キャンパスLANデザインガイド
目次
はじめに . . . 4 キャンパスについて . . . 4 適用範囲 . . . 5 キャンパスLAN設計に関する検討事項 . . . 5 インフラストラクチャ・ソリューション . . . 6 キャンパス・アーキテクチャ概要 . . . 7 階層型アプローチ . . . 7 階層型アプローチのメリットと課題 . . . 8 ネットワーク革命 . . . 8 実装:アクセスレイヤー . . . 8 アクセスレイヤー設計に関する検討事項 . . . 9 有線ポートのコネクティビティ . . . 9 WLANのコネクティビティ . . . 9PoE(Power over Ethernet) . . . 9
バーチャルLAN(VLAN)とスパニング・ツリー・プロトコル(STP) . . . 10 アクセスレイヤーにおけるレイヤー2またはレイヤー3の使用 . . . 10 統合型通信の導入における検討事項 . . . 11 脅威への対処 . . . .12 モジュール型シャーシテクノロジー . . . .12 アクセスレイヤー・ソリューション . . . 13 バーチャルシャーシ・テクノロジーを搭載した拡張可能なアクセスソリューション . . . 13 無線ソリューション . . . 15 アグリゲーション・レイヤー . . . 16 アグリゲーション・レイヤー設計に関する検討事項 . . . 16 セグメント化/仮想化 . . . 16 分散スイッチング . . . 16 アグリゲーション・レイヤー・ソリューション . . . .17 拡張可能なアグリゲーション・レイヤー・ソリューション . . . .17 コアレイヤー . . . 19 コアレイヤーに関する検討事項 . . . 19 コアレイヤー・ソリューション . . . 19 ハイパフォーマンスなコアレイヤー・ソリューション . . . 19 コアレイヤーは必要か? . . . 20 問題点とメリット . . . .21 コアレイヤーとアグリゲーション・レイヤーの統合 . . . .21 キャンパスネットワークの高可用性 . . . 22 デバイスレベルの高可用性 . . . 22 リンクレベルの高可用性 . . . 22 冗長リンク:スクエア構成vsトライアングル構成 . . . 23 バーチャルシャーシ・テクノロジー . . . 23 リンク・アグリゲーション・グループ . . . 23 冗長トランクグループ . . . 24 キャンパスリンクの冗長化に関するベストプラクティス . . . 25 ネットワーク・ソフトウェアの高可用性 . . . 25
図
図1:高可用性を実現するキャンパスLAN構成 . . . 7 図2:階層型アプローチ . . . 7 図3:高可用性キャンパスLANにおけるアクセスレイヤー . . . 8 図4:柔軟かつローミング可能な無線アクセスソリューション . . . 9 図5:アクセスレイヤーでレイヤー2/レイヤー3を使用 . . . 10 図6:バーチャルシャーシ・テクノロジー . . . 13 図7:バーチャルシャーシ・テクノロジーによるCAPEXおよびOPEXの削減 . . . 14 図8:高可用性キャンパスLANにおけるアグリゲーション・レイヤー . . . 16 図9:コア/アグリゲーション・レイヤーにおける分散スイッチング . . . .17 図9:高可用性キャンパスLANのコアレイヤー. . . 19 図11:コアレイヤーのメリット . . . 20 図12:コアレイヤーをアグリゲーション・レイヤーに統合 . . . .21 図13:デュアルホーミング:スクエア構成vsトライアングル構成 . . . 23 図14:リンク・アグリゲーション・グループ(LAG) . . . 23 図15:バーチャルシャーシとLAG . . . 24 図16:リンク冗長化のベストプラクティス . . . 25 図17:キャンパスのセキュリティアーキテクチャ . . . 26 図18:あらゆるタイプのユーザーにエンドポイント・ヘルス・ポリシーを適用 . . . 27 図19:複数の部門、リソース、サービスにセキュリティポリシーを適用 . . . 28図20:Dynamic ARP Inspection(DAI) . . . 29
図21:NSMのデバイス管理とデバイスのオートディスカバリ . . . 30 図22:NSMのトポロジー検出 . . . 31 図23:NSMのテンプレートベースの設定 . . . 32 図24:NSMのイベント/ログ管理 . . . 33 図25: J-Webの使いやすいグラフィカル・インタフェース . . . 34 セキュリティ . . . 26 統合型アクセス・コントロール . . . 27 IEEE 802.1X . . . 27 ユビキタスアクセス . . . 28 セグメント化 . . . 28 アクセス・コントロール・リスト . . . 28 アクセスセキュリティのさらなる向上 . . . 29 運用の簡素化と統合型管理 . . . 30
ジュニパーネットワークスNetwork and Security Manager (NSM)を利用した統合型管理 . . . 30
NSMのメリット . . . 33
ジュニパーネットワークスJ-Webソフトウェアを利用したリモート設定および管理 . . . 34
J-Webのメリット . . . 34
おわりに . . . 35
はじめに
企業内LANはかつて、受動的なバックグラウンドのビジネスコンポーネントでしたが、今日では企業にとって、日常業務の遂行や市場 での成功を目指す上で不可欠な、極めてアクティブかつ重要なコアアセットへと進化しました。ネットワークは今や戦略的手段であり、 いつ、どこからでもアクセス可能で、場所を問わず迅速かつセキュアで信頼性の高いサービスを提供できることが必須条件になってい ます。また、従来のクライアント-サーバー間のデータフローに加えて、ピアツーピアのデータフローをサポートできるようになり、多数 のデバイスやサービスへの対応が求められています。現在、多くの企業がアプリケーションやデータセンターを集中管理するだけでな く、サーバーとデータセンターを統合することで運営の簡素化とコストの削減を図ろうとしています。しかし、既存のキャンパス・インフ ラストラクチャ・ソリューションでは、高い安全性と優れた信頼性を備えた高性能のアクセスをキャンパスユーザーに提供するための要 件を満たすことができない上、コストの削減や運用の合理化を実現する上で不可欠な集中管理機能も提供できません。 そのため、キャンパスのセキュリティやコネクティビティ、パフォーマンスなどの課題に対応しながら、主要なITイニシアチブを実現で きる、新しいキャンパスLAN設計に対するニーズが高まっています。さらに、優れた拡張性によって運用を簡素化でき、全体を再設計す ることなく、新しいコンピューティング・トレンドに柔軟に対応できる設計が求められています。 キャンパスについて 本書において「キャンパス」という用語は、同じ敷地内で相互に近接する1棟以上のビルで構成される、企業の主要拠点を意味します。 通常は、企業の本社または重要拠点を指しますが、必ずしもそうとは限りません。キャンパスの例としては、企業が入居している複数階 のオフィスビルや、オフィスパーク内に複数のビルを所有している企業、敷地内の広範囲に施設が散在している大学などが挙げられ ます。キャンパス内のビルやフロアはすべて、キャンパスLAN/WAN接続によってデータセンター内の共有リソースやサービスなどに 接続されています。データセンターは、キャンパスの中にある場合と外にある場合があります。また、遠隔地の支店や支社などに対して WAN経由で接続されているキャンパスもあります。 ビジネスプロセスのほとんどはオンラインで実行されるため、キャンパスLANでダウンタイムが発生したり非効率な状態が続いたりす ると、企業の収益に悪影響が生じます。各キャンパスの施設がネットワークに接続されている状態を常に維持し、ビジネスの生産性や 顧客満足度を最大化するためには、セキュアで高性能、高可用性のLANサービスが不可欠です。本書は、企業が今日直面している課題 や検討事項に注目し、それらの要件を満たすLANの設計、構築を可能とするために作成されたものです。 