ルータ/スイッチの仮想化についてJuniper NETWORKSさんに聞いてきました

   このエントリをはてなブックマークに登録    2008/6/10-2

Juniper NETWORKS(ジュニパーネットワークス)」さんの取材に行ってきました。 主にルータやスイッチの仮想化に関して伺いました。

以下、取材内容です。 「Q:」部分が質問で、それに続く文章がJuniper NETWORKSご担当者様による回答です。

Q: 最近「仮想化」に関して良く目にしますね?

仮想化には大きく分けて2種類あります。 複数のものを一つに見せて拡張性を高めるものと、逆に一つのものを複数に見せるものです。

最近流行は「グリーンIT」というキーワードに代表される環境問題対策が注目されています。 消費電力を削減する技術の一つとして注目されているのが一つのものを複数に見せる「仮想化」です。

仮想化を行えば、機器の数を減らす事が可能であるため、省電力化が可能です。 ネットワーク機器が占める電力は1割ぐらいではないかと言われていますが、そこでの消費電力を抑えることによって「環境にやさしい」通信ネットワークを実現できます。

仮想化自体は昔からある概念ですが、最近大きく注目されているのはグリーンITの影響があると思います。

ただ、仮想化を行うと複数の機能を一台の機器に任せることにもなるので、Single Point Of Failureになる恐れもあります。 ここら辺は環境と資源(予算)などとのトレードオフになってきます。

Q: 仮想化ができる製品を教えて下さい

EXシリーズ

まず、最初に弊社で最も旬な機器を紹介させて下さい。

複数のスイッチを一つに見せる事が可能なEXシリーズスイッチです。 弊社では、この機能を「バーチャルシャーシ」と呼んでいます。

元々弊社はコアルータを扱っていたのでスイッチは扱っていませんでした。 しかし、弊社SSL VPN製品を利用していただいているお客様などから「スイッチも出してください」というご要望を頂いたため、スイッチを開発しました。

EXシリーズには3200、4200、8200がありますが、仮想化機能があるのはEX4200です。


EX4200

one boxのスイッチは24ポート、もしくは48ポートで10Gx2かGbEx4をオプションで追加可能です。 冗長電源を追加可能である点や、ファントレー(扇風機)が3つあり2つ壊れても大丈夫というのも大きな特徴です。 通常はファンがおかしくなるとボックスごと交換が必要なのが一般的ですが、本機では対応が可能です。

このスイッチは10台まで相互接続可能です。 相互接続とは、複数のスイッチを重ねて一つに見せることです。 各スイッチにはバーチャルシャーシ用の専用端子があり、それらを接続することで仮想的に一つのスイッチとして見せることができます。

弊社バーチャルシャーシはラックを跨いで横に接続することも可能です。 複数のラックを跨いで一つのシャーシのように見えます。 さらに、光ファイバを利用した遠距離接続によるバーチャルシャーシ接続も可能です。 バーチャルシャーシ接続をしている光ファイバの中にはイーサフレームが流れていますが、内部データは独自データです。

セキュリティ分野での仮想化の技術

セキュリティ分野ではVSYS(Virtual System機能)を利用した仮想化技術があります。 VSYSはあたかも複数のOSが走っているかのように見せる機能です。 それぞれのVSYS毎に別々のポリシを決めることができます。

それにより、ネットワークに侵入もしくは増殖する攻撃に対しても仮想化されたIDPによる攻撃防御が可能となります。 ロールベースによる管理のため、キャリアは別々のセキュリティチームに権限委譲させることも可能となります。 さらに、あるチームはIDPのみを、また別のチームはファイアウォール、VPNなどを分割管轄することもできます。

例えば、キャリアが企業向けにVPNサービスをするときを考えます。 NetscreenとかSCNがいて、VPNを張るという状況で、A社用にVSYSを作ります。 また、B社だったらB社でVSYSを切ります。 仮想化技術が無い場合、個別に箱を購入する必要がありましたが、VSYS機能を利用する事によって一つの機器で複数のクライアントに対して別々の権限委譲等ができるようになります。

Q: VSYSは複数のOSが走っているというイメージですか?

