Comments
Description
Transcript
キャンパスLAN用参照アーキテクチャ
キャンパスLAN用参照アーキテクチャ 近代的なキャンパス LAN 設計に向けた実践手法・技術・製品 ジュニパーネットワークス株式会社 〒163-1035 東京都新宿区西新宿 3-7-1 新宿パークタワー N棟35階 電話 03-5321-2600 FAX 03-5321-2700 URL http://www.juniper.co.jp Part Number: 803005-001 JP Feb 2009 キャンパスLAN用参照アーキテクチャ 目次 はじめに… ……………………………………………………………………………………………………………………………… 4 適用範囲… ……………………………………………………………………………………………………………………………… 4 ソリューションプロファイル概要… ………………………………………………………………………………………………… 5 キャンパスLANに不可欠なサービス… ……………………………………………………………………………………… 5 セキュリティ… ………………………………………………………………………………………………………… 5 LANコネクティビティ… ……………………………………………………………………………………………… 5 WANコネクティビティ………………………………………………………………………………………………… 5 インターネットアクセス… …………………………………………………………………………………………… 5 RAS(Remote Access Services)… …………………………………………………………………………… 5 高可用性… ……………………………………………………………………………………………………………… 5 集中管理… ……………………………………………………………………………………………………………… 6 キャンパスLAN設計に関する問題点… ……………………………………………………………………………………………… 6 エンタープライズ環境におけるコンピューティング傾向… ……………………………………………………………… 6 統合型通信の拡大… …………………………………………………………………………………………………… 6 大量の帯域幅を必要とするアプリケーション… …………………………………………………………………… 6 ユーザーの生産性… …………………………………………………………………………………………………… 6 セキュリティの重視… ………………………………………………………………………………………………… 6 無線サービスへのニーズの高まり… ………………………………………………………………………………… 7 サーバーの集中管理とデータセンターの統合… …………………………………………………………………… 7 インフラストラクチャ・ソリューション… ………………………………………………………………………………… 8 キャンパス・アーキテクチャ概要… ………………………………………………………………………………………………… 9 階層型アプローチ… …………………………………………………………………………………………………………… 9 階層型アプローチの特長と課題… …………………………………………………………………………………… 9 ネットワーク革命… ……………………………………………………………………………………………………10 アクセスレイヤー… ……………………………………………………………………………………………………10 アクセスレイヤー設計に関する検討事項… …………………………………………………………………………………11 有線ポートのコネクティビティ… ……………………………………………………………………………………11 無線LAN(WLAN)のコネクティビティ……………………………………………………………………………11 PoE(Power over Ethernet:パワー・オーバー・イーサネット)… …………………………………………12 VLANとSTP(スパニング・ツリー・プロトコル)…………………………………………………………………12 アクセスレイヤー上でのレイヤー 2/レイヤー 3の使用……………………………………………………………13 統合型通信の実装における検討事項… ………………………………………………………………………………14 侵入防護… ………………………………………………………………………………………………………………15 モジュラー型シャーシテクノロジー… ………………………………………………………………………………15 アクセスレイヤー・ソリューション… ………………………………………………………………………………………15 バーチャルシャーシ・テクノロジーを搭載した、拡張可能なアクセスソリューション… ……………………15 無線ソリューション… …………………………………………………………………………………………………18 アグリゲーション・レイヤー… ………………………………………………………………………………………………………18 アグリゲーション・レイヤー設計に関する検討事項… ……………………………………………………………………19 セグメント化/仮想化……………………………………………………………………………………………………19 アグリゲーション・レイヤー・ソリューション… …………………………………………………………………………19 拡張可能なアグリゲーション・レイヤー・ソリューション… ……………………………………………………19 コアレイヤー… …………………………………………………………………………………………………………………………20 コアレイヤーに関する検討事項… ……………………………………………………………………………………………21 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ コアレイヤー・ソリューション… ……………………………………………………………………………………………21 ハイパフォーマンスなコアレイヤー・ソリューション… …………………………………………………………21 コアレイヤーの重要性… ………………………………………………………………………………………………………22 課題とメリット… ………………………………………………………………………………………………………22 コアレイヤーとアグリゲーション・レイヤーの統合… ……………………………………………………………22 WANエッジの統合………………………………………………………………………………………………………………………24 WANエッジに関する検討事項…………………………………………………………………………………………………24 コネクティビティ… ……………………………………………………………………………………………………24 高可用性(HA)… ………………………………………………………………………………………………………24 音声ゲートウェイ… ……………………………………………………………………………………………………24 WANアクセラレーション………………………………………………………………………………………………24 ファイアウォール/VPN… ……………………………………………………………………………………………24 WANエッジのソリューション…………………………………………………………………………………………………25 Mシリーズ ルーティングプラットフォーム…………………………………………………………………………25 キャンパスネットワークの高可用性… ………………………………………………………………………………………………26 デバイスレベルの高可用性… …………………………………………………………………………………………………26 リンクレベルの高可用性… ……………………………………………………………………………………………………26 冗長リンク:スクエアvsトライアングル… …………………………………………………………………………26 バーチャルシャーシ・テクノロジー… ………………………………………………………………………………27 リンク・アグリゲーション・グループ… ……………………………………………………………………………27 冗長トランクグループ(RTG)… ……………………………………………………………………………………28 キャンパスリンクの冗長化に関するベストプラクティス… ………………………………………………………29 ネットワーク・ソフトウェアの高可用性… …………………………………………………………………………………29 セキュリティ… …………………………………………………………………………………………………………………………30 統合型アクセス・コントロール(UAC)… …………………………………………………………………………………31 IEEE 802.1X……………………………………………………………………………………………………………32 ユビキタスアクセス… …………………………………………………………………………………………………32 セグメント化… …………………………………………………………………………………………………………32 侵入検知システム(IPS)………………………………………………………………………………………………………33 ファイアウォール… ……………………………………………………………………………………………………………33 RAS(Remote Access Service)…………………………………………………………………………………………33 ACL(Access Control Lists)………………………………………………………………………………………………33 アクセスセキュリティの向上… ………………………………………………………………………………………………33 運用の簡素化と統合型管理… …………………………………………………………………………………………………………35 高密度かつハイパフォーマンスなインフラストラクチャ・ソリューション… …………………………………………36 JUNOSソフトウェアで実現する運用の簡素化… …………………………………………………………………………36 JUNOSソフトウェアの威力… ………………………………………………………………………………………36 モジュラー型プロセス… ………………………………………………………………………………………………37 ロールバック機能… ……………………………………………………………………………………………………37 高度な機能… ……………………………………………………………………………………………………………37 メリット… ………………………………………………………………………………………………………………37 ジュニパーネットワークスのNSMによる統合型管理………………………………………………………………………38 メリット… ………………………………………………………………………………………………………………38 J-Webによるリモート設定および管理… ……………………………………………………………………………………38 メリット… ………………………………………………………………………………………………………………39 まとめ… …………………………………………………………………………………………………………………………………40 ジュニパーネットワークスについて… ………………………………………………………………………………………40 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ はじめに 企業LANはかつて、ビジネスコンポーネントとしては受動的かつバックグラウンド的な構成要素とされていましたが、今日では 企業にとって、日常業務の遂行や市場での成功を目指す上で不可欠な、極めてアクティブかつ重要なコアアセットへと進化しま した。ネットワークは今や、時間と場所を問わずアクセス可能であることが必須条件となり、広範囲にわたり迅速で安全かつ信 頼性を備えたサービスを提供する、戦略的手段に発展しました。また、従来のクライアント/サーバーからピアツーピアのデー タフローへの対応だけでなく、増加し続けるデバイスやサービスにも対応可能な性能を備えています。現在では、アプリケーショ ンやデータセンターを集中管理するだけでなく、サーバーやデータセンターを統合することで運営の簡素化とコストの削減を図 りたいと考える企業が増加しています。しかし、既存のキャンパス・インフラストラクチャ・ソリューションでは、ユーザーに 対して高い安全性と優れた信頼性を備えたハイパフォーマンスなアクセスを提供するための要件に適合できない上、コストの削 減や運用の合理化を実現する上で不可欠な集中管理機能も提供できません。 このため、キャンパスのセキュリティやコネクティビティ、パフォーマンスなどの課題に対応しながら、重要なITイニシアチブ を実現できる、新しいキャンパスLAN設計に対するニーズが高まっています。さらに、すべてを再設計しなくても、優れた拡張 性によって運用を簡素化できるだけでなく、新しいコンピューティング動向にもフレキシブルに対応できる設計が求められてい ます。 本書で使用されている「キャンパス」という用語は、同じ敷地内で相互に近接する1棟以上のビルで構成される、企業の主要拠 点を意味します。通常は、企業の本社または重要拠点を指しますが、必ずしもそうとは限りません。キャンパスの例としては、 企業が保有する複数階のオフィスビルや、オフィスパーク内の複数の総合ビル、大学敷地内で広範囲に散在する施設などが挙げ られます。キャンパス内のビルやフロアはすべて、キャンパスLAN/WAN接続によってデータセンター内の共有リソースやサー ビスなどに接続されています。この場合のデータセンターは、キャンパスの一部である場合と、そうでない場合があります。ま た、遠隔地の支店や支社などに対してWAN経由で接続されているキャンパスもあります。 ビジネス処理は、そのほとんどがオンラインで実行されるため、キャンパスLANでダウンタイムが発生したり非効率な状態が続 いたりすると、企業の収益にも悪影響が及びます。各キャンパスの施設を常時オンライン接続が可能な状態に維持し、ビジネス の生産性や顧客満足度を最大化するためには、高い安全性とハイパフォーマンス、高可用性(HA)を実現したLANサービスが 不可欠です。本書では、企業が今日直面している課題や検討事項に焦点を絞り、こうした要件に対応可能なLANの設計および構 築を目指します。 キャンパスLANは主に、アクセスレイヤーとアグリゲーション・レイヤー、コアレイヤーという3つのレイヤーで構成されます。 各レイヤーの詳細については、本書で説明しますが、それぞれのレイヤーでエンタープライズ向けにサービスを提供するために は、さまざまな検討事項や課題に対応する必要があります。 適用範囲 参照アーキテクチャに関する本書では、キャンパスのアーキテクトやエンジニアが近代的なキャンパスLANを設計する上で役立 つ、実践手法や技術、製品などを提案します。また、変化し続けるキャンパスのニーズに対する課題を紹介するとともに、キャ ンパスのアーキテクトやエンジニアに向けて、実践手法や技術、設計上の検討事項なども提示します。さらに、ネットワークの 経済性の向上を目指し、ジュニパーネットワークスのインフラストラクチャ・ソリューションの導入方法についても説明します。 IT投資によって「競争における勝利」や「ルールの変革」を実現し、現在だけでなく将来に向けて、収益の拡大と生産性の向上 を実現可能な、極めて革新的かつ競争力のある環境の構築を目指します。 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ ソリューションプロファイル概要 キャンパスLANに不可欠なサービス キャンパスLANでは、以下のようなハイレベルなサービスを提供し、ビジネス運用を効率的に最適化する機能が不可欠です。 セキュリティ セキュリティは、すべてのキャンパスLANサービスにおいて非常に重要です。ネットワークやアプリケーションは、広範囲に対 応したオープンなアクセスを実現しながら、セキュリティと制御を確保する必要があります。また、今日のネットワークでは、ネッ トワークにアクセスしようとする未管理のデバイスやゲストユーザーに対して効率的に対応しながら、管理が困難なデバイスに 対するサポートや、不正プログラムの拡散防止機能、アプリケーション・アクセス・コントロール、視認性、モニタリングなど への対応も必要です。主要なセキュリティ・コンポーネントおよびポリシーは、以下のとおりです。 ◦適応型検知および脅威管理サービス ◦非武装地帯(DMZ)に対応可能なセキュリティポリシー ◦QoSを保証するポリシー ◦DoS/分散型DDoS攻撃および脅威の低減 ◦企業に対する順守基準の徹底 セキュリティポリシーはすべて集中管理し、遠隔地に適用されます。 LANコネクティビティ キャンパスのインフラストラクチャは、コンピュータや電話機、PDA、監視カメラ、スマートフォンなど、増加し続ける多様 なIPデバイスに対して、安全な有線/無線LANコネクティビティを提供する必要があります。 WANコネクティビティ キャンパスは、遠隔地の支店に接続して、連携による統合型通信を実現するだけでなく、データセンターのファイルサービスや データ複製などといった集中管理リソースに対しても、高い安全性と信頼性に基づき接続する必要があります。 