キャンパスLANは主に、アクセスレイヤー、アグリゲーション・レイヤー、コアレイヤーという3つのレイヤーで構成されます。それぞれの レイヤーは企業の課題に対応するためのサービスを提供しますが、各レイヤーの詳細や構成にあたっての検討事項については後に詳 しく説明します。 キャンパスLANに必要なサービス キャンパスLANは、業務の効率性を最適化するために、以下のハイレベルなサービスを提供しなくてはなりません。 • LANコネクティビティ̶キャンパス・インフラストラクチャは、コンピュータや電話機、PDA、監視カメラ、スマートフォンなど、増加し 続ける多様なIPデバイスに対して、セキュアな有線/無線LANコネクティビティを提供する必要があります。 • セキュリティ̶セキュリティは、すべてのキャンパスLANサービスにおいて非常に重要です。ネットワークやアプリケーションに対す る広範囲でオープンなアクセスを実現しながら、同時にセキュリティとコントロールを確保する必要があります。また、今日のネット ワークは、ネットワークにアクセスしようとする未管理のデバイスやゲストユーザーに効率的に対処しながら、管理が困難なデバイ スに対するサポートや、不正プログラムの拡散防止、アプリケーションへのアクセス・コントロール、視認性、モニタリングなどの各機 能を兼ね備えている必要があります。主要なセキュリティ・コンポーネントおよびポリシーは、以下のとおりです。 - サービス品質(QoS)を保証するポリシー - サービス拒否(DoS)、分散サービス拒否(DDoS)攻撃およびその脅威の軽減 - 企業がコンプライアンス基準を遵守していること セキュリティポリシーはすべて集中管理し、遠隔地に適用されなければなりません。 • 統合型通信̶PoE技術を利用したVoIP電話の配備や、ビデオ会議、VODアプリケーションによるWebベーストレーニングを同一 LANインフラストラクチャ内で提供する必要があります。これらのサービスを提供するためには、データを論理的に分割させる必要 があるためです。また、レイテンシ/ジッター、データの損失に繊細なVoIP、ビデオトラフィックなどをデータトラフィックよりも優先さ せ、確実に配信するために、QoSポリシーの導入も必要です。• ハイパフォーマンス̶キャンパス内では、LANと同様のアプリケーション・パフォーマンスを常に提供する必要があります。LANの アクセスレイヤーでは、ある程度のオーバーサブスクリプションは一般的ですが、LANのアグリゲーション・レイヤーおよびコアレイ ヤーにおいては、ラインレート・パフォーマンスを実現することが求められます。 • 高可用性̶今日のキャンパスLAN環境では、ダウンタイムの発生は許されません。公衆交換電話網(PSTN)が提供するサービスレ ベルを目標として、少なくとも99.999%の信頼性を実現する必要があります。高可用性は、LAN設計全体において不可欠です。ダ ウンタイムの低減と運用コストの削減を実現するためには、コスト効率性に優れ、豊富な機能や高い信頼性を備えるとともに、集中 管理機能を提供できるネットワーク機器やソフトウェアが必須です。さらに、堅牢性と信頼性に優れたコネクティビティも求められま す。また、統合型通信などの新しい技術を導入するには、高性能かつ最適化された常時接続ネットワークがエンド・ツー・エンドで機 能していることが必要です。 • 集中管理̶キャンパスLANでは、あらゆるネットワークスイッチやファイアウォール、ルーター、VPN、侵入検知防御システム(IDS/ IPS)対応デバイスなどを集中管理するサービスが不可欠です。集中管理ソリューションを導入することによって、ネットワークデバイ スの設定や管理に必要な時間とコストを削減できます。さらに、ネットワーク・トラフィックをより簡単に分析できるようになるため、 ネットワーク・パフォーマンスの最適化にもつながります。 上記の各項目については、以下で詳細に説明します。また必要に応じて、特定のサービスや機能に関する検討事項や課題についても 解説します。
適用範囲
本設計ガイドは、キャンパスのアーキテクトやエンジニアが近代的なキャンパスLANを設計する上で役立つ、実践手法やテクノロ ジー、製品などを提案するものです。 また、変化し続けるキャンパスのニーズに関する情報を提供するとともに、キャンパスのアーキテクトやエンジニアに向けて、実践手法 やテクノロジー、設計上の検討事項なども提示します。さらに、ジュニパーネットワークスのインフラストラクチャ・ソリューションが提供 する革新的なオペレーティング環境によって、企業がどのようにネットワークの経済性を向上させることができるか、また、今日そして未 来における収益をどのように増大し、生産性を向上させることができるかについて説明します。キャンパスLAN設計に関する検討事項
現在、新しいキャンパスLAN設計の必要性が高まっているのは、従来のソリューションでは、上記で挙げた重要な要件に対応できず、コ スト削減や運用の合理化も難しいからです。また、新しいLAN設計には、全体を再設計する必要なく、新たなコンピューティング・トレ ンドへの対応や新たなネットワークサービスの導入が実現できる拡張機能も求められます。以下のセクションでは、このような要件に 対応する近代的なキャンパスネットワークの設計について、最近のトレンドと技術上の検討課題について簡単に説明します。検討内容 は、ジュニパーネットワークスのソリューションだけでなく、ベンダーを問わず、あらゆるキャンパスのネットワーク設計にも同様に適用 できます。 エンタープライズ環境におけるコンピューティング・トレンド キャンパスLAN設計においては、上記で述べたサービス以外にも、以下のトレンドを考慮する必要があります。 • 統合型通信の拡大 近年、音声、動画、データサービスなどをはじめとする統合型通信を導入する企業が増えてきています。米国の調査会社Forrester Researchが2006年に発表した報告によると、北米の全企業のうち46%がIP電話システムを導入しており、39%がリモートユー ザーとの通信でVoIPを使用していることが明らかになりました。この傾向はキャンパスLANに求められる高性能性、高可用性の要 件に直接影響を与えるものです。たとえば、十分なLAN/WAN帯域の確保が不可欠となるだけでなく、効率的なVoIP通信サービス を提供するためにトラフィックの識別、クラス分けや優先順位の決定を行うQoSルールも必要になります。 • 大量の帯域幅を必要とするアプリケーション 統合型通信の拡大により、これまで以上の帯域幅が必要になるのに加え、最近では、OracleやSAP、PeopleSoftなどといった一 般的なビジネス・アプリケーションのWeb対応バージョンが続々と発表されています。こうしたアプリケーションは、LANベースのも のと比べて10倍以上の帯域幅が必要な場合もあり、パフォーマンスや信頼性、可用性に対して深刻な影響を与えかねません。通常、 ネットワークの使用率が低い時間帯にローカルサーバーへのデータのバックアップをスケジュールすることが推奨されていますが、 このようなネットワークサービスが帯域幅を消費してしまう可能性もあります。• ユーザーの生産性 現在ではビジネス処理の大半がオンラインで実行されるため、企業LANはビジネスの成長と革新を実現する上で不可欠な要素と なりました。そのため、LANでダウンタイムが発生したり非効率な状態が続いたりすると、企業の収益にも悪影響が及びます。しかし 裏を返せば、Information Week(2007年)に書かれているように、ネットワーク・パフォーマンスを向上させれば、ビジネスの生産 性も向上できるということです。したがって、生産性を最大化するためには、ネットワークに無線対応やリモートアクセスなどといった サービスが備わっている必要があるのです。 • セキュリティの重視 アメリカFBIとCSIが共同で行った調査によると、2006年には、調査対象となった全企業の72%で、何らかのセキュリティ上のトラ ブルが少なくとも1件発生していることがわかりました。そして、内外からの攻撃は年々増加する一方です。Forrester Researchが 2006年に実施した調査で、全企業のうち57%が最優先課題として「セキュリティ環境の向上」を挙げているのも当然の結果でしょ う。