厳密に言うと複数のOSではありません。 VSYS毎に一つのOSでプロファイルを作っています。 レイヤーの高いところでバーチャライゼーションを行っています。

各VSYSには、インターフェースがマッピングされます。 また、各VSYSの中は完全にセパレートに出来るようになっています。

ロジカルルータ、バーチャルルータ

ロジカルルータという仮想化技術もあります。 これは、数年前から使われている機能です。

ロジカルルータ(以下LR)は1台のルータを論理的に分割し、複数のルータとして動作、操作を可能にする機能です。 LRによって物理的に1台のルータをいくつかのサブセットに分割、設定や操作を個別に行えるようになり、管理性が向上します。 当然大きなルータを小さないくつかのルータとして使用することもできますし、サービスごとにルーティングを分割するなど、フレキシブルな使用が可能になります。 マルチサービスを同一ルータ上のLRにおいてサポートできることによって、資産の有効活用を実現します。 一方でVRは、コントロールプレーンまでは、分離できませんがルーティングは、個別に管理されます。

SSL VPNの仮想化(SAシリーズ)

今まではSSL VPNというソリューションではリモートアクセスをメインとして使うパターンが非常に多いという傾向がありました。 企業やユーザでSSLゲートウェイを設置し、そこにアクセスをするという方式です。

SAシリーズのうち、一台のシャーシを使って複数台のSSL VPNが動作させる機能があります。 これをIVS(Instant Virtual System)機能と呼び、SA4000/4500, 6000/6500においてIVSをサポートしております。 この機能は、キャリアのマネージドサービスなどでの利用が可能です。


SA6500

例えば、データセンターだと一番わかりやすいのですが、各ユーザ毎にリモートサービスを提供するために1台で5ユーザを収容するとします。 それぞれが個別の独自のドメイン名をもっていて、SSL VPNがドメイン毎に独立しています。 仮想化することで、1台のハードでいながら複数のドメインを持つことが可能であれば、非常に管理が簡潔になります。 このとき、ユーザからだと一台の専用SSL VPNがあるように見えます。 キャリアであったり、データセンターであったりがこのような運用をできます。

認証サーバはSA内部に持つこともできますし、ActiveDirectoryやRADIUSといった外部認証サーバとの認証連携を行うことも可能です。

Q: 今はどれぐらいこれが利用されていますか?

国内での実績はそれほど多くはありませんが、World wideではMSPやデータセンターなどで実績がございます。

Q: SSL VPNでこのような製品が今まで何故なかったのでしょうか?

なかなか、まだそこまで仮想化の要望がなかったからかも知れません。 技術的に見てどこまで仮想化するのかが難しいというのもあります。

元々普通のサーバ環境においてはSSL VPNでできてはいたのですが、こういうアプライアンスの製品で仮想化までできるというのは少ないと思います。

Q: 冗長性を高めるための最近の流行を教えて下さい?

NSR(Non-Stop Routing)やISSU(In Service System Upgrade)というのがあります。

NSR (Non-Stop Routing)

NSRは、障害が発生しても経路制御やフォワーディングを継続するための仕組みで、カーネル/インターフェース/設定情報/経路情報を維持します。 コントロールプレーンを冗長化することにより、何か障害が発生して内部でリスタートをかけている間もルータやスイッチとしての処理は継続します。 さらに、ピアとの接続性なども保持されます。

現状では、OSPFv2/OSPFv3/BGP/PIM-SM(IPv4のみ)/IGMP/LDP/MPLS L2VPN/MPLS L3VPN(LSP signaled by LDP)/BFD(Bi-directional Forwarding Detection)などがNSR対応になっています。

ISSU (In Service System Upgrade)

様々な理由によってOSなどのソフトウェアのアップデートが必要になることがありますが、ISSUによってリスタートせずにアップグレードができます。 ISSUでは、旧OSと新OSの状態を両方とも保持し、瞬時に旧OSから新OSへの切り替わりを実現します。 それにより、OSのアップグレード時であってもダウンタイムは限りなくゼロに近い状態になります。

Q: 仮想化技術はどれぐらい利用されていますか?

こような仮想化技術は主にデータセンター様やキャリア様での利用されています。

ただ、このような技術はあまり一般に馴染みがないと言えるかも知れません。 決して使われていないというわけではないのですが、外部からは使われているかどうかが全くわかりません。

今後はエンタープライズでのご利用も増えるかも知れません。 ただ、実際にはブレードでの仮想化という方式が現状では多いかも知れません。

Q: Interop Tokyo 2008 ShowNetで使われている機器を教えて下さい

ShowNetでは、MX480とMX240によるNAT、EX4200によるバーチャルシャーシ、NetScreen NS5400によるセキュリティ機能が利用されています。


MX480

詳細はInterop Tokyo 2008のサイトで公開されているShowNet構成図をご覧下さい。

最後に

Juniper社と言えば超ハイエンドコアルータを作っている硬派な会社というイメージがありました。 今回、取材にうかがえるということで多少ドキドキしながら行きました。 非常に楽しい話を色々伺えてちょっぴり感動できる取材でした。

ありがとうございました!

   このエントリをはてなブックマークに登録