システム最適化を実現 する仮想化ネットワーク ~ cisco vrf...
Post on 06-Jan-2016
123 Views
Preview:
DESCRIPTION
TRANSCRIPT
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1
2008 年 9 月シスコシステムズ合同会社九州・沖縄営業
システム最適化を実現する仮想化ネットワーク~ Cisco VRF ソリューション~
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2
目次
1. 自治体情報システム最適化を実現するネットワークとは?
2. 仮想化ネットワークを実現する VRF-Lite
3. VRF-Lite を用いたネットワーク構築例
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3
自治体情報システム最適化を実現するネットワークとは?
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4
自治体情報システム最適化の三つの視点: 住民サービス向上・セキュリティ強化・ TCO削減
住民サービス向上
WEB サービス化による行政手続きの利便性向上
-日常生活 (引越し・出生・埋葬等) -ビジネス (入札・税申告等)
セキュリティ強化
個人情報保護対策の継続的な推進
-業務系ネットワークの インターネット接続を制限
自治体情報システム最適化の実現
TCO 削減
情報システムへの更なるコスト削減要
求
-情報システム新規企画 への予算獲得が困難
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5
自治体情報システム最適化に関しては課題が残存 目標
–電子申請、届出等手続きにおけるオンライン利用率を 2010年度までに50%以上にする–さらなる政府全体の業務、システム最適化を図る–地方公共団体においても同様な体制整備を促進する–信頼性・安全性の確保、セキュリティ高度化
平成19年7月総務省自治行政局自治政策課地域情政策局 『総務省における電子自治体推進の主な取り組み』より抜粋
電子自治体の課題:–業務、システムの効率化が不十分–情報漏えい対策が不十分–利用者(国民、企業など)が利便性を実感していない–地域の課題解決のためのシステムが必要である
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6
自治体システム最適化の推進
水道システム 教育システム 業務系システム 情報系システム
住民情報 税務 住基 国民年金 施設予約グループウェア教員管理教育
コンテンツ料金収受 水質管理
ワンストップ窓口・ KIOSK 端末の構築 端末統合
共通基盤の構築 ASP サービスの活用
水道局端末 教育用端末 業務系端末 情報系端末
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 7
システム最適化におけるネットワークの要件
住民サービスの向上
セキュリティ強化
TCO 削減
新規システム導入に対する柔軟性
情報の重要度に応じた閉域制御、ポリシー設定
ネットワーク統合による機器点数の削減
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 8
自治体ネットワークの現状
セキュリティ強化を重視した“分散ネットワーク”–システムごとにネットワークが存在–システム間は独立
TCO 削減を重視した“集約ネットワーク”–機器を集約し機器点数を削減–異なるシステムで共通のネットワークを使用
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 9
<本庁舎>
情報系WAN
情報系端末
<主要拠点>
情報系端末情報系ネットワーク
業務系ネットワーク
“ 分散ネットワーク”では機器が重複し、 TCOの増加
業務系端末
業務系WAN
回線の重複
WAN 接続機器
の重複
Internet
LAN デバイスの重複
WAN 接続機器
の重複
LAN デバイスの重複
<出先機関 A>
情報系端末
業務系端末
情報系端末
業務系端末
<出先機関 B>
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 10
“ 集約ネットワーク”にはセキュリティに懸念点
業務系端末
情報系サーバ
L3 スイッチ
<本庁舎>
業務系端末
<主要拠点>
情報系端末
L2 スイッチ
業務系サーバ
情報系端末
WAN サービス1:プライマリ
ー
WAN サービス2:セカンダリー
Internet
<出先機関 A>
情報系端末
業務系端末
情報系端末
業務系端末
<出先機関 B>
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 11
“ 集約ネットワーク”における懸念点 個人情報保護上の不安個人情報保護上の不安
–インターネットから接続してきた人の接続先をどのように制御す ればいいのか?–インターネットから業務系サーバに不正アクセスされないのか?–情報系端末から業務系サーバにアクセスされないのか?
運用管理・設計の複雑化運用管理・設計の複雑化–IP アドレス再設計が必要にならないのか?–プロトコルが異なる場合はどうするのか?–システムごとでセキュリティポリシーが異なっている場合はどちらかに合わせる必要があるのか?
機器の冗長性低下機器の冗長性低下–機器を統合することにより、信頼性はなくならないのか?