インターネットアクセス 既存のキャンパスネットワークでは、データセンターや他の集中型ロケーションに対してトラフィックのバックホーリングを行 うのではなく、インターネットに直接接続することでWebサービスの性能を最適化します。また、データセンターやリモート オフィスに対してVPN経由で安全に接続するための手段としても、インターネットが使用されています。パートナーや顧客は、 ゲストとしてインターネットにアクセスする場合もあるため、セキュリティやパフォーマンス、接続性、信頼性など、新たな課 題が発生しています。 RAS(Remote Access Services) リモートユーザー数や使用時間、エンドポイントデバイスの種類、アクセス可能なアプリケーションの数などが増加する傾向に あることから、LANリソースに対するリモートアクセスのニーズが高まっています。オフサイトまたは移動中の社員やパート ナー、コンサルタント、顧客などに対して、オフィス内にいる場合と同様に、集中管理情報へのアクセスや処理を許可するため には、RAS(Remote Access Services)が必要です。RASソリューションでは、ユーザー認証や使用しているデバイス、デー タへのアクセスを実行するネットワークの種類などに基づき、ユーザーが正しい情報に確実にアクセスできるよう保証します。 RASソリューションは、使用方法が簡単なため、多様なユーザーの異なる専門知識レベルにも対応できます。リモートユーザー の生産性を最適化し、オフィス内でのユーザー・エクスペリエンスを保証するために、最高クラスのパフォーマンスを提供しま す。IT部門は、制御を維持することによって、確立されているコンプライアンス要件を保証する必要があります。また、企業リ ソースにアクセスするユーザー数が増加していることから、高度に進化しながら増加し続ける潜在的な脅威や攻撃にも対処可能 な、包括的なセキュリティポリシーも不可欠です。RASソリューションは保守が容易な上、少ないクライアント数でも簡単に アクセスでき、サポートコストの削減に効果的です。 ハイパフォーマンス キャンパスでは常時、LANと同様のアプリケーション・パフォーマンスが必要です。また、集中型アプリケーションやリソース などにアクセスする場合に備え、RASソリューションと同じように、LANに匹敵する速度をWAN上で維持することが不可欠で す。 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ 高可用性 今日のキャンパスLAN環境において、ダウンタイムの発生は許されません。公衆交換電話網(PSTN:Public Switched Telephone Network)が提供するサービスレベルを目標として、少なくとも99.999%の信頼性を実現する必要があります。 このためには、LAN設計全体の高可用性機能が不可欠です。ダウンタイムの低減と運用コストの削減を実現するためには、優れ たコスト効率や豊富な機能、高い信頼性を備えるとともに、集中管理機能を提供できるネットワーク機器やソフトウェアが必要 です。さらに、堅牢性と信頼性に優れたコネクティビティも欠かせません。また、統合型通信などの新しい技術による効果的な 機能を実現するためには、エンドツーエンドで常時接続が可能な、最適化されたハイ・パフォーマンス・ネットワークが必要で す。 集中管理 キャンパスLANでは、あらゆるネットワークスイッチやファイアウォール、ルーター、VPN、侵入検知防御システム(IPS) 対応デバイスなどを集中管理する重要なサービス機能が必要です。集中管理ソリューションを採用すれば、ネットワークデバイ スの設定や管理に必要な時間とコストを削減できます。さらに、ネットワーク・トラフィックも簡単に分析できるため、ネット ワークパフォーマンスの最適化にもつながります。 上述の詳細内容については、本書で説明します。また必要に応じて、特定のサービスや機能に関する検討事項や課題についても 説明していきます。 キャンパスLAN設計に関する問題点 従来のソリューションでは、重要な要件に対応できない上に、コストの削減や運用の合理化も難しいため、新しいキャンパス LAN設計に対するニーズが高まっています。新しいLAN設計では、新たなコンピューティング傾向やネットワークサービスに 対しても、全体を再設計する必要なく、拡張機能によって対処できる性能が不可欠です。以下のセクションでは、こうした要件 に対応する近代的なキャンパスネットワークの設計について、その動向と技術上の問題点についてまとめます。こうした検討内 容は、ジュニパーネットワークスのソリューションだけに限定されるわけではないため、ベンダーを問わず、あらゆるキャンパ スのネットワーク設計の場合にも一般的に適用できます。 エンタープライズ環境におけるコンピューティング傾向 キャンパスLAN設計では、前述のサービスだけでなく、以下のような傾向についても考慮する必要があります。 統合型通信の拡大 現在では、音声や動画、データサービスなどを始めとする、統合型通信の導入が拡大しています。米国の調査会社Forrester Researchが2006年に発表した報告によると、北米の全企業のうち46%がIP電話システムを導入しており、39%がリモート ユーザーとの通信でVoIPを使用していることが明らかになりました。こうした導入の拡大に伴い、キャンパスLANのハイパ フォーマンスや高可用性に関する要件にも直接影響が及びます。例えば、適切なLAN/WAN帯域の設定が不可欠になったり、 QoSルールによってトラフィックの識別や分類、優先度設定を行い、効率的なVoIP通信サービスを提供する必要性が生じたり しています。 大量の帯域幅を必要とするアプリケーション 統合型通信に必要な帯域幅は、ますます増大する傾向にあります。さらに最近では、OracleやSAP、PeopleSoftなどといっ た一般的なビジネスアプリケーションのWeb対応版が続々と発表されていますが、こうしたアプリケーションは、LANベース のアプリケーションと比べて10倍以上の帯域幅が必要な場合もあることから、パフォーマンスや信頼性、可用性に対して大き な影響を及ぼします。ローカルサーバーにデータをバックアップする作業などでも、集中的に帯域幅を使用しますが、この場合 は使用度が低い時間に実行するようスケジューリングできるため、ネットワークへの影響は抑えることが可能です。 ユーザーの生産性 現在ではビジネス処理の大半がオンラインで実行されるため、企業LANはビジネスの拡大と革新を実現する上で不可欠な要素と なりました。このため、LANでダウンタイムが発生したり非効率な状態が続いたりすると、企業の収益にも悪影響が及びます。 しかし裏を返せば、Information Week(2007年)の言うところの「ネットワークパフォーマンスを向上させれば、ビジネス の生産性も向上できる」ことになります。このため、無線対応やリモートアクセスなどといったサービスも活用して、ネットワー クの生産性を最大化する必要があります。 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ セキュリティの重視 FBI/CSIの2006年の統計によると、調査対象となった全企業の72%において、セキュリティ上のトラブルが最低でも1件発 生しています。内外からの攻撃は年々増加する一方です。このため、Forrester Researchが2006年に実施した調査で、全企 業のうち57%が最優先課題として「セキュリティ環境の向上」を挙げる結果になったことも、当然だといえます。現在では、 重要なビジネスプロセスが分散される傾向にある上、統合型通信が新たな脆弱性を露呈していることから、ユーザーアクセス・ ポリシーや、堅牢なセキュリティに対するニーズが高まっています。 無線サービスへのニーズの高まり ビジネス上の意思決定をより効果的に行うためには、重要な情報およびリソースへのアクセスが常時可能であるという状態が、 重大条件の1つとなります。今日の企業では、社員がミーティングを行う際にラップトップ型コンピュータを持ち運び、搭載し ているアプリケーションや保存データ、リソース、サービスなど、すべて無線アクセスで利用可能であることを前提としていま す。また、キャンパス全体で無線サービスが利用可能なだけでなく、ローミングセルの対応範囲と同様に、キャンパス内でサー ビスが中断されることなく、ユーザーがシームレスに移動可能である状態が不可欠です。こうした無線サービスを導入すれば、 プレゼンテーションや予算の見積りなどの作成に必要な資料にアクセスしたり、集中サーバーからラップトップ型コンピュータ にデータをダウンロードし、会議室に集合する時間までに完了させたり、キャンパス内において無線LAN電話で通話したりする ことなどが可能になります。 無線サービスと無線アクセスでは、常時セキュリティを確保する必要があります。また、契約者やパートナー、ゲストユーザー などに対して多様なレベルの無線アクセスを提供して、適切なサービスレベルを保証するだけでなく、リソースに対するアクセ スも適宜制限する必要があります。 サーバーの集中管理とデータセンターの統合 Forrester Researchが2007年に実施した調査報告では、全企業の51%が、重要な優先課題としてサーバーの集中管理を挙 げていることが明らかになりました。またGartnerも2007年に、企業のサーバーの大半は20%程度のキャパシティで稼動し ていることを報告しています。リソースをより効率的に活用するためには、仮想化などの新しい技術が必要です。それに伴い、キャ ンパスのローカルサーバーには、より高度なレベルのセキュリティや、帯域幅の最適化、トラフィックの優先度設定などが必要 になります。 さらに、コストの削減と運営の簡素化、規制ガイドラインへの準拠などを実現すべく、データセンターの統合を進める企業が増 加しています。米調査会社Nemertes Researchが2006年に発表した報告によると、インタビューを実施した全企業の91% が順守条件の制約を受けており、その50%が最近12 ヶ月以内に、分散していた多数のデータセンターを数箇所の大規模なデー タセンターに統合し、その後12 ヶ月以内にさらに統合を進める予定だということが明らかになりました。 集中管理を進めていくと、ノンストップの運用を保証する高可用性要件に加え、新たにレイテンシやセキュリティに関する課題 が発生します。このため、集中管理ソリューションを採用して、キャンパスをオンラインで運用可能な状態に維持できるよう、 時間やリソースを削減する必要があります。 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ インフラストラクチャ・ソリューション こうした要件に対応するためには、現在のキャンパスのネットワーク・インフラストラクチャでは不十分です。企業にとっては、 コストの高いレガシー機器や、高度な技術を要するITリソースなどを追加して、増加し続ける機器やサービスに対応する方法で はなく、より統合的な新しいキャンパスソリューションが必要です。 ジュニパーネットワークスは、こうした課題に対応すべく、業界でも定評のあるキャンパス向けIPインフラストラクチャを提供 し、キャンパスユーザーの生産性を現状以上に拡大するために必要な、パフォーマンスや拡張性、柔軟性、セキュリティ、イン テリジェンスを実現します。あらゆるキャンパスのニーズに対応した、柔軟性の高い設定と低価格を実現するとともに、ファイ アウォールや適応型検知、脅威管理、VPN、MPLS、IPV6、CLNS(Connectionless Network Services)などを始めと するサービスを取りそろえた、ハイパフォーマンスなスループットを提供しています。 インフ コント ラネット・ ローラ EX4 20 Eシ Xリ4 ーズ 0 00 ESXeri 2 4 Serie2s00 es 本社 M シリ ーズ EX8 シリ 200 ーズ EX 420 Eシ 0 Xリ4 ー2 ズ0 Seri es 0 EX4 20 Eシ Xリ4 ーズ 0 00 ESXeri 2 4 Serie2s00 es EX8 シリ 200 ーズ M シリ ーズ EX8 シリ 200 ーズ インターネットおよび プライベートWAN EX3 シリ 200 ーズ OAC OAC アク ポイ セス ント S シリ A ーズ ISG Steel-B Radiu elted s(SBR) 図1:高可用性を実現したキャンパスLAN構成 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ キャンパス・アーキテクチャ概要 階層型アプローチ 企業のキャンパスLANアーキテクチャは、アクセスレイヤー上にあるワイヤリング・クローゼットのスイッチに接続されたデス クトップ機器から、大規模なキャンパスLANの中心部にあるコアレイヤーに至るまで、最大3つのレイヤーに拡大することがで きます。階層的なトポロジーによってネットワークを物理的な構成要素にセグメント化し、運用の簡素化と可用性の向上を実現 デバイスの コネクティビティ bE バー イ ァ フ ヤー‐10/100/10 00 レイ BA セス ク SE ア -T ー ヤ G イ b レ E ン・ LA ショ G光 ー ゲ イヤー‐1 0G アレ コ ア グ リ キャンパス します。階層的なインフラストラクチャでは、各レイヤーが特定の役割を担います。 WAN (複数SP) G イ バ ー データセンター コ ア レイ LA ヤー‐10GbE ァ ア フ グリ 光 ゲー bE G ション・レイヤー -T ア SE クセ BA スレ 0 00 イヤー ‐10/100/1 データセンターの コネクティビティ 図2:階層型アプローチ ◦アクセスレイヤーは、キャンパス内のエンドユーザー対してアクセス・コントロールの境界を提供し、ネットワークのコネ クティビティを実現します。 ◦アグリゲーション・レイヤーは、複数のアクセスレイヤー用スイッチからの接続とトラフィックフローを集約します。こ れにより、コアレイヤー用スイッチにトラフィックを提供し、主要な機能を実行する周辺環境を実現します。 ◦コアレイヤーは、WANとインターネットを接続する、アグリゲーション・レイヤー用スイッチとルーター間において、安 全なコネクティビティを提供し、企業間の連携を実現します。 本書では主に、このようなレイヤーをキャンパスのインフラストラクチャに導入する方法について詳しく説明します。また、こ れ以外の分野についても、必要に応じて説明します。例えば、1つ以上のレイヤーを削減するキャンパス構成などもあります。 階層型アプローチの特長と課題 多層アーキテクチャでは、迅速かつ経済的に拡張可能なモジュラー設計を提供しているため、ネットワーク構成が簡単です。ま た、フレキシブルなネットワークを構築することで、設計をし直さなくても新しいサービスを簡単に追加することができます。 さらに階層型アプローチでは、トラフィックを個別に提供してデバイス全体の負荷を分散することで、トラブルシューティング も簡素化します。 小規模なキャンパスでは従来、このような3つのレイヤーから成るアプローチを採用する場合にはハードウェアを追加しなけれ ばならず、設定や導入、管理などにコストがかかりました。このため、1つ以上のレイヤーを削減することも可能です。 注:本書は主に、3レイヤー型のLAN設計を対象としていますが、アグリゲーション・レイヤーとコアレイヤーを統合した2レ イヤー型の設計についても説明します。非常に規模の小さいキャンパスの場合は、ジュニパーネットワークスの『Juniper Networks Branch LAN Design Guide』に記載されている、複数のレイヤーを削減するLAN設計を参照してください。 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ 従来のネットワークは、帯域幅やスループット、ポート密度などの新しい要件に対応する際に、非効率的なレガシーハードウェ アを不用意に追加することで肥大化してしまいました。このため、多様なニーズに対応できないばかりか、管理も極めて複雑に なり、ネットワークの可用性が低下したり、設備投資や運用コストが増大するなどといった問題が発生していました。 ネットワーク革命 ジュニパーネットワークスは、進化し続けるスイッチ市場に参入していく上で、これまでに学んだ教訓と幅広い経験を活かし、 現在直面している課題だけでなく将来の成長拡大にも対応可能な、新しいイーサネットスイッチ製品シリーズとネットワーク・ ソリューション設計を開発しました。こうした新製品では、不必要なネットワークレイヤーを排除する設計を採用しており、高 可用性や統合型通信、統合セキュリティ、高い運用効率などを実現するプラットフォームを提供しています。ジュニパーネット ワークスのソリューションは、大きな価値を提供して、ネットワークの簡素化とTCO(システム運用にかかるトータルコスト) の削減を可能にし、ネットワーク基盤の進歩と経済性の向上を同時に実現します。 アクセスレイヤー キャンパス内では、アクセスレイヤー上においてコンピュータやプリンター、IP電話、CCTVカメラなどの機器を有線または無 線LAN(WLAN)のアクセスポイント経由で企業LANに接続し、エンドユーザーに向けてネットワーク・コネクティビティを 提供します。アクセスレイヤー用スイッチは通常、各キャンパス施設内の各フロアに配置されたワイヤリング・クローゼットに 配置されます。 アクセスレイヤー L2ス イッチ アグリゲーション・ レイヤー コアレイヤー L2ス イッチ L2ス イッチ L2/L L2/L L2/L L2/L 3スイ ッチ 3スイ ッチ L2ス イッチ 3スイ ッチ 3スイ ッチ インターネット/ プライベートWAN 図3:高可用性を備えたキャンパスLANのアクセスレイヤー アクセスレイヤーは、ポリシーサービスやネットワーク・アクセス・コントロールに基づき、コネクティビティやPoE、QoS、 セキュリティなどを提供します。 