340 likes | 1.1k Views
システム最適化を実現 する仮想化ネットワーク ~ Cisco VRF ソリューション~. 2008 年 9 月 シスコシステムズ合同会社 九州・沖縄営業. 目次. 自治体情報システム最適化を実現するネットワークとは? 仮想化ネットワークを実現する VRF-Lite VRF-Lite を用いたネットワーク構築例. 自治体情報システム最適化を実現するネットワークとは?. 住民サービス向上. セキュリティ強化. TCO 削減. WEB サービス化による 行政手続きの利便性向上 -日常生活 (引越し・出生・埋葬等) -ビジネス (入札・税申告等).
E N D
システム最適化を実現する仮想化ネットワーク~ Cisco VRFソリューション~ 2008年9月 シスコシステムズ合同会社 九州・沖縄営業
目次 • 自治体情報システム最適化を実現するネットワークとは? • 仮想化ネットワークを実現するVRF-Lite • VRF-Liteを用いたネットワーク構築例
自治体情報システム最適化を実現するネットワークとは?自治体情報システム最適化を実現するネットワークとは?
住民サービス向上 セキュリティ強化 TCO削減 WEBサービス化による 行政手続きの利便性向上 -日常生活 (引越し・出生・埋葬等) -ビジネス (入札・税申告等) • 情報システムへの • 更なるコスト削減要求 • -情報システム新規企画 • への予算獲得が困難 • 個人情報保護対策の • 継続的な推進 • -業務系ネットワークの • インターネット接続を制限 自治体情報システム最適化の三つの視点: 住民サービス向上・セキュリティ強化・TCO削減 自治体情報システム最適化の実現
自治体情報システム最適化に関しては課題が残存自治体情報システム最適化に関しては課題が残存 • 目標 • 電子申請、届出等手続きにおけるオンライン利用率を • 2010年度までに50%以上にする • さらなる政府全体の業務、システム最適化を図る • 地方公共団体においても同様な体制整備を促進する • 信頼性・安全性の確保、セキュリティ高度化 • 電子自治体の課題: • 業務、システムの効率化が不十分 • 情報漏えい対策が不十分 • 利用者(国民、企業など)が利便性を実感していない • 地域の課題解決のためのシステムが必要である 平成19年7月総務省自治行政局自治政策課地域情政策局 『総務省における電子自治体推進の主な取り組み』より抜粋
共通基盤の構築 ASPサービスの活用 端末統合 ワンストップ窓口・KIOSK端末の構築 自治体システム最適化の推進 教育システム 業務系システム 情報系システム 水道システム 教育 コンテンツ 料金収受 水質管理 教員管理 住民情報 税務 住基 国民年金 グループウェア 施設予約 水道局端末 教育用端末 業務系端末 情報系端末
新規システム導入に対する柔軟性 情報の重要度に応じた 閉域制御、ポリシー設定 ネットワーク統合による 機器点数の削減 システム最適化におけるネットワークの要件 住民サービスの向上 セキュリティ強化 TCO削減
自治体ネットワークの現状 • セキュリティ強化を重視した“分散ネットワーク” • システムごとにネットワークが存在 • システム間は独立 • TCO削減を重視した“集約ネットワーク” • 機器を集約し機器点数を削減 • 異なるシステムで共通のネットワークを使用
WAN接続機器 の重複 LANデバイス の重複 LANデバイス の重複 WAN接続機器 の重複 回線の重複 “分散ネットワーク”では機器が重複し、TCOの増加 <本庁舎> <主要拠点> Internet 情報系端末 情報系ネットワーク 情報系端末 情報系WAN 業務系端末 <出先機関 A> 情報系端末 業務系WAN 業務系ネットワーク 業務系端末 情報系端末 業務系端末 <出先機関 B>
“集約ネットワーク”にはセキュリティに懸念点“集約ネットワーク”にはセキュリティに懸念点 <本庁舎> <主要拠点> Internet 情報系端末 業務系端末 業務系サーバ 情報系サーバ WANサービス1:プライマリー <出先機関 A> L3スイッチ WANサービス2: セカンダリー 情報系端末 L2スイッチ 業務系端末 情報系端末 業務系端末 情報系端末 業務系端末 <出先機関 B>
“集約ネットワーク”における懸念点 • 個人情報保護上の不安 • インターネットから接続してきた人の接続先をどのように制御す • ればいいのか? • インターネットから業務系サーバに不正アクセスされないのか? • 情報系端末から業務系サーバにアクセスされないのか? • 運用管理・設計の複雑化 • IPアドレス再設計が必要にならないのか? • プロトコルが異なる場合はどうするのか? • システムごとでセキュリティポリシーが異なっている場合はどちらかに合わせる必要があるのか? • 機器の冗長性低下 • 機器を統合することにより、信頼性はなくならないのか?
