...

NetScaler のキャリア グレード NAT(CGNAT) 機能

by user

on
Category: Documents
53

views

Report

Comments

Transcript

NetScaler のキャリア グレード NAT(CGNAT) 機能
ブローシャー
NetScaler のキャリア
グレード NAT
(CGNAT)
機能
www.citrix.co.jp
ブローシャー
NetScaler のキャリアグ
レード NAT(CGNAT)機
能がもたらす主なメリッ
ト
• IPv4 ベースのサービスお
よびアプリケーションを
継続して提供できるほ
か、シームレスな透過性
と高い性能により IPv4 を
使⽤するサブスクライ
バーをサポートできる
• CGNAT と負荷分散機能
を統合した単一の実績あ
るアプリケーションデリ
バリーコントローラー
(ADC)を使⽤すること
で、運⽤を簡素化しコス
トを削減できる
• 2RU プラットフォーム
で最⼤ 2 億 5600 万件の
セッションをサポートで
きるため、トラフィック
の急増に対応するための
スケーリングをコスト効
率良く実施できる
NetScaler によるキャリアグレード NAT
キャリアグレード NAT(ネットワークアドレス変換)を使⽤すると、IPv4
インフラストラクチャーに対して⾏った過去の投資を保護できます。
NetScaler では、業界トップのアプリケーションデリバリーと、高性能でア
プリケーション透過的なキャリアグレード NAT 機能が結合されているた
め、通信サービス事業者は、NetScaler を使⽤することで、自社保有の IPv4
ネットワークの寿命を延⻑することや、サブスクライバートラフィックの
急増をサポートするために S/Gi-LAN をスケーリングすること、およびア
プリケーションデリバリー制御を統合することをすべて、コスト効率の良
い単一プラットフォーム上で実現できるようになります。
絶えず変化が続くような環境であっても、変化しないものがいくつか存在します。そのような
ものの一例として、IPv4 が挙げられます。IPv4 は、グローバル IP アドレス空間が完全に割り
当てられてしまっているにもかかわらず、すぐには消えてなくなりそうにありません。ネット
ワークアドレス変換(NAT)自体は、古くから使われている実績あるテクノロジーですが、キャ
リアグレード NAT(CGNAT)を実装する場合、通信事業者はコストと機能という 2 つの課題
に直面し続けています。
一部の CGNAT ソリューションでは専⽤システムが必要となりますが、
これには独⽴したハードウェアの設置と保守が必要となるため、結果として設備費と運⽤費が
増加することになります。より適切なアプローチは、CGNAT 機能を高性能のアプリケーショ
ンデリバリーコントローラー(ADC)へと統合することです。ただし、一部の ADC ベースの
ソリューションでは、CGNAT の性能をスケーリングする場合に追加のリソース(CPU/メモリ
のアップグレードやブレードの追加)が必要となることがあるため、結果としてコストが増加
します。
機能面の課題としては、NAT において各種のプロトコルとアプリケーションを全体的な透過性と共
にサポートするために、必要となる各種の形式や関連する機能を実装することが挙げられます。例
えば、UDP、TCP、ICMP のようなプロトコルではすべて、エンドツーエンドの透過的な動作を⾏
うために特定の形式の NAT が必要となります。また、特定のトンネリングプロトコルやシグナリン
グプロトコル(特にパケットペイロードに IP アドレスや TCP/UDP ポート番号を含んでいるような
プロトコル)の場合、アプリケーションレイヤーゲートウェイ(ALG)機能が必要となります。ALG
は一種のプロキシとして機能することで、アプリケーションで必要となる変換がパブリックアドレ
ス体系とプライベートアドレス体系の間でシームレスに⾏われるようにします。ただし、ALG はプ
ロキシとは異なり、クライアントやサーバーに対する変更は必要ありません。
シトリックスは、高性能の CGNAT ソリューションを NetScaler®アプリケーションデリバリーコン
トローラーに組み込むことで、これら 2 つの課題に対処しています。CGNAT と負荷分散機能が組
み込まれた業界トップの高性能の NetScaler ADC を使⽤することで、通信事業者は、機器の統合が
可能となり、追加的な単一目的のシステムを導入する必要がなくなります。また、統合によるコス
ト効率性の改善は、毎年 50〜100%増加している S/Gi-LAN トラフィックを処理する場合に特に重
