2017 ShowNetのサービスチェイニング【Interop Tokyo 2017】

   このエントリをはてなブックマークに登録    2017/6/9-1

今年のInterop Tokyo ShowNetの大きなポイントのひとつがサービスチェイニングです。

昨年のShowNetでも、サービスチェイニングが行われていますが、昨年のデモでは一部の限定したトラフィックをSDN/NFVエリアへと誘導するというトライアル的な内容でした。 今年のサービスチェイニングは、出展社に対するネットワークサービスとして運用されるという点が非常に大きな違いです。

昨年のサービスチェイニングは、指定したトラフィックをSDN/NFVエリアへと誘導するのにBGP Flowspecが使われ、SDN/NFVエリア内でのサービスチェイニングで提供するネットワークサービスの切り替えはOpenFlowが使われていました。今年は、トンネリングとBGP Flowspecの組み合わせによるサービスチェイニングが行われます。昨年はSDN/NFVエリアへのトラフィック誘導にBGP Flowspecが使われていましたが、今年はチェイニングそのものにBGP Flowspecが使われるのも大きな違いです。

これまで、ShowNetが出展社に提供するネットワークサービスには、セキュリティサービスがほぼありませんでした。 今回は、ネットワークが提供するサービスのひとつとしてセキュリティ機能がサービスチェイニングによって実現されます。サービスチェイニングが可能となるセキュリティ機能としては、次世代ファイアウォール、Sandbox、DDoSミチゲーションなどもあります。

サービスファンクションプール

ShowNet 2017には、サービスファンクションプールのブルーとグリーンがあります。 ShowNet 2017トポロジ図の左側にあるのがブルーで、右側にあるのがグリーンです。

ブルーとグリーンは、同様のサービスが提供できるように全く同じ構成になっています。 サービスファンクションプールは、ShowNet 2017に接続した全ての出展社に対する基本サービスであるため、冗長構成を実現するために2重に構築されています。

実際のShowNetトラフィックは、サービスファンクションプールのうちの片方に寄せてあるものの、トラフィックの一部だけをもう片方のサービスファンクションプールに向けることも可能になっています。 冗長構成を実現しつつ、必要に応じてロードバランシングも実現可能となる設計です。 (今回の設計では、同じ出展社ネットワークが同時に両方のファンクションプールを利用することはありません。)

L2トンネル

出展社ネットワークからインターネットに流れるトラフィックは、L2トンネルを通じてファンクションプールへと運ばれます。

L2トンネルとしては、EVPNでシグナリングしてVXLANでキャリーをするEVPN/VXLAN、EtherIP、Ethernet over GREの3種類が運用されています。

サービスファンクションプール内をぐるぐる

ShowNet 2017トポロジ図には、ファンクションプールの概念図が含まれています。 赤い楕円がBGPルータ、オレンジ色の菱形がプールに含まれるファンクションを示しており、同じBGPルータをぐるぐるとまわりながらファンクションチェインを実現しているのが非常にわかりやすく図示してあります。 ここら辺のちょっとした表現は、流石、河口さんと思います。

ShowNet 2017トポロジ図には、ぐるぐるをわかりやすくする工夫が他にも含まれています。 ファンクションプールの部分を拡大して良く見ると、BGPルータからBGPルータへと折り返していることを示すオレンジ色の点線が描かれています。

どのようなフローが、どのファンクションを経由するのかに関しては、BGP Flowspecによって設定されます。 出展社情報を含むデータベースと連携しつつ、出展社ネットワークに必要なサービスチェインのファンクションが選択され、それによってどのVRFを経由するのかが決まります。 BGP Flowspecによって追加されるフィルタは、IPアドレスなどによるフロー情報とDSCP(DiffServ Code Point/旧ToSフィールドの一部)をもとにVRFへのリダイレクトなどを行います。

CGNもサービスチェインの一部に

ShowNet 2017のサービスチェインの大きな特徴として、CGNもファンクションの一部として設計されている点もあげられます。

IPv4インターネットへの接続をプライベートIPv4アドレスから行うのか、それともIPv4インターネットに直接出展社がつながるグローバルIPv4アドレスでのShowNetサービスを提供するのかによって、CGNを経由するのかどうかが決まります。 サービスチェイン中のCGNを経由したパケットの送信元IPv4アドレスは、プライベートIPv4アドレスからグローバルIPv4アドレスへと変わります。

CGNが存在することもあり、サービスチェイン中のファンクションを経由する順番にいくつか制約があります。 たとえば、DDoS攻撃ミチゲーションを行うセキュリティ機器は、グローバルIPv4アドレス側に設置されている必要があるため、ファンクションプール内では、出展社側から見て「外側」にあります。

Firewall、Sandbox、動画ページング(キャッシュ)などのファンクションは、プライベートIPv4アドレスでもグローバルIPv4アドレスでも運用できるように工夫されています。 ShowNet 2017構築の工夫として、CGNを経由するフローもそうでないものも同じセキュリティ製品を経由できるようになっているのです。

ShowNet 2017のファンクションプールには、プライベートIPv4アドレス空間用のVRFとグローバルIPv4アドレス空間用のVRFの2種類が用意されています。 その2種類のVRFの使い分けを行うために、IPv4パケットのDSCPが使われています。

感想

ShowNet 2017のサービスチェイニングは、コンセプトと概念は非常にシンプルであり、わかりやすいと思いました。 この話を最初に聞いたときの感想としては、プログラミングの世界で「富豪プログラミング」と言われるような感じで、「富豪ネットワーク構成」のようなものでした。 「同じBGPルータをひとつのパケットがぐるぐるまわるのって、超強力なBGPルータがあるからできるんだよなぁ」という感じです。

もうひとつの感想は、シンプルでありつつも複雑だというものです。 BGP Flowspecでぐるぐるを実現する部分が結構複雑になっています。 毎年思うのですが、これ、作るの大変だったろうなぁと。 Interop Tokyo関係者の皆様は、本当に凄いなぁと今年も思いました(小並感)。

   このエントリをはてなブックマークに登録