無線LANを含むネットワークの課題と ソリューションのご紹介 - NTT-AT

無線LANを含むネットワークの課題と
ソリューションのご紹介
アラクサラネットワークス株式会社
2015年10月28日
© ALAXALA Networks Corporation 2015. All rights reserved.
Rev. 1.0
目次
会社・製品紹介
 会社紹介
 製品ラインナップ
 導入事例
無線LANを含むネットワークの課題
高信頼ソリューション
 フォールト・トレラント・ネットワーク(FTネットワーク)
セキュリティソリューション
 トリプル認証
 PoE
 ネットワーク・パーティション
運用管理ソリューション
 SDカード
 ループ検知
 長期サポート
© ALAXALA Networks Corporation 2015. All rights reserved.
1
会社・製品紹介
会社紹介
製品ラインナップ
導入事例
© ALAXALA Networks Corporation 2015. All rights reserved.
2
会社紹介
アラクサラネットワークス
AlaxalA Networks
営業開始日
2004年10月1日
資本金
55億円
(出資比率 日立 60%/NEC 40% 日立連結決算の子会社)
本社
神奈川県 川崎市 幸区 鹿島田1-1-2
新川崎三井ビル西棟
西日本
大阪府 大阪市 中央区 北浜 1-1-27
グランクリュ大阪北浜
事業内容
ルータ・スイッチ等ネットワーク機器の
開発・製造・販売・保守
北陸
中国
関西
九州・沖縄
東海
新川崎三井ビル
四国
グランクリュ大阪北浜
© ALAXALA Networks Corporation 2015. All rights reserved.
3
会社紹介:コンセプト
快適で安心して使えるネットワークをめざして、
「ギャランティードネットワーク」のコンセプトを掲げています
アラクサラネットワークスは、先進の情報テクノロジーにより、
快適なビジネスインフラを創造し、
安心と安全を支えるネットワークの進化を追及します。
お客様を思うこころで、クリエイティブソリューションを共創し、
ビジネス進化を支援しつづけます。
世界のお客様との絆を深め、
ビジネスの価値を最大限に高めることに貢献します。
© ALAXALA Networks Corporation 2015. All rights reserved.
4
2015年度末時点での 製品ラインナップ
フロアスイッチからキャリアグレードの製品まで幅広いラインナップ
6.4Tbps
AX6700S
1G 10G
192 64
1G
AX6600S
~
シ
ャ
ー
シ
型
1.15Tbps
100G
384Gbps
1G 10G
192 64
AX6300S
192Gbps
AX8600S
6.4Tbps
1G 10G 40G 100G
384 192* 128** 16
800Gbps
1G
96*
10G 40G 100G
48* 16** 4**
1.92Tbps
1G
96
AX8300S
AX4600S
10G 40G
96
4
AX8600R
1G 10G 40G 100G
384 192* 128** 16
【新製品①】
2016年3月
シリーズ追加
最大スイッチング容量
最大収容ポート数
1G 10G
192 64
10G
ボ
ッ
ク
ス
型
【新製品②】
2015年12月
PoEモデル追加
AX3800S
AX2200S AX2500S AX3600S
AX620R
1G
100M
主要
インタフェース
AX1200S
* ポート数拡張予定
** 将来サポート予定
レイヤ2スイッチ
レイヤ3スイッチ
© ALAXALA Networks Corporation 2015. All rights reserved.
アクセス
ルータ
ハイエンドルータ
5
導入事例:秋田公立美術大学
有線と無線の認証方式を一元化することで、
ユーザの利便性を損なうことなく、セキュアな無線 LAN 環境を実現
情報センター
トリプル認証
有線・無線の認証方式の一元化
認証スイッチ(1G)
仮想化基盤システム
(サーバ、ストレージ)
コアスイッチ(1G/L3)
AX3640S-48TW
AX2530S-24T
AX2230S-24P
PoEスイッチ(1G)
図書館
配線をスッキリと整理
PoE
彫刻実習棟
研究棟
AX2230S-24P
PoEスイッチ(1G)
実習棟
サークル棟
※ 背景が無地のスイッチは
AX1240S-24T2C(100M)
© ALAXALA Networks Corporation 2015. All rights reserved.
講義棟
6
導入事例:岡山大学 & 岡山大学病院
学内のどこからでも自分のリソースにアクセスできる環境を実現し、
システム全体の信頼性はフォールト・トレラント・ネットワークで確保
芳賀キャンパス 東山キャンパス 倉敷キャンパス 三朝キャンパス
AX3600S
AX2400S
10Gbps接続(太線)
学術情報
ネットワーク
(SINET)
1Gbps接続(細線)
ポイント
岡山情報
ハイウェイ
(OKIX)
鳥取情報
ハイウェイ
ロケーションフリーの
大規模な認証ネットワーク
AX6308S
病院認証サーバ
(他にも業務用など)
外部接続スイッチ
全学認証サーバ
(他にもWEB/業務用など)
AX2500S
AX6308S
AX6708S
AX6708S
データセンター
スイッチ
キャンパス
コアスイッチ
キャンパス
コアスイッチ
・・・
FTネットワーク
トリプル認証
・・・
AX3600S
・・・
エッジスイッチで
ネットワーク認証を実施
AX2400S
データセンター(DC)
学部棟(全29棟)
学部棟(全12棟)
津島キャンパス
岡山大学病院
鹿田キャンパス
© ALAXALA Networks Corporation 2015. All rights reserved.