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 12
現状の自治体ネットワークにおける課題
セキュリティ強化を重視した“分散ネットワーク”–システムごとにネットワークが存在–システム間は独立
TCO 削減を重視した“集約ネットワーク”–機器を集約し機器点数を削減–異なるシステムで共通のネットワークを使用
TCO 削減 :機器点数増加による運用管理対象の増加住民サービスの向上 :新システム設置時に新ネットワークの構築が必要
セキュリティ強化 : ACL 等の設定ミスで独立性が担保できない可能性住民サービスの向上:新サービス導入時の設定変更が複雑化
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 13
仮想化ネットワーク:物理的な統合と論理的な分離を実現
業務系端末
情報系サーバ
<本庁舎・中庁舎>
業務系端末
<主要拠点>
情報系端末
業務系サーバ
情報系端末
Internet
<出先機関 A>
情報系端末
業務系端末
情報系端末
業務系端末
<出先機関 B>
WAN サービス1:
プライマリー
WAN サービス2:
セカンダリー
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 14
仮想化ネットワークによるシステム最適化の実現
仮想化ネットワーク仮想化ネットワーク
住民サービス向上
TCO 削減 セキュリティ強化
・既存の各課システム、新規システムを柔軟に統合可能
・システムごとで重複したネットワーク機器の統合
・システムに応じたポリシーの設定・システム間の完全な閉域制御
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 15
仮想化ネットワークを実現するVRF-Lite
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 16
仮想化ネットワークは“ VRF-Lite” によって実現可能
自治体で使用されるほぼすべてのインターフェースに対応1. 物理インターフェース
2. IEEE802.1q に対応したサブインターフェース( VLAN )
3. GRE ( Generic Routing Encapsulation )トンネルのトンネル・インター フェ ース
4.IP-Sec トンネルのトンネル・インターフェース
VRF1
VRF2
VRF3
IEEE802.1q IEEE802.1q
VLANインタフェース又は
サブインターフェース
VLANインタフェース又は
サブインターフェース
“VRF-Lite”ルーティングテーブルの仮想的分離+インターフェースへの割
当
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 17
VRF-Lite は自治体ネットワークの最適化を実現
1. システム間の閉域制御を実現- L 3レベルで完全な論理分割を実現-閉域制御のための複雑な ACL からの脱却
2. システムごとに最適なネットワーク設計を実現- IP アドレスの重複が可能-ルーティングインスタンス、メトリックを各 VRF ごとに設
定可能-ルーティングプロトコルを各 VRF ごとに設定可能
3. 閉域制御が必要なネットワークの新規追加が容易-新規システムを追加時に、既存物理構成の変更なし
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 18
VRF1
VRF2
VRF3
VRF1
VRF2
VRF3
802.1q
VLAN1
VLAN2
VLAN3
VRF1
VRF2
VRF3
802.1Q、 IPSec、 GRE、 PPP等 802.1q
VLAN4
VLAN5
VLAN6
本庁舎・中庁舎 合同庁舎、出先機関等
WAN
物理接続構成
論理接続構成
WAN ルータ WAN ルータ L2 スイッチ
L3 スイッチ
GE0GE1 FE0 FE1
1. VRF-Lite によるシステムの閉域性の保持
802.1Q、 IPSec、 GRE、 PPP等802.1Q、 IPSec、 GRE、 PPP等
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 19
2.システムごとに最適なネットワーク設計を実現
情報系 情報系
業務系 業務系
教育系 教育系
情報系 情報系
業務系 業務系 ATMATM 専用線専用線
地域地域 IPIP 網 網
広域イーサネット 広域イーサネット
教育系 教育系
拠点拠点 AA 拠点拠点 BB
OSPF OSPF
RIP RIP
EIGRP EIGRP
インターネットの接続許可
インターネットの接続許可
外部への接続拒否
外部への接続拒否
学校からのみ接続許可 学校からのみ
接続許可
192.168.1.0 ~ 192.168.1.255
192.168.1.0 ~ 192.168.1.255
192.168.1.0 ~ 192.168.1.255
192.168.1.0 ~ 192.168.1.255
192.168.1.0 ~ 192.168.1.255
192.168.1.0 ~ 192.168.1.255
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 20
情報系 情報系
業務系 業務系
教育系 教育系
情報系 情報系
業務系 業務系
教育系 教育系
拠点拠点 AA 拠点拠点 BB
RIP RIP
インターネットの接続許可
インターネットの接続許可
外部への接続拒否
外部への接続拒否
学校からのみ接続許可
192.168.1.0 ~ 192.168.1.255
192.168.1.0 ~ 192.168.1.255
192.168.1.0 ~ 192.168.1.255
192.168.1.0 ~ 192.168.1.255
192.168.1.0 ~ 192.168.1.255
192.168.1.0 ~ 192.168.1.255