多くの企業が重要なビジネスプロセスを分散させる傾向にあることや、統合型通信の普及によってセキュリティ上の弱点が増え る可能性を考えると、堅牢なセキュリティに対するニーズがさらに高まることは容易に予測できます。ユーザー・アクセス・ポリシーも 必要になるでしょう。 • 無線サービスへのニーズの高まり より良いビジネス上の意思決定を行うために不可欠な要素の1つとして、重要な情報およびリソースへ常にアクセスできることが挙 げられます。現代の企業では、社員がミーティングにノートパソコンを持参するのが当然になっており、その際にすべてのアプリケー ションやデータストア、リソース、サービスに無線アクセスできることが期待されます。またキャンパス内のどこでも無線サービスが 利用可能であるだけでなく、携帯電話のローミングサービスと同様に、ユーザーがキャンパス内を移動してもサービスが中断されな いことも必要です。そのような無線サービスを提供することによって、ユーザーがプレゼンテーションや予算予測の発表の際に必要 となる資料にアクセスし、集中サーバーからダウンロードして、会議室に到着するまでの間にノートパソコンで準備を完了できるよう になります。また、キャンパス内のどこにいてもWi-Fi電話で通話することも可能になります。 無線サービスや無線アクセスは、常にセキュアでなくてはなりません。請負業者やパートナー、ゲストユーザーなどに対して異なる レベルの無線アクセス権を設定し、適切なレベルのサービスを提供しつつ、リソースに対するアクセスを適宜制限することが重要で す。 • サーバーの集中管理とデータセンターの統合 Forrester Researchが2007年に実施した調査報告では、全企業の51%が、重要な優先課題としてサーバーの集中管理を挙げている ことが明らかになりました。またGartnerによる2007年の報告書において、企業内サーバーの大半はリソースの20%程度しか利用さ れていないことがわかっています。リソースをより効率的に活用するためには、仮想化などの新しいテクノロジーが必要です。また、多 くのキャンパスでは、より高度なレベルのセキュリティや、帯域幅の最適化、トラフィックの優先順位づけなどの機能を備えたローカル サーバーの設置も必要でしょう。 さらなるコスト削減や運用の簡略化、そして規制ガイドラインへの準拠などを進めるために、データセンターの統合を行う企業が増え ています。米調査会社Nemertes Researchが2006年に発表した報告によると、インタビューを実施した全企業の91%が規制順守 の制約を受けており、そのうち50%を超える企業が最近12か月以内に、分散していた多数のデータセンターを数箇所の大規模なデー タセンターに統合し、今後12か月以内にさらなる統合を進める予定だということが明らかになりました。 集中管理を行うにあたっては、ノンストップの運用を保証する高可用性要件に加え、待ち時間やセキュリティに関する課題も新たに 発生します。キャンパス内のオンラインで運用可能な状態を維持するために必要な時間とリソースを削減するためには、集中管理ソ リューションを導入することも必要です。 インフラストラクチャ・ソリューション 現在のキャンパスにおけるネットワーク・インフラストラクチャでは、もはや上記のような要件を満たすことはできません。キャンパス ネットワークにおいて増加し続ける機器やサービスに対応するためには、コストの高いレガシー機器や、高度な技術を要するITリソー スなどを追加するのではなく、より統合的な新しいキャンパスソリューションが必要です。 ジュニパーネットワークスは、こうした課題に対応すべく、業界でも定評のあるキャンパス向けIPインフラストラクチャを提供し、キャ ンパスユーザーの生産性を維持するだけでなく、さらに向上させるために必要なパフォーマンスや拡張性、柔軟性、セキュリティ、イ ンテリジェンスを実現します。また、あらゆるキャンパスのニーズを満たすことのできる柔軟な構成を低価格で提供すると共に、ファイ アウォールやジュニパーネットワークス適応型脅威管理ソリューション(AdTM)、VPN、MPLS(Multiprotocol Label Switching)、 IPv6、CLNS(Connectionless Network Service)などを始めとするサービスによって高性能なスループットを実現しています。
図1:高可用性を実現するキャンパスLAN構成
キャンパス・アーキテクチャ概要
階層型アプローチ 企業のキャンパスLANアーキテクチャは、アクセスレイヤー上にあるワイヤリング・クローゼットのスイッチに接続されたデスクトップ 機器から、大規模なキャンパスLANの中心部にあるコアレイヤーに至るまで、最大3つのレイヤーで構成することができます。階層的な トポロジーによってネットワークを物理的な構成要素にセグメント化することで、運用が簡素化され、可用性も向上します。階層的なイ ンフラストラクチャにおいては、各レイヤーがそれぞれ特定の役割を担っています。 図2:階層型アプローチ • アクセスレイヤーは、キャンパス内のエンドユーザーに対してアクセス・コントロールの境界を提供し、ネットワークのコネクティビ ティを実現します。 • アグリゲーション・レイヤーは、複数のアクセスレイヤーのスイッチからの接続とトラフィックフローを集約し、コアレイヤーのスイッ チにトラフィックを提供して、主要な機能を実行する周辺環境を実現します。 • コアレイヤーは、アグリゲーション・レイヤーのスイッチとWANおよびインターネットへ接続するルーター間において、セキュアなコ ネクティビティを提供し、企業間の連携を実現します。 本書では主に、キャンパスネットワークにおいて以上の3つのレイヤーをどのように配備するかについて説明します。また、関連する事項 についても、必要に応じて説明します。たとえば、キャンパス構成によっては、1つまたはそれ以上のレイヤーを省略する場合もあります。 Mシリーズ EX8200シリーズ Mシリーズ SBRシリーズ EX8200シリーズ EX8200 シリーズ ISGシリーズ SAシリーズ アクセスポイント OAC ICシリーズ EX4200 シリーズ EX4200 シリーズ EX4200 シリーズ EX2200/ EX3200 シリーズインターネット/
プライベートWAN
本社
OAC アクセス レイヤー – 10/100/1000BAS E-T アク セス レイヤー – 10/100/1000BA SE-T ア グ リゲ ー ショ ン・レイヤー – 10 GbEファ イバ ー アグ リゲ ーショ ン・レイ ヤー – GbE and 10 G bE LAG ファイ バ ー コアレイヤー - 10 GbE コ アレ イヤー – 10 GbE LAG デバイスのコネクティビティ データセンターのコネクティビティ デ ー タ セ ン タ ー キ ャ ン パ ス WAN (複数SPS)階層型アプローチのメリットと課題 多層アーキテクチャは、迅速かつ経済的に拡張可能なモジュール設計を提供するため、簡単にネットワーク構成を行うことができます。 また、再設計することなく、新しいサービスを追加することのできる柔軟なネットワークを構築することが可能になります。さらに、トラ フィックを分離し、負荷を各デバイスに分散できるため、トラブルシューティングを簡素化することができます。 3つのレイヤーでネットワークを構成するアプローチを採用するには、一般的に追加のハードウェアが必要となります。小規模のキャン パスにおいては構成、配備、管理にコストの負担がかかる可能性があるため、1つまたはそれ以上のレイヤーを省略することも可能で す。 注: 本書は主に、3階層型のLAN設計を対象としていますが、アグリゲーション・レイヤーとコアレイヤーを統合した2階層型の設計に ついても説明します。非常に規模の小さいキャンパスのLAN設計を行う場合は、「ジュニパー拠点/支店LANデザインガイド」に記載 の、複数のレイヤーを省略するLAN設計に関する記述を参照してください。 従来のネットワークは、帯域幅やスループット、ポート密度などの高まるばかりの要件に対応するために、非効率的かつ不向きなレガ シーハードウェアを何層も追加し、肥大化していく傾向にありました。その結果、これらのニーズに結局対応できないばかりか、管理もよ り複雑になり、ネットワークの可用性が低下したり、設備投資や運用コストが増大するなどといった問題も発生していました。 ネットワーク革命 ジュニパーネットワークスは、進化し続けるスイッチ市場に新規参入するために、これまでに学んだ教訓と幅広い経験を活かし、現時点 で表面化している課題だけでなく、将来の成長拡大にも対応できるような新しいイーサネットスイッチ製品シリーズとネットワーク・ソ リューション設計を開発しました。これらの新製品は、不必要なネットワークレイヤーを排除するように設計されており、高可用性や通 信の集約化、統合セキュリティ、高い運用効率などを実現するプラットフォームを提供します。ジュニパーネットワークスのソリューショ ンによって、ネットワークを簡素化しつつもその価値を高め、かつ運用コストを削減することが可能になります。つまり、ネットワークの 原理の向上と経済性の向上を同時に実現できるのです。