要となります。
CGNAT をサポートする一部の ADC では性能が問題となりますが、厳しいテストの結果、NetScaler
は 2RU プラットフォーム上で最⼤ 2 億 5600 万件のセッションをサポートできることが証明されて
います。また、テストの結果、NetScaler は、最⼤レイヤ 7 スループットが 150Gbps であり、1 秒
当たり 100 万件を超える接続を処理できることが証明されています。さらに、完全なユーザー設定
が可能な ADC プラットフォーム上で高性能の CGNAT を実現するために、NetScaler を購入した通
信事業者に対しては、3 年間のサポートが提供されます。
www.citrix.co.jp
2
ブローシャー
NetScaler によるキャリアグレード NAT
NetScaler の CGNAT ソリューションには、通信事業者が今日必要としているアプリケーションレ
イヤーゲートウェイに関する広範な種類のサポートも含まれています。また、同ソリューションは
拡張可能な設計を持つため、変化し続けるマーケット状況に対応する場合には、必要に応じて他の
ALG を追加することもできます。このように、NetScaler の CGNAT ソリューションでは様々な種
類の ALG を利⽤できるため、通信事業者は、企業や個々のサブスクライバーが抱える接続要件を満
たすと同時に、高品位なエクスペリエンスを制限なしに提供することが可能となります。
主な機能
標準ベースのネットワークアドレス変換およびポート変換
NetScaler の CGNAT は、最新の RFC に基づく標準ベースのプライベート IPv4-パブリック IPv4
ネットワークアドレス変換(NAT44)を提供しており、クライアント-サーバー環境およびピアツー
ピア(P2P)環境の両方での相互運⽤性と透過性を実現します。また、CGNAT では、パブリック
IPv4 アドレスのプールを使⽤して、
各サブスクライバーにグローバル IP アドレスを割り当てた後、
インターネットやその他のパブリック IP ネットワークと通信する際に必要に応じて、各サブスクラ
イバーのプライベート IPv4 アドレスと、それに対応するグローバルアドレス間でのマッピングを
自動的かつ透過的に実施します。
インバウンド接続に対するオープン性の制御
NetScaler は、オープンな(またはマッピングされた)内部アドレスを通じた、任意の外部ホストか
ら任意の内部ホスト(CGNAT サービスの「背後」にあるホスト)への接続を許可します。このよう
な動作のことを Endpoint Independent Filtering(EIF)と呼びます。IETF(Internet Engineering Task
Force)は、CGNAT のデフォルトの動作として EIF を推奨しています。
マッピングされたアドレスの永続性
NetScaler は、同じ内部ホストを発信元とするすべてのセッションに対して同一の外部パブリック
IP アドレスを使⽤できます。このような動作のことを Endpoint Independent Mapping(EIM)と呼
びます。EIM は、同じ内部ホスト/ポートを発信元とするすべての接続に対して 1 つの永続的な外部
IP アドレス/ポートを割り当てることにより、P2P アプリケーションや VoIP アプリケーションに透
過性を提供します。これにより、接続に関する問題が起こる可能性を最小化できます。
フルコーン(Full Cone)NAT のサポート
NetScaler は、EIF と EIM の両方が有効である場合、フルコーン(Full Cone)NAT をサポートしま
す。フルコーン NAT は、静的な 1 対 1 のポートフォワーディング NAT としても知られており、厳
密なセキュリティのプロビジョンを必要としないアプリケーションの場合に適しています。
アプリケーションレイヤゲートウェイ
NetScaler は、あらゆる種類の企業アプリケーションやコンシューマアプリケーションにとっての
透過性を確保するために、アプリケーションレイヤゲートウェイ(ALG)に関する広範なサポート
を提供します。
現時点で、
ALG のサポートは、
UDP
(RFC4787)
、TCP(RFC5382)
、
ICMP(RFC5508)
、
FTP/TFTP に関して提供されているほか、SIP、RTSP、PPTP、および GRE に関してサポートが予
定されています。
ヘアピニング
NetScaler はヘアピニングをサポートしています。ヘアピニングを使⽤すると、プライベート IP ア
