システム最適化を実現 する仮想化ネットワーク ~ Cisco VRFソリューション~ 2008年9月 シスコシステムズ合同会社 九州・沖縄営業 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1 目次 1. 自治体情報システム最適化を実現するネットワークとは? 2. 仮想化ネットワークを実現するVRF-Lite 3. VRF-Liteを用いたネットワーク構築例 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2 自治体情報システム最適化を実現 するネットワークとは? Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3 自治体情報システム最適化の三つの視点: 住民サービス向上・セキュリティ強化・TCO削減 住民サービス向上 セキュリティ強化 TCO削減 WEBサービス化による 行政手続きの利便性向上 個人情報保護対策の 継続的な推進 情報システムへの 更なるコスト削減要求 -業務系ネットワークの インターネット接続を制限 -情報システム新規企画 への予算獲得が困難 -日常生活 (引越し・出生・埋葬等) -ビジネス (入札・税申告等) 自治体情報システム最適化の実現 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4 自治体情報システム最適化に関しては課題が残存 目標 –電子申請、届出等手続きにおけるオンライン利用率を 2010年度までに50%以上にする –さらなる政府全体の業務、システム最適化を図る –地方公共団体においても同様な体制整備を促進する –信頼性・安全性の確保、セキュリティ高度化 電子自治体の課題: –業務、システムの効率化が不十分 –情報漏えい対策が不十分 –利用者(国民、企業など)が利便性を実感していない –地域の課題解決のためのシステムが必要である 平成19年7月総務省自治行政局自治政策課地域情政策局 『総務省における電子自治体推進の主な取り組み』より抜粋 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5 自治体システム最適化の推進 共通基盤の構築 ASPサービスの活用 水道システム 教育システム 業務系システム 料金収受 水質管理 教育 コンテンツ 教員管理 住民情報 税務 住基 国民年金 水道局端末 教育用端末 業務系端末 ワンストップ窓口・KIOSK端末の構築 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 情報系システム グループウェア 施設予約 情報系端末 端末統合 6 システム最適化におけるネットワークの要件 Presentation_ID 住民サービスの向上 新規システム導入に対する 柔軟性 セキュリティ強化 情報の重要度に応じた 閉域制御、ポリシー設定 TCO削減 ネットワーク統合による 機器点数の削減 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7 自治体ネットワークの現状 セキュリティ強化を重視した“分散ネットワーク” –システムごとにネットワークが存在 –システム間は独立 TCO削減を重視した“集約ネットワーク” –機器を集約し機器点数を削減 –異なるシステムで共通のネットワークを使用 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8 “分散ネットワーク”では機器が重複し、TCOの増加 Internet <本庁舎> WAN接続機器 情報系ネットワーク の重複 LANデバイス の重複 WAN接続機器 の重複 <主要拠点> 情報系端末 回線の重複 情報系端末 情報系 WAN 業務系端末 <出先機関 A> 業務系 WAN 業務系ネットワーク 情報系端末 業務系端末 LANデバイス の重複 情報系端末 業務系端末 <出先機関 B> Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9 “集約ネットワーク”にはセキュリティに懸念点 <本庁舎> <主要拠点> Internet 情報系端末 情報系サーバ 業務系端末 業務系サーバ WANサービス1: プライマリー <出先機関 A> L3スイッチ WANサービス2: セカンダリー 情報系端末 L2スイッチ 業務系端末 情報系端末 業務系端末 情報系端末 業務系端末 <出先機関 B> Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10 “集約ネットワーク”における懸念点 個人情報保護上の不安 –インターネットから接続してきた人の接続先をどのように制御す ればいいのか? –インターネットから業務系サーバに不正アクセスされないのか? –情報系端末から業務系サーバにアクセスされないのか? 運用管理・設計の複雑化 –IPアドレス再設計が必要にならないのか? –プロトコルが異なる場合はどうするのか? –システムごとでセキュリティポリシーが異なっている場合はどちらか に合わせる必要があるのか? 機器の冗長性低下 –機器を統合することにより、信頼性はなくならないのか? Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11 現状の自治体ネットワークにおける課題 セキュリティ強化を重視した“分散ネットワーク” –システムごとにネットワークが存在 –システム間は独立 TCO削減 :機器点数増加による運用管理対象の増加 住民サービスの向上 :新システム設置時に新ネットワークの構築が必要 TCO削減を重視した“集約ネットワーク” –機器を集約し機器点数を削減 –異なるシステムで共通のネットワークを使用 セキュリティ強化 :ACL等の設定ミスで独立性が担保できない可能性 住民サービスの向上:新サービス導入時の設定変更が複雑化 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12 仮想化ネットワーク:物理的な統合と論理的な分離を実現 <本庁舎・中庁舎> <主要拠点> 情報系端末 Internet 情報系サーバ 業務系端末 業務系サーバ WANサービス1: プライマリー <出先機関 A> 情報系端末 WANサービス2: セカンダリー 情報系端末 業務系端末 業務系端末 情報系端末 業務系端末 <出先機関 B> Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13 仮想化ネットワークによるシステム最適化の実現 住民サービス向上 ・既存の各課システム、 新規システムを柔軟に統合可能 仮想化ネットワーク セキュリティ強化 TCO削減 ・システムごとで重複した ネットワーク機器の統合 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential ・システムに応じたポリシーの設定 ・システム間の完全な閉域制御 14 仮想化ネットワークを実現する VRF-Lite Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15 仮想化ネットワークは“VRF-Lite”によって実現可能 “VRF-Lite” ルーティングテーブルの仮想的分離+インターフェースへの割当 自治体で使用されるほぼすべてのインターフェースに対応 1. 物理インターフェース 2. IEEE802.1qに対応したサブインターフェース(VLAN) 3. GRE(Generic Routing Encapsulation)トンネルのトンネル・インター フェ ース 4.IP-Secトンネルのトンネル・インターフェース IEEE802.1q IEEE802.1q VRF1 VRF2 VRF3 VLANインタフェース 又は サブインターフェース Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential VLANインタフェース 又は サブインターフェース 16 VRF-Liteは自治体ネットワークの最適化を実現 1. システム間の閉域制御を実現 -L3レベルで完全な論理分割を実現 -閉域制御のための複雑なACLからの脱却 2. システムごとに最適なネットワーク設計を実現 -IPアドレスの重複が可能 -ルーティングインスタンス、メトリックを各VRFごとに設定可能 -ルーティングプロトコルを各VRFごとに設定可能 3. 閉域制御が必要なネットワークの新規追加が容易 -新規システムを追加時に、既存物理構成の変更なし Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17 1.VRF-Liteによるシステムの閉域性の保持 物理接続構成 本庁舎・中庁舎 GE1 L3スイッチ GE0 WAN 合同庁舎、出先機関等 FE0 WANルータ FE1 WANルータ L2スイッチ 論理接続構成 VLAN1 VLAN4 VRF1 802.1q VRF1 VLAN2 VRF2 VRF2 VRF3 VRF3 VLAN3 Presentation_ID 802.1Q、IPSec、GRE、PPP等 802.1Q、IPSec、GRE、PPP等 VRF1 802.1q VLAN5 VRF2 802.1Q、IPSec、GRE、PPP等 © 2006 Cisco Systems, Inc. All rights reserved. VRF3 Cisco Confidential VLAN6 18 2.システムごとに最適なネットワーク設計を実現 192.168.1.0 ~ 192.168.1.255 拠点A 拠点B インターネット の接続許可 インターネット の接続許可 OSPF 業務系 広域イーサネット RIP Presentation_ID 業務系 ATM専用線 地域IP網 教育系 EIGRP © 2006 Cisco Systems, Inc. All rights reserved. 192.168.1.0 ~ 192.168.1.255 学校からのみ 接続許可 EIGRP 教育系 Cisco Confidential 192.168.1.0 ~ 192.168.1.255 外部への接続 拒否 RIP 学校からのみ 接続許可 192.168.1.0 ~ 192.168.1.255 情報系 情報系 外部への接続 拒否 192.168.1.0 ~ 192.168.1.255 OSPF 192.168.1.0 ~ 192.168.1.255 19 2.システムごとに最適なネットワーク設計を実現 拠点A 拠点B インターネット の接続許可 インターネット の接続許可 192.168.1.0 ~ 192.168.1.255 OSPF RIP 情報系 EIGRP 外部への接続 拒否 192.168.1.0 ~ 192.168.1.255 業務系 RIP 学校からのみ 接続許可 192.168.1.0 ~ 192.168.1.255 Presentation_ID OSPF 教育系 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 情報系 RIP 広 域 イ ー サ ネ ッ ト サ ー ビ ス EIGRP 192.168.1.0 ~ 192.168.1.255 外部への接続 拒否 RIP 業務系 192.168.1.0 ~ 192.168.1.255 学校からのみ 接続許可 教育系 192.168.1.0 ~ 192.168.1.255 20 3.