実装:アクセスレイヤー
キャンパスネットワークのアクセスレイヤーは、コンピュータやプリンター、IP電話、CCTVカメラなどの機器を有線または無線LAN (WLAN)のアクセスポイント経由で企業LANに接続し、エンドユーザーに向けてネットワーク・コネクティビティを提供します。アクセ スレイヤーのスイッチは通常、各キャンパス施設内の各フロアに配置されたワイヤリング・クローゼット内に配置されます。 図3:高可用性キャンパスLANにおけるアクセスレイヤー アクセスレイヤーは、ポリシーサービスやネットワーク・アクセス・コントロールによって、コネクティビティやPoE(Power over Ethernet)、QoS、セキュリティなどを提供します。 アグリゲーション・ レイヤー コアレイヤー L2/L3 スイッチ スイッチL2/L3 L2/L3 スイッチ L2/L3 スイッチ L2 スイッチ スイッチL2 アクセスレイヤー インターネット/ プライベートWANアクセスレイヤー設計に関する検討事項 有線ポートのコネクティビティ ポート要件に対応するためにはまず、あらゆるコンピュータやIP電話、CCTVカメラ、無線LANアクセスポイント、各種IPデバイスに対 して十分な数の有線ポートを用意する必要があります。次に、必要な論理セグメントや、1つのLANを共有する論理的に異なるネット ワークの数を決定しなくてはなりません。アクセスレイヤーのスイッチは拡張性と高可用性を備えている必要があり、また、アグリゲー ション・レイヤーのスイッチに対して、過剰供給されたために使用されていないギガビットイーサネットまたは10ギガビットイーサネッ トのアップリンクを提供する必要があります。これらの条件をもとに、必要なハードウェア構成の種類を決定します。 WLANのコネクティビティ 会議室やオフィス外で会議に参加する社員や、請負業者、パートナー、ゲストにとって、キャンパス内のどこでも無線アクセスができるの が理想です。現在では、さまざまな種類のIP機器が販売されており、実際に職場でも使われています。そのような機器は、特に身元が不 明なゲストが使用する場合が多く、包括的なセキュリティポリシーによって、信頼できるデバイス以外はキャンパスネットワークにアク セスできないようにする必要があります。また、特に請負業者、パートナー、ゲストなどに対してLANリソースの利用を制限し、認証され たユーザーだけが利用できるようにすることも必要です。さらに、ユーザーがキャンパス内のどの場所からでも同じように確実にログイ ンできるように、シームレスなサービスの提供も不可欠です。 柔軟かつローミング可能な無線ソリューションを実現する設計は、主に2種類あります。 • コントローラを使用しない無線アクセス̶この設計では、スイッチへのアクセスポイントとして802.1qトランクが必要です。ローミン グには、アクセスレイヤーのスイッチ間で、2つ以上のVLANをスパンする必要があります。 • コントローラを使用した無線アクセス̶この設計では、仮想化された集中型無線コントローラを使用します。アクセスポイントの VLANは、アクセススイッチに対してローカルに配置します。ローミングを行うために、キャンパスネットワーク内でVLANをスパン する必要はありません。 図4:柔軟かつローミング可能な無線アクセスソリューション PoE(Power over Ethernet)
現在では、多くのキャンパスでIP電話が使用されていますが、IP電話のほとんどはPoE機能を必要とします。また、PoE対応のセキュリ ティカメラやWLANデバイスを導入しているキャンパス施設も増えています。システム構成は、PoEポート数によって左右されるため、 その数を正確に把握する必要があります。アクセス機器によってはPoE機能を備えていない場合もあるため、その場合は従来の壁面コ ンセントを使用するIP電話やCCTVカメラ、WLANアクセスポイントなどを使用する必要があります。また、PoEポート数だけでなく、 各ポートに接続されている機器が必要とする電力レベルの確認も必要です。PoE機能を必要とする機器の多くは、最大で15.4ワットを 使用します。これは、クラス3のPoEの最大許容値です。
アグリゲーション
アクセス
コアへ
無線コントローラ
無線VLANs
L2/L3 スイッチ L2/L3 スイッチ 無線OAC 無線OAC L2/L3 スイッチ L2/L3 スイッチ アクセスポイント アクセスポイントしかし、高性能なパンやチルト、ズーム機能、IEEE802.11n規格に対応したWLANアクセスポイント機能などを搭載したセキュリティカ メラなど、一部の機器では、15.4ワット以上のPoEが必要な場合もあります。 バーチャルLAN(VLAN)とスパニング・ツリー・プロトコル(STP) キャンパスLANはVLANを使用して、場所に関係なく、ユーザーやデバイス、データなどを論理的にグループ化し、論理ネットワークに 割り当てます。その際、LAN上で物理的に機器を再配置するのではなく、ソフトウェア構成を変更します。VLANを採用することにより、 拡張性やセキュリティ、ネットワーク管理などの課題に対応しやすくなります。 VLANは、実質的に定義済みスイッチ内にのみ存在する、レイヤー2のブロードキャスト・ドメインです。パケットは、IEEE 802.1Q標 準のプロトコルを使用してカプセル化され、ユニークなVLANタグでマーキングされます。タグ付きパケットは、同じVLAN内のステー ションにのみ転送または送信されます。同じVLANに属さないステーションにタグ付きパケットを送信するには、ルーター経由で転送 する必要があります。スイッチおよびスイッチポートはすべて、動的または静的にVLANにグループ化することが可能です。また、トラ フィックをVLANにグループ化し、LAN上で送信される特定のデータプロトコルに基づいて特定のポート経由で転送することも可能で す。たとえば、ソフトフォンからのVoIPトラフィックを他のトラフィックからセグメント化して、より高いQoSを実現するVLAN上に配置 することもできます。 • スパニング・ツリー・プロトコル(STP) VLANは、ネットワークノード間で複数のアクティブパスを作成する場合があるため、ブリッジループの問題が発生するおそれがあ ります。複数のポート上に同じMACアドレスが存在することから、スイッチのフォワーディングテーブルに障害が発生する可能性も あります。また、ブロードキャスト・パケットがスイッチ間でエンドレスに転送され続ける可能性があり、その場合、使用可能な帯域や CPUリソースをすべて占有してしまいます。IEEE 802.1D標準であるSTPは、ブリッジ接続されたすべてのLANに対してループフ リーのトポロジーを保証します。STPは、接続されているLANスイッチのメッシュネットワーク内で最初にツリーを作成してから、そ のツリーに属さないリンクを無効にすることで、2つのネットワークノード間にアクティブパスを1つだけ残すように設計されていま す。そのため、アクティブなリンクに障害が発生した場合でも、自動的にバックアップパスを提供する冗長リンクを含むようにネット ワークを設計することが可能です。したがって、ブリッジループが生じる危険性や、バックアップリンクを手作業で有効/無効にする必 要もありません。