7
無線LANを含むネットワークの課題
© ALAXALA Networks Corporation 2015. All rights reserved.
8
キャンパスネットワークを取り巻く課題
キャンパスネットワークでは「安全・安心なネットワーク」や
「運用の容易性」が重要なファクターとなる
情報システムの運用で
悩みは増えるばかり・・・
 ネットワークの障害は、全キャンパスの
完全停止にもつながりかねない大問題
 持ち込み PC やスマートデバイスを
認証したい
 ゲストアクセスは、通常リソースと完全に
高信頼
安定したネットワーク提供のためには、
止まらないネットワークが必要不可欠
セキュリティ
情報システムのセキュリティを高め、
不正使用や情報漏洩を防止する
分離したい
 IT リテラシーの低いユーザが引き起こす
トラブルが急増し、対応工数が不足
 機器に精通した専任者が不在のため、
ネットワークまで管理が行き届かない
運用管理
柔軟性が高く、運用の容易な
ネットワークが必要
© ALAXALA Networks Corporation 2015. All rights reserved.
9
各課題に対する解決案
課題
解決案
高信頼
 シンプルな止まらないネットワーク
 効率良く広いエリアを接続したい
 STP 不要のシンプルな冗長システム
 安定している、信頼性が高い、高速切替できる
 どんな種類のOS・端末でも認証できる
 島ハブを接続しても、機能が損なわれない
セキュリティ
 不正なユーザや端末を排除したい
 スマートデバイスを効率的に収容
 高リスクユーザのアクセス範囲を制限
運用管理
 定型保守をワンタッチで行いたい
 ケーブル誤接続障害を防止したい
 ネットワーク機器を長く使いたい
 無線 AP 設置時に、新規の電源工事が不要
 有線と無線の認証一元化が可能
 トリプル認証と連携することで、ゲストやスマート
デバイスのアクセス範囲をコントロールできる
 論理分割・物理多重で設備コストを削減できる
 装置に詳しくない人でも簡単に保守ができる
(バックアップやリストアなど)
FTネットワーク
トリプル認証
PoE
ネットワーク
パーティション
SD カード
 ストーム障害の範囲を局所化できる
 ループが発生した場所を簡単に特定できる
ループ検知
 最長10年のメーカーサポートを提供
長期サポート
© ALAXALA Networks Corporation 2015. All rights reserved.
10
高信頼ソリューション
フォールト・トレラント・ネットワーク
(FTネットワーク)
ネットワーク管理者が少ないエンドユーザ様では、
熟練者が不在でも安定した運用を維持できることが期待されます。
アラクサラでは、ネットワークの規模に応じて FT スイッチや VRS(Virtual Redundant System)、
スタック機能を選択し、リンクアグリゲーションで回線を冗長化した「フォールト・トレラント・
ネットワーク(FTネットワーク)」を提案します。
プロトコルレスのシンプルな冗長システムなので、複雑さに起因するトラブルを低減し、
ネットワークの安定運用をサポートします。
© ALAXALA Networks Corporation 2015. All rights reserved.
11
FTネットワーク:安定で止まらないシステム
プロトコルレスのシンプルな冗長システムにより、
安定運用の基本であるトラブルの少ない冗長システムを構築
お悩みではありませんか?
STP/VRRP を用いて複数装置で冗長化したが、装置台数が増えすぎた上に
構成やプロトコルが複雑化して運用が難しい
複雑化により、トラブル時の原因特定が困難で管理コストが増大している
シンプルで安定性に優れた高信頼システムを構築したい
装置の占有スペースを増やさず、コンパクトにまとめて省スペース化したい
解決
プロトコルレスのシンプルな冗長ネットワーク
フォールト・トレラント・ネットワークが最適!!
© ALAXALA Networks Corporation 2015. All rights reserved.
12
プロトコルレスのシンプルな冗長ネットワーク
STP/VRRP を使わずにコアスイッチと回線をシンプルに冗長、
システムの複雑さがもたらすトラブルを回避
リンクアグリゲーションの徹底活用により STP/VRRP を完全に排除
装置2台置きの複雑な冗長
FTネットワークでシンプルに冗長
コアスイッチ
リンクアグリゲーションを
収容できる非 VRRP の
冗長構成
STP使用
シンプル化
VRRP使用
SW
1
系
SW
2
系
STP使用
回線
リンクアグリゲーションで
不安定な STP を排除、
回線の冗長を
シンプル化
プロトコルの組み合わせが複雑で
不安定になりがちなネットワーク
シンプル化で不安定さを排除した
運用が楽なネットワーク
© ALAXALA Networks Corporation 2015. All rights reserved.
13
VRS(Virtual Redundant System)/スタック 概要
2台の装置を論理的に 1 台の装置として扱うことで、
冗長システムの設計や運用管理をシンプル化
シャーシ型に比べ、低コストでコアスイッチの高信頼化が可能
M
マスタ
B
バックアップ
基  2台の装置をプロトコルレスで冗長
本  装置の一元管理が可能
 装置障害時に短時間で通信復旧
→ バージョンアップの通信復旧1秒
M
B
特  イーサネット回線がスタックポートである
長
ため離れた場所でも設置可能
 論理的にネットワークを分ける機能である
VRF(IPv4/IPv6)とも併用可能
下記のようなケースは FT スイッチの方が適しています
 超高速切替(50ミリ秒)が必要な場合
 大きな収容条件(ポート数、経路情報や ARP などのエントリ数、フィルタ/QoS数など)が必要な場合
→ 大規模ネットワークや端末数が多い場合など、特に注意が必要です
© ALAXALA Networks Corporation 2015. All rights reserved.