既存の物理構成のままで新システムの追加が可能 拠点B 拠点A 防災系 防災系 情報系 情報系 業務系 RIP 教育系 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 広 域 イ ー サ ネ ッ ト サ ー ビ ス RIP RIP 業務系 教育系 21 仮想化による最適なネットワークの実現 分散 集約 仮想化 IPアドレス 重複可能 重複不可能 重複可能 ルーティング プロトコル 複数 単一 複数 セキュリティ ポリシー 複数 単一 複数 システム拡張時 のネットワーク機 器の追加 必要 不要 不要 TCO 機器点数多 機器点数少 機器点数少 VLAN VRF-Lite イメージ図 設 計 実現技術例 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22 VRF-Liteを用いたネットワーク構築例 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23 VRF-Liteの適用箇所 <主要拠点> <本庁舎・中庁舎> 拠点ルータ 情報系端末 情報系ネットワーク レイヤ3スイッチ ルータ 業務系端末 情報系 WAN回線 <出先機関 A> センタールータ 業務系ネットワーク 業務系 WAN回線 情報系端末 業務系端末 レイヤ3スイッチ 情報系端末 業務系端末 <出先機関 B> Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24 VRF-Liteによる仮想化ネットワーク構築例 <主要拠点> <本庁舎・中庁舎> L3スイッチ 仮想化 情報系サーバ 業務系サーバ Catalyst 6500 Catalyst 3750 情報系端末 業務系端末 センタールータ 仮想化 WANサービス1 :プライマリー Cisco 7200 Cisco 3800 拠点ルータ Cisco 3800 Cisco 2800 L3スイッチ <出先機関 A> Catalyst 6500 Catalyst 4900 仮想化 WANサービス2: セカンダリー 情報系端末 業務系端末 バックアップ 仮想化 情報系端末 業務系端末 情報系端末 拠点ルータ Cisco 1841 Cisco 1812 業務系端末 <出先機関 B> Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25 まとめ Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26 まとめ:VRF-Liteによる仮想化ネットワークのメリット 1. システム間の閉域制御を実現 -L3レベルで完全な論理分割を実現 -閉域制御のための複雑なACLからの脱却 2. システムごとに最適なネットワーク設計を実現 -IPアドレスの重複が可能 -ルーティングインスタンス、メトリックを各VRFごとに設定可能 -ルーティングプロトコルを各VRFごとに設定可能 3. 閉域制御するネットワークの新規追加が容易 -既存の物理構成を変更することなく、 閉域制御が必要な新規システムを追加可能 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 27 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28 Configサンプル Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 29 VRF設定 VRF名 / RD定義 VRFの設定をおこなう際は、最初にVRFの名前とVPNルー ト識別子(Route Distinguisher)を定義する必要があります。 RDはシステム内で一意である必要があります。RDは、以下 の2パターンから最適な方法を選択します。 16ビットAS番号 : 32ビット数値 (例 : 65000:10) 32ビットIPアドレス : 16ビット数値 (例 : 1.1.1.1:10) – VRF「KIKAN」に対して、VRF名およびRDを設定 Router1(config)#ip vrf KIKAN VRF名 Router1(config-vrf)#rd 10.1.1.1:100 VPNルート識別子 (lo0のIPアドレス : VLAN-ID) Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 30 VRF設定 インターフェースへの適用 定義したVRFをインターフェースに適用します。VRFはSVIを含むあら ゆるインターフェースに適用可能です。 –interface Fastethernet 0.100にvrf「KIKAN」を適用 Router1(config)#interface FastEthernet0.100 Router1(config-subif)#ip vrf forwarding KIKAN –interface vlan 100にvrf「KIKAN」を適用 Router1(config)#interface vlan 100 Router1(config-if)#ip vrf forwarding KIKAN –vrfの適用状況の確認コマンド Router1#show ip vrf Name Default RD KIKAN 10.1.1.1:100 Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential VRF名 Interfaces Fa0.100 Vl100 31
© Copyright 2024 ExpyDoc
![当日の資料はこちら[PDF:9MB]](http://s1.expydoc.com/store/data/005927288_1-517e92bcb409cdc58823c36952a48841-250x500.png)