VLANはそれぞれ、STPのインスタンスを個別に実行可能です。 • STPの問題点 ルーティングが複雑な場合や、コンフィグレーションや配線が誤っている場合は、STPでのトラブルシューティングが困難になること があります。また、パケットはすべて、スパニングツリーのルートブリッジを経由する必要があるため、ルーティングのパフォーマンス が不十分になる場合があります。さらに、負荷分散機能がなく、活用されないリンクが作成される場合も多々あります。加えて、トポロ ジー変更後のコンバージェンスに時間がかかり、最大30∼50秒を要します。こうした問題に対処するために作成されたのが、サブ セカンド・コンバージェンスを提供するラピッドSTP(RSTP)です。802.1s標準であるマルチプルSTP(MSTP)は、複数のSTPイン スタンスを同時に実行できますが、コンフィグレーションが複雑になるという欠点があります。 アクセスレイヤーにおけるレイヤー2またはレイヤー3の使用 アクセススイッチは、レイヤー2またはレイヤー3のいずれかを使用するように構成されています。 図5:アクセスレイヤーでレイヤー2/レイヤー3を使用 レイヤー3 レイヤー2 L2/L3 スイッチ L2/L3 スイッチ WANレイヤー アグリゲーション・レイヤー アクセスレイヤーでレイヤー3を使用 アクセスレイヤー L2/L3 スイッチ レイヤー3 レイヤー2 アクセスレイヤーでレイヤー2を使用 L2 スイッチ
• アクセスレイヤーでレイヤー2を使用した場合 アクセスレイヤーでレイヤー2を使用するのは、従来型のコンフィグレーションです。このため、プラグ・アンド・プレイのコンフィグ レーションを提供でき、小規模なネットワークでも実装や管理などが簡単です。 とは言え、レイヤー2の使用には、さまざまな課題も伴います。通常、STPが必要となるため、一方がアクティブで、もう一方が冗長と いう複数の接続が発生します。また、OSPFでレイヤー2とレイヤー3との境界を設定すると、複数の故障分離ドメインが追加される ため、ネットワークの構成や管理がさらに複雑化します。また、トラブルシューティングも困難になりがちです。さらに、スイッチやリン クに障害が発生した場合に、コンバージェンスに時間がかかりすぎるため、キャンパスLANの高可用性が保証できなくなる可能性 があります。 • アクセスレイヤーでレイヤー3を使用した場合 アクセスレイヤーでレイヤー3を使用する場合は、スイッチでのルーティングが可能ですが、別のVLAN上にユーザーを配置する機 能も提供できます。レイヤー3はより確定性があります。レイヤー2のループがこの設計上で作成されることはありません。レイヤー3 は、アクセススイッチからアグリゲーション・レイヤーへのアップリンク側に構成し、レイヤー2は、デバイスへのアクセススイッチ側 に構成します。STPを有効にすると、不用意なループを防止することができます。また、STPを無効にしてブリッジ・プロトコル・デー タ・ユニット(BPDU)の保護を有効にすると、トラブルシューティングがより簡単になります。STPを無効にした状態で、OSPFなどの オープンスタンダード・プロトコルを使用して、サブセカンド・コンバージェンスを行うことも可能です。大規模で複雑なネットワーク の場合は、アクセスレイヤーでレイヤー2を使用するソリューションと比べて、メンテナンスの手間が少なくて済みます。ただし、レイ ヤー3を使用する場合は通常、追加のライセンス料が発生するため、従来型のネットワーク機器を使用する場合はコストが高くなり ます。 • 推奨事項 競合他社の製品とは異なり、ジュニパーネットワークスのソリューションは、アクセスレイヤーでレイヤー2およびレイヤー3のどち らを使用しても追加コストがかかることはありません。レイヤー3の機能は、ベースとなるJunos® OSライセンスに組み込まれてい るため、ライセンス料金が追加で発生することはありません。また、ジュニパーネットワークスのソリューションは、STPの代わりに、 OSPFなどのオープンスタンダード・プロトコルを採用しており、等価コストマルチパス(ECMP)によって迅速なコンバージェンス を実現します。バーチャルシャーシ・テクノロジーを搭載したジュニパーネットワークスのEX4200イーサネットスイッチを使用した LAN設計では、STPの代わりに最適化を実現した冗長トランクグループ(RTG)プロトコルを内蔵しているため、サブセカンド・コン バージェンスや自動化された高性能な負荷分散などが可能になります。さらに、Lake Partners1が2007年に発表した調査結果に よると、ジュニパーネットワークスのソリューションを導入した場合の運用コストは、競合他社のソリューションと比べて最大で29% も低いことが明らかになりました。また、バーチャルシャーシ・テクノロジーを搭載したジュニパーネットワークスのスイッチ製品は、 デバイス管理も簡単なため、競合他社と比べてCAPEX(設備投資)やOPEX(運用コスト)を削減することが可能になります。 統合型通信の導入における検討事項 1つのネットワーク・インフラストラクチャ上で音声や動画、データを配信すれば、コストを大幅に削減できるだけでなく、運用を簡素化 できるというメリットも生じます。また、通信コストや、ネットワークのTCOの削減も可能な上、ネットワーク管理やメンテナンス業務も 簡素化できます。しかしその一方で、QoSやセキュリティ、ポート設定要件など、ネットワークに関連したさまざまな課題も発生します。 統合型通信では、大半のデータアプリケーションには不要とされている、リアルタイム要件が発生します。たとえば、VoIPパケットは、 ネットワークの利用率が高い場合や過密状態にあっても、高品質の音声通信を実現するためにLAN/WAN内を効率的に伝送する必 要があります。LANやWANの帯域幅を追加することもできますが、それだけでは音声配信に適したネットワーク環境にはなりません。 高品質のVoIP通信を保証するためには、QoSキューイングやスケジューリングによって、レイテンシやジッター、パケットロスなどの一 般的な課題を解消しなくてはならないのです。確実な設計を実現するためには、アクセスベースのセキュリティ対策だけでなく、IP電話 の導入に伴って発生するポート密度やPoEといった要件への対応も不可欠となります。 1. QoS アクセスレイヤーのデバイスは、パフォーマンスを最適化、つまりQoSを保証するめに、LAN上のトラフィックの認識や分類、キュー イングなどの機能を備えている必要があります。認識されたトラフィックを適切に割り当てて管理することによって、統合型通信など の各アプリケーションがLAN全体で十分なパフォーマンスを発揮できるようになります。 • クラス分け機能とエンフォースメント QoS要件は、LAN上のデータフローの種類によって異なります。Webブラウザや電子メールなどを始めとする従来のアプリケーショ ンについては、IPネットワークのベストエフォート型の送信基準で問題なく機能します。ただし、音声の送信やテレビ会議など、さま ざまなリアルタイム・アプリケーションを効果的に実行するためには、さらなる要件を満たす必要があります。たとえば、リアルタイム の音声データは、ストリーミングビデオとは異なり、キャッシュに格納したり、損失したパケットを再伝送することができません。音声 データの大幅な遅延が発生することで通信の質が損なわれてしまい、カスタマー・エクスペリエンスが著しく低下する可能性がある ためです。したがって、QoSポリシーを作成する場合には、音声パケットを最優先に考慮する必要があります。