14
各レイヤーでの適用イメージ
 シンプルで高信頼なオールリンクアグリゲーションネットワークの提案を継続
 【AX8600S】 大規模コアへの提案や AX6700S リプレースが主ターゲット
 【AX4600S】 価格競争力が高い、エンプラコアスイッチのメインストリーム
規模
小
L3スタック
コア
(L3)
(AX36/38S)
大
VRS
(AX4600S)
AX8600S
規模に応じてコアスイッチを選択
 【大規模】 FTスイッチ(AX8600S/AX6000S)
 【中規模】 VRS機能(AX4600S)
 【小規模】 L3スタック(AX3830S/AX3650S)
ディストリビューション
(L2/L3)
L2スタック
L3スタック
(AX2530S)
(AX3650S)
ディストリビューションスイッチの選択
 L3/L2 いずれの構成にも対応可能
 L3スタック(AX3650S)
 L2スタック(AX2530S)
フロア(L2)
L2スタック
L2スタック
PoEスイッチ
(AX2530S)
(AX2530S)
(AX2230S)
フロアは、有線:AX2530S、無線:AX2230S
 4台スタックで多ポート収容にも対応(AX2530S)
 認証/ループ検知との併用も可能(AX2530S)
 無線AP収容はAX2230S
© ALAXALA Networks Corporation 2015. All rights reserved.
15
【新製品①】 新シャーシ型スイッチ AX8300S
2016年3月
リリース
まだまだニーズの多い 1G 主体の環境にチューニングしたシャーシ
ハイコストパフォーマンス(性能とコストのバランス)
 1G メインの環境に対し、必要にして十分な性能を
提供するシャーシ型コアスイッチ
 アラクサラのフラッグシップマシンである AX8600R/S の
アーキテクチャを踏襲し、最新機能をタイムリーに提供
高い信頼性/運用性/機能拡張性
1G環境向けコアスイッチ
AX8308S
高さ
8U
100Gイーサネット:
4※
40Gイーサネット:
16 ※
10Gイーサネット: 48/96 ※
1Gイーサネット: 96/192 ※
最大スイッチング容量: 800Gbps
最大パケット処理能力: 240Mpps
 装置単体でのフォールト・トレラント(FT)に加え、装置間の
冗長に対応した マルチシャーシ FT 機能をサポート(※)
外観・塗装は製品と異なります
 運用管理の自動化を促進するツールとして、
イベント駆動アプレット(Python)やサーバ連携プロトコル(Netconf※1)を提供
 ハイブリッドエンジンアーキテクチャの採用により、将来の機能拡張にも柔軟に対応
セキュリティシステム構築を支援するインフラ
 アプリケーション別トラフィックの抽出(※)などで、セキュリティ装置をアシスト
 ホワイトリスト機能(※)で、非定常トラフィックを自動検出 & アラーム喚起
※ 将来対応予定
© ALAXALA Networks Corporation 2015. All rights reserved.
16
AX8300S適用例:高信頼エンタープライズコア
大量の 1G 回線からなる網に、高信頼を簡単に提供
当面、エンタープライズネットワーク(LAN)の基本となるのは 1G 回線
→ プロトコルレスでの冗長化 & 大量の 1G 回線を収容可能
装置単体での FT 構成に加え、マルチシャーシ FT 構成にも対応(※)
→ ビルや局舎間という、一定の距離を隔てた冗長で DR/BCP に対応可能
コアスイッチに全トラフィックが集中する網構成
→ コア装置の変更だけで、付加価値機能の導入が可能
MC-FT
VRS(スタック)
FT
1G×192ポート
1G×192ポート
1G×384ポート
VRS:Virtual Redundant System / FT:Fault Tolerant / MC-FT:Multi-Chassis FT
© ALAXALA Networks Corporation 2015. All rights reserved.
※ 将来対応予定
17
セキュリティソリューション
トリプル認証
PoE
ネットワーク・パーティション
オープンで自由であること、クローズで制限を厳しくすること、相反する二つの命題の上に、
キャンパスネットワークは成り立っています。特に公共機関においては、外部のユーザに
対して接続を許可したり、ゲストアクセスも必要になります。
さらには、持ち込まれる端末の種類も多岐に渡るため、完全な統制は不可能です。
この傾向は、スマートデバイスの普及でより顕著になってきています。
以上の前提のもと、守るべき情報を適切に保護できるセキュリティを構築する、
それがキャンパスネットワークの大きなポイントとなります。
© ALAXALA Networks Corporation 2015. All rights reserved.
18
トリプル認証 概要
複数の認証方式を同一ポート内で混在できるため、
島ハブや無線 AP を接続してもユーザ/端末単位の認証が可能
トリプル認証
802.1X
Web
MAC
PC
PC、スマートデバイス
プリンタ、電話
高セキュリティ
専用サプリカント必須
主に企業利用
端末 & ユーザ認証
Web画面でID/Pass
Webブラウザで手軽
学校、公共での利用
ユーザ認証
各フロアに認証スイッチを配置
3F
MACアドレスで認証
端末ごとのMAC登録要
あらゆる場面で利用
端末認証
スマートデバイス
認証スイッチ
Web認証
2F
認証スイッチ
認証スイッチ
マルチステップ
認証
マルチステップ
PC
2つの組み合わせ
MAC + Web
802.1X + Web
端末 & ユーザ認証
認証スイッチ
無線AP
(ブリッジ)
島ハブ
PC
802.1X認証
1F
さらに
セキュリティ
レベル向上
情報コンセントには
島ハブを接続
島ハブ
MAC認証
© ALAXALA Networks Corporation 2015. All rights reserved.