TCO削減:機器点数増加による運用管理対象の増加TCO削減:機器点数増加による運用管理対象の増加 • セキュリティ強化 :ACL等の設定ミスで独立性が担保できない可能性 住民サービスの向上 :新システム設置時に新ネットワークの構築が必要 住民サービスの向上:新サービス導入時の設定変更が複雑化 現状の自治体ネットワークにおける課題 • セキュリティ強化を重視した“分散ネットワーク” • システムごとにネットワークが存在 • システム間は独立 • TCO削減を重視した“集約ネットワーク” • 機器を集約し機器点数を削減 • 異なるシステムで共通のネットワークを使用
仮想化ネットワーク:物理的な統合と論理的な分離を実現仮想化ネットワーク:物理的な統合と論理的な分離を実現 <本庁舎・中庁舎> <主要拠点> 情報系端末 Internet 業務系端末 業務系サーバ 情報系サーバ WANサービス1: プライマリー <出先機関 A> 情報系端末 WANサービス2: セカンダリー 業務系端末 情報系端末 業務系端末 情報系端末 業務系端末 <出先機関 B>
仮想化ネットワークによるシステム最適化の実現 仮想化ネットワークによるシステム最適化の実現 住民サービス向上 ・既存の各課システム、 新規システムを柔軟に統合可能 仮想化ネットワーク TCO削減 セキュリティ強化 ・システムごとで重複した ネットワーク機器の統合 ・システムに応じたポリシーの設定 ・システム間の完全な閉域制御
仮想化ネットワークは“VRF-Lite”によって実現可能仮想化ネットワークは“VRF-Lite”によって実現可能 “VRF-Lite” ルーティングテーブルの仮想的分離+インターフェースへの割当 自治体で使用されるほぼすべてのインターフェースに対応 • 物理インターフェース • IEEE802.1qに対応したサブインターフェース(VLAN) • GRE(Generic Routing Encapsulation)トンネルのトンネル・インター フェ ース • IP-Secトンネルのトンネル・インターフェース IEEE802.1q IEEE802.1q VRF1 VRF2 VRF3 VLANインタフェース 又は サブインターフェース VLANインタフェース 又は サブインターフェース
VRF-Liteは自治体ネットワークの最適化を実現 • システム間の閉域制御を実現 • -L3レベルで完全な論理分割を実現 • -閉域制御のための複雑なACLからの脱却 • システムごとに最適なネットワーク設計を実現 -IPアドレスの重複が可能 • -ルーティングインスタンス、メトリックを各VRFごとに設定可能 • -ルーティングプロトコルを各VRFごとに設定可能 • 閉域制御が必要なネットワークの新規追加が容易 • -新規システムを追加時に、既存物理構成の変更なし
1.VRF-Liteによるシステムの閉域性の保持 物理接続構成 本庁舎・中庁舎 合同庁舎、出先機関等 GE1 GE0 FE0 FE1 WAN L3スイッチ WANルータ WANルータ L2スイッチ 論理接続構成 VLAN1 VLAN4 VRF1 VRF1 VRF1 802.1q 802.1q 802.1Q、IPSec、GRE、PPP等 VLAN2 VLAN5 802.1Q、IPSec、GRE、PPP等 VRF2 VRF2 VRF2 VLAN3 802.1Q、IPSec、GRE、PPP等 VRF3 VRF3 VRF3 VLAN6
2.システムごとに最適なネットワーク設計を実現2.システムごとに最適なネットワーク設計を実現 拠点A 拠点B インターネットの接続許可 インターネットの接続許可 OSPF OSPF 192.168.1.0 ~ 192.168.1.255 192.168.1.0 ~ 192.168.1.255 情報系 情報系 外部への接続拒否 外部への接続拒否 広域イーサネット RIP RIP 192.168.1.0 ~ 192.168.1.255 192.168.1.0 ~ 192.168.1.255 業務系 業務系 ATM専用線 学校からのみ接続許可 学校からのみ接続許可 地域IP網 EIGRP EIGRP 192.168.1.0 ~ 192.168.1.255 192.168.1.0 ~ 192.168.1.255 教育系 教育系