IP電話などの通信機器は通常、LAN上で物理的に散在しています。前述のように、VLANは、場所に関係なく音声やテレビ会議、 データトラフィックなどを論理VLANにセグメント化することができるため、適切なQoSパラメータを簡単に適用し、各データフロー に対する最適なサービスを維持することが可能です。 QoSを実現するには、MACアドレスやIPアドレス、物理ポート、プロトコルなどを組み合わせてデータをクラス分けします。たとえ ば、特定のLANセグメントに接続されているIP電話のブロックは、IP電話のポート番号に基づいて音声伝送用として指定された VLAN上に配置することができます。または、LLDP-MEDを使用してIP電話を検知し、自動的にVLAN上に配置することも可能で す。さらに、ソースポートに関係なく音声データを最優先に設定することで、ソフトフォンからのトラフィックをプロトコルレベルで分 析することもできます。DSCPに基づき、データが適切にクラス分けされたら、次にキューイングとスケジューリングを実行します。最 も重要なのは、LAN/WAN全体で同じQoSルールを一貫して適用することです。 • 組み込み式QoS ジュニパーネットワークスのインフラストラクチャやセキュリティ、アプリケーション・アクセラレーション・ソリューションにはすべて、 QoSおよびCoS(Class of Service)機能が組み込まれています。ジュニパーネットワークスのスイッチおよびルーターにはすべて Junos OSが搭載されています。Junos OSは、標準仕様としてQoSサービスをフル装備しています。たとえば、EXシリーズ イーサ ネットスイッチは、1ポート当たり8個のハードウェアキューに対応でき、ベストエフォート型の配信から、高度かつ確実な配信まで、幅 広いポリシングを提供しています。ジュニパーが提供するすべてのルーターおよびスイッチ・ソリューションに同じJunos OSが採用 されているため、LAN/WAN設計全体においてQoSポリシーを統一することが可能です。したがって、一貫性のあるトラフィック管 理が簡単に実現できます。さらに、ジュニパーの全ソリューションで採用されているASICはQoSに対応しているため、優先順位が高 く設定されたデータを処理し、CPU負荷を最小限に抑えることが可能です。
注: VoIP QoSの詳細については、ジュニパーネットワークスの「VoIP on the WAN: It s a Matter of Priorities」(2005年8月出版 番号351113-001)を参照してください。 2. セキュリティ データネットワークに統合型通信を導入すると、セキュリティの脅威が増え、サービスに深刻な影響を及ぼす可能性があります。した がって、ネットワーク外部からの悪意のある攻撃や、ネットワーク内からの不注意による攻撃などを防御する必要が生じます。今日で は、新たな手法による通話料金詐欺や、傍受などを始めとする新しいセキュリティ脅威が続々と検出されています。新しいエントリー ポイントが作成され、VoIPシステムに不正侵入されると、企業LANへのバックドアができてしまいます。その結果、企業LANはウィ ルスやワーム、DoS攻撃、不正アクセスなどあらゆるセキュリティリスクにさらされてしまうのです。そのため、VoIPソリューションを 配備する際は、他のネットワーク・アプライアンスの場合と同様に、デバイス自体のセキュリティを確保するだけでなく、VoIPを配備 することによって生じるネットワーク全体へのリスクについても把握する必要があります。VoIP関連の攻撃や一般的な侵入を阻止す るためには、ジュニパーネットワークスのIDPシリーズ 侵入検知防御アプライアンスが最適です。また、802.1Xソリューションを導入 し、ポリシーベースのアクセスによってエンドポイントの認証と管理を行う必要があります。802.1Xクライアントをサポートしていな いVoIP電話を使用する場合は、MACベースの認証機能を備えたEXシリーズのスイッチの利用をお勧めします。また、プロトコルに 特化したALG(Application Level Gateway)機能を全ファイアウォールに設けて、VoIP通話のたびにポートを動的に開閉する手 法も効果的です。 脅威への対処 DDoS攻撃など外部からの侵入者やその他の脅威を防御するためには、アクセスレイヤーに統合セキュリティ機能を装備することが不 可欠です。まず、ユーザー認証とウィルスチェックを実施し、その後、誰がどのネットワークリソースにアクセス可能かを決定するエンド・ ツー・エンドの綿密なセキュリティポリシーを実行するなど、セキュリティ機能の強化が必要です。さらに、ビジネスプロセスを確実に実 行するためにQoSポリシーの設定も必要となります。 モジュール型シャーシテクノロジー キャンパスLANは、新たな設備投資やネットワーク・オーバーヘッド、運用コストなどをあまり発生させずに、成長や新しい技術に迅速 かつシームレスに対応できる必要があります。そのような課題を解決するためには、アクセスレイヤーにモジュール型シャーシソリュー ションを導入することをお勧めします。
モジュール型ソリューションは、オプションとしてコスト効率の高いPoE機能を備えた、高密度かつ高速なポートを提供することが理想 的です。また、モジュール型シャーシはそれぞれ、高速のアップリンク接続を提供し、従来のシャーシベースのソリューションと同様の高 可用性を実現する必要があります。さらに、複数のスイッチを単独のバーチャルシャーシとして構成し、一括して管理できることも必要 です。これにより、高可用性の向上とともに、設備投資や運用コストの大幅な削減も可能になります。 アクセスレイヤー・ソリューション バーチャルシャーシ・テクノロジーを搭載した拡張可能なアクセスソリューション ジュニパーネットワークスは、拡張性の高い革新的なアクセスソリューションとして、バーチャルシャーシ・テクノロジー搭載のEX4200 イーサネットスイッチを提供しています。このソリューションは、コンパクトでコスト効率の高い「pay-as-you-grow(成長に応じた投 資)」プラットフォームにおいて、モジュール型シャーシの高可用性と高ポート密度を実現することにより、ネットワークの経済性を高め ます。 1. 特長・メリット EX4200スイッチはコンパクトな筐体の中に、24ポートの100BASE-FX/1000BASE-X、24ポートの10/100/1000BASE-T、 48ポートの10/100/1000BASE-Tのいずれかを備えています。10/100/1000BASE-Tプラットフォームでは、すべてまたは一部 のポートにPoE機能を搭載しています(一部の場合は、スイッチの最初の8ポートがPoEに対応しており、すべての場合は全24ポー トまたは48ポートがPoE対応)。各PoEポートは、最大電力15.4ワットを供給し、クラス0∼3のIP電話に対して互換性を備えていま す。また、EX4200シリーズ スイッチはLLDP-MED機能を搭載しており、各PoEエンドポイントの電力管理を自動化したり拡張でき るだけでなく、インベントリ管理やディレクトリの作成もサポートします。 EX4200イーサネットスイッチはオプションとして、4ポートのギガビットイーサネットまたは2ポートの10ギガビットイーサネットの いずれかに対応可能な、フロントパネルのアップリンクモジュールをサポートしているため、アグリゲーション・スイッチまたはコア スイッチへの高速接続が可能です。これらのアップリンクは、オンラインでの追加や削除にも対応しています。 図6:バーチャルシャーシ・テクノロジー 2. Pay-As-You-Grow(成長に応じた投資)による拡張性 EX4200イーサネットスイッチはジュニパーネットワークスのバーチャルシャーシ・テクノロジーを採用しているため、必要に応じ てキャンパスにいくつでも追加することが可能です。それによって、コネクティビティ要件を満たすことができます。ジュニパーネット ワークス独自のpay-as-you-grow(成長に応じた投資)型モデルでは、まず1台のEX4200イーサネットスイッチ(1RU)から始め て、バーチャルシャーシに段階的にスイッチを9台追加し、全部で10台になった時点で、次のバーチャルシャーシの構成を開始しま す。各スイッチは128Gbpsのバーチャル・バックプレーン、ギガビットイーサネットまたは10ギガビットイーサネットのアップリンク モジュール、最大で240ポートの100BASE-FX/1000BASE-Xまたは480ポートの10/100/1000BASE-Tもしくはこの2種類の 組み合わせをサポートするフル装備のバーチャルシャーシ構成、さらに最大で20個の10ギガビットイーサネットのアップリンクポー トまたは40ギガビットイーサネットのアップリンクポートもしくはこの2種類の組み合わせによって相互接続されています。 