プリンタ、電話
19
応用例1:スマートデバイス共存環境
スマートデバイスを固定 VLAN に分離しセキュリティと利便性を両立
 通常端末とスマートデバイスが共存する認証環境を構築
 1つのポート配下で、複数の認証設定を同時利用することで対応
 スマートデバイスなど
 他端末(登録済み)
: Web 認証(固定VLAN)
: MAC 認証/Web 認証/802.1X 認証(動的VLAN)
 トリプル認証を使い分ける
 認証後にポリシーの異なる所属 VLAN を
割り当てることで、セキュリティ確保
登録VLAN(動的)
サーバVLAN(動的)
IP電話VLAN(動的)
持込VLAN(固定)
登録済の端末
1つのポート配下で
動的VLANと固定VLANを併用できる
スマートデバイスなど
固定VLANモード
 Web認証により認証
 離脱を検出して自動ログアウト可能
(Web認証の固定VLANのみ対応)
 特別な設定やソフトは不要
ブラウザから入力
User ID
Password
© ALAXALA Networks Corporation 2015. All rights reserved.
 認証前後で所属 VLAN/IP が不変
 DHCP & 固定IP端末に対応
動的VLANモード
 認証前後で所属 VLAN/IP が変化
 DHCP端末のみ対応
20
応用例2:スマートデバイス認証画面(1/2)
認証画面をスマートデバイスに最適化し、ユーザの利便性を向上
スマートデバイス向けに、ログイン/ログアウト画面をカスタマイズできる
 スマートデバイスの小さい画面でも見やすいように、認証画面を編集可能(※)
 スマートデバイスでネットワークにアクセスする際の、利便性を大きく向上
 【認証画面の入れ替え方法】 HTML ファイルをスイッチに FTP で転送するだけ
PC用の通常認証画面
スマートデバイス向け認証画面
文字や画像が
小さくて見づらい
文字や画像が
大きくて見やすい
カスタマイズ
PC向けなので
拡大が必要
意図しない箇所を
誤ってタッチしてしまう
最適化されており
拡大不要
意図しない箇所を
タッチすることがない
※ カスタマイズ可能な認証画面
①ログイン画面 ②ログアウト画面 ③ログイン成功画面 ④ログイン失敗画面 ⑤ログアウト完了画面 ⑥ログアウト失敗画面
© ALAXALA Networks Corporation 2015. All rights reserved.
21
応用例2:スマートデバイス認証画面(2/2)
Web認証画面の入れ替えをワンタッチでサポート
認証画面をユーザーへのメッセージ配信手段として活用
認証画面を使用して
ユーザーにサービス停止等の
アナウンスをしたいが、
認証画面の入れ替えは大変・・・
Web認証画面入れ替えツールで解決!
ポイント2
AX-NU
更新時間を予約できるので
運用に合わせて更新可能
管理者
ポイント1
ネットワークへの
アクセス時に
認証画面が表示
ネットワーク
複数装置の認証画面を
ボタン操作で一括更新
認証画面から
アナウンス情報
を認識
認証画面は
装置毎に保存
・・・
フロア1
フロアN
© ALAXALA Networks Corporation 2015. All rights reserved.
22
【新製品②】 高速化無線LANに最適な PoE スイッチ
2015年12月
リリース
お悩みではありませんか? こんなこと・・・
高速無線 AP(IEEE802.11ac)を複数収容するために、
10G アップリンク対応の PoE スイッチが欲しい
有線/無線環境のセキュリティを一元化したい
(運用が面倒なので、異なる認証方式を混在したくない)
解決
10Gアップリンク対応 PoE スイッチ
AX2500S PoE モデルのご紹介
© ALAXALA Networks Corporation 2015. All rights reserved.
23
【新製品②】 10Gアップリンク PoE スイッチ
2015年12月
リリース
高速無線アクセスポイントの PoE 収容をメインターゲットに、
最大425Wの給電が可能な高機能レイヤ2スイッチ!!
AX2530S-48P2X
SDカード コンソール
スロット
ポート
最大スイッチング容量 140Gbps
AX2530S-48T
CONSOLE
RESET
ACC
LINK
PWR
49
MC
50
ST1
51
52
T/R
MODE
ST2
10/100/1000BASE-T(UTP)
【48ポート、PoE給電可能】
高速無線 AP(IEEE802.11ac)の収容に最適
1000BASE-X(SFP)
【2ポート】
10GBASE-R(SFP/SFP+)
【2ポート】
実績十分のネットワーク認証機能
 10G アップリンク×2 を装備
 トリプル認証
複数の高速無線 AP を収容する際に懸念となる、
アップリング帯域のボトルネックを解消
PC、スマホ、プリンタなど、あらゆる端末を認証可能
(Web/IEEE802.1X/MAC認証に対応)
 多数のギガビット PoE デバイスを収容
 マルチステップ認証
最大給電能力は 425W
 Class4(30W):最大14ポート給電
組み合わせにより、さらに強固なセキュリティを確保
(Web+MAC/IEEE802.1X+MAC の組み合わせ)
 Class3(15W):最大28ポート給電
 有線/無線の認証ポイントを一元化
 Class2( 7W):最大48ポート給電
© ALAXALA Networks Corporation 2015. All rights reserved.