10 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ アクセスレイヤー設計に関する検討事項 有線ポートのコネクティビティ ポート要件に対応するためには最初に、あらゆるコンピュータやIP電話、CCTVカメラ、無線LANアクセスポイント、各種IPデ バイスなどに対して十分な数の有線ポートを提供する必要があります。さらに、必要な論理セグメントや、同じLANを共有する 上で論理上分割する必要があるネットワークの数についても明確にする必要があります。アクセスレイヤー用スイッチは、アグ リゲーション・レイヤー用スイッチに対して、過剰供給されたために使用されていないギガビットイーサネットまたは10ギガ ビットイーサネットのアップリンクだけでなく、拡張性と高可用性機能を提供する性能が不可欠です。こうした条件は、必要な ハードウェア構成の種類を決定する上で役立ちます。 無線LAN(WLAN)のコネクティビティ キャンパス全体に無線アクセスを提供することにより、契約者やパートナー、ゲストなどをサポートできるだけでなく、会議室 や会議の開催場所がオフィス外で分散している場合でも、社員がミーティングを行うための理想的な手段を提供することができ ます。現在では、市場や職場で大量のIP機器が使用されているため、包括的なセキュリティポリシーを実行して、特に身元が不 明なゲストに対して、信頼できるデバイスだけがキャンパスネットワークにアクセスできるよう、確実に制限する必要がありま す。さらに、特に契約者やパートナー、ゲストなどに対してLANリソースを適切に制限し、認証されたユーザーだけに使用を許 可する必要があります。また、ユーザーがキャンパス内のどの場所からでも同じように確実にログインできるよう、シームレス な対応範囲も不可欠です。 フレキシブルなローミング方式の無線ソリューションを実現する設計は、主に2種類あります。 OAC OAC アク ポイ セス ント 無線 アクセス アク ポイ セス ント L2/L 無線 L2/L 3スイ ッチ 3スイ ッチ ワイヤレスVLAN アグリゲーション L2/L L2/L 3スイ ッチ 3スイ ッチ コアへ パート ナ 製品 ー 無線コントローラ 図4:フレキシブルなローミング方式の無線アクセスソリューション ◦コントローラを使用しない無線アクセス この設計では、スイッチへのアクセスポイントとして802.1Qトランクが必要です。ローミングには、アクセスレイヤー用スイッ チ間で、少なくとも2つのVLANスパニングが必要です。 ◦コントローラベースの無線アクセス この設計では、仮想化された集中型無線コントローラを使用します。アクセスポイントのVLANは、アクセススイッチに対して ローカルに配置します。ローミングについては、キャンパスネットワーク内でのVLANのスパニングが不要です。 Copyright ©2009, Juniper Networks, Inc. 11 キャンパスLAN用参照アーキテクチャ PoE(Power over Ethernet:パワー・オーバー・イーサネット) 現在は、多くのキャンパスでPoEに対応したIP電話が導入されています。また、PoE用セキュリティカメラやWLANデバイス を導入するキャンパス施設も増加しています。システム構成は、PoEポート数によって左右されるため、その数を正確に把握す ることが非常に重要です。一部のアクセス機器には、PoEサービスを提供してないものもあるため、従来の壁掛けのIP電話や CCTVカメラ、WLANアクセスポイントなどを使用してインストールを行う必要があります。また、PoEポート数だけでなく、 各ポートに接続されている機器の必要な電力レベルも確認が必要です。PoE対応機器の多くは、最大で15.4ワットを使用します。 これは、PoE電力クラス3の受電機器の最大許容値です。ただし、高性能なパンやチルト、ズーム機能、IEEE802,11n WLANアクセスポイントなどを搭載したセキュリティカメラなど、一部の機器では、15.4ワット以上のPoEが必要な場合もあ ります。 VLANとSTP(スパニング・ツリー・プロトコル) キャンパスLANはVLANを使用して、ロケーションに関係なく、ユーザーやデバイス、データなどを論理ネットワーク上で論理 的にグループ化します。この時に、LAN上で物理的に機器を再配置するのではなく、ソフトウェアで設定します。VLANを採用 することにより、拡張性やセキュリティ、ネットワーク管理などの課題にも対応可能です。 VLANは実質的に、定義済みスイッチでのみ、レイヤー 2のブロードキャスト・ドメインとして機能します。パケットは、カプ セル化プロトコルとしてIEEE 802.1Q標準を採用しており、独自のVLANタグでマーキングされています。タグ付きパケット は、同じVLAN内のステーションにのみ転送または送信されます。同じVLANに属さないステーションに対してタグ付きパケッ トを到達させるためには、ルーティングデバイス経由で転送する必要があります。スイッチまたはスイッチポートはすべて、 VLAN上で動的または静的にグループ化されます。また、LAN上で送信される特定のデータプロトコルに基づき、VLAN上でト ラフィックをグループ化して、特定のポート経由で転送することも可能です。例えば、他のトラフィックに対して、ソフトフォ ンからのVoIPトラフィックをセグメント化してVLAN上に配置すれば、さらに優れたQoSを実現できます。 1. STP VLANは、ネットワークノード間で複数のアクティブパスを作成するため、ブリッジループの問題が発生する場合があります。 複数のポート上に同じMACアドレスが存在することから、スイッチのフォワーディングテーブルに障害が発生する可能性も あります。また、ブロードキャスト・パケットは最終的に、スイッチ間のエンドレスループで転送されるため、使用可能な 帯域やCPUリソースをすべて占有する場合があります。IEEE 802.1D標準であるSTPは、すべてのブリッジLANに対して ループフリーのトポロジーを保証します。STPは、接続されているLANスイッチのメッシュネットワーク内で最初にツリー を作成してから、そのツリーに属さないリンクを無効にして、2つのネットワークノード間にアクティブパスを1つ置くよう 設計されています。このためSTPは、アクティブなリンクに障害が発生した場合でも、ブリッジループが生じる危険性はなく、 バックアップリンクを手作業で有効/無効にしなくても、冗長リンクを採用して自動バックアップパスを提供するネットワー ク設計を実現できます。VLANはそれぞれ、STPのインスタンスを個別に実行可能です。 2. STPの課題 STPは、ルーティングの複雑さや設定上のミス、不適切なケーブル布線など、トラブルシューティングに関する課題を抱え ています。各パケットは、スパニングツリーのルートブリッジを経由する必要があるため、STPのルーティング機能が不十 分な場合があります。また、負荷分散機能も不十分なことから、STPが作成するリンクが活用されない場合も多々あります。 さらに、トポロジー変更後の収束に時間がかかり、最大30 ~ 50秒を要します。こうした問題に対処するためには、RSTP (ラピッド・スパニング・ツリー・プロトコル)を作成して、サブセカンド・コンバージェンスを行います。802.1s標準で あるMSTP(マルチプル・スパニング・ツリー・プロトコル)は、複数のSTPインスタンスに対応可能ですが、コンフィグレー ションが複雑化するという欠点があります。 12 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ アクセスレイヤー上でのレイヤー 2/レイヤー 3の使用 アクセススイッチは、レイヤー 2またはレイヤー 3を使用する設定となっています。 レイヤー3 WAN レイヤ ー L2/L 3スイッ チ L2/L 3スイッ チ レイヤー2 L2スイ ッチ アグリ ゲーシ ョン・レ イヤー アクセ スレイ ヤー レイヤー2 at Access L2/L 3スイッ チ L2/L 3スイッ チ L2/L 3スイッ チ レイヤー3 at Access レイヤー3 レイヤー2 図5:アクセスレイヤー上のレイヤー 2/レイヤー 3 1. アクセスレイヤー上でのレイヤー 2の使用 従来のコンフィグレーションでは、アクセスレイヤー上でレイヤー 2を使用します。このため、プラグアンドプレイのコンフィ グレーションを提供でき、小規模なネットワークでも実装や管理など、導入が簡単です。 ただし、この場合には、さまざまな課題が伴います。このようなコングィグレーションでは通常、STPが必要なため、一方 がアクティブで、もう一方が冗長という複数の接続が発生します。また、OSPFでレイヤー 2とレイヤー 3との境界を設定 すると、複数の故障診断ドメインが追加されるため、ネットワークの設定や管理がさらに複雑化します。このようなコンフィ グレーションの場合は、トラブルシューティングも困難です。さらに、スイッチやリンクに障害が発生した場合には、収束 に時間がかかりすぎるため、キャンパスLANの高可用性を保証するのも難しくなります。 2. アクセスレイヤー上でのレイヤー 3の使用 アクセスレイヤー上でレイヤー 3を使用する場合は、スイッチでのルーティングが可能ですが、別のVLAN上にユーザーを 配置する機能も備えています。レイヤー 3は確定性が高いため、この設計上でレイヤー 2のループが作成されることはあり ません。レイヤー 3は、アクセススイッチからアグリゲーション・レイヤーへのアップリンクで構成し、レイヤー 2は、デ バイスに対するアクセススイッチで構成します。STPを有効にすると、不用意なループを防止することができます。また、 STPを無効にしてBPDU(ブリッジ・プロトコル・データ・ユニット)の保護を有効にすると、トラブルシューティングが 簡単になります。STPを無効にする場合は、OSPFやその他のオープンスタンダード・プロトコルを使用して、サブセカンド・ コンバージェンスを行うことも可能です。大規模で複雑なネットワークの場合は、アクセスレイヤー上でレイヤー 2を使用 するソリューションと比べて、メンテナンス量が少なくなります。 レイヤー 3は通常、ライセンス料が発生するため、従来のネットワーク機器を使用する場合はコストが高くなります。 3. 推奨事項 ジュニパーネットワークスのソリューションは、競合他社のソリューションとは異なり、追加コストを発生させることなく レイヤー 2またはレイヤー 3のいずれかをアクセスレイヤー上で提供する機能を実現します。レイヤー 3の機能は、ベース となるJUNOS®ソフトウェアに搭載されているため、ライセンス料金が追加で発生することはありません。また、ジュニパー ネットワークスのソリューションは、STPの代わりに、OSPFなどのオープンスタンダード・プロトコルを採用しており、等 価コストマルチパス(ECMP)によって迅速な収束を実行します。ジュニパーネットワークスのバーチャルシャーシ・テク ノロジー搭載「EX4200シリーズ イーサネットスイッチ」を使用したLAN設計では、STPの内蔵化と最適化を実現した冗 長トランクグループ(RTG)プロトコルのメリットを活用することで、サブセカンド・コンバージェンスや自動化、ハイパ フォーマンスな負荷分散などを実現します。さらに、Lake Partners1が2007年に発表した調査結果によると、ジュニパー ネットワークスのソリューションの運用コストは、競合他社のソリューションと比べて最大で29%も低いことが明らかにな りました。また、ジュニパーネットワークスのバーチャルシャーシ・テクノロジー搭載スイッチは、デバイスの管理も簡単 なため、競合他社と比べてCAPEX(設備投資)やOPEX(運用コスト)を削減することが可能です。 1『How Operating Systems Create Network Efficiency』- Lake Partners Strategy Consultants, Inc(2007年) Copyright ©2009, Juniper Networks, Inc. 13 キャンパスLAN用参照アーキテクチャ 統合型通信の実装における検討事項 1つのネットワーク・インフラストラクチャ上で音声や動画、データを配信すると、コストを大幅に削減できるだけでなく、運 用を簡素化できるというメリットも生じます。また、通信コストや、ネットワークのTCOの削減も可能な上、ネットワーク管 理や保守に関する業務も簡素化できます。しかしその一方で、QoSやセキュリティ、ポート設定要件など、ネットワークに関連 したさまざまな課題も発生します。 統合型通信では、大半のデータアプリケーションには不要とされている、リアルタイム要件が必要です。例えばVoIPパケットは、 ネットワークの利用率が高くて過密状態にある場合でも、LAN/WAN上で効率的に伝送して、高品質の音声通信を保証する必 要があります。単にLANやWANの帯域幅を追加するだけでは、ネットワーク上の音声配信に対する効果はありません。高品質 のVoIP通信を保証するためには、VoIPに関する共通の課題として、QoSキューイングやスケジューリングに加え、レイテンシ やジッター、パケットロスなども検討する必要があります。確実な設計を実現するためには、アクセスベースのセキュリティ対 策だけでなく、ポート密度やIP電話のPoE要件にも対応することが不可欠です。 1. QoS アクセスレイヤー・デバイスには、LAN上でトラフィックの認識や分類、キューイングなどを実行し、パフォーマンスや QoSの最適化を保証する機能が求められます。いったん認識されたトラフィックを、適切に割り当てて管理することにより、 統合型通信などの各アプリケーションがLAN全体で十分なパフォーマンスを発揮できるようになります。 a. クラス分け機能とエンフォースメント QoS要件は、LAN上のデータフローの種類によって異なります。Webブラウザや電子メールなどを始めとする従来のア プリケーションは、ベストエフォート型の配信標準に基づきIPネットワーク上で機能します。ただし、音声やテレビ電話 など、さまざまなリアルタイム・アプリケーションを効果的に配信するためには、この他の要件にも準拠する必要があり ます。例えば、リアルタイムの音声データは、ストリーミングビデオとは異なり、許容範囲を超える遅延を発生させたり 通信品質を損なうことでカスタマー・エクスペリエンスを低下させる可能性があるため、キャッシュに格納したり、損失 したパケットを再伝送することができません。このため、QoSポリシーを作成する場合は、音声パケットを最優先設定す る必要があります。 IP電話などの通信機器は通常、LAN上で物理的に散在しています。前述のようにVLANは、ロケーションに関係なく採用 でき、論理VLAN上で音声やテレビ電話、データトラフィックなどを認識してセグメント化することによって、適切な QoSパラメータを簡単に適用し、各データフローに対する最適なサービスを維持します。 QoSを実行する際は、MACアドレスやIPアドレス、物理ポート、プロトコルなどを組み合わせてデータを分類します。 例えば、特定のLANセグメントに接続されているIP電話のブロックは、ポート番号に基づいて音声伝送用として指定さ れたVLAN上に配置することができます。または、LLDP-MED(Link Layer Detection Protocol-Media Endpoint) を使用してIP電話を検知し、自動的にVLAN上に配置することも可能です。さらに、ソースポートに関係なく音声データ を最優先に設定することで、ソフトフォンからのトラフィックをプロトコルレベルで分析する方法もあります。DSCP (Differentiated Services Code Point)に基づき、データが適切に分類されたら、キューイングとスケジューリング を実行します。ここで最も重要なのは、LAN/WAN全体で同じQoSルールを一貫して実行することです。 b. 組み込み式QoS ジュニパーネットワークスのインフラストラクチャやセキュリティ、アプリケーション・アクセラレーション・ソリュー ションにはすべて、QoSまたはClass-of-Service(CoS)機能が組み込まれています。ジュニパー製スイッチはすべて JUNOSソフトウェアを採用しており、標準仕様としてQoSサービスをフル装備しています。例えば、EXシリーズ イー サネットスイッチは、ポート当たり8個のハードウェアのキューに対応しており、ベストエフォート型の配信から、高度 かつ確実な配信に至るまで、幅広いポリシングを提供しています。ジュニパーネットワークスのルーターおよびスイッチ のソリューションはすべて、OSとしてJUNOSソフトウェアを採用しているため、LAN/WAN設計全体で同じQoSポリ シーを使用し、一貫性のあるトラフィック管理を簡単に実行することができます。さらに、ジュニパーの全ソリューショ ンで採用されているASICS(特定用途向け集積回路)は、優先度設定されたデータの処理とCPU負荷を最小化すること により、QoSに対応します。 注:VoIP QoSの詳細については、ジュニパーネットワークスの『VoIP on the WAN: It’s a Matter of Priorities』 (2005 年8月出版番号351113-001)を参照してください。 14 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ 2. セキュリティ データネットワーク上に統合型通信を導入すると、サービスに大きな影響を及ぼしかねないセキュリティ上の問題が増大し ます。