バーチャルシャーシ・テクノロジーを採用することで、相互接続されているスイッチのグループを、ネットワーク上で1つのユニット として遠隔管理でき、従来のシャーシシステムと比べて設備投資や運用コストを大幅に低減することが可能になります。バーチャル シャーシ構成がもともとコンパクトであることに加え、段階的に拡張可能な「Pay-As-You-Growモデル」を活用することにより、キャ ンパス内のラックスペースの使用面積を直接的に低減できるだけでなく、電力コストや冷却コストの削減も実現できます。予算に限 りのある小規模なキャンパスの場合は、ジュニパーネットワークスEX3200イーサネットスイッチもお勧めです。バーチャルシャー シ・テクノロジーは搭載されていませんが、それ以外には、EX4200とほぼ同等の堅牢性を備えています。 EX4200シリーズ EX4200シリーズ EX4200シリーズ EX4200シリーズ スイッチ 1ラックユニット 48ギガビットイーサネット+ 10ギガビットイーサネット ×2ポート EX4200シリーズ スイッチ 2ラックユニット 96ギガビットイーサネット+ 10ギガビットイーサネット ×4ポート EX4200シリーズ スイッチ 4ラックユニット 192ギガビットイーサネット+ 10ギガビットイーサネット ×8ポート レガシースイッチ 12-15ラックユニット(RU) 48-288ギガビット イーサネットポート+4
3. キャリアクラスの信頼性 バーチャルシャーシ・テクノロジー搭載のEX4200スイッチは、モジュール型シャーシをベースにしたシステムと同等の高可用性を備 えています。各スイッチは、負荷分散機能を備えたホットスワップ対応冗長AC/DC電源と、冗長ブロア付きでフィールド交換可能なホッ トスワップ対応ファントレーを装備しており、万一障害が発生した場合でも、運用に支障が出ることはありません。 バーチャルシャーシ・テクノロジーは、バーチャル・バックプレーン・プロトコルとJunos OSを活用し、優れた性能を備えたデバイスと、 高可用性リンクを実現します。相互接続された各スイッチセットは、バーチャルシャーシ・テクノロジーを搭載しているため、複数のルー ティングエンジンに備わったグレースフル・ルートエンジン・スイッチオーバー(GRES)機能とノンストップ・フォワーディング(NSF)機 能を自動的に活用でき、万が一個別のスイッチが故障した場合でも、運用が中断されることはありません。デバイスや高可用性リンク を追加する際にも、バーチャルシャーシを構成することで、あらゆる要件に対応することが可能になります。たとえば、10個のスイッチで 構成されているバーチャルシャーシをスイッチ5個ずつからなる2つのバーチャルシャーシに再構成するなど、組み合わせを自由に変 更することもできます。 4. ロケーションの独立性 バーチャルシャーシ・テクノロジーのもう1つの大きな特長は、バーチャル・バックプレーン・プロトコルをオプションのギガビットイー サネットまたは10ギガビットイーサネットのアップリンクポートにも適用することで、数メートル以上離れているスイッチを相互接続 できるという点です。これにより、複数のワイヤリング・クローゼットやフロア、サーバーラック、ビルなどにまたがるスイッチを1つの バーチャルスイッチとして管理できるようになります。場所が離れていても、バーチャルシャーシ・テクノロジーを利用して相互接続 されたスイッチは一括して管理、監視、アップグレードなどができるため、弾力性を備えた1つのスイッチとして扱うことができます。 そのため、管理コストや保守コストを大幅に削減することが可能になります。 図7:バーチャルシャーシ・テクノロジーによるCAPEXおよびOPEXの削減 EX4200 シリーズ EX4200 シリーズ L2/L3スイッチ 1階フロア フロア 1階フロア バーチャルシャーシ バーチャルシャーシ フロア
西側クローゼット
東側クローゼット
西側クローゼット
東側クローゼット
スタンドアロン型またはスタッカブル型の配備
EX
シリーズ バーチャルシャーシ・テクノロジーを採用した場合の配備
管理が必要な ワイヤリング・ クローゼットを 50%削減 L2/L3スイッチ L2/L3スイッチ L2/L3スイッチ EX4200 シリーズ EX4200 シリーズ5. CAPEXおよびOPEXの削減 バーチャルシャーシ・テクノロジーを搭載したEX4200は、次世代のスイッチングを実現します。ファイバー用の48ポート・ギガビッ トイーサネットとワイヤスピード対応の4ポート・10ギガビットイーサネットを搭載した、現在最も一般的であるシャーシベースのス イッチと比較して設置面積を6分の1に、コストを3分の1以下に削減します。 EX4200イーサネットスイッチは、競合他社のソリューションでは高コストなアドオン機能として提供されている機能を標準装備し ています。たとえば、EX4200は、ベースプラットフォームにレイヤー3を備えており、10ギガビットイーサネットのアップリンク機能 を内蔵しています。さらに、一部または全体においてPoE機能を提供し、内蔵型の冗長電源も装備しています。つまり、1つのプラット フォームにさまざまな機能を搭載し、コストの最適化を実現した製品なのです。設備投資に関しては、Junos OSの機能セットと遠隔 ミラーリング機能を搭載しているため、中央のネットワーク・オペレーション・センター(NOC)にトラブルシューティングを全面的に 任せることが可能です。つまり、メンテナンスやアップグレード、デバッグなどの際にオンサイトのITスタッフを派遣する必要がない ことから、運用コストも削減できます。 ジュニパーネットワークスは、レイヤーを省略することによって、ネットワーク上のデバイス数を削減し、設備投資や運用コストの低 減を実現するだけでなく、さらにバーチャルシャーシ・テクノロジーを採用することで、貴重なラックスペースや電力コスト、冷却コス トなどの削減にも寄与します。また、バーチャルシャーシ・テクノロジーによって、貴重なIT予算をビジネスの生産性向上にむけた新 技術への投資へ回すことが可能になります。 注: 特長やメリット、仕様などの詳細については、ジュニパーネットワークスEX4200イーサネットスイッチのデータシートを参照して ください。 無線ソリューション キャンパスにおいて無線サービスの提供を考えているお客様には、ジュニパーネットワークスのパートナー企業であるAruba Networks、Trapeze Networks、Meru Networksが提供するセキュアなWLANソリューションをお勧めします。ソリューションはい ずれも、ジュニパーネットワークスのエンタープライズ向け802.1Xアクセス・クライアント・ソフトウェア、Odysseyアクセス・クライアン ト(OAC)にシームレスに統合されています。OACは、ジュニパーネットワークスのOdysseyアクセス・クライアント・サーバーやSBR シリーズ Steel-Belted Radiusサーバーなど、802.1Xとの互換性を備えたRADIUSサーバーと連動することにより、認証ユーザー だけに接続を許可して、ログインの信頼性を確保するとともに、無線リンク上で送受信されるデータのプライバシーを保護し、WLAN ユーザーの認証と接続の安全性を確保します。OACの特別バージョンでは、米国連邦情報処理規格(FIPS)の140-2レベル1の暗号モ ジュールを採用しているため、政府機関のセキュリティ要件にも対応しています。またOACでは、有線と無線による802.1Xアクセスの 一括導入が可能なため、時間や手間を省くことができる上、ユーザー・エクスペリエンスを簡素化し、トレーニング費用を削減すること ができます。そのため、IDベース(有線802.1X)のネットワークを配備する企業に最適です。
アグリゲーション・レイヤー