24
AX2500S PoE:適用イメージ
2015年12月
リリース
有線/無線を収容するフロアスイッチで認証方式を一元化、
利便性を犠牲にせずセキュアで快適な高速無線環境を実現
アップリンクの10G化により
ボトルネックを解消
(1G×n本収容に耐えられる)
有線/無線の認証環境を一元化
トリプル
認証
AX2530S-48P2X
ギガビット化
(1G×n本収容)
PoEデバイス
(無線AP等)
Class3(15W)の IEEE802.11ac 無線 AP を
28台まで収容可能
残りのポートに島ハブ、PCなどの有線機器を接続
© ALAXALA Networks Corporation 2015. All rights reserved.
25
AX2500S PoE:他社比較
2015年12月
リリース
標準価格は113万円、2015年12月に出荷開始!!
AXシリーズ PoE スイッチ一覧
アップリンク
1G
ダウンリンク
モデル
24P(FE)
AX1240S
48P(FE)
-
24P(GbE)
AX2230S
48P(GbE)
-
15年度の案件に
間に合わせます!!
非公開資料となります。
ワイヤレスセミナー時に配布致しました内容と同等となりますので、
48P(GbE)
AX2530S(New!)
配布資料をご参照ください。
10G
24P(GbE)
-
日立金属(Apresia)には
10GアップリンクPoE無し
10Gアップリンク対応 PoE スイッチの他社比較
メーカー
ALAXALA
Cisco
Juniper
型名
AX2530S-48P2X
Cat2960X-48LPD
EX3200-48P
EX3300-48P
価格
¥1,130,000
$6,995
¥1,260,000
¥1,584,000
ダウンリンク
1G PoE(UTP)
48
48
48
48
アップリンク
1G(SFP)
2
-
-
-
10G(SFP+)
2
2
4
4
◎(日本仕様)
△(あるだけ)
△
△
ネットワーク認証
※ 2015年9月 アラクサラ独自調べ(他社の価格は参考)
© ALAXALA Networks Corporation 2015. All rights reserved.
26
ネットワーク・パーティション:LAN の仮想化
スマートデバイスの急速な普及により、キャンパスネットワークで
安全に利用できる環境の整備が急務
お悩みではありませんか?
情報漏えい対策のため、ユーザごとに情報システムへのアクセスを制御したい
ゲストやスマートデバイスのアクセス範囲は、必要最低限に限定したい
ネットワークを完全に分けるのは、
装置台数の増加/導入コスト/消費電力などの問題から現実的ではない
フィルタで通信の禁止/許可を制御するのは、
管理工数が肥大化して管理者の負担がアップするため受け入れられない
解決
仮想化技術を使って LAN のセキュリティを確保
ネットワーク・パーティションが最適!!
© ALAXALA Networks Corporation 2015. All rights reserved.
27
認証機能連携によるセキュア仮想ネットワーク
ネットワーク・パーティション
ネットワーク認証
1つの物理ネットワークで2つのシステム
仮想ネットワークはVRFで実現
同じ物理NWでシステムを分離
システム間は相互乗入れしない
仮想的に分離させセキュア
端末がネットワーク接続時に認証
端末が接続時に認証
認証時、動的にVLAN割当も可能
どこでも同じVLANで通信
認証
認証形態選ばず
仮想 仮想
VRF
NW1 NW2
仮想ネットワーク
1.VLAN単位に仮想ネットワークを固定的に割当て分離
2.同じ仮想ネットワークのVLAN同士は通信可能
3.別の仮想ネットワーク間は通信不可
仮想 仮想
NW1 NW2
ネットワーク認証
1.通信開始時にネットワーク認証開始
2.認証時、動的にVLAN割当て
3.所属VLANの仮想ネットワークで通信可能
セキュア仮想ネットワーク
こんなニーズに応えます
(1)システム統合とネットワークセキュリティを一度に実現
(2)いつでもどこでも同じセキュリティを確保
© ALAXALA Networks Corporation 2015. All rights reserved.
28
運用管理ソリューション
SDカード
ループ検知
長期サポート
近年、管理者の工数を圧迫する、日々の煩雑な作業を自動化する必要があります。
ケーブル誤接続による高頻度で発生するループ障害への対処はその最たるものと
いえるでしょう。さらに、バックアップやリストアなどの作業をスピーディかつ簡単に
自動実行できれば、機器に精通していなくても安全・確実な作業が可能といえます。
またネットワーク機器に対する予算圧縮にともない、長期にわたり安心して機器を
利用したいというニーズが増えてきております。
© ALAXALA Networks Corporation 2015. All rights reserved.
29
運用管理の大きな課題
日々の運用は管理者の大きな負担となっており、
運用の簡素化や自動化が急務となっている
ネットワーク管理は兼務が多く、熟練者不在でも安定運用を維持できることが必要
ネットワーク管理の現状
 専任担当者は少ない
1人で担当しているケースもある
故障した
機器の交換
困窮した状況にも
かかわらず
障害発生時の迅速な対応
定期的なバックアップ
設定の変更、保存
…etc
管理者の負担は大きくなる一方
新入用アカウント
新規作成
でも人員は
増やせない
© ALAXALA Networks Corporation 2015. All rights reserved.