ネットワーク外部からの悪意のある攻撃や、ネットワーク内部での不注意による攻撃などを防御する必要があります。 今日では、新しい手法の通話料金詐欺や、傍受などを始めとする新種のセキュリティ脅威が続々と検出されています。新し いエントリーポイントが作成されてVoIPシステムが不正侵入されると、企業LANにバックドアが設置され、ウィルスやワー ム、DoS攻撃などから不正アクセスに至るまで、多様なセキュリティ上のリスクにさらされてしまいます。このため、ほか のネットワーク・アプライアンスと同様に、VoIPソリューションを導入することにより、機器自体のセキュリティを確保す るだけでなく、どのようにソリューションを活用してネットワーク攻撃に対処すべきかを把握する必要があります。一般的 な侵入だけでなくVoIP関連の攻撃を阻止するためには、ジュニパーネットワークスの侵入検知防御(IDP)ソリューション が最適です。802.1Xソリューションを採用して、ポリシーベースのアクセス経由でエンドポイントの認証と管理を行います。 また、プロトコルに特化したALG(Application Level Gateway)機能をファイアウォール上で採用し、各VoIPを呼び出 してポートを動的に開閉する手法も効果的です。 侵入防護 DDoS攻撃などの外部からの侵入や脅威を防御するためには、アクセスレイヤー上に統合セキュリティ機能を装備することが不 可欠です。最初にユーザーを認証してウィルスチェックを行い、正確かつエンドツーエンドなセキュリティポリシーを実行して、 ネットワークリソースごとにアクセス可能なユーザーを決定することでセキュリティ機能を強化します。さらに、QoSポリシー を実行することにより、ビジネスプロセスの配信も保証します。 モジュラー型シャーシテクノロジー キャンパスLANには、迅速かつシームレスに成長をサポートする機能だけでなく、新しい技術に対応できる性能も不可欠です。 さらに、設備投資やネットワークのオーバーヘッド、運用コストなどといった観点から、こうしたニーズに対して経済的に対応 する必要があります。このためには、アクセスレイヤー上でモジュラー型シャーシソリューションを採用するのが最適です。 理想的なのは、オプションとしてコスト効率の高いPoE機能を備え、高密度かつ高速なポートを提供できるモジュラー型ソリュー ションです。各モジュラー型シャーシは、高速のアップリンク接続を提供して、従来のシャーシベースのソリューションと同様 の高可用性機能を実現します。また、理想的なモジュラー型シャーシソリューションは、単独の「バーチャルシャーシ」構成と して、1つ以上のスイッチを設定したり管理できる機能を提供します。これにより、高可用性の向上とともに、設備投資や運用 コストの大幅な削減も可能です。 アクセスレイヤー・ソリューション バーチャルシャーシ・テクノロジーを搭載した、拡張可能なアクセスソリューション ジュニパーネットワークスは、真の革新的技術を搭載した、拡張性の高いアクセスソリューションとして、バーチャルシャーシ・ テクノロジー搭載「EX4200シリーズ スイッチ」を提供しています。このソリューションは、コンパクトでコスト効率の高い 「pay-as-you-grow(成長に応じた投資)」プラットフォームにおいて、モジュラー型シャーシの高可用性と高ポート密度を実 現することにより、ネットワークの経済性を高めます。 1. 特長・メリット コ ン パ ク ト なEX4200シ リ ー ズ ス イ ッ チ は、24ポ ー ト の100BASE-FX/1000BASE-Xま た は24ポ ー ト の 10/100/1000BASE-T、48ポートの10/100/1000BASE-Tの各種を取りそろえています。10/100/1000BASE-T プラットフォームは、PoEをフル装備または部分的に装備して提供します(部分的なソリューションでは、スイッチの最初 の8ポートがPoEに対応しており、フル装備の場合は全24ポートまたは48ポートでPoEに対応)。各PoEポートは、最大電 力15.4ワットを供給し、クラス0 ~ 3のIP電話に対して互換性を備えています。また、EX4200シリーズ スイッチは LLDEP-MEDサービスを搭載しており、各PoEエンドポイントの電力管理を自動化したり拡張できるだけでなく、在庫管理 やディレクトリもサポートします。 各EX4200シリーズ スイッチはオプションとして、4ポートのギガビットイーサネットまたは2ポートの10ギガビットイー サネットのいずれかに対応可能な、フロントパネルのアップリンクモジュールをサポートしているため、アグリゲーション・ スイッチまたはコアスイッチに高速接続できます。これらのアップリンクは、オンラインでの追加や削除にも対応可能です。 Copyright ©2009, Juniper Networks, Inc. 15 キャンパスLAN用参照アーキテクチャ EX4 EX4 シリ 200 ーズ レガシースイッチ ラックユニット(RU) ×12∼15個 GbE×48∼288ポート+10GbE×4ポート EX4200シリーズ スイッチ ラックユニット×1個 GbE×48ポート+10GbE×2ポート 2 0 シリ E ーズ 0 X 4 2 ESXerie 00 42s0 ESXerie 0 4 s Ser 200 ies EX4 シリ 200 E ーズ X 4 Ser 200 ies EX4200シリーズ スイッチ ラックユニット×2個 GbE×96ポート+10GbE×4ポート EX4200シリーズ スイッチ ラックユニット×4個 GbE×192ポート+10GbE×8ポート 図6:バーチャルシャーシ・テクノロジー 2. Pay-As-You-Grow(成長に応じた投資)による拡張性 ジュニパーネットワークスのバーチャルシャーシ・テクノロジーの採用により、EX4200シリーズ スイッチを必要な数に 応じてキャンパスに追加できるため、コネクティビティ要件にも対応可能です。ジュニパーネットワークス独自のpay-asyou-grow(成長に応じた投資)型モデルでは、まず1台のEX4200シリーズ スイッチ(1RU)から始めて、段階的に9台 までスイッチを追加し、最終的に全部で10台のスイッチによるバーチャルシャーシ構成を実現できます。その後で、別のバー チャルシャーシを追加することも可能です。フル装備のバーチャルシャーシ構成では、128Gbpsのバーチャル・バックプレー ンやギガビットイーサネット、10ギガビットイーサネットのアップリンクモジュールで弾力的に相互接続されているため、 最大で240ポートの100BASE-FX/1000BASE-Xや、480ポートの10/100/1000BASE-T、またはこの2種類を自由 に組み合わせたり、最大で20個の10ギガビットイーサネットのアップリンクポート、40ギガビットイーサネットのアップ リンクポート、またはこの2種類を自由に組み合わせることなども可能です。 バーチャルシャーシ・テクノロジーは、ネットワーク上で相互接続されているスイッチのグループを、1つのユニットとし て遠隔管理することにより、従来のシャーシシステムと比べて設備投資を削減できるだけでなく、運用コストも大幅に低減 します。EX4200シリーズ スイッチのコンパクトなフォームファクターに加え、段階的に拡張可能な「Pay-As-You-Grow モデル」を活用することにより、キャンパス内のラックスペースの使用面積を直接的に低減できるだけでなく、電力コスト や冷却コストの削減も実現できます。 予算に限りのある小規模なキャンパスの場合は、ジュニパーネットワークスのEX3200シリーズ スイッチも適しています。 EX3200シリーズにはバーチャルシャーシ・テクノロジーが搭載されていませんが、それ以外の機能では、EX4200シリー ズと同レベルの堅牢性を実現しています。 3. キャリアクラスの信頼性 バーチャルシャーシ・テクノロジー搭載のEX4200シリーズ スイッチは、モジュラーシャーシ型のシステムと同様の高可 用性機能も備えています。スイッチはそれぞれ、冗長性や負荷分散機能、ホットスワップ対応AC/DC電源だけでなく、冗長 ブロアを搭載した、フィールド交換可能なホットスワップ対応ファントレーなども装備しており、万一障害が発生した場合 でも、運用に影響が及ぶことはありません。 バーチャルシャーシ・テクノロジーでは、バーチャル・バックプレーンのプロトコルとJUNOSソフトウェアを活用し、比 類ない性能を備えたデバイスと、高可用性のリンクを実現します。相互接続された各スイッチセットは、バーチャルシャーシ・ テクノロジーを搭載していることで、自動的に複数のルーティングエンジンが提供するGRES(グレースフル・ルートエン ジン・スイッチオーバー)機能とNSF(ノンストップ・フォワーディング)を最大限に活用でき、各スイッチが故障すると いうまれなケースが発生した場合でも、運用が中断されることはありません。またバーチャルシャーシ構成は、追加デバイ スと高可用性リンクに対しても適用でき、さまざまな要件に対応することが可能です。例えば、10個のスイッチで1つのバー チャルシャーシを構成している場合は、スイッチ5個ずつに対して2つのバーチャルシャーシを構成するなど、必要に応じて 組み合わせを変更することができます。 4. ロケーションの独立性 このほかにもバーチャルシャーシ・テクノロジーの主な特長として、ギガビットイーサネットまたは10ギガビットイーサネッ トのアップリンクポート上で、数メートル以上離れているスイッチを相互接続し、バーチャル・バックプレーンのプロトコ ルを拡張できるという機能があります。これにより、1つのバーチャルスイッチを構築して、複数のワイヤリング・クローゼッ トやフロア、サーバーラック、ビルなどに展開することが可能です。また、バーチャルシャーシ・テクノロジー搭載スイッ チが長距離間で相互接続されている場合でも、管理や監視、アップグレードなどを実行し、回復機能を備えた1つのスイッ チとして取り扱うことができます。このため、管理コストや保守コストを大幅に削減できます。 16 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ スタンドアロン型またはスタッカブル型の配備 ウエストクローゼット ウエストクローゼット L2/L L2/L 3スイッ チ 3スイッ チ L2/L L2/L 3スイッ チ 3スイッ チ L2/L 3スイッ チ L2/L 3スイッ チ フロア L2/L L2/L 3スイッ チ 3スイッ チ L2/L L2/L 3スイッ チ 3スイッ チ L2/L 3スイッ チ L2/L 3スイッ チ フロア1 管理が必要な ワイヤリング・ クローゼットを 50%削減 ウエストクローゼット ウエストクローゼット アクセ ス ポイン ト EX シリ4200 ズ Virー tu Cha al sis Virstu Cha a ssisl アクセ ス ポイン ト EX シリ4200 ズ Virー tu Cha al sis Virstu Cha a ssisl フロア バーチャルシャーシ バーチャルシャーシ EX シリ4200 ズ Virー tu Cha al sis Virstu Cha a ssisl フロア1 アクセ ス ポイン ト EX シリ4200 ズ Virー tu Cha al sis Virstu Cha a ssisl アクセ ス ポイン ト EXシリーズのバーチャルシャーシ・テクノロジーの配備 図7: CAPEX(設備投資)およびOPEX(運用コスト)を削減するバーチャルシャーシ・テクノロジー 5. CAPEX(設備投資)およびOPEX(運用コスト)の削減 ジュニパーネットワークスのバーチャルシャーシ・テクノロジーを搭載したEX4200シリーズは、次世代のスイッチング性 能を実現します。現在最も広く導入されているシャーシベースのスイッチは、ファイバー接続用の48ポート・ギガビットイー サネットとワイヤスピードの4ポート・10ギガビットイーサネットを提供していますが、これと比べて設置面積を6分の1に、 コストを3分の1以下に削減します。 EX4200シリーズ スイッチは、競合他社のソリューションでは高コストとされるアドオン機能を標準装備しています。例 えばEX4200シリーズは、コストの最適化を実現した1つのプラットフォームにおいて、ベースプラットフォームでレイヤー 3を構成し、10ギガビットイーサネットのアップリンク機能を内蔵、さらに、部分的またはフル機能のPoEや、内蔵型の冗 長電源も装備しています。また、JUNOSソフトウェアの機能セットと遠隔ミラーリング機能を搭載し、集中ネットワーク 運営センター(NOC)が全面的にトラブルシューティングを担うため、保守やアップグレード、デバッグなどの際にオンサ イトのITスタッフを派遣する必要がないことから、運用コストの削減も可能です。 ジュニパーネットワークスは、レイヤーを削減することによって、購入や管理が必要なネットワーク内のデバイス数を低減 しただけでなく、設備投資や運用コストの削減も実現し、さらにバーチャルシャーシ・テクノロジーを搭載することで、貴 重なラックスペースや電力コスト、冷却コストなども削減しています。バーチャルシャーシ・テクノロジーは、設備投資や 運用コストを削減しながら、大きな価値を提供します。貴重なIT予算を新技術への投資に向けて確保できるため、ビジネス の生産性向上にもつながります。 注:特長やメリット、仕様などの詳細については、ジュニパーネットワークスのバーチャルシャーシ・テクノロジー搭載 EX4200シリーズのデータシートを参照してください。 Copyright ©2009, Juniper Networks, Inc. 17 キャンパスLAN用参照アーキテクチャ 無線ソリューション ジュニパーネットワークスのパートナー企業であるアルーバネットワークス(Aruba Networks)とトラピーズネットワーク ス(Trapeze Networks)、メルネットワークス(Meru Networks)が提供するセキュアなWLANソリューションは、キャン パスにおいて無線サービスを提供する上で最適なソリューションです。各ソリューションは、ジュニパーネットワークスのエン タープライズクラス向け802.1Xアクセスクライアント・ソフトウェア「Odysseyアクセス・クライアント(OAC)」によっ てシームレスに統合されています。OACは、ジュニパーネットワークスのOdysseyアクセス・サーバーやSteel-Belted Radius(SBR)など、802.1Xとの互換性を備えたRADIUSサーバーと連動することにより、認証ユーザーだけに接続を許可 して、ログインの信頼性を確保するとともに、無線リンク全体でデータのプライバシーを保護し、WLANユーザーの認証と接続 の安全性を確保します。OACの特別バージョンでは、米国連邦情報処理規格(FIPS:Federal Information Processing Standards)の140-2レベル1の暗号モジュールを採用しているため、政府機関のセキュリティ要件にも準拠します。また OACは、オンタイムで無線/有線802.1Xアクセスの一括導入が可能なため、時間や手間を省くことができる上、ユーザー・エ クスペリエンスを簡素化し、トレーニング費用を削減することも可能です。このため、IDベース(有線802.1X)のネットワー クを導入しているエンタープライズ向けに最適です。 アグリゲーション・レイヤー アグリゲーション・レイヤーは、分散レイヤーと称されることもありますが、複数のアクセスレイヤー・スイッチからの接続と トラフィックフローを集約し、LANコアに対する高密度なコネクティビティを提供します。 アクセスレイヤー L2スイ ッチ アグリゲーション・ レイヤー コアレイヤー L2スイ ッチ L2スイ ッチ L2/L L2/L L2/L L2/L 3スイ ッチ 3スイ ッチ L2スイ ッチ 3スイ ッチ 3スイ ッチ インターネット/ プライベートWAN 図8:高可用性キャンパスLANにおけるアグリゲーション・レイヤー アグリゲーション・レイヤーのスイッチは、ネットワーク内で配置されるロケーションに応じて、拡張性やワイヤレートの高ポー ト密度、高可用性のハードウェアおよびソフトウェア機能を提供し、キャリアクラスの信頼性と堅牢性を実現する性能が不可欠 です。また、冗長性を確保するためには、複数のギガビットイーサネットをアクセス・ワイヤリングクローゼットからダウンリ ンクするとともに、複数の10ギガビットイーサネットをコアにアップリンクする必要もあります。 アグリゲーション・レイヤー上に複数のスイッチを配備することにより、ワイヤレートのパフォーマンスを提供して確実な運用 を実現し、冗長性を保障します。これらのスイッチはレイヤー 3で稼動し、ルート集約や高速収束、負荷分散、冗長パスなどを 実行します。 18 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ アグリゲーション・レイヤー設計に関する検討事項 セグメント化/仮想化 アグリゲーション・スイッチは、GRE(Generic Routing Encapsulation)のトンネリングにも対応しており、ネットワー ク運営センターの監視デバイスに対して、遠隔地からミラーリングによるトラフィックを送信し、トラブルシューティングや分 析を集中管理したり、スパニングツリーに関連した問題を発生させることなく独立したオーバーレイ・ネットワークを構築しま す。 アグリゲーション・レイヤー・ソリューション 拡張可能なアグリゲーション・レイヤー・ソリューション アグリゲーション・レイヤーをはじめとするLAN設計では、高可用性キャンパスの高まるパフォーマンス要件に従い、高可用性 機能や拡張性が向上しています。ジュニパーネットワークスのEX4200とEX8200シリーズ スイッチは、両製品ともアグリ ゲーション・レイヤーで必要とされるパフォーマンスとサービスを提供します。 