アグリゲーション・レイヤー(分散レイヤーともいう)は、複数のアクセスレイヤー・スイッチからの接続とトラフィックフローを集約し、 LANコアへの高密度なコネクティビティを提供します。 図8:高可用性キャンパスLANにおけるアグリゲーション・レイヤー アグリゲーション・レイヤーのスイッチは、ネットワーク上におけるその位置により、拡張性、ワイヤレート対応の高密度ポート、高可用 性のハードウェアおよびソフトウェア機能を備え、キャリアクラスの信頼性と堅牢性を実現する必要があります。また、冗長性を確保する ためには、アクセス・ワイヤリング・クローゼットからの複数のギガビットイーサネット・ダウンリンクが必要です。コアへの10ギガビット イーサネット・アップリンクも複数確保しなくてはなりません。 アグリゲーション・レイヤーでは、決定的動作を行うために、ワイヤレートのパフォーマンスを提供する複数のスイッチを配備すること で、冗長性を保証します。ルート集約や高速コンバージェンス、負荷分散、冗長パスを実行するには、スイッチはレイヤー3で動作する必 要があります。 アグリゲーション・レイヤー設計に関する検討事項 セグメント化/仮想化アグリゲーション・スイッチは、GRE(Generic Routing Encapsulation)トンネリングにも対応している必要があります。遠隔地から NOCのモニタリングデバイスへミラーリングされたトラフィックを送信することで、トラブルシューティングや分析を集中管理したり、 STP関連の問題を発生させることなく独立したオーバーレイ・ネットワークを構築するためです。 分散スイッチング 新しい技術の登場に伴い、近年ネットワークの設計にも変化が生じています。管理者は常に、レイヤー3をアクセスレイヤーに押しやる ことなくSTPを排除する方法を模索しています。最近、コア/アグリゲーション・レイヤーに分散スイッチングを導入するという方法が注 目を集めています。この方法では、冗長なデバイスが1つの論理デバイスを構成します(図9参照)。
コアレイヤー
L2/L3 スイッチ スイッチL2/L3 L2/L3 スイッチ L2/L3 スイッチ L2 スイッチ スイッチL2アクセスレイヤー
アグリゲーション・
レイヤー
インターネット/
プライベートWAN
図9:コア/アグリゲーション・レイヤーにおける分散スイッチング コア/アグリゲーション・レイヤーに分散スイッチングを導入することで、以下のメリットが実現できます。 • STP排除(リンク・アグリゲーション・グループを構成し、レイヤー3をアクセスレイヤーに押しやることなくSTPを排除) • レイヤー2はアクティブ/アクティブトポロジーを構成 • 単一管理 コア/アグリゲーション・レイヤーに分散スイッチングを導入する際には、以下の点を考慮する必要があります。 • 空間冗長性の欠如 • ソフトウェア管理̶アップグレードプロセスはどのようなものか? • シャーシ内の高可用性̶ルーティングエンジンの機能が停止した場合は、バーチャルスイッチの半分が作動しなくなる可能性はあ るか? • システムの一部の機能が停止した際のスイッチ容量̶バーチャルシステムの半分が機能停止した場合、残りの半分でその分の負担 も処理できるか? • スプリットブレイン̶システムを2つに分割した場合どうなるか? アグリゲーション・レイヤー・ソリューション 拡張可能なアグリゲーション・レイヤー・ソリューション 高可用性キャンパスのパフォーマンス要件に対応するために、LAN設計にアグリゲーション・レイヤーを含めることで、高可用性機能 や拡張性を向上させることができます。ジュニパーネットワークスのEX4200やEX8200シリーズのイーサネットスイッチは、両製品と もアグリゲーション・レイヤーで必要とされるパフォーマンスとサービスを提供します。 1. 高可用性 ハードウェア・コンポーネントの冗長性については、EX4200およびEX8200シリーズはいずれも、ネットワーク・アグリゲーション・ デバイスには不可欠な冗長ルーティングエンジン、冗長スイッチファブリック、冗長電源やファンを備えています。また、いずれのプ ラットフォームもモジュール性、弾力性の高いJunos OSを搭載しているため、GRESなどソフトウェアの高可用性機能だけでなく、 ルーティングプロトコルのグレースフル・リスタートやBFD(Bidirectional Forwarding Detection)プロトコルなども提供できま す。これにより、フォワーディング操作を維持できるため、デバイス障害やリンク障害の際のダウンタイムを最小限に抑えることが可能 になります。EXシリーズのプラットフォームは、ソフトウェア・ロードマップが許す限り、Junos OSのノンストップ・ルーティングやブ リッジング、統合型インサービス・ソフトウェア・アップグレード(ISSU)にも対応できます。 EX4200 シリーズ EX4200 シリーズ 分散スイッチング バーチャルシャーシ バーチャルシャーシ バーチャルシャーシ
インターネット/WAN
コアレイヤー
LAG
LAG
LAG
2. 拡張可能なパフォーマンス EX8200シリーズのモジュール式スイッチは、大規模キャンパスのアグリゲーション要求にも応えることのできる、高密度、ハイパ フォーマンスかつパワフルな10ギガビットイーサネットおよびギガビットイーサネット・ソリューションを提供します。EX8200シ リーズのイーサネットスイッチは、最大スループット3.2Tbpsを実現するとともに、最大64ポート(8スロットシャーシ)または128 ポート(16スロットシャーシ)の10ギガビットイーサネットをワイヤスピードで提供します。 EX4200-24Fの24ポートSFP+2ポート10ギガビットイーサネット製品ラインは、低から中程度の密度のギガビットイーサネット のアグリゲーションニーズに理想的です。高度なバーチャルシャーシ・テクノロジーにより、128Gbpsのバックプレーン経由、また はオプションのギガビットイーサネットまたは10ギガビットイーサネットのいずれかのアップリンクモジュール経由で最大10個の EX4200スイッチを相互に接続することが可能となり、シームレスな拡張性を実現できます。また、これらのデバイスを1つのユニッ トとして扱うことができるため、管理も簡単になります。さらに、同じバーチャルシャーシ(最大10個のEX4200スイッチ)を構成する スイッチであれば、どのスイッチからでも複数の10ギガビットイーサネット・アップリンクを物理的なロケーションに関係なくリンク 集約できるため、他のアグリゲーション・スイッチやコアスイッチに対する高帯域接続が可能になります。 3. CAPEXおよびOPEXの削減 現在のハイパフォーマンスなキャンパスで必要とされる、ワイヤスピードポート密度を実現するためには、レガシーなレイヤー3ス イッチの場合では通常、3階層以上で構成する必要があります。しかし、ジュニパーネットワークスのEX4200イーサネットスイッチ は、こうしたニーズにも対応できるだけでなく、LANのコアレイヤーやアグリゲーション・レイヤーの省略を可能とするため、ネット ワークの経済性を直接的に向上できます。さらに、バーチャルシャーシ・テクノロジーの採用により、Junos OSのアップグレードや移 行、追加、変更だけでなく、トラブルシューティングや問題解決に至るまで、ネットワーク運用の簡素化を実現し、あらゆる面において 運用コストを低減できます。 これまでは、アグリゲーション・レイヤーの要件である、1000BASE-Xの光ファイバーに対応できる高ポート密度と高可用性機能 の両方を備えているのは、高価なシャーシベースのスイッチだけとされてきました。しかし、このようなモジュール式のシャーシ型ス イッチは、拡張性と高可用性は備えていても、こうしたアプリケーションにおけるコスト効率の良いソリューションではありません。ま ず、フルに搭載する前から、シャーシや一般機器などに対する大規模な投資が必要になります。また、モジュール型シャーシは大きい ため、すでに込み合っている状態のラック内でさらなるスペースが必要となり、貴重な資産を占有してしまいます。さらに、消費電力 や冷却コストが大きいため、運用コストの増大につながるだけでなく、環境に悪影響を及ぼす温室効果ガス排出の要因にもなって います。 バーチャルシャーシ・テクノロジー搭載のEX4200は、次世代のアグリゲーション・スイッチングを実現します。設備投資や運用コス トを削減しながら、より大きな価値を提供できるため、余剰として生じた貴重なITリソースを、ビジネスの生産性向上にむけた新技 術への投資へ回すことが可能になります。 注: 特長やメリット、仕様などの詳細については、ジュニパーネットワークスEX4200イーサネットスイッチのデータシートを参照して ください。