2.システムごとに最適なネットワーク設計を実現2.システムごとに最適なネットワーク設計を実現 拠点A 拠点B インターネットの接続許可 インターネットの接続許可 OSPF OSPF 192.168.1.0 ~ 192.168.1.255 192.168.1.0 ~ 192.168.1.255 RIP RIP 情報系 情報系 広域イーサネットサービス EIGRP EIGRP 外部への接続拒否 外部への接続拒否 RIP RIP 192.168.1.0 ~ 192.168.1.255 192.168.1.0 ~ 192.168.1.255 業務系 業務系 学校からのみ接続許可 学校からのみ接続許可 192.168.1.0 ~ 192.168.1.255 192.168.1.0 ~ 192.168.1.255 教育系 教育系
防災系 防災系 3.既存の物理構成のままで新システムの追加が可能 拠点B 拠点A 情報系 情報系 広域イーサネットサービス RIP RIP RIP 業務系 業務系 教育系 教育系
レイヤ3スイッチ レイヤ3スイッチ 拠点ルータ センタールータ VRF-Liteの適用箇所 <本庁舎・中庁舎> <主要拠点> 情報系端末 情報系ネットワーク 業務系端末 ルータ 情報系 WAN回線 <出先機関 A> 業務系 WAN回線 情報系端末 業務系ネットワーク 業務系端末 情報系端末 業務系端末 <出先機関 B>
仮想化 拠点ルータ L3スイッチ 拠点ルータ L3スイッチ センタールータ Catalyst 6500 Catalyst 3750 Cisco 3800 Cisco 2800 Catalyst 6500 Catalyst 4900 Cisco 7200 Cisco 3800 Cisco 1841 Cisco 1812 仮想化 仮想化 仮想化 VRF-Liteによる仮想化ネットワーク構築例 <主要拠点> <本庁舎・中庁舎> 情報系端末 情報系サーバ 業務系サーバ 業務系端末 WANサービス1 :プライマリー <出先機関 A> 情報系端末 WANサービス2: セカンダリー 業務系端末 バックアップ 情報系端末 情報系端末 業務系端末 業務系端末 <出先機関 B>
まとめ:VRF-Liteによる仮想化ネットワークのメリットまとめ:VRF-Liteによる仮想化ネットワークのメリット • システム間の閉域制御を実現 • -L3レベルで完全な論理分割を実現 • -閉域制御のための複雑なACLからの脱却 • システムごとに最適なネットワーク設計を実現 -IPアドレスの重複が可能 • -ルーティングインスタンス、メトリックを各VRFごとに設定可能 • -ルーティングプロトコルを各VRFごとに設定可能 • 閉域制御するネットワークの新規追加が容易 • -既存の物理構成を変更することなく、 • 閉域制御が必要な新規システムを追加可能
VRF設定VRF名 / RD定義 • VRFの設定をおこなう際は、最初にVRFの名前とVPNルート識別子(Route Distinguisher)を定義する必要があります。RDはシステム内で一意である必要があります。RDは、以下の2パターンから最適な方法を選択します。 • 16ビットAS番号 : 32ビット数値 (例 : 65000:10) • 32ビットIPアドレス : 16ビット数値 (例 : 1.1.1.1:10) • VRF「KIKAN」に対して、VRF名およびRDを設定 • Router1(config)#ip vrf KIKAN VRF名 • Router1(config-vrf)#rd 10.1.1.1:100 VPNルート識別子 (lo0のIPアドレス : VLAN-ID)
VRF設定インターフェースへの適用 • 定義したVRFをインターフェースに適用します。VRFはSVIを含むあらゆるインターフェースに適用可能です。 • interface Fastethernet 0.100にvrf「KIKAN」を適用 • Router1(config)#interface FastEthernet0.100 • Router1(config-subif)#ip vrf forwarding KIKAN • interface vlan 100にvrf「KIKAN」を適用 • Router1(config)#interface vlan 100 • Router1(config-if)#ip vrf forwarding KIKAN • vrfの適用状況の確認コマンド • Router1#show ip vrf • Name Default RD Interfaces • KIKAN 10.1.1.1:100 Fa0.100 • Vl100 VRF名