・トレンドにも柔軟に対応できるこ
とが必要です。
高性能なイーサネットスイッチの新製品シリーズを含めたジュニパーネットワークスのソリューションは、企業にキャンパスネットワーク
の新たな構築手法を提案します。ジュニパーネットワークスのスイッチは、
コンパクトなpay-as-you-growプラットフォームにおいて、高
ポート密度、
ワイヤスピードのコネクティビティ、高可用性を実現し、大手スイッチベンダーが推奨する旧式で高価なソリューションに代わ
る、強力かつコスト効率の高いソリューションを提供します。
また、従来のソリューションで必要とされていた非効率的なレイヤーを省略す
ることが可能になります。
また、
ワイヤリング・クローゼット内の設置面積もより小さく済み、消費電力量の削減や冷却要件の低減も可能な
ことから、将来に向けてネットワークの強化を実現する効率的かつ環境に優しいソリューションと言えます。ジュニパーネットワークスの製
品は、あらゆる種類のセキュアなサービスだけでなく、統合型通信などの繊細かつ大量の帯域幅を必要とするアプリケーションに不可欠
な、エンド・ツー・エンドのQoSを提供します。
Junos OSは、ジュニパーネットワークスが提供するすべてのスイッチ、ルーターおよびファイアウォール製品で採用されている唯一の共
通OSです。Junos OSの採用により、ネットワーク・インフラストラクチャの導入、設定、
アップグレードが極めて簡単になるため、時間や運
用リソースを大幅に削減でき、その分を業務のさらなる改善と顧客満足度の向上に向けて再配分することが可能になります。
ジュニパーネットワークスのインフラストラクチャ・ソリューションは、ネットワークの経済性を高め、IT投資における「ルールの変革」を実
行するとともに、真の革新性を備えた競争環境を整え、現在だけでなく将来に向けて収益の増加と生産性の向上を実現します。
ジュニパーネットワークスについて
ジュニパーネットワークスは、ハイ・パフォーマンス・ネットワーキングのリーダーです。サービスおよびアプリケーションの一元化され
たネットワークにおける展開を加速するのに不可欠な、即応性と信頼性の高い環境を構築するハイ・パフォーマンスなネットワーク・イ
ンフラストラクチャを提供するジュニパーネットワークスは、お客様のビジネス・パフォーマンスの向上に貢献します。ジュニパーネット
ワークスに関する詳細な情報は、以下のURL でご覧になれます。
http://www.juniper.net/jp/
日本
米国本社
アジアパシフィック
ヨーロッパ、中東、アフリカ
東京本社
〒163-1035
東京都新宿区西新宿3-7-1
新宿パークタワー N棟35階
電話 03-5321-2600
FAX 03-5321-2700
1194 North Mathilda Ave
Sunnyvale, CA 94089
USA
26/F
Cityplaza One
1111 King s Road,
Taikoo Shing, Hong Kong
Airside Business Park
Swords, County Dublin
Ireland
電話 852-2332-3636
FAX 852-2574-7803
電話 35-31-8903-600
FAX 35-31-8903-601
ジュニパーネットワークス株式会社
西日本事務所
〒541-0041
大阪府大阪市中央区北浜1-1-27
グランクリュ大阪北浜
Juniper Networks, Inc.
電話 888-JUNIPER
(888-586-4737)
または408-745-2000
FAX 408-745-2100
Juniper Networks (Hong Kong) Ltd.
Juniper Networks Ireland
URL http://www.juniper.net
URL http://www.juniper.net/jp/
Copyright© 2010, Juniper Networks, Inc. All rights reserved.
Juniper Networks、Junos、NetScreen、ScreenOS、Juniper Networksロゴは、米国およびその他の国におけるJuniper Networks Inc.の登録商標または商標です。また、その他記載されているすべての商標、サービスマーク、
登録商標、登録サービスマークは、各所有者に所有権があります。ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、
または改訂する権利を有します。
8020001-002 JP Aug 2010
Copyright © 2010, Juniper Networks, Inc.
35
Fly UP