今回はマイクロリサーチさんから発売されているUnifiedGateという製品に搭載される新機能のご紹介です。
マイクロリサーチさんは、国内でルータの設計と開発を行っている数少ないメーカーの一つです。
今までお仕事の関係で色々とカスタマイズしたルータを作って貰ったことがありまして、お付き合いはもう足かけ10年になります。
もっとも、株式会社マイクロリサーチというよりはマイクロ総合研究所、略称マイクロ総研さんと言った方がピンとくる方は多いかもしれません(2008年より名称が変わっています)。
2009年の9月に以前から暖めていたアイディアをマイクロリサーチさんへお話したところ、非常に前向きに検討していただき、今年に入りお客様がついたことも後押しになり、2010年7月から正式に製品の機能拡張版ということで一般向けにリリースされました。
今回新機能を搭載するUnifiedGateという製品は、2005年から発売しており一言で紹介するとL2overIPの拠点間接続用のVPN装置です。
設定も簡単で信頼性も高く(ハードもソフトも)、非常に安定して長時間連続稼働できる製品なので私もいろんなお客様へご紹介したり納めたりしました。
L2レベルのイーサパケットをIPパケットにくるんでインターネット間を輸送するので、IPプロトコル以外のパケットも転送できます。つまり、ブリッジを通過できるパケットは何でも運んでくれます(ブロードキャストパケットも!)。
ちょっと前段の話が長くなりましたが、私が提案したアイディアというのはこのL2overIPのVPN装置に、
L2スイッチが持っているリンクアグリゲーションをサポートする機能を搭載しては?
というものでした。
リンクアグリゲーションとは複数の物理接続をまとめて論理的に一つの接続に見せる技術です。
従来はマルチリンクトランクとかトランキング、Ciscoではイーサチャネルとか言われていました。この技術は結構歴史はあるのですが、メーカー毎に方言があったりして、なかなか一般には使われませんでした。たぶん、エンタープライズ環境ではスパニングツリーの方が採用例は多かったと思います。
※個人的にはCiscoの影響力が大きいと思いますが…
※旧Nortel社のDMLT+SMLTが最強だと断言します!
リンクアグリゲーションについてはそれこそネット上には星の数ほど情報があるので、詳細は割愛しますが、個人的にはリンクアグリゲーションの一番の売りは耐障害性だと思っています。
スイッチ間の接続で障害原因のトップはポート不良、そしてケーブル(コネクター)障害です。
難しい確率論を持ち出すまでもなく、1/nの確率で壊れるものが複数あって、どれか一つが壊れるとだめ=1/n + 1/n + 1/n …と、全部壊れたらだめ=1/n × 1/n × 1/n …では、比較するまでもありません。
リンクアグリゲーションの強みはここだと思っています。複数の経路を束ねていれば、全て同時にダウンしない限り接続は切れません。しかもスパニングツリーのように主経路が切れて副経路へ切り替わってみないと本当に副経路が生きているか分からないという事もありません。
このL2スイッチが持っているリンクアグリゲーションをWAN(インターネット)を超えて使えるようにしようというのが、今回の新機能です。
接続方法は非常に簡単です。例えば、別々のISPと契約してインターネット回線を2つ用意します。
拠点間それぞれに2台(計4台)UnifiedGateを用意し、それぞれ対向で接続しリンクアグリゲーションの設定をしてあるL2スイッチのポートに接続します。そして、UnifiedGateをリンクアグリゲーションモードへ変更するだけで、WANを超えてトランク接続ができあがります。
UnifiedGateはお互いにハートビートで通信経路を保持・監視しており、その接続が切れると判断すると(閾値は設定可)即座にLAN側のリンクをダウンさせます。このリンクアグリゲーションのトンネリング機能により、拠点間通信のバリエーションが広がります。
この機能をマイクロリサーチさんではリモート・リンク・アグリゲーションと呼んでいます。製品についてはこちらをご覧ください。
例をあげてみましょう。
1. データセンターまたは本社にL3スイッチを設置し、ポートベースVLANで拠点毎のアドレス空間を作成し、その先をWAN越えのトランク接続で支店・支社 と接続。支社とはL2層でつながっているためDHCPサーバのようにブロードキャストで通信するもの、また同一セグメントにいた方が使いやすいDC(ドメ インコントローラ)やプリントサーバ等も本社(データセンター)に設置することが出来るので、管理が非常に容易になり耐障害性も向上する。
※支店には複数のUnifiedGateとL2スイッチしか必要がない。FWやルータ、サーバ等を置かなくてもOK!
2.本社にL3スイッチを設置し、支店とトランク接続した論理ポート上にタグ付きVLANパケットを流す。
支店には認証機能とダイナミックVLAN機能を搭載したL2スイッチを設置することで、本社のスタッフが支店のLANに接続した際、認証が通った段階で本社セグメントに接続される。
→本社のネットワークで作業しているのとまったく同じ状況になる。
※支店には認証サーバ等を設置する必要はない。
※個別のPCでVPNを張る必要もない。
※支店内に複数セグメントがあっても、本社で一括管理・運用が可能となる。
3. 拠点間通信において、1Gの回線を引くほどではないが安価な100Mベストエフォートの回線が一本では帯域的につらい場合。足回りの回線において別のキャリア (ISPも別が良い)を複数用意して、それをWAN越しにトランク接続することで、100Mbps以上の速度を実現する。
4.ADSL等は上りの速度が極端に遅いので、複数のADSLを束ねることで業務用の拠点間通信に必要最低限の帯域速度(特に上り)と信頼性を持たせることが出来る。
簡単に新機能の説明をしてみました。
L2overIPというのは今まで一般的であったIPsecベースのVPNより遙かに応用が効きます。
是非、シンプル&タフネスというWAN越えトランク接続をネットワーク設計の選択肢に加えてみてください。
興味を持っていただける方がいれば良いなぁ~と、言い出しっぺは切に願っています。
- 投稿タグ
- UnifiedGate, router
