ネットワークセキュリティ山盛り。INTEROP ShowNet 2015のみどころ

2015/6/11-1

INTEROP Tokyo 2015におけるShowNetは「Ultimate Balance」というテーマで構築されています。公式サイトには、以下のように書かれています。

簡潔性、柔軟性、高信頼性のバランスが奏でる次のインターネットのカタチ

「今の設計や運用方法で10年後も安定的なインターネットサービスを提供できるのだろうか?」ShowNetでは、2014年から3年かけてこの問いかけに答え、インターネットの設計方法、運用方法を再構築するべく、グランドテーマとして"Scratch& Re-Build the Internet"を設定しました。 本年はこの大きな取り組みの2年目として、昨年のテーマをさらに深化させ、「Scratch & Re-build the Internet Phase2 - ULTIMATE BALANCE -」というコンセプトでShowNetを構築します。 簡潔性 (simplicity) と柔軟性(flexibility)、 高信頼性 (reliability)といった一見相反する要素をバランスよく実現した近未来のネットワーク、今年の ShowNet はそれを具現化しています。これからのインターネットに対する一つの答えである ShowNet、その設計方針と技術とを、是非会場にてご覧下さい。

今年のトポロジ図

世界一美しいネットワークトポロジ図と言っても過言ではない、グラフィカルなネットワークトポロジ図も、一部界隈では有名ですが、今年も非常に美しいネットワークトポロジ図になっています。

ShowNetの作図担当NOCである河口さんが、今年もShowNetトポロジ図の推移をビデオにまとめています。

ShowNetみどころ

ShowNet2015は、昨年に引き続き仮想化やセキュリティ関連のデモが非常に多くなっています。仮想化関連のデモが「柔軟性」を表現しており、セキュリティ関連が「高信頼性」を表現しているような印象です。そして、ネットワーク利用者や運用者の視点で見たときに、そらら2つを実現する手法が複雑過ぎないという部分が「簡潔性」を表現してそうです。

  • DDoS攻撃に対する防御
  • NFVバックボーン
  • SDN-IX
  • 相互接続モノ

NFVバックボーン

INTEROP Tokyo出展社に対して提供されるネットワークは、NFVバックボーンを通過したうえで、ShowNet内にあるBGPバックボーンを経由して、幕張外と通信を行います。

NFVバックボーンの出展社側エッジでは、JUNIPERのvSRX(仮想アプライアンス/vCPE)がNATを行っています。 NFVバックボーンの中では、Paloalto Networksのセキュリティ仮想アプライアンスによるトラフィック分析、CiscoのCSR1000vによるファイアウォール、A10 NetworksのTH 6435 TPSによるDDoS攻撃ミティゲーション(DDoS攻撃の軽減)が行われています。

ShowNet2015では、出展社はNFVバックボーンで利用する機能を各自で選ぶことができますが、各出展社が選んだ設定を反映させる部分はOpenFlowが利用されています。

NFVバックボーンは、バックボーンネットワークなので、スケーラブルであることが求められます。ShowNet2015では、ただ単にOpenFlowでNFVを実現するだけではなく、バックボーンとして使えるようにスケールアウトできる設計を行うことが大きなポイントになっています。NFVバックボーンに関しては、別途記事を書く予定です。

DDoS攻撃に対する防御

DDoS攻撃に対する防御も、ShowNet2015の大きな特徴です。

sflowとnetflowを利用した情報収集が行われ、その情報をもとにDDoS攻撃に対するミティゲーション(軽減措置)が行われます。 ShowNet2015で行われているミティゲーションには2種類あります。各種ミティゲーションデモは、NTTコミュニケーションズの「SAMURAI」という監視システムが関連しています。


SAMURAI

ひとつが、幕張にあるShowNet内でセキュリティアプライアンスがミティゲーションを行うものです。ShowNetバックボーンで BGP Flowspecを利用したフィルタリングなども行われています。

幕張外で行われるミティゲーションのデモも行われています。ShowNetのASのトランジットサービスを提供する事業者のひとつであるNTTコミュニケーションズが、指定された経路をBGPで引き込み(たとえば、/24でAS2914に引き込み、AS2914内で/32単位で処理可能)、DDoS攻撃トラフィックをセキュリティアプライアンスで軽減させてからShowNetへと届けるというものです。

NTTコミュニケーションズによるSAMURAIは、もう何年も前からINTEROPでデモを行っていますが、ここ数年は毎年凄い勢いで機能が増えている印象です。SAMURAIがShowNet2015でどのように活用されているのかに関しては、別途記事を書く予定です。

SDN-IX

ShowNet2015では、SDN-IXとして、大手町側と幕張の間をOpenFlowを活用しています。IX内のL2トラフィックをOpenFlowで制御するというものです。OpenFlowによって、L2レベルでのパス選択がIX内で行えるというものです。

SDN-IXのコンセプトとしてうたわれているのが、IXという「パブリックな場」でのDDoS攻撃ミティゲーションの提案です。 これまでのDDoS攻撃ミティゲーション提案は、特定のネットワーク事業者が頑張るという方向性のものが大半でしたが、IXという「バプリックな場」では、みんなが共通して行うDDoSミティゲーションソリューションが必要ではないかという考え方です。

SDN-IXでOpenFlowを実現するために利用されている機器は、NECによるPFシリーズとNTTによるLagopusです。

相互接続モノ

イベント名であるINTEROPの語源は相互接続(Interoperability)ですが、今年も相互接続デモが行われています。

ShowNet2015で行われている相互接続モノは、以下の4種類です。

  • PTP (Precise Time Protocol / ITU-Tで標準化が進められているマイクロ秒単位の時刻同期)
  • VXLAN (RFC 7348 : Virtual eXtensible Local Area Network)
  • EVPN (BGP MPLS-Based Ethernet VPN)
  • RPKI (RFC 6810 : Resource Public Key Infrastructure)
  • OVSDB (RFC 7047 : Open vSwitch Database Management Protocol)
  • BGP Flowspec (RFC 5575)

NOCルームがカッコイイ

ShowNetを構築/運営するNOCスタッフが利用するNOCルームが展示の一部として一般公開される場合とされない場合があるのですが、今年のNOCルームは一般公開されていました。

今年のNOCルームは、映画などで登場するような「オペレーションルーム」という感じで非常に派手です。 各種サーバやネットワーク機器への疎通チェック画面や、SAMURAI画面が大きくNOCルーム内で表示されています。

総評

今年のShowNetは、例年と比べると、比較的素直でわかりやすい印象を受けました。例年のShowNetだと、2日か3日ぐらい取材を続けて、やっと大まかな内容が朧げながら見えた気になるのですが、今年は比較的早めに全体像を紹介する記事を書き始める気分になれました。

「Scratch& Re-Build the Internet」という大きなテーマの2年目ということもあり、全体としての方向性が昨年に引き続き同じでありつつも、取り組みの完成度が上昇しているという点が理解しやすさにつながっているのかも知れません。

今年のShowNetを見ていて、もうひとつ印象に残ったのが「OpenFlowが当たり前のように使われている」ように見えることです。数年前はOpenFlowそのものが前面に出る目玉企画のように扱われていましたが、今年は、ちょっとしたことをやるために普通に使う機能のようにShowNet各所にOpenFlowが組み込まれている印象です。

全体としては、セキュリティ関連の展示が大半になっているような印象を受けています。やはり、最近の流行は「セキュリティ」なんだなぁと思えます。

最近のエントリ

過去記事

過去記事一覧

IPv6基礎検定

YouTubeチャンネルやってます!