1. 高可用性(HA) バーチャルシャーシ・テクノロジーは、フェイルセーフ機構を実現します。バーチャルシャーシ構成では、シャーシベース のシステムと同様に、ルートエンジンが冗長性を備えているため、万一マスターに障害が発生しても、マスターのルーティ ングエンジンとバックアップのルーティングエンジンによって、情報のフォワーディング性能を維持します。また、デバイ スやリンクに障害が発生した場合に備え、各WANのエッジデバイスに対する冗長リンクも提供しています。EX4200シリー ズ スイッチは、高可用性機能を標準装備しているだけでなく、全機種でJUNOSソフトウェアを採用しているため、QoSや GRESなどといったソフトウェアの高可用性機能を提供するとともに、ノンストップ・フォワーディングや自動負荷分散な どのデバイスのイベント中でも、フォワーディング処理やルーティング処理を保持します。 2. 拡張機能 バーチャルシャーシ・テクノロジー搭載のEX4200シリーズ スイッチは、PoE機能(8/24または8/48ポート)なし(ファ イバーのみ)またはフル搭載、一部搭載など、pay-as-you-grow(成長に応じた投資)による拡張性を提供します。バーチャ ルシャーシ・テクノロジーは、128Gbpsのバックプレーン経由、またはギガビットイーサネットまたは10ギガビットイー サネットのいずれかのアップリンクモジュール経由で、最大10台のEX4200シリーズ スイッチを相互接続でき、シームレ スな拡張性を実現します。また、これらのデバイスは1つのユニットとして取り扱うことができるため、管理も簡単です。 さらに、同じバーチャルシャーシ構成(最大10台のEX4200シリーズ スイッチ)のメンバースイッチであれば、いずれの スイッチからでも複数の10ギガビットイーサネットをアップリンクでき、物理的なロケーションに関係なくリンクを集約可 能なため、ほかのアグリゲーション・スイッチやコアスイッチに対する高帯域接続が可能です。 ポートやスループットを追加したい場合は、最大10台までのEX4200シリーズ スイッチによるバーチャルシャーシ構成を 追加できます。また、デバイスの追加や、リンクの冗長性の向上が必要な場合は、必要に応じてEX4200シリーズ スイッ チを何台でも追加導入できます。 ジュニパーネットワークスのテラビット級シャーシ型スイッチであるEX8200は、最大規模のキャンパスからのアグリゲー ションに対するニーズに応えるべく、パワフルで高密度かつハイパフォーマンスなソリューションを実現します。EX8200 シリーズ イーサネットスイッチは、最大スループット3.2Tbpsを実現するとともに、最大64ポート(8スロットシャーシ) または128ポート(16スロットシャーシ)の10ギガビットイーサネットをワイヤスピードで提供します。 3. CAPEX(設備投資)およびOPEX(運用コスト)の削減 現在のハイパフォーマンスなキャンパスで必要とされる、ワイヤスピードのポート密度を実現するためには、レガシーなレ イヤー 3スイッチの場合では通常、2レイヤー以上で構成する必要があります。しかしジュニパーネットワークスの EX4200シリーズ スイッチは、こうしたニーズにも対応できるだけでなく、LANのコアレイヤーやアグリゲーション・レ イヤーを削減することにより、ネットワークの経済性を直接的に向上させることが可能です。さらに、バーチャルシャーシ・ テクノロジーの採用により、JUNOSソフトウェアのアップグレードや移行、追加、変更だけでなくトラブルシューティン グや問題解決に至るまで、ネットワーク運用の簡素化を実現できるだけでなく、あらゆる側面から運用コストを低減できます。 これまでは、1000BASE-Xの光ファイバーに対応する高ポート密度と高可用性機能の両方を備え、アグリゲーション・レ イヤーの要件を満たすことができるのは、高価なシャーシベースのスイッチだけとされてきました。しかし、このようなモジュ ラー式シャーシ型スイッチは、拡張性と高可用性は備えていても、こうしたアプリケーションにおいてはコスト効率の面で 劣るソリューションでした。まず、フル実装する以前の段階で、シャーシや共通の機器などに対する大規模な投資が必要に なります。また、モジュラー型シャーシは寸法が大きいため、すでに込み合っている状態のラック内でさらなるスペースが 必要となり、貴重な資産を占有します。さらに、モジュラー型シャーシは消費電力や冷却コストが大きいため、運用コスト Copyright ©2009, Juniper Networks, Inc. 19 キャンパスLAN用参照アーキテクチャ が増大するだけでなく、環境に悪影響を及ぼす温室効果ガス排出の要因にもなっています。 ジュニパーネットワークスのバーチャルシャーシ・テクノロジー搭載EX4200シリーズ スイッチは、次世代のアグリゲー ション・スイッチング性能を実現します。設備投資や運用コストを削減しながら、大きな価値を提供することで、余剰とし て生じた貴重なITリソースの一部を、ビジネスの生産性向上につながる新技術への投資に充てることが可能になります。 注:特長やメリット、仕様などの詳細については、ジュニパーネットワークスのバーチャルシャーシ・テクノロジー搭載 EX4200シリーズ スイッチのデータシートを参照してください。 コアレイヤー コアレイヤーは、複数のアグリゲーション・デバイス間や、コラプス型ネットワークのアクセスレイヤー間において、光高速パ ケットスイッチングを実現します。WANエッジなどといったほかのモジュールがすべて集合するゲートウェイとして機能しま す。 アクセスレイヤー L2スイ ッチ アグリゲーション・ レイヤー コアレイヤー L2スイ ッチ L2スイ ッチ L2/L L2/L L2/L L2/L 3スイ ッチ 3スイ ッチ L2スイ ッチ 3スイ ッチ 3スイ ッチ インターネット/ プライベートWAN 図9:高可用性キャンパスLANのコアレイヤー 20 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ コアレイヤーに関する検討事項 高密度スループットと高可用性機能については、十分な検討が必要です。通常、コアで高スループットとワイヤレートのパフォー マンスを実現するためには、10ギガビットイーサネットのインタフェースが必要です。またコアレイヤースイッチには、デバ イスの冗長性に必要な、冗長制御プレーンや電力、冷却用コンポーネントも必要です。さらに、ネットワークの冗長性や最適収 束を実現するためには、複数のコアレイヤースイッチを装備してシステムの冗長性を実現する設計が必要です。 コアレイヤー・ソリューション ハイパフォーマンスなコアレイヤー・ソリューション ジュニパーネットワークスのEX8200シリーズ スイッチは、高可用性とハイパフォーマンスな機能を搭載しており、コアレイ ヤー・ソリューションに最適です。 1. 高可用性 ジュニパーネットワークスのEX8200シリーズは、フェイルセーフ機構を備えたコアレイヤー・ソリューションを実現しま す。デバイスやリンクに障害が発生した場合に備え、各コアレイヤーデバイスに対して冗長リンクも提供しています。また、 冗長ルーティングエンジンやスイッチファブリックに加え、冗長電源や冗長ファンも搭載しています。全機種でJUNOSソ フトウェアを採用しているため、QoSやGRESなどといった高可用性機能を提供できるだけでなく、ノンストップ・フォワー ディングや自動負荷分散などのデバイスのイベント中でも、フォワーディング処理やルーティング処理を保持できます。 2. 拡張可能なパフォーマンス テラビット級シャーシ型スイッチであるEX8200は、パワフルで高密度かつハイパフォーマンスなソリューションを実現し ます。EX8200シリーズ イーサネットスイッチは、最大スループット3.2Tbpsを実現するとともに、最大64ポート(8ス ロットシャーシ)または128ポート(16スロットシャーシ)の10ギガビットイーサネットをワイヤスピードで提供します。 さらに、スロット当たり最大で80Gbpsのスイッチング性能も実現します。こうした性能を備えるEX8200シリーズ スイッ チを使用すれば、スイッチファブリックやルーティングエンジン、電源、冷却システムなどを変更しなくても、ユーザーの 準備が整った段階で、簡単に高速接続へと移行することが可能です。またEX8200シリーズは、冗長制御プレーンを提供す るとともに、OSとしてJUNOSソフトウェアを搭載しており、高可用性を最大化します。 3. CAPEX(設備投資)およびOPEX(運用コスト)の削減 現在のハイパフォーマンスなキャンパスで必要とされる、ワイヤスピードのポート密度を実現するためには、レガシーなレ イヤー 3スイッチの場合だと通常、2レイヤー以上のコアで構成する必要があります。しかしジュニパーネットワークスの 高密度かつハイパフォーマンスなEX8200シリーズ スイッチは、コアレイヤーの数を削減することにより、ネットワーク の経済性を直接的に向上させることが可能です。さらに、JUNOSソフトウェアの採用により、運用コストの削減やネットワー ク運用の簡素化を実現するソリューションが可能です。 ジュニパーネットワークスのEX8200シリーズは、設備投資や運用コストを削減しながら、大きな価値を提供するため、余 剰として生じた貴重なITリソースの一部を、ビジネスの生産性向上や運用の合理化につながる新技術への投資に充てること ができます。 注:特長やメリット、仕様などの詳細については、ジュニパーネットワークスのEXシリーズ スイッチのデータシートを参照し てください。 Copyright ©2009, Juniper Networks, Inc. 21 キャンパスLAN用参照アーキテクチャ コアレイヤーの重要性 キャンパスLANでは、2つのレイヤーネットワークでアグリゲーション・レイヤーをメッシュ構成にすることができるため、コ アレイヤーが必須条件になるとは限りません。 コアなし 統合型コア アグリゲーション L2/L 3スイ ッチ L2/L 3スイ ッチ L2/L 3スイ ッチ L2/L 3スイ ッチ L2/L L2/L 3スイ ッチ 3スイ ッチ L2/L 3スイ ッチ L2/L 3スイ ッチ L2/L 3スイ ッチ アグリゲーション L2/L 3スイ ッチ コア 各スイッチでNリンクが必要。 N=レイヤー上のスイッチ数。 デュアルホームのアグリゲーション・ スイッチによるシンプルなコア設計 図10:コアレイヤーのメリット 課題とメリット 現在のハイパフォーマンスなエンタープライズ環境で必要とされる、ワイヤスピードのポート密度を実現するためには、レガシー なレイヤー 3スイッチの場合だと通常、2レイヤー以上で構成する必要があります。アグリゲーション・スイッチをメッシュ構 成にすることは可能ですが、各アグリゲーション・スイッチにはN-1メッシュ接続が必要です。この場合のNは、アグリゲーショ ングループの数を示します。こうした設計では、アグリゲーション・スイッチを追加すると、管理が難しくなる上に拡張性も低 下するため、各グループの貴重なポートを無駄に使用してしまいます。これまで、1000BASE-Xの光ファイバーに対応する高 ポート密度と高可用性機能の両方を備え、アグリゲーション・レイヤーの要件を満たせるのは、高価なシャーシベースのスイッ チだけとされてきました。しかし、このようなモジュラー式シャーシ型スイッチは、拡張性と高可用性は備えていても、こうし たアプリケーションにおいてはコスト効率の面で劣るソリューションでした。まず、フル実装する以前の段階で、シャーシや共 通の機器などに対する大規模な投資が必要です。また、モジュラー型シャーシは寸法が大きいため、すでに込み合っている状態 のラック内でさらなるスペースが必要となり、貴重な資産を占有してしまします。さらに、モジュラー型シャーシは消費電力や 冷却コストが大きいため、運用コストが増大するだけでなく、環境に悪影響を及ぼす温室効果ガス排出の要因にもなっています。 専用のコアレイヤーは、コアに対してデュアルホームド・アグリゲーションを提供します。このため、拡張が簡単になるだけで なく、負荷分散用のOSPF ECMPや冗長リンクなども提供できます。 コアレイヤーとアグリゲーション・レイヤーの統合 まだギガビットイーサネットが最先端かつ最高速な技術とされていた当時に設計されたコアスイッチは、そのほとんどが、キャ ンパス全体に配備されているアグリゲーション・スイッチからのハイパフォーマンスで高速なアップリンクに対して、限られた ポート数の10ギガビットイーサネットでしか対応できませんでした。一部の地点では、こうしたデバイスの提供する限られた ポート密度でも十分対応可能でしたが、ネットワークを定期的に拡大していくためには非効率的です。 効率的な拡張性を実現し、今日のLANコアに必要とされる10ギガビットイーサネットの高ポート密度を提供するためには、コ ア内の複数のレイヤー上にこれらのレガシースイッチを配備する必要があります。こうした手法は最終的には効果的ですが、そ のためにはコアスイッチを追加しなければなりません。すると、IT予算の大部分を占める大規模な設備投資が必要になるだけで なく、運用も複雑化し、保守や管理の負担も増加します。さらに、ネットワークの遅延も増大し、アプリケーション・パフォー マンスを全体的に低下させるオーバーサブスクリプションの比率が不必要に高くなってしまいます。 22 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ EX4 EX4 20 シ E リ4 X ーズ 0 ESXerie200 42s0 Ser ies 0 EX3 シリ 200 ーズ EX8 シリ 200 ーズ 20 シ E リ4 X ーズ 0 ESXerie200 42s0 Ser ies 0 EX8 シリ 200 ーズ インターネット/ プライベートWAN 図11:アグリゲーション・レイヤー上で削減したコアレイヤー 1. 特長・メリット ジュニパーネットワークスのテラビット級シャーシ型スイッチEX8200シリーズは、次のような2つの特長を備え、ネット ワークの経済性を向上させます。まずEX8200シリーズは、コアで必要とされる10ギガビットイーサネットの高ポート密 度をワイヤレートで実現でき、複数のスイッチレイヤーを配備しなくて済むため、複雑性やコスト、オーバーサブスクリプショ ン、レイテンシなどが増大する心配がありません。次に、中規模のエンタープライズ向けネットワークでは、10ギガビット イーサネットの高ポート密度を確保できていれば、アグリゲーション・レイヤーが全く不要になるため、ワイヤスピードの 10ギガビットイーサネット接続で、アクセススイッチを直接コアに接続することが可能です。アグリゲーション・スイッチ のレイヤーが全く不要になるため、設備投資を大幅に削減できるだけでなく、OSのアップグレードや移行、追加、変更だけ でなく、トラブルシューティングや問題解決に至るまで、ネットワークのあらゆる運用を簡素化できます。 アグリゲーション・レイヤーを必要とする大規模なエンタープライズ向けネットワークの場合は、アグリゲーション・レイヤー に対する設備投資も削減できます。アグリゲーション・スイッチは、1つのプラットフォーム上で分散されているワイヤリ ング・クローゼットを統合してコアスイッチに接続するため、フロア間やビル間の長距離接続にも対応できる、高密度の光ファ イバーインタフェースが必要です。またアグリゲーション・スイッチは、企業ネットワーク内で分散されているユーザーと 集中サーバーとの間を接続するという重大な役割も担うことから、アプリケーション・プロセスやビジネスプロセスを継続 的かつ確実に提供できるよう、高可用性機能も不可欠です。 Copyright ©2009, Juniper Networks, Inc. 23 キャンパスLAN用参照アーキテクチャ WANエッジの統合 WANコネクティビティは、キャンパスから集中サービスやリソースに対して重要なリンクを提供します。ハイパフォーマンス・ ビジネスを実践する企業にとっては、ネットワークのコネクティビティとパフォーマンスを確実に保証できる設計と拡張性を備 えたキャンパスLANの実現が重要な課題となっています。 アクセスレイヤー L2スイ ッチ アグリゲーション・ レイヤー コアレイヤー WANエッジ L2スイ ッチ L2スイ ッチ L2/L L2/L L2/L L2/L 3スイ ッチ 3スイ ッチ シリ M ーズ L2スイ ッチ 3スイ ッチ 3スイ ッチ シリ M ーズ インターネット/ プライベートWAN 図12:高可用性キャンパスLANにおけるWANエッジ WANエッジに関する検討事項 コネクティビティ WANエッジ・ルーティング・プラットフォームでは、WANとコアレイヤーまたはアグリゲーション・レイヤーとの間のコネク ティビティを提供する、高速イーサネットポートが必要です。また、インターネットやWANに対しては、ハイパフォーマンス なスループットも不可欠です。 高可用性(HA) WANエッジデバイスはすべて、フル装備の高可用性サービスを提供し、重要なWANコネクティビティを維持する必要がありま す。ハードウェアは堅牢性を供え、冗長電源や冷却ファンの装備が不可欠です。最適な高可用性を実現するためには、アクティ ブ/アクティブルーティングの状態でデバイスを組み合わせ、インターネットまたはWANに対する代替接続を確保します。 音声ゲートウェイ LANおよびWAN上で効率的な通信を実現するためには、安全かつ最適な音声サービスをWANエッジで提供する必要がありま す。統合型またはスタンドアロン型のVoIPゲートウェイのいずれでも実装可能です。 WANアクセラレーション 帯域幅を単純に追加しても、LANと同様のパフォーマンスをWAN上で自動的に実現できるわけではありません。