ネットワーク内で
ループ発生
定期的な設定
のバックアップ
新規導入システム
用フィルタ設定
30
運用管理の自動化をサポート
装置交換とループ障害対応向けに、便利な機能を提供
予備機運用を手軽に行いたい
ループ障害に自動ですばやく対処したい
SDカードスクリプト(コマンドレス保守)
L2ループ検知
SDカードの挿抜で復旧時間を短縮
ループによるシステムダウンを回避
 予備機への交換をスムースに実施
 運用機へSDカードを挿入し設定をバックアップ
(OS,コンフィグ,アカウントなど)
 機器交換時は、
予備機へSDカードを挿すだけ 予備機
 ケーブル誤接続による
ループ障害を防止
 スイッチが自律的にループを監視
 ループ検出後は即時ポートダウン
 ログから発生箇所を特定可能
全装置のバックアップをPC で管理したい
L2スイッチ
ループ
HUB
・・・
・・・
ループ障害の発生箇所をGUI で確認したい
ユーティリティツール(AX-NU)
エンドユーザ向け管理ソフトウェア
 正式名称 AX-Networker’s-Utility
 10種類のツールをパッケージ化
(各ツールは単機能に特化)
 ループの見える化や
バックアップ情報の
一元管理などが可能
ループ見える化ツール
© ALAXALA Networks Corporation 2015. All rights reserved.
NMSではカバーできない
作業手順を自動化し、
GUI でわかりやすく表示
31
長期サポートの紹介
製品の販売終了時期に関わらず最長10年間サポートを
継続するので安心して長期間の使用が可能
アラクサラ
(メーカ)
メーカサポート
NTT-AT様
保守会社様
保守サービス
お客様
技術支援、
保守部品提供、故障修理
一般のメーカサポート
出荷※1 機器販売終了
長期サポート
出荷※1
システム更新
保守サービス
メーカサポート
製品の販売終了
から5年後まで
機器販売終了
システム更新
保守サービス
解決
リスク
メーカの支援が
無いのでリスク有
メーカサポート
販売終了に関係なく
最長10年まで継続
長期サポートなら
リスクが無くて安心
※1 弊社パートナー様への機器出荷日
© ALAXALA Networks Corporation 2015. All rights reserved.
32
まとめ
他社より優れた機能により、キャンパスネットワークが
抱える課題を 「AX シリーズ」で解決!!
大項目
1
2
3
4
高信頼
セキュリティ
運用管理
小項目
ALAXALA
Cisco
日立金属
FTネットワーク
○
冗長化と一元管理(規模に応じて機器選択可)
◎
×
ネットワーク認証
◎
豊富な認証機能と導入実績(スタック併用可)※
○
○
PoE
○
有線と無線の認証方式を一元化
○
△
ネットワーク・パーティション
◎
認証連携によるセキュアNW構築可
○
×
SDカード(コマンドレス保守)
◎
装置交換の簡単化
ループ検知
◎
長期サポート
◎
リングプロトコル
非公開資料となります。 ×
◎
ワイヤレスセミナー時に配布致しました内容と同等となり
ますので、
ループ障害対策の自動化(スタック併用可)
×
○
配布資料をご参照ください。
メーカによる長期サポート(最長10年)
○
不明
◎
シンプル・高速なL2冗長(スタック併用可)
×
○
環境対応
◎
静音(FANレス)、高温対応、省電力機能
○
○
光多ポート ボックススイッチ
◎
ボックスで光ネットワーク(L2、L3両モデルで有)
○
○
サポート
◎
国内完結のサポート提供
○
◎
その他
※ AX2530Sシリーズで対応
© ALAXALA Networks Corporation 2015. All rights reserved.
33
付録
© ALAXALA Networks Corporation 2015. All rights reserved.
34
セキュリティソリューション
© ALAXALA Networks Corporation 2015. All rights reserved.
35
IoT時代の到来
モノをつなぐインターネット(Internet of Things)
これまでは、インターネットは一部の電子デバイスだけがつながる世界
これからは、あらゆるモノがつながる世界へ
インターネット
情報
モノ
機械
オフィス
今まで意識をしなかったシステムにも
セキュリティの観点が必要
© ALAXALA Networks Corporation 2015. All rights reserved.
36
昨今のネットワーク事情(サイバーセキュリティ)
「サイバー攻撃の増加」&「攻撃手法の高度化」
【ここ最近の傾向】 (2013年10月~2014年12月)
PC/サーバのみならず、Linux組込機器の感染が増加
主な感染機器
 ブロードバンドルータ
 Webカメラ
 NAS
(※)2015年2月12日「制御システムセキュリティカンファレンス2015」
NICTサイバーセキュリティ研究所様ご報告より引用
(情報元)
独立行政法人 情報通信研究機構 サイバーセキュリティ研究所様
www.nicter.jp/より
ネットワークも多くの視点で対策が必要
© ALAXALA Networks Corporation 2015. All rights reserved.
37
アラクサラのセキュリティに対する考え方
プロセスごとの考え方を整理し、手段を使い分けることが大切
①侵入
入口対策
ホワイトリスト
不正アクセスをシャットダウン
重要社会インフラを攻撃から保護
②拡大
③調査
侵入後の対策
ネットワーク可視化 NIRVANA
不正アクセスの見える化でトレーサビリティ向上
④対策
出口対策
フォレンジックソリューション
必要に応じたデータを選択し抽出
フォレンジック
サーバ
セキュリティに対するネットワークからアプローチを実現
© ALAXALA Networks Corporation 2015. All rights reserved.
38
入口対策(ホワイトリスト)
①侵入
入口対策
ホワイトリスト
不正アクセスをシャットダウン
重要社会インフラを攻撃から保護
②拡大
③調査
侵入後の対策
ネットワーク可視化 NIRVANA
不正アクセスの見える化でトレーサビリティ向上
④対策
出口対策
フォレンジックソリューション
必要に応じたデータを選択し抽出
フォレンジック
サーバ
© ALAXALA Networks Corporation 2015. All rights reserved.