学校からのみ接続許可
広域イーサネットサービ
広域イーサネットサービ
スス
OSPF
RIP
EIGRP
OSPF
RIP
EIGRP
2.システムごとに最適なネットワーク設計を実現
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 21
3.既存の物理構成のままで新システムの追加が可能
情報系 情報系
業務系 業務系
教育系 教育系
情報系 情報系
業務系 業務系
教育系 教育系
拠点拠点 AA 拠点拠点 BB
RIP RIPRIP
防災防災系系
防災系防災系
広域イーサネットサービ
広域イーサネットサービ
スス
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 22
仮想化による最適なネットワークの実現
分散 集約 仮想化
イメージ図
設計
IP アドレス 重複可能 重複不可能 重複可能ルーティングプロトコ
ル
複数 単一 複数
セキュリティポリシー
複数 単一 複数
システム拡張時のネットワーク
機器の追加
必要 不要 不要
TCO 機器点数多 機器点数少 機器点数少実現技術例 VLAN VRF-Lite
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 23
VRF-Lite を用いたネットワーク構築例
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 24
VRF-Lite の適用箇所<本庁舎・中庁舎>
情報系WAN 回
線
業務系WAN 回
線
業務系端末
<主要拠点>
ルータ
情報系端末情報系ネットワーク
業務系ネットワーク
センタールータ
レイヤ3スイッチ
レイヤ3スイッチ
<出先機関 A>
情報系端末
業務系端末
情報系端末
業務系端末
<出先機関 B>
拠点ルータ
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 25
VRF-Lite による仮想化ネットワーク構築例
業務系端末
情報系サーバ
<本庁舎・中庁舎>
業務系端末
<主要拠点>
情報系端末
<出先機関 A>
業務系サーバ
情報系端末
WAN サービス1:プライマリー
WAN サービス2:セカンダリー
バックアップ
仮想化
情報系端末
業務系端末
仮想化
情報系端末
業務系端末
仮想化
仮想化
<出先機関 B>
Cisco 7200Cisco 3800
センタールータ
Catalyst 6500Catalyst 4900
L3 スイッチ
Cisco 3800Cisco 2800
拠点ルータ
Catalyst 6500Catalyst 3750
L3 スイッチ
Cisco 1841Cisco 1812
拠点ルータ
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 26
まとめ
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 27
まとめ: VRF-Lite による仮想化ネットワークのメリット
1. システム間の閉域制御を実現- L 3レベルで完全な論理分割を実現-閉域制御のための複雑な ACL からの脱却
2. システムごとに最適なネットワーク設計を実現- IP アドレスの重複が可能-ルーティングインスタンス、メトリックを各 VRF ごとに設
定可能-ルーティングプロトコルを各 VRF ごとに設定可能
3. 閉域制御するネットワークの新規追加が容易-既存の物理構成を変更することなく、 閉域制御が必要な新規システムを追加可能
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 28
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 29
Config サンプル
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 30
VRF 設定VRF名 / RD 定義
VRF の設定をおこなう際は、最初に VRF の名前と VPNルート識別子 (Route Distinguisher) を定義する必要があります。 RD はシステム内で一意である必要があります。 RD は、以下の 2 パターンから最適な方法を選択します。16 ビット AS 番号 : 32 ビット数値 ( 例 : 65000:10)
32 ビット IP アドレス : 16 ビット数値 ( 例 : 1.1.1.1:10)
– VRF 「 KIKAN 」に対して、 VRF 名および RD を設定Router1(config)#ip vrf KIKAN VRF 名Router1(config-vrf)#rd 10.1.1.1:100
VPN ルート識別子(lo0 の IP アドレス : VLAN-ID)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 31
VRF 設定インターフェースへの適用
定義した VRF をインターフェースに適用します。 VRF は SVI を含むあらゆるインターフェースに適用可能です。
–interface Fastethernet 0.100 に vrf 「 KIKAN 」を適用Router1(config)#interface FastEthernet0.100Router1(config-subif)#ip vrf forwarding KIKAN
–interface vlan 100 に vrf 「 KIKAN 」を適用Router1(config)#interface vlan 100Router1(config-if)#ip vrf forwarding KIKAN
–vrf の適用状況の確認コマンドRouter1#show ip vrf Name Default RD Interfaces KIKAN 10.1.1.1:100 Fa0.100 Vl100
VRF名
top related