ドレスとパブリック IP アドレス間での変換の必要なしに、プライベート IP アドレスを持つエンド
ポイントが別のエンドポイントと互いに通信できるようになります(ただし、2 つのエンドポイン
トが両方とも同じ CGNAT サービスの背後に存在する場合に限ります)
。これにより、例えば、サブ
スクライバーのクライアントが通信事業者のサーバーにアクセスすることや、あるサブスクライ
バーの VoIP デバイスが別のサブスクライバーの VoIP デバイスを呼び出すことが、アドレス変換を
⾏わずに可能となります。
www.citrix.co.jp
3
ブローシャー
NetScaler によるキャリアグレード NAT
接続制限
すべてのサブスクライバー間で一貫した性能を確保し、しかも DDoS 攻撃に対する保護を提供する
ために、NetScaler では、商⽤およびコンシューマのサブスクライバーごとに利⽤可能なセッション
数を制限できるようになっています。
高速ロギング
NetScaler は、すべての NAT トランザクションのログを外部サーバーに継続して記録します。この
機能は、一部のアプリケーションに関する政府指令に従う場合に必要となります。NetScaler が着信
接続の完全なレートで正確なロギングを実施できることを保証するために、CGNAT の syslog メッ
セージは高速リンクを介して送信されます。
Deterministic NAT
Deterministic NAT を使⽤すると、通信事業者は、動的に利⽤可能なポートと IP アドレスの固定的
なブロックをサブスクライバーに割り当てることで、拡張的なロギングの必要をなくすことができ
ます。通常の NAT 環境では、ロギングに関する要件がクリティカルとなるため、通信事業者が
CGNAT 機能を使⽤するとログファイルのサイズが非常に⼤きくなるため、ログ管理に多くの時間
とコストがかかるようになります。
機能要約
性能(MPX 24150)
• 最⼤同時セッション数:2 億 5600 万件
• 最⼤レイヤ 7 スループット:150Gbps
• 1 秒当たりの接続数:100 万件以上
NAT 機能
• N:M NAPT
• アドレス制限
• ポート制限
• 対称型 NAT
• 静的マッピング
• Sticky NAT
• Deterministic NAT
• セッションタイムアウト
透過性
• フルコーン(Full cone)/ペアリングされた IP のプーリング
• ヘアピニング
• マッピングとフィルタリング
o エンドポイント非依存
o アドレスに依存
o アドレスおよびポートに依存
アプリケーションレイヤゲートウェイ
• FTP
• TFTP
• ICMP
• SIP、RTSP、PPTP、GRE(2015 年に対応予定)
RFC への準拠
• 4787 (UDP)
• 5382 (TCP)
• 5508 (ICMP)
• 6888 (CGNAT)
www.citrix.co.jp
4
ブローシャー
NetScaler によるキャリアグレード NAT
Citrix について
Citrix Systems, Inc.(NASDAQ:CTXS)は、新しい快適なワークスタイルを実現する仮想化、ネットワーキング、クラウドイン
フラストラクチャーのリーディングカンパニーです。多くの企業および組織の IT 部門やサービスプロバイダーが、仮想化、モ
バイル化されたワークスペースの構築、管理、セキュリティ確保のために、シトリックスのソリューションを利⽤しています。
仮想化、モバイル化されたワークスペースでは、デバイス、ユーザー、利⽤するネットワークやクラウドを問わず、アプリケー
ション、デスクトップ、データ、サービスをシームレスに利⽤することができます。シトリックスは今年、創設 25 周年を迎え
ますが、今後も革新に取り組み、モバイルワークスタイルにより IT をさらにシンプルにするとともに生産性の向上に貢献して
いきます。シトリックスの 2013 年度の年間売上高は 29 億ドルで、その製品は世界中の 33 万以上の企業や組織において、1 億
⼈以上の⼈々に利⽤されています。シトリックスの詳細については www.citrix.co.jp をご覧ください。
©2014 Citrix Systems, Inc. All rights reserved. Citrix および NetScaler は、Citrix Systems, Inc.またはその子会社の登録商標であ
り、米国の特許商標局およびその他の国に登録されています。その他の商標や登録商標はそれぞれの各社が所有権を有するもの
です。
E1014/PDF
J1214/PDF
www.citrix.co.jp
5
Fly UP