帯域が制限さ れている場合でも常時、WAN上で集中アプリケーションのパフォーマンスを最適化するためには、アクセラレーション・サー ビスが必要です。 ファイアウォール/VPN WANエッジのセキュリティを確保するためには、遠隔地やユーザーに対するVPN接続だけでなく、ワームやトロイの木馬、ウィ ルスなどのさまざまなマルウェアを防御する、総合的なファイアウォールサービスを提供する必要があります。このようなサー ビスを集中管理することで、迅速な導入や、運用コストの削減が可能になります。 24 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ WANエッジのソリューション WANエッジ・ルーティング・プラットフォームは、十分な高速イーサネットポートを提供し、WANとアグリゲーション・レイ ヤーまたはアクセスレイヤー間のコネクティビティを確保する必要があります。ジュニパーネットワークスのMシリーズ サー ビスルーターは、これらの要件に対応するだけでなく、要件以上の性能を提供します。プラットフォームではJUNOSソフトウェ アを採用し、QoSなど、業界でも評価の高い最先端かつキャリアクラスのルーティング機能を実現します。さらに、WANトラ フィックを保証するファイアウォールとVPNサービスも提供します。 Mシリーズ ルーティングプラットフォーム Mシリーズは、期待通りのハイパフォーマンスと、キャリアクラスのモジュラー型インタフェースを提供し、安全で信頼性が高 く、拡張性にも優れたネットワーク接続を実現します。 1. 特長・メリット Mシリーズ マルチサービスエッジルーター(Mシリーズ)は、最大320Gbpsのスループットを実現し、DSO ~ OC-192/ STM-64、100Mb ~ 10ギガビットイーサネットと、幅広いコネクティビティを提供します。このプラットフォームでも JUNOSソフトウェアを採用しているため、MPLSやIPv6、マルチキャストなどの高度なサービスを搭載した、業界でも評 価の高い最先端かつキャリアクラスのルーティング機能を基本システムで実現します。しかも、ライセンス料やアップグレー ドなどは不要です。 2. 高可用性 Mシリーズは、冗長ルーティングエンジンや、スイッチング/フォワーディング・エンジン・ボードなどの冗長ハードウェア をフル装備しており、キャリアクラスの高可用性を実現します。また、JUNOSソフトウェアの採用により、高可用性機能 を一段と高めています。 3. 統合サービス Mシリーズ ルーターは、インターネット上のサイトに安全に接続するために不可欠な、統合ファイアウォールやIPsec VPNなどの重要なセキュリティ機能を提供します。このプラットフォームも、集中的にユーザーのセキュリティポリシーに 対応し、動的なルートベースVPNによって独自の高可用性オプションを実現しています。仮想化技術の採用により、単独の プラットフォーム内に存在する数々の個別ゾーンに対して、ネットワークのセグメント化が可能なため、企業はセキュリティ ポリシーを順守することができます。 内蔵QoSは、帯域幅利用と統合型通信のパフォーマンスを向上させます。また、レイテンシやジッター、パケットロスを最 低限に抑え、音声やデータのパフォーマンスを保証します。 さらに、コマンドライン・インタフェース(CLI)に加え、JUNOSソフトウェアに搭載されているJ-Webは、Mシリーズ全 製品においてWebベースのリモート管理を実現します。また、トラブルシューティング機能も搭載しており、ネットワーク のダウンタイムを最低限に抑え、運用コストの削減や、故障などによる収益の損失なども低減します。 Mシリーズは、1つのプラットフォーム上で複数のサービスを統合し、設備投資を可能な限り低減することができます。また、 豊富な機能を取りそろえているため、設備投資をしなくても多彩なサービスを提供できるだけでなく、より多くのユーザー に対して高品質なサービスを展開することが可能です。 小規模なキャンパスの場合は、ジュニパーネットワークスのJシリーズ サービスルーター(Jシリーズ)も適しています。ま たは、WANエッジのセキュリティが最重要課題となっている場合は、ジュニパーネットワークスのセキュア・サービス・ゲー トウェイ(SSG)も利用できます。 注:機能やメリット、仕様などの詳細については、ジュニパーネットワークスのMシリーズ サービスルーターのデータシート を参照してください。 注: WANエッジ統合の詳細については、ジュニパーネットワークスの次世代WANへの移行のデータシートを参照してください。 Copyright ©2009, Juniper Networks, Inc. 25 キャンパスLAN用参照アーキテクチャ キャンパスネットワークの高可用性 本書を通して強調しているとおり、キャンパスネットワークでは、PSTNネットワークと同レベルの信頼性と動作可能時間を備 えた運用を確保することが最重要課題です。どの業界でも、市場における競争力を維持していく上で、ダウンタイムの発生は決 して許されるものではありません。 デバイスレベルの高可用性 デバイスの不具合の大半は、電源の故障や機器の冷却機能の問題などが原因で発生します。このため、ジュニパーネットワーク スのEXシリーズやMXシリーズのプラットフォームなどといった、高品質なキャリアクラスのネットワークデバイスを使用して、 ビジネスプロセスを常にサポートすることが重要です。また、デュアル電源や冗長ファン、冗長ブロアを搭載した機器を導入す ることで、機器の故障を常に最小限に抑え、平均修理時間(MTTR)を短縮する必要があります。主要デバイスを二重化して、 万一故障が発生した場合に利用可能なバックアップ用機器を用意することにより、デバイスレベルの高可用性を高めることがで きます。予算的にも構成的にも、バックアップデバイス一式の導入に対応できない場合は、フィールド交換可能またはホットス ワップ可能な電源やファンなどのバックアップセットを始めとする主要なデバイスコンポーネントを追加することで、デバイス の不具合による影響を回避することができます。 リンクレベルの高可用性 リンクレベルの高可用性を実現すれば、ビジネスプロセスにおいて、内部および外部のリソースからの重要なデータフローを確 実に維持することが可能です。キャンパス内でリンクレベルの高可用性を実現するためには、アクティブ/バックアップ構成に おいて2つのリンクを稼動させる必要があります。これにより、一方のリンクに障害が発生した場合に、もう一方が引き継ぎ、 故障した方のリンク上で転送されていたトラフィックを回復することが可能です。 冗長リンク:スクエアvsトライアングル スクエア/トライアングルのリンク構成を採用して、デバイス間の冗長パスを提供します。 スクエア トライアングル L2ス イッチ L2ス イッチ L2ス イッチ L2ス イッチ L2/L L2/L L2/L L2/L L2/L L2/L L2/L L2/L 3スイ ッチ 3スイ ッチ 3スイ ッチ 3スイ ッチ 3スイ ッチ 3スイ ッチ 3スイ ッチ 3スイ ッチ 図13:デュアルホーミング:スクエアvsトライアングル 1. スクエア構成のピアリング この設計では、アグリゲーション・レイヤーとコアレイヤーの間で、レイヤー 3のピアリングスクエア構成を採用しています。 ルートをピアリングすることにより、冗長パスを提供します。リンクに障害が発生した場合は、レイヤー 3のプロトコル・ コンバージェンスが必要になりますが、ルートの確定性が欠けているために、状況が変わる場合があります。この結果、セッ ションの低下やパケットロスが発生し、パフォーマンスが低下します。 2. デュアルホームド・トライアングル構成 この設計では、アグリゲーション・レイヤーとコアレイヤーの間で、レイヤー 3のデュアルホームド・トライアングル構成 を採用します。ECMPは、冗長パスや負荷分散パスを提供します。ルートの確定性が高いため、リンクに障害が発生した場 合でもフェイルオーバー時間を短縮できます。 26 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ バーチャルシャーシ・テクノロジー バーチャルシャーシ・テクノロジーの採用により、ジュニパーネットワークスのEX4200シリーズ スイッチを最大10台まで 接続して、1つの論理スイッチとして取り扱うことができます。バーチャルシャーシ構成はそれぞれ、フェイルセーフ機能を搭 載しているため、障害が発生した場合は、各ユニットが相互にデータを転送します。また、デバイスまたはリンクに障害が発生 した場合にも、各WANエッジデバイスに対して冗長リンクを提供できます。EX4200シリーズは、高可用性機能を標準装備し、 全機種でJUNOSソフトウェアを搭載しているため、ソフトウェアでQoSやGRESなどの高可用性機能を実現できるだけでなく、 ノンストップ・フォワーディングや自動負荷分散などのデバイスのイベント中でも、フォワーディング処理やルーティング処理 を維持します。 リンク・アグリゲーション・グループ ハイパフォーマンスなリンクやポートレベルの冗長性を提供するためには、デバイスレイヤー間でLAG(リンク・アグリゲーショ ン・グループ)を採用する必要があります。 L2/L 3スイ ッチ リンクアグリゲーション L2/L 3スイ ッチ 図14:LAG(リンク・アグリゲーション・グループ) 1つの論理トランクグループとしてLAGを構成する場合には、複数の物理インタフェースが必要なため、デバイス間の帯域幅が 増加します。アクティブなグループポートとリンク上でトラフィックを分散すると、組み込み式の負荷分散機能だけでなく、リ ンクやポートレベルの冗長性を実現できます。リンクやポートに障害が発生した場合でも、LAGによってフェイルオーバー時間 を短縮できます。 Copyright ©2009, Juniper Networks, Inc. 27 キャンパスLAN用参照アーキテクチャ アクセス ウエストクローゼット イーストクローゼット バーチャルシャーシ1 EX4 シリ 200 ーズ EX4 シリ 200 ーズ EX4 シリ 200 ーズ EX4 シリ 200 ーズ EX4 シリ 200 ーズ EX4 シリ 200 ーズ EX4 シリ 200 ーズ EX4 シリ 200 ーズ LAG LAG EX4 20 シ E リ4 X ーズ 0 0 Ser 2 ies 0 アグリゲーション EX4 20 シ E リ4 X ーズ 0 0 Ser 2 ies 0 128 Gb/秒VCP 図15:バーチャルシャーシとLAG バーチャルシャーシ・テクノロジーを搭載したジュニパーネットワークスのEX4200スイッチは、単独または複数のワイヤリ ング・クローゼットのいずれでも、複数のバーチャールシャーシ・グループを構成することができます。最も近接しているバー チャールシャーシ・グループからのアップリンクは、アグリゲーション・レイヤー上で複数のEX4200シリーズのユニットに 展開されます。こうしたシンプルな設計の場合、STPは不要ですが、1つのバーチャールシャーシ・グループ内で複数の EX4200シリーズのユニットに対してアップリンクを分散すると、冗長性が向上します。このため、アップリンクをすべて冗 長化することで負荷分散が可能になり、運用コストの節減や高可用性の向上にもつながります。 冗長トランクグループ(RTG) RTGは、ジュニパーネットワークスのEXシリーズ イーサネットスイッチが搭載している高可用性リンク機能です。この機能を 採用すれば、STPが不要になります。RTGは、デュアルホーム接続でスイッチに実装することにより、一方のリンクをアクティ ブにしてトラフィックを転送し、もう一方をアクティブリンクに対するブロッキング用およびバックアップ用として機能させる ことができます。また、リンクで障害が発生した場合には、直ちに高速収束を実行します。実質的には、RSTPルートや代替ポー トの機能によく似ていますが、RSTPの設定が不要という点で異なります。 28 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ キャンパスリンクの冗長化に関するベストプラクティス ジュニパーネットワークスの推奨するリンク構成について、以下のとおりにまとめます。 アクセスレイヤー L2ス イッチ アグリゲーション・ レイヤー L2ス イッチ L2/L 3スイ ッチ L2ス イッチ L2ス イッチ L2/L 3スイ ッチ アグリゲーションと コア間の冗長相互接続 アグリゲーション・レイヤーの 冗長ノード アグリゲーションとコア間の 冗長相互接続 コアレイヤー L2/L 3スイ ッチ L2/L 3スイ ッチ レイヤー3トライアングル 接続構成 コアレイヤーの冗長ノード インターネット/ プライベートWAN 図16:冗長接続のベストプラクティス アクセスレイヤー・スイッチは、アグリゲーション・レイヤーの冗長ノードに対して、「デュアルホームド」にする必要があり ます。アグリゲーション・レイヤーとコアレイヤーは両方とも、デュアルホームの相互接続で構築します。代替パスはそれぞれ、 レイヤー 3を使用して収束を最適化します。また、コアレイヤースイッチも、WANエッジルーターに対してデュアルホーム接 続します。リンク帯域幅とノードのキャパシティについては、あらゆるレイヤー上でリンクやノードの障害に対する耐性を備え た設計を採用しています。 ネットワーク・ソフトウェアの高可用性 JUNOSソフトウェアは、ジュニパーネットワークスのスイッチやルーター、ファイアウォール・ソリューションなど、全製品 に共通して搭載されている、キャリアクラスのキャンパス向けネットワーク・ソフトウェアです。JUNOSソフトウェアは、 NSF(ノンストップ・フォワーディング)やグレースフル・リスタート、ISSU(In-service Software Upgrade)、BFD (Bidirectional Forwarding Detection)などのさまざまな機能に対応しており、電話網と同様にフェイルセーフ機構と高い 信頼性を備えたIPネットワークを構築します。小規模なキャンパスでも、JUNOSソフトウェアのモジュール方式を採用して、 あらゆる機能を総合的に実行することにより、大規模なサービスプロバイダーと同じように、JUNOSソフトウェア搭載機器を 使用してサービスを強化し、大きなメリットを得ることができます。 Copyright ©2009, Juniper Networks, Inc. 29 キャンパスLAN用参照アーキテクチャ セキュリティ 現在、キャンパスLANのセキュリティに関する課題は増加する一方です。その要因としては、キャンパスユーザーの流動性の高 まりや、契約者による利用の増加、パートナー企業とのオンサイトによるコロケーションの増加、統合型通信の拡大、無線アク セスに対するニーズの高まりなど、さまざまな要素が挙げられます。IT部門は、安全でユビキタスなLAN/WLANアクセスを提 供してハイパフォーマンスを実現し、複数の大規模なLAN上で発生する内外からの脅威に対して、キャンパスの重要リソースを 保護しなければなりません。 インターネット Steel-B el Radiusted インフ ラ コント ネット・ ローラ L2/L 3スイ ッチ L2/L 3スイ ッチ NS IDP S シリ A ーズ アクセ スポイ ント Odyssey アクセス・ クライアント 無線 各部署 本社 図17:キャンパスのセキュリティアーキテクチャ キャンパスLANは、セキュリティ脅威やリスクが増加している現状を受け、あらゆる側面からセキュリティと管理を維持すると ともに、生産性の向上に向けて、オープンで広範にわたるアクセスを提供する必要性に迫られています。ネットワークレイヤー やアプリケーション・レイヤーからの脅威を可能な限り防御するためのセキュリティアーキテクチャとしては、各ネットワーク のロケーションに応じた、複数レイヤーによる防御が最も効果的です。さらに、包括的なセキュリティ機能や優れた信頼性、並 外れたパフォーマンスを提供する総合的なソリューションも必要です。802.1Xとネットワーク・アクセス・コントロールを利 用すれば、ネットワークにアクセスしようとする未管理のデバイスやゲストユーザーに対して効率的に対応できるだけでなく、 管理が困難なデバイスや不正プログラムの拡散防止機能、アプリケーション・アクセス・コントロール、視認性、モニタリング などにも対応可能になります。また、LAN全体のセキュリティを確保するためには、ファイアウォールと侵入検知防御(IDP) ソリューションも不可欠です。さらに、セキュリティツールとしてQoSを使用し、トラフィックの認証やクラス分け、キューイ ングを行います。例えばQoSポリシーは、部門別のリソースに対するアクセスを防御したり、優先度の高いデータフローが不正 なトラフィックによる影響を受けたりしないよう保証します。 30 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ 統合型アクセス・コントロール(UAC) ネットワーク・アクセス・コントロールは、LANのセキュリティを確保する上で非常に有益なソリューションです。このソリュー ションは、以下を実現します。 ◦ネットワークの保護—ログイン時にユーザーを確実に認証し、認定ユーザーだけにアクセス許可を制限します。 ◦脅威管理の組織化—認証ユーザーのログイン時に、ウィルスやワームに感染していたり、システムにハッカー行為をしよ うとした場合は、ネットワーク・アクセス・コントロールのソリューションが問題のあるデータの発生場所を特定し、ポー トを遮断して脅威を防御します。 ◦ゲストのアクセス—特定ユーザーに対するLANへのアクセス許可や、利用可能なリソース、アクセス可能な時間枠などを 明確に定義します。 ◦IDベースのQoS—特定のリソースに対する社員のアクセスをランク付けしたり、特定のアプリケーションに対するサービ スレベルを定義します。例えば、電子メールにアクセスするユーザーにはベストエフォート型のQoSを設定し、財務関連 業務など極めて重要なアプリケーションに対しては「ゴールド」のQoSを設定します。 ジュニパーネットワークスのUACソリューションは、IDベースのポリシーとエンドポイント・インテリジェンスとを組み合わせ、 エンタープライズレベルのネットワークでリアルタイムの視認性とポリシー制御を実現します。ジュニパーネットワークスの UACソリューションは、中央でポリシー管理を行うインフラネット・コントローラや、動的にダウンロード可能なUACエージェ ント、エージェントレスのエンドポイント・ソフトウェアといったコンポーネントをすべて、またはその一部を活用します。ま た、多様な形態のエンフォースメント・ポイントに対応可能なため、ファイアウォールや、802.1X準拠のスイッチまたは WLANアクセスポイントなど、ベンダーを問わず利用できます。さらに、未管理のエンドポイントまたは管理状態の悪いエンド ポイントなどのセキュリティ上の問題に対しても、LAN全体でコスト効率の高いソリューションを提供します。UACは、堅牢 なアドミッション・コントロールによって、ネットワークに対して強力な事実上の防衛線を構築し、必要なOSアップデートや セキュリティパッチ、パーソナルファイアウォール要件、ウィルスシグネチャなどに対してエンドポイントが準拠していること を確認してから、LANへのアクセスを許可します。ジュニパーネットワークスのUACは、ゲストや契約者、パートナー、社員 などに対するアクセス・コントロールを実現するソリューションです。 エクストラネット モバイル 企業のオフィス S シリ A ーズ L2/L 3スイ ッチ アプリケーション 検疫/ 対応策 モバイル モバイル 社員 ファ ウォ イア ール ゲスト ゲスト パートナー パートナー 図18:全ユーザーに向けて健全なエンドポイントポリシーを実行 Copyright ©2009, Juniper Networks, Inc. 31 キャンパスLAN用参照アーキテクチャ IEEE 802.1X 802.1X標準は、ポートベースのネットワーク・アクセス・コントロールの認証や、アクセス・コントロール、データプライバ シーなどに関する強固な枠組みとして機能します。802.1Xアクセス・コントロール・ソリューションは、ネットワークIPアド レスがまだ割り当てられていない場合でも、ネットワーク・クレデンシャルの認証を完了させることができます。このため、不 正アクセスを防御して、ウィルスなどの脅威が組織中にまん延するのを未然に防ぎます。ログイン後に、動的ポートをベースと した権限の設定を利用して、特定リソースの使用を制限します。 ユビキタスアクセス 現在のグローバル環境は24時間対応であるため、従業員や顧客、パートナーなど、さまざまなネットワークユーザーに対して、 場所を問わずあらゆるデバイスから、ネットワークリソースやアプリケーションにリアルタイムでアクセス可能な状態を提供す る必要があります。キャンパスでは、コンピュータやラップトップ型コンピュータ、PDA、インターネット接続可能なスマー トフォン、IPデバイスなどを対象とした有線/無線アクセスが不可欠です。遠隔地への出張の際に、パートナー企業のビル内や ホテルの室内、インターネットカフェなど、さまざまな場所からインターネットにアクセスする場合にも、VPNなどのセキュ アな接続によってLANリソースに接続できるようにする必要があります。 セグメント化 セグメント化では、ユーザー定義に基づき、物理インタフェース上でネットワークを個別ゾーンへと論理的に分割します。また、 多様なセキュリティ要件に対応しながら、追加コストを発生させることなく、ポリシーの設定や管理を簡素化できます。セグメ ント化は、ユーザーをグルーピングして特定のリソースへのアクセスを許可する上で、最適な手法です。例えば、人事部門の担 当者を対象として、人事関連のデータベースやその他の人的資源データに対するアクセスを許可することなどが可能です。セグ メント化は、VLANなどの仮想化技術によって実行されます。 インターネット ISG L2/L 3スイ ッチ 本社 経理 部 人事部 経理部 営業部 図19:全ユーザーに向けて健全なエンドポイントポリシーを実行 32 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ 侵入検知システム(IPS) IPSソリューションは、アプリケーション・レイヤーとネットワークレイヤーの両方において、日々進化する新種の脅威に対し、 包括的で操作性に優れた防御機能を実現します。業界でも評価の高いステートフルな検知防御技術を採用しており、ワームやト ロイの木馬、スパイウェア、キーロガーなど、さまざまなマルウェアによるゼロデイ攻撃を防御します。また、ソリューション をインライン化することにより、ネットワークレベルやアプリケーションレベルの攻撃を効率的に検知して防御し、被害を未然 に防止するとともに、侵入を受けた場合に発生する時間やコストなどの被害を最小限に抑えます。 IPSソリューションは、攻撃に対してネットワークを防御するだけでなく、気付かないうちにネットワーク上に追加されていた 可能性のあるローグサーバーやアプリケーションに関する情報も提供します。ネットワーク上で使用されている特定のアプリ ケーションやアセットなどに関する使用状況や使用時間、使用者などについて、視認性を確保します。管理者は、IPSソリューショ ンを採用してアプリケーションの利用ポリシーを実行したり、現在使用中のネットワークやリソースが適切なアプリケーション ポリシーに準拠しているかを簡単に確認できます。さらに理想的な機能として、ルールに基づいた集中管理アプローチを採用し、 システムの稼動状態についてきめ細やかな管理を行うとともに、広範囲におよぶ監査やログ収集、完全にカスタマイズ可能なレ ポート作成なども簡単に実行することができます。またIPSソリューションは、アクセス・コントロール・ソリューションと連 携して、スイッチのエンフォースメント・ポイントでセキュリティ対策を実行します。 ファイアウォール ファイアウォールは、目的特化型のセキュリティデバイスとして、ハイパフォーマンスで優れたセキュリティを実現する、モジュ ラー型のLAN/WANコネクティビティを提供します。さまざまなロケーションのLAN全体で採用されており、ネットワークレ ベルやアプリケーションレベルの攻撃を防御します。ステートフル・ファイアウォールやIPS(侵入検知防御システム)、アン チウィルス(アンチスパイウェア、アンチフィッシング、アンチアドウェア)、アンチスパム、Webフィルタリングなど、適応 型脅威検知管理のセキュリティ機能を提供し、攻撃に対してネットワークを防御するソリューションです。さらに、ネットワー クのセグメント化やダイナミック・ルーティング、さまざまな動作モードを提供して、ネットワークの統合や内部セキュリティ の導入を簡素化します。また、モジュラー型のI/Oアーキテクチャによって、多様なコネクティビティ要件に対応可能な、高密 度かつフレキシブルなインタフェースも実現できます。高可用性を実現することにより、迅速なフェイルオーバーによってビジ ネスの持続性を維持できるようになります。また、統合型のデバイスを導入することで、設備投資や運用コストの削減も可能で す。 RAS(Remote Access Service) RASでは、ユーザーが遠隔地からログインして、モデムまたはインターネット接続経由でネットワークサービスにアクセスし ます。RASソリューションは、セキュリティを確保するとともに、IPSと連携してIDベースの脅威を検知し、不正なアプリケー ション・トラフィックを撃退します。また、きめ細やかなクライアントレスのアクセス・コントロールを提供し、最高クラスの エンドポイント・セキュリティを提供する、理想的なソリューションです。例えば、SSLを採用したブラウザーベースのアクセ スソリューションでは、幅広いエンドポイントに向けてアクセスを提供します。セキュリティの最適化を実現しながら、クライ アント側でのインストールは一切不要です。 ACL(Access Control Lists) 企業は、コンプライアンス要件に基づき、社外秘の企業データへのアクセスを認証ユーザーのみに限定する必要があります。ま た、貴重な企業リソースに対するユーザーアクセスについても、監視や監査、ログ収集などが不可欠です。大半のキャンパスで は、無線に関して、ネットワーク上でゲストのアクセスを制限しなければならないという課題を抱えています。ユーザーに対し て、ポリシーに基づいた許可がない限りアプリケーションの使用さえも制限し、リスクを低減する方法もあります。例えば、ゲ ストがACLでログインした際に、動的なアクセスを実行したり、特定のサービスを公開したりすることができます。ACLは、ネッ トワークアクセスの許可または拒否を実行することでトラフィックを制御することから、フィルタリングと称される場合もあり ます。ACLは、ネットワークに対するトラフィックの侵入や退出を防御します。ファイアウォールのフィルターパラメータは、ロー カルに設定したり、RADIUSサーバーのベンダー固有属性(VSA)によって送信することができます。 アクセスセキュリティの向上 このほかにも、ポートのセキュリティ対策や脅威検知対策などを実行し、内外からのスプーフィング攻撃や介入者攻撃、DoS攻 撃を防御する必要があります。具体的には、MAC制限やDHCPスヌーピング、ダイナミックARP、IPソースガードなどを実行 します。 Copyright ©2009, Juniper Networks, Inc. 33 キャンパスLAN用参照アーキテクチャ 1. MAC制限 内蔵型またはそれ以外のネットワークアダプターには、MACアドレスが関連付けられています。このレイヤー 2識別子は、 ネットワーク上のコンピュータを独自にマーキングします。ただし、MACアドレスはIPアドレスのようにホストやネットワー クごとに分割されないため、両者が同じレイヤー 2ネットワークセグメントを共有している場合には、MACアドレスから別 のホストを認識することができません。このため、「MACスプーフィング」と呼ばれるMACアドレスの変更を行い、信頼で きるホストから、制限されたリソースにアクセスします。一部のスイッチではMAC制限を設定できるため、MACのフラッディ ング攻撃やスプーフィング攻撃を防御します。 2. DHCPスヌーピング レイヤー 2のスイッチポートのセキュリティ機能には、このほかにもドメインのインテグリティを保護するDHCPスヌーピ ングがあります。DHCPスヌーピングは、DHCPサーバーがLANクライアントに対してIPアドレスを割り当てる際に、 DHCPサーバーと連携して、特定のIP/MACアドレスを持つクライアントだけに対してネットワークアクセスを許可します。 DHCPスヌーピングを実行すると、ネットワークへのアクセスは「ホワイトリスト」のIPアドレスのみに限定されます。ホ ワイトリストは、スイッチのポートレベルで設定可能なため、アクセス・コントロールの管理はDHCPサーバーが行います。 IPネットワークへのアクセスの許可は、特定のポート上で特定のMACアドレスを搭載した特定のIPアドレスだけが対象とな ります。さらにDHCPは、untrustedアクセスポートすべてに対して、検査と検証を要求します。これにより、攻撃者の DHCPサーバーがネットワーク上に追加されるのを阻止し、DHCPのDoSとDHCPのローグサーバーを攻撃から防御します。 DHCPスヌーピングのセキュリティ機能フィルターは、DHCPのDoS攻撃とDHCPローグサーバーの攻撃を防御することに より、untrusted DHCPメッセージのDHCPスヌーピング・バインディングテーブルを維持します。 3. ダイナミックARP(Address Resolution Protocol)インスペクション(DAI) 電子メールサーバー L2/L 3スイ ッチ 感染デバイス L2/L 3スイ ッチ 攻撃者 図20:ダイナミックARPインスペクション(DAI) ARP(Address Resolution Protocol)スプーフィングは、攻撃者がスプーフィングされたARPメッセージをイーサネッ トLANに送信すると開始します。サーバーまたはゲートウェイなどといったネットワークノードのIPアドレスが盗まれ、攻 撃者のコンピュータで使用された時点で、ARPスプーフィングが起動します。攻撃者のコンピュータに対してネットワーク・ トラフィックを送信し、介入者攻撃によってデータが送信される前に、データを修正します。また攻撃者は、ゲートウェイ のIPアドレスに対して、存在しないMACアドレスを関連付け、DoS攻撃を行う可能性があります。さらに、パケットを受動 的に傍受してから、実在のノードに対して単純にトラフィックを転送する場合もあります。 34 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ ダイナミックARPインスペクション(DAI)は、untrustedポート上のARPパケットを防御し、DHCPスヌーピングのデー タベースに対して検証します。適合しないエントリーは、ドロップします。これにより、有効なデバイスになりすましてい るアドレスに対してトラフィックが転送されるのを防ぎ、介入者によるスプーフィング攻撃やDoSを防御します。 4. IPソースガード このほかのポートセキュリティ機能として、untrustedレイヤー 2アクセスやトランクポートのIPトラフィックを制限する、 IPソースガードがあります。IPソースガードは、DHCPスヌーピングと連携して、手作業で設定されたIPソースバインディ ングや、DCHPスヌーピング・データベースが自動的に学習した内容に基づき、トラフィックをフィルタリングします。こ れにより、IPスプーフィング攻撃を防御します。監視ポートに入ってくるIPトラフィックが、自動的または静的に割り当て られたものではないIPアドレスを持っている場合には、そのIPトラフィックをドロップします。 運用の簡素化と統合型管理 IT予算の大部分を占めるのは、ネットワーク運用コストです。このため、キャンパスLANの運用を簡素化できれば、運用コスト の削減につながります。ネットワーク運用の合理化を困難にする要因としては、主に以下の5つの点が挙げられます。 ◦複雑かつ非効率的なアーキテクチャ 従来のネットワークでは、帯域幅やスループット、ポート密度などに関する新しい要件に対して、低密度で単独機能しか 備えていないレガシーなソリューションで対処しなければならず、レガシーハードウェアを不必要に追加することで肥大 化してしまいました。Gartnerが2007年に発表した報告によると、データセンターにおいてサーバー間の接続に使用さ れているイーサネットスイッチ・ポートは、全体の50%に上ることが明らかになりました。こうしたレガシーソリューショ ンでは、現在のキャンパスLAN環境のニーズに応えられないだけでなく、管理も極めて複雑化する上、設備投資や運用コ ストも増大してしまいます。 ◦一貫性のない機能セット ハードウェアソリューションの大半は、プラットフォームごとに別々のOSや機能を実装しています。ある大手スイッチ プロバイダーは、製品ラインとして何百種類ものOSを取りそろえているため、IT部門は数々のインタフェースを習得す るためのトレーニングに膨大な費用を投資しなければなりません。このため、データセンターのLANやWAN、キャンパ スLAN、遠隔地の支店のLANなど、企業全体で一貫したサービスを展開しようとする場合に、設定ミスが頻発する可能 性があるだけでなく、非効率性や複雑性も増大します。 ◦アップグレードと導入 レガシーなキャンパスLANソリューションでは、多種多様なOSが採用されており、リリース予定も各OSによってさま ざまなため、OSのアップグレードやパッチなどのテストと導入を常に行わなければならず、多大な時間を要します。 ◦信頼性の低いモノリシック型OS レガシーなハードウェアソリューションは、モノリシックなアーキテクチャで構成されたOSを搭載しているため、各コー ド機能と他の機能とが絡み合った状態にあります。モノリシックなプログラムの一部で、SNMPのバグなどのような障 害が発生すると、OSがクラッシュしてしまいます。このような問題が発生すると、ラインカードがクラッシュしたり再 起動したりしてしまうため、数百秒間ものダウンタイムが発生します。 ◦統合型管理機能の欠如 統合機能がないと、デバイス構成の設定や管理、ネットワーク設定、セキュリティポリシーなどのあらゆる側面に影響が 及びます。インタフェースが異なると、IT管理者が遠隔地のキャンパスを訪問して、デバイスの設定やネットワーク設定、 セキュリティポリシーの設定などを行わなければならないため、各タスク時間が増大するだけでなく運用コストも増加し ます。遠隔地からこうした作業に対処するためには、統合/集中管理ツールの導入が必要です。 ジュニパーネットワークスは、高密度かつハイパフォーマンスなインフラストラクチャ・ソリューションであるJUNOS ソフトウェアやNetwork Security Manager(NSM)、J-Webなどを提供して、あらゆる課題に対応してコストの削減 を実現します。 Copyright ©2009, Juniper Networks, Inc. 35 キャンパスLAN用参照アーキテクチャ 高密度かつハイパフォーマンスなインフラストラクチャ・ソリューション エンタープライズ環境では、単一機能で低密度なデバイスやサービスが増大しています。