39
思わぬところから侵入する脅威
ファイヤウォールを設置するだけでは
システムに対する脅威は防げない
システムに対する脅威の主な侵入経路
USBポート
リモートメンテナンス回線
マルウェアが混入した USB デバイスの
接続により、端末が感染
無線LAN
回線の先の端末から、
不正アクセス・マルウェアが混入
ネットワークスイッチ
システム内の無線 AP を介して、
不正アクセス・マルウェアが混入
内部犯行者による、
未使用ポートへの非正規端末接続
ホワイトリストスイッチが解決します
© ALAXALA Networks Corporation 2015. All rights reserved.
40
ホワイトリストスイッチ概要
転送データを自動でリスト化し、セキュリティを高めます
 ホワイトリストスイッチ
= 転送しても良い通信を自動でリスト化し、通信をコントロール
システムを”リスト登録期間”と”リスト適用期間”の2つに分割
 登録期間:転送(通過)するデータを自動で検出・登録を実施
– ホワイトリストの作成(通過許可データの一覧)
 運用期間:登録期間中はリストに基づき通信
–
–
–
–
リスト外通信の廃棄・通過の選択
リスト外通信の受信ログ出力
リスト外通信のみをミラーリング
手動(コントローラ)による、リスト追加・削除
AX2530Sシリーズ新機能
11月リリース予定
© ALAXALA Networks Corporation 2015. All rights reserved.
ネットワーク
端末
41
ホワイトリスト機能の動作
通過させたいデータを自動登録し、意図しないデータを排除します
登録期間の動作
運用期間の動作
正常な通信データを学習して登録
登録されていない通信データを排除
(ホワイトリスト化)
センター
不正サーバ
センター
学習完了後
モード切替
AX2500S
・・・
・・・
・・・
© ALAXALA Networks Corporation 2015. All rights reserved.
・・・
・・・
・・・
42
ホワイトリスト適用時の検知
運用期間時の動作選択
ホワイトリスト外データは廃棄または通過
リスト外データ確認方法 (①と②の併用も可能)
①文字列出力
■ログ出力要因
②コピー出力
- 登録/登録外パケット受信
■送信元・宛先情報
- MAC address(source / destination)
- IP address(source / destination)
- TCP/UDP Port(source / destination)
データを文字列出力
制御
ネットワーク
データログ管理サーバ(syslog)
OR
コピー出力
分析用端末
© ALAXALA Networks Corporation 2015. All rights reserved.
43
CSSCとの共同研究で生まれたホワイトリスト技術
※
CSSC(技術研究組合 制御システムセキュリティセンタ)
 経済産業大臣認可法人として2012年3月に設立
 重要インフラの制御システムのセキュリティを確保するため、
研究開発、国際標準化活動、認証、人材育成、普及啓発、各システム
のセキュリティ検証を実施
 本部(宮城県多賀城市)に様々な制御システムのデモ環境を配備
 ALAXALAは組合員としてCSSCに参加
ホワイトリスト機能はCSSCとの共同研究を経て
開発/評価を行い、その有効性を実証済
 本部デモ環境での検証実験
 組合員企業の実ネットワークでの検証実験
※ CSSCHP: http://www.css-center.or.jp/index.html
© ALAXALA Networks Corporation 2015. All rights reserved.
44
侵入後の対策(ネットワーク可視化)
①侵入
入口対策
ホワイトリスト
不正アクセスをシャットダウン
重要社会インフラを攻撃から保護
②拡大
③調査
侵入後の対策
ネットワーク可視化 NIRVANA
不正アクセスの見える化でトレーサビリティ向上
④対策
出口対策
フォレンジックソリューション
必要に応じたデータを選択し抽出
フォレンジック
サーバ
© ALAXALA Networks Corporation 2015. All rights reserved.
45
可視化ソリューション
侵入後の対策
可視化ツール(NIRVANA)連携
データの送信元と送信先を表示
登録外データの可視化
センター
D
F
E
登録外データの
コピー
A
B
C
NICT:National Institute of Information and Communication Technology
=>情報通信機構:応報通信分野を専門とする唯一の公的研究機関
© ALAXALA Networks Corporation 2015. All rights reserved.
46
出口対策(フォレンジック)
①侵入
入口対策
ホワイトリスト
不正アクセスをシャットダウン
重要社会インフラを攻撃から保護
②拡大
③調査
侵入後の対策
ネットワーク可視化 NIRVANA
不正アクセスの見える化でトレーサビリティ向上
④対策
出口対策
フォレンジックソリューション
必要に応じたデータを選択し抽出
フォレンジック
サーバ
© ALAXALA Networks Corporation 2015. All rights reserved.
47
現状の接続形態
セキュリティデバイスをクラウドへ適用する場合
パフォーマンスや信頼性を中心に複数の課題がある
ネットワークの課題
マルチテナントクラウド
③冗長化したい
①高価
L3スイッチ
や
TAP装置
大
容
量
通
信
②基本的に
ポートミラー
セキュリティ
デバイス
1G
④廃棄リスク
① 性能確保とシステム高信頼化を両立するには、
高価な TAP 装置が必要(10G対応、冗長など)
② 大容量のトラフィックからアプリケーションや
テナントのみを識別してミラーしたい
(ディスク有効活用、契約者のみへサービス提供)
③ 複数のサーバへデータを保存することで、
証拠保全をバックアップしたい
(サービス化する場合に必要)
④ バースト発生で証拠が欠落(パケット廃棄)
ネットワークにおいてもセキュリティデバイスとの連携が必要
© ALAXALA Networks Corporation 2015. All rights reserved.