これに対処するためには、もはやコス トの高いレガシー機器や、高度な技術を要するITリソースをさらに追加するのではなく、新しい統合型のキャンパスLANソリュー ションが必要です。新しいキャンパスLANでは、高密度で多機能なデバイスが不可欠です。こうしたデバイスは、コストが高い 上にレイテンシを発生させるレイヤーを削減するとともに、パフォーマンスを向上させ、チョークポイントや設定・管理タスク の低減、信頼性の向上なども実現します。さらに、TCOの削減だけでなく、ラックスペースおよびフロアスペースの節約や、 電力コストや冷却コストなどの削減も可能です。 ジュニパーネットワークスは、こうした課題に対応するべく、業界でも定評のあるIPインフラストラクチャを提供しています。 キャンパスのユーザーの生産性を向上させる以上の効果をもたらす、パフォーマンスや拡張性、柔軟性、セキュリティ、インテ リジェンスなどを実現します。また、あらゆるキャンパスのニーズに応えるフレキシブルな構成や価格設定を実現するとともに、 ファイアウォールや適応型脅威管理、VPN、MPLS、IPV6、CLNSなどのサービスを提供する、ハイパフォーマンスなスルー プットを実現します。 例えば、ジュニパーネットワークスのスイッチング・ソリューションでは、高密度かつハイパフォーマンスなスループットを提 供することで、アグリゲーション・レイヤーやコアレイヤー上で複数レイヤーを削減することが可能です。また、必要に応じて、 コアレイヤーとアグリゲーション・レイヤーを統合することも可能です。 Tシリ ーズ MX シリー ズ ルーター M シリ ーズ Jシリ ーズ EX8 シリ 200 ーズ EX8 シリ 200 ーズ EX4 EX3 200 シ EXリーズ 3 Ser 200 ies 2 0 Eシ Xリ4 ーズ 0 00 ESXeri 2 4e 2s00 E SX eri 4 Serie2s00 es スイッチ JUNOS JUNOS 図21:ジュニパーネットワークスのエンタープライズ向けフレームワークの製品シリーズ JUNOSソフトウェアで実現する運用の簡素化 JUNOSソフトウェアは、ジュニパーネットワークスのスイッチやルーター、ファイアウォール、アクセラレーション・ソリュー ションなど、全製品に共通して採用されているOSです。高度なキャリアクラスのネットワークサービスを提供するだけでなく、 一貫した機能セットや集中管理機能を実現し、プランニングの簡素化や実装の迅速化、直感的な日常業務処理やネットワーク管 理を可能にします。 JUNOSソフトウェアの威力 JUNOSソフトウェアは、1つのソースコードと1つのリリース体系、1つのモジュラー型アーキテクチャの「Three ones(3 つの1)」へのこだわりを貫いています。ジュニパーネットワークスは、全製品で共通のOSを採用することにより、保守コスト や管理コストの大幅な削減だけでなく、全製品の相互運用性と一貫した機能セットの保証を実現します。 36 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ TX マトリ ックス Jシリ ーズ 1つのOS 9.0 9.1 9.2 Q108 Q208 Q308 1つのリリース体系 1つのアーキテクチャ 図22:JUNOSソフトウェア—「Three ones(3つの1) 」 :1つのソースコード、 1つのリリース体系、1つのモジュラー型アーキテクチャ モジュラー型プロセス JUNOSソフトウェアは、完全なモジュラー型OSであるため、数々の高度な機能や性能のシームレスな開発や運用を機能的に 分業することが可能です。ソフトウェアシステムを分割することにより、タスクを管理しやすいサブセットに細分化して、相互 作用の頻度を抑えることができるため、フォルトトレラントのレベルも向上します。また、JUNOSソフトウェアは、各機能が 重要な役割を担い、独立した処理を実行して、独自の保護メモリ空間で稼動するという点で、モノリシック型OSとは異なって います。さらに、それぞれの機能をローディングしたり実行する場合でも、他の機能に影響を及ぼしません。また、1つのデー モンプロセスを単独で再起動する場合でも、他の機能を中断させたり、システム全体のクラッシュや再起動を引き起こす心配も ありません。こうしたアプローチのメリットとして、スイッチやルーターを常時完全に制御できるという点が挙げられます。制 御やフォワーディング、サービスなどが分離されているため、フィルターをリアルタイムで追加してDDoS攻撃を防御すること ができます。 ロールバック機能 JUNOSソフトウェアは、エラーに対する耐性を備えた構成を採用しているため、オペレータの不注意によるネットワーク停止 を防ぐことができます。IT担当者は、すべての変更を入力して確認した後は、変更点を確実に順守する必要があります。設定変 更したことでデバイスに対するコネクティビティが失われた場合に、追跡確認が行われないと、デバイスは自動的に以前の設定 に戻り、コネクティビティを回復します。こうして、遠隔地のキャンパスで運用されている場合でも、時間を節約しながらリン クレベルの高可用性を実現します。JUNOSソフトウェアは、問題を引き起こす可能性のあるエラーや、間違って構築された設 定などを自動的にチェックする機能だけでなく、ロールバックコマンドも搭載しているため、過去の設定を50件まで迅速に修 復することができます。 高度な機能 JUNOSソフトウェアは、ステートフル・ファイアウォールやIPsec、MPLS、IPv6などを始めとする、幅広い高度なルーティ ングやセキュリティソフトウェア機能も搭載しています。ソフトウェアライセンス料が追加発生することはありません。さらに、 包括的なQoS機能も提供しているため、VoIPなどのアプリケーション用トラフィックの分類や優先度設定、スケジューリング なども可能です。バーチャルシャーシ・テクノロジーを採用しているキャンパスの場合は、JUNOSソフトウェアを採用するこ とでBDF(Bidirectional Forwarding Detection)を実行でき、ノードやリンクで発生した障害を早期に検知します。 メリット ジュニパーネットワークスのソリューションでは、共通のOSを採用することにより、保守コストや管理コストの大幅な削減を 実現できるだけでなく、全製品に対して一貫性のある機能セットを確保し、こうした機能の確実な実装と管理を保証します。こ のため、運用業務のあらゆるカテゴリーにおいて時間の節約にもつながります。トレーニング期間の短縮や、全プラットフォー ム上で独自の相互運用性を実現することにより、新機能の導入やソフトウェアのアップグレード、他のネットワークの変更など も大幅に簡素化できます。また、1つのコードセットのみを共通で採用しているため、顧客企業が対応すべきリリース体系も1 つだけで済みます。さらに、顧客企業は従来、新しいリリース版の試験を行うために数ヶ月を要していましたが、それをわずか 数週間程度に短縮できるというメリットも生まれます。また、JUNOSソフトウェアは、過去の設定を迅速に回復する機能も搭 載しています。 Copyright ©2009, Juniper Networks, Inc. 37 キャンパスLAN用参照アーキテクチャ 影響 Lake Partnersは、2007年に実施した独自調査において、JUNOSソフトウェアを採用しているジュニパーネットワークスの 顧客企業が、さまざまな共通ネットワークの運営タスクで節約した時間について、定量化しました。その結果を表1に示します。 表1:JUNOSソフトウェアの作業効率(2007年Lake Partners) ネットワーク運用タスク JUNOSソフトウェアの平均作業効率 インフラストラクチャの追加 29% アップグレードおよび計画されたイベント 23% トラブルシューティングおよび計画外のイベント 54% モニタリングおよび最適化 24% JUNOSソフトウェア採用による平均節約時間 25% 時間の節約は、実際に大幅なコスト削減にもつながります。Lake Partnersによると、JUNOSソフトウェアを採用すれば、あ らゆる規模のインフラストラクチャで最大29%の運用コストを削減できることが明らかになりました。一般的な企業のIT部門 は、 基 本 的 なITサ ー ビ ス の 保 守 や 強 化 の た め に 予 算 の40 ~ 60%を 投 資 し て い る こ と か ら(2006年McKinsey & Company)、多大な削減効果が期待できます。 ジュニパーネットワークスのNSMによる統合型管理 ジュニパーネットワークスのNSM製品は、ファイアウォール/IP Sec VPNやIDPなど、デバイスの製品寿命を通じた管理を実 現する、強力な集中管理ソリューションです。ローカルまたはグローバルなセキュリティポリシーの設定に伴う、基本的なセッ トアップやネットワーク構成にも対応します。非常に優れたロールベースの管理を実現できるため、IT部門は特定ユーザーに対 して、適切なレベルの管理者権限を与えることができます。このため、セキュリティホールを作成しかねない設定エラーなどの 発生を最小限に抑えます。またNSMは、拡張性が高いため、あらゆる企業のニーズに応えます。さらに、多様なレポート作成ツー ルを取りそろえているため、IT部門はネットワーク・トラフィックやデバイス、VPN統計、システムリソースなど、さまざま な管理情報を可視化して分析することができます。また、使用頻度の高いレポートについてはテンプレートをカスタマイズし、 定期的にレポートを作成することも可能です。 メリット NSMは、GUI表示を採用することでデバイス設定などの複雑なタスクを簡素化したり、デバイスのテンプレートを提供して設 定エラーを最小限に抑えるだけでなく、調査ツールを提供してネットワークの視認性を保証するなど、さまざまな機能を提供し て運用コストの削減を実現します。 J-Webによるリモート設定および管理 フル機能を搭載したCLIだけでなく、WebベースツールのJ-Webも利用可能なため、あらゆる種類のJUNOSソフトウェア搭載 デバイスを設定・管理できます。 38 Copyright ©2009, Juniper Networks, Inc. キャンパスLAN用参照アーキテクチャ 図23:操作性に優れたJ-Webのグラフィカル・インタフェース メリット JUNOSソフトウェアに搭載されているJ-Webは、GUI表示を提供しており、ジュニパーネットワークスの既存のエレメントや サービス管理製品を補完するデバイス管理が可能です。IT管理者やネットワークオペレータは、J-Webの操作性に優れたツール を活用し、あらゆるスイッチやルーター、ファイアウォールなどに対して、迅速かつシームレスな監視や設定、トラブルシュー ティング、管理を実現できます。 J-Webは、技術者以外のユーザーに対しても権限を許可し、迅速かつ簡単にルーターをオンラインで使用可能にすることがで きます。このため、JUNOSソフトウェアのあらゆる特長や機能に対して、シームレスなGUIアクセスが可能になり、新しいサー ビスの導入に必要な期間を短縮できます。またJ-Webは、既存のネットワーク管理や、MicromuseのNetcool OMNIbusや DoradoのRedCell Manager、IBMのTivoli、HPのOpenviewなどといった、OSS(Operational Support System)アプ リケーションにも迅速に統合可能です。このため、サービスプロバイダーや顧客企業は、ネットワークの複雑化を最小限に抑え ることができます。J-Webの[quick configuration]ウィザードを使用すれば、エラーを発生させることなく迅速にサービスの 変更やアップグレードができます。さらに、[configuration and QoS]ウィザードを使用すれば、サービスパラメータをリア ルタイムで変更できるため、新しいサービスを迅速に作成して導入することが可能です。 Copyright ©2009, Juniper Networks, Inc. 39 キャンパスLAN用参照アーキテクチャ まとめ 場所や時間を問わずアクセスが可能な、高い視認性を実現するエンタープライズLANは、ロケーションに関係なく安全かつハイ パフォーマンスなサービスを提供する重要な資産です。今日ではさまざまな要因によって、セキュリティやパフォーマンスに対 するニーズが高まる一方ですが、既存のキャンパス・インフラストラクチャ・ソリューションではもはや対応することができま せん。その上、既存のソリューションは、コストの低減や運用の合理化を実現する上で不可欠な、集中管理機能も備えていませ ん。このため、キャンパスのセキュリティやコネクティビティ、パフォーマンスなどの要件を満たし、重要なITイニシアチブを 実現する、新しいキャンパスLAN設計が求められています。こうした新しいソリューションは、全体的に再設計を行わなくても、 拡張性を備え、運用の簡素化を実現できるだけでなく、新しいコンピューティング傾向にも柔軟に対処可能であることが必須条 件となります。 ジュニパーネットワークスのソリューションは、ハイパフォーマンスなイーサネットスイッチの新製品シリーズを取りそろえ、 キャンパスネットワークの新たな構築手法を提案します。ジュニパーネットワークスのスイッチは、コンパクトなpay-as-yougrow(成長に応じた投資)プラットフォームにおいて、高ポート密度とワイヤスピードのコネクティビティ、高可用性を実現し、 大手スイッチベンダーが推奨している時代の流れに対応できない高価なソリューションに代わり、堅牢でありながらコスト効率 の高いソリューションを提供します。従来のソリューションで必要とされる、非効率的なレイヤーの削減を実現します。また、ジュ ニパーネットワークスのスイッチは、ワイヤリング・クローゼット内の設置面積も少量で済むだけでなく、消費電力の削減や冷 却要件の低減も可能なため、将来に備えてネットワークの強化を実現していく上で必要な、効率的かつ「環境に優しい」ソリュー ションを提供します。ジュニパーネットワークスの製品は、セキュアなサービスを取りそろえ、統合型通信などのように高性能 で大量の帯域幅を必要とするアプリケーションに不可欠な、エンドツーエンドのQoSを提供します。 JUNOSソフトウェアは、ジュニパーネットワークスのスイッチやルーター、ファイアウォールなど全製品で採用されている、 共通OSです。ネットワークのインフラストラクチャの導入や設定、アップグレードなどが極めて簡単になるため、大幅に削減 できる時間や運用リソースを、ビジネス運用のさらなる改善と顧客満足度の向上に向けて再配分することが可能です。 ジュニパーネットワークスのインフラストラクチャ・ソリューションは、ネットワークの経済性を高め、IT投資における「ルー ルの変革」を実行するとともに、真の革新性を備えた競争環境を整え、現在だけでなく将来に向けて収益の増加と生産性の向上 を実現します。 ジュニパーネットワークスについて ジュニパーネットワークスは、ハイ・パフォーマンス・ネットワーキングのリーダーです。サービスおよびアプリケーションの 一元化されたネットワークにおける展開を加速するのに不可欠な、即応性と信頼性の高い環境を構築するハイ・パフォーマンス なネットワーク・インフラストラクチャを提供するジュニパーネットワークスは、お客様のビジネス・パフォーマンスの向上に 貢献します。ジュニパーネットワークスに関する詳細な情報は、以下のURL でご覧になれます。 www.juniper.co.jp 日本 米国本社 米国東海岸 アジアパシフィック ヨーロッパ、中東、アフリカ ジュニパーネットワークス株式会社 東京本社 〒163-1035 東京都新宿区西新宿3-7-1 新宿パークタワーN棟35階 電話 03-5321-2600 FAX 03-5321-2700 Juniper Networks, Inc. 1194 North Mathilda Ave Sunnyvale, CA 94089 USA Juniper Networks, Inc. 10 Technology Park Drive Westford, Massachusetts 01886-3146 USA Juniper Networks (Hong Kong) Ltd. 26/F Cityplaza One 1111 King’ s Road, Taikoo Shing, Hong Kong Juniper Networks Ireland Airside Business Park Swords, County Dublin Ireland 電話 978-589-5800 FAX 978-589-0800 電話 852-2332-3636 FAX 852-2574-7803 電話 35-31-8903-600 FAX 35-31-8903-601 西日本事務所 〒541-0041 大阪府大阪市中央区北浜1-1-27 グランクリュ大阪北浜 電話 888-JUNIPER (888-586-4737) または408-745-2000 FAX 408-745-2100 URL http://www.juniper.net URL http://www.juniper.co.jp Copyright© 2009, Juniper Networks, Inc. All rights reserved. Juniper Networks、JUNOS、NetScreen、ScreenOS、Juniper Networks ロゴ、および JUNOSe は、米国およびその他の国における Juniper Networks Inc. の登録商標または商標です。また、その他記載されているすべての商標、サービスマーク、登録商標、登録サービスマー クは、各所有者に所有権があります。ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。 803005-001 JP Feb 2009 40