48
セキュリティデバイス連携ソリューション
環境に合わせたセキュリティデバイスを適切に利用
大容量トラフィックやデバイスの数や性能に合わせた接続を実現
ネットワークの課題を解決
マルチテナントクラウド
① スイッチ単体で対応(高価な TAP 不要)
 装置内冗長でシステムを高信頼化
③マルチミラーで
簡単に冗長化
①スイッチによる
インライン対応 大
容
量
通
信
②選択的ミラー
 TAP を挟まないので、性能ボトルネック無し
② 選択的ミラー機能でアプリケーションやテナント
を識別して抽出可能
③ マルチミラーを使えば、複数の フォレンジック
サーバへ同じデータを保存できる(簡単に冗長化)
④ シェーピングでバーストを抑止し、証拠欠落を回避
1G
④取りこぼし無し
・・・
© ALAXALA Networks Corporation 2015. All rights reserved.
49
内部不正対策(フォレンジック)ソリューション
サイバー攻撃・内部不正対策の
ためのネットワーク証拠保全(or 証跡管理)ソリューション
 特定の通信を選択的に抽出し、添付ファイルも含めた通信内容をリアルタイム解析
 ポリシーに違反する通信の警告と、通信内容の全文検索を実現
 選択的ミラー機能でNetRAPTOR(トーテックアメニティ)に適切なデータを抽出して渡す
冗長や負荷分散
選択的ミラーで大量の通信から
狙ったデータのみを抽出
(ユーザやアプリを識別可能)
・データ解析(フォレンジックの前処理)として、
選択的ミラーにより狙った通信を抽出
・マルチミラーも可能(冗長や負荷分散)
対応予定製品
マルチ
ミラー
ト
ラ
フ
ィ
ッ
ク
NetRAPTOR
AX8600R/S
AX3650S
ユーザ1
ユーザ2
解析結果を
オペレータが
確認
・Web/Mailのプロトコル解析
通信状況を可視化し、添付ファイル
(zip,word,excelなど含む)も復元
・高速な全文検索エンジンによる
フォレンジック調査
・アラート通知機能
ポリシーに合わせた条件を設定し、
違反する通信をリアルタイムに警告
ネットワーク上の通信データを全て保存して証拠化し、
解析まで可能なフォレンジック装置
メールやWebなどのサービスを利用
© ALAXALA Networks Corporation 2015. All rights reserved.
50
各種セキュリティデバイスとの連携
出口対策における各種セキュリティデバイスとの連携が可能
Internet
IPS
選択的ミラー
シェーピング
WAF
フォレンジック
サンドボックス
LAN/DataCenter
◆選択的ミラー: 中継回線とセキュリティデバイス接続回線の帯域差分を解消
WEB/SSLやMailなどアプリを選択しミラーリングすることでセキュリティデバイスへの効率的なパケットコピー
◆シェーピング: 重要データのパケットロスを予防
大容量バッファによりデータのバースト性抑止とセキュリティデバイスへの処理負荷軽減
© ALAXALA Networks Corporation 2015. All rights reserved.
51
2015年度以降ロードマップ
© ALAXALA Networks Corporation 2015. All rights reserved.
52
2015年度以後の エンハンス計画
2015年度
上期
検討中の2016年度エンハンス方針
(詳細・時期など未定、予告無く変更の可能性あり)
下期
マルチシャーシ・フォールト・トレラント機能(MC-FT)
【大型シャーシ】
AX8600R
AX8600S
【中型シャーシ】
AX8300S
マルチキャスト
【L3ボックス】
AX3800S
AX3650S
新シャーシ
・IGMP/MLD snooping ・AX8600S ・AX8300S
・MIB(IPv4)
のみ
ローンチ
・切替高速化
200G PRU/PSU
UDLD
FTスイッチ×2台で構成するシンプルな冗長
注力機能(仮想化&セキュリティ)をシリーズ横断で対応
NSR
M
C
F
T
マイクロバースト対応 NIF
V
40G×4、10G×12 NIF
X
L
A
10GBASE-T NIF
非公開資料となります。 N
VRS 併用
VRS 併用
対
ホ
ワイヤレスセミナー時に配布致しました内容と同等となりますので、
選
ス
応
ワ
40G NIF
・リング/PBR
・グレースフル
択
タ
配布資料をご参照ください。
イ
&
ッ
的
/LACP
リスタート
ト
ク
ミ
強
リ
ラ
&
化
ス
VRF数拡張 IEEE1588
ー
ト
V
対
対
R
SFPP-ZR
応
応
S
強
&
&
化
強
検
強
化
討
BFD(BGP)
化
・IEEE802.3ah OAM
【小型シャーシ】
AX4600S
2段タグ学習
・他にも複数の機能を追加
次期モデルなど
【L2ボックス】
AX2500S
ミラー拡張
ホワイトリスト
RADIUS
PoEモデル
・装置
ログイン時
・セッション数(1→4)
© ALAXALA Networks Corporation 2015. All rights reserved.
53
お問合せ先 NTTアドバンステクノロジ アラクサラ担当:山田、川崎、中嶋
TEL:044-589-6928 Email:[email protected]
© ALAXALA Networks Corporation 2015. All rights reserved.
54