Loading
|
|
|
|
Loading
|
| @IT > セキュアなネットワークの構築を可能にする低コストで高機能なL2スイッチ「Quidway S3100」 |
 |
|
|
|
スイッチやルータの豊富なラインナップを揃えるファーウェイスリーコムは、中国ファーウェイテクノロジーが49%、米国スリーコムが51%の出資をして2003年に設立された合弁会社だ。現在66カ国に販売するグローバル企業であり、ファーウェイとスリーコムのほか、NECやシーメンスとも戦略パートナーの関係にある。社員数は約4000人だが、その約60%が研究開発部門に籍を置く技術志向の企業でもある。
L2/L3スイッチの既存ラインナップは、コアルーティングスイッチである「Quidway S8500/S6500シリーズ」、ギガルーティングスイッチである「S5600シリーズ」、L3ワークグループスイッチである「S3500/3900シリーズ」、L2ワークグループスイッチである「S3000シリーズ」、デスクトップスイッチの「S2000シリーズ」で、エンタープライズのコアからデスクトップまでのすべてをカバーする。 これらの製品群に加えて、2006年2月15日には新シリーズ「Quidway S3100」が販売開始となった。これは、低価格のデスクトップスイッチに次世代の企業ネットワークに対応する広帯域とインテリジェンスを提供するものだ。
今日の企業活動において、ネットワークはビジネスを支える重要なインフラになっている。多くの業務がネットワークを利用したWebアプリーションでなどで行われており、さらにはデータに加えて音声やビデオといったストリームがIPネットワーク上を流れるようになったことから、ネットワークの広帯域化はますます進んでいる。 そのため、これまで10/100Mbpsのポートさえあれば事足りていたデスクトップスイッチにも、アップリンクにギガビットの帯域が必要になるケースが増えてきた。しかし、ギガビットに対応したアクセスレイヤ向けスイッチ、あるいはアグリゲーションレイヤ向けスイッチを、多数配置する必要のあるデスクトップスイッチとして利用するには高価すぎるという問題がある。 新たにラインナップに加わったQuidway S3100の一番の特徴は、ギガビットのアップリンクを備えていながら、競合他社のデスクトップスイッチと比較して低価格を実現したことだ(10/100Mbpsポート8個にギガビットのアップリンクポート1個を搭載した製品が参考価格で6万7000円)。 ちなみにQuidway S3100シリーズでは、10/100のポート(8/16/24ポート)とギガビットのアップリンクポートを標準で装備したモデルと、ギガビット対応部分を拡張ポートで追加できるモデルの計6種が提供される。つまり、現時点ではギガビットまでは必要ないという場合は拡張ポートモデルを購入しておき、広帯域が必要になってからギガビットに対応させるという導入の仕方が可能だ。また拡張ポートは光ファイバーによるギガビットにも対応できる。 このほかには、ファーウェイ独自の管理プロトコル「HGMPv2」やQoS、マルチキャストやセキュリティ(これについては後述する)などの豊富な機能に対応し、ファンレスの静音設計となっている。
Quidway S3100のもう1つの特徴はセキュリティ機能である。低価格のデスクトップスイッチであるにもかかわらず、IEEE標準規格の802.1X認証とMACアドレス認証の2つの認証方式をサポートしている。 昨今のネットワークセキュリティは、ゲートウェイにファイアウォールを設置したりVPNを導入したりするだけでは十分でないということが周知されてきた。なぜならば、外部からの攻撃よりも社員のうっかりミスあるいは明確な悪意を持った内部犯による情報漏えい、持ち込みPCによるネットワーク内部から不正アクセスの方が危険性が高いということが分かってきたからだ。それを防ぐための基礎となるのが、アクセスする権利を管理する認証の仕組みである。 無線LANでのユーザー認証に使われることが多い802.1X認証だが、有線LANでも利用できる仕様になっている。その仕組みは、RADIUSサーバなどの認証サーバと連携して、ユーザーIDとパスワードによってクライアントを認証し、認証に失敗したクライアントからの通信を遮断する。 ポートを利用するユーザーを限定する「1ポート:1ユーザー」という仕様であるため、もっともクライアント側に配するスイッチ(無線LANの場合はアクセスポイント)が802.1Xに対応している必要がある。有線LANよりも無線LANでの導入例が多いのは、それが理由だ。 Quidway S3100をデスクトップスイッチとして導入すれば、この802.1X認証を利用した認証ネットワークを全社的に導入することが可能になる。さらに、認証VLAN(Dynamic VLAN)を組み合わせれば、ログイン時に社内ネットワークへの参加の認証とともに、自分の部署に関わるサーバにのみアクセス可能にすることができる(図1)。
この図では、認証サーバ上でユーザーIDとパスワードのほかにVLAN番号を定義している。例えば管理部門のスタッフがログインした場合には経理、人事、業務すべてのネットワークに参加可能だが、営業部門のスタッフがログインした場合には業務用サーバにしかアクセスできないといったセキュアなネットワークが実現する。また、WANアクセスのみを許可にしたゲストVLANを設けて、来客などの認証できない社外の人間にはインターネットアクセスだけは許可するといった運用も可能だ。 またQuidway S3100は、1ポートで複数ユーザーを個別に認証可能である。S3100の下にさらにハブが設置され複数のPCが接続されている環境においても、ユーザーごと(PCごと)に認証できる。この機能がないと、ハブ配下のPCが1台認証されると、残りのPCが無条件でネットワークにつながってしまい、セキュリティ上問題になる。ただし、この場合にはDynamic VLANおよびゲストVLANは使用できない。 ところで小規模ネットワーク環境で導入する場合は、RADIUSサーバなどの導入が重荷になる場合もあるだろう。だが、Quidway S3100は本体内に認証サーバの機能を搭載しているので、別途認証サーバを立てずに802.1X認証の環境を構築することもできる。 また、小学校のネットワークなど環境によってはMACアドレスによる認証システムを構築したほうがセキュリティを保てる可能性がある。小学生のようなITスキルの低いユーザーにユーザーIDとパスワードの管理をさせるよりは、PCの電源を投入したらイーサネットカードのMACアドレスによって自動的に認証を行うほうが安全だろう。もちろん、重要なデータが保存されたサーバにアクセスする職員に対しては802.1X認証を使わせたい。Quidway S3100では2つの認証方法が混在した環境にも対応できる。
ウイルスの内部感染も解決すべきセキュリティ課題に挙げられるだろう。このため最近のネットワークでは、VLANを使って部署ごとにネットワークセグメントを分けていることが多い。万が一、ウイルスに感染してしまっても、ほかの部署に影響を及ぼすことを防げるのだ。 Quidway S3100では、同一VLAN内でもほかのクライアントと通信させないポートアイソレーションという機能をサポートしている。この機能を使うことでネットワーク内部のウイルス拡散を防ぐことが可能だ。また、悪意のあるユーザーがPtoPソフトウェアを利用して他人のクライアントPCから情報の持ち出そうとすることも防御できる。
Quidway S3100の管理機能は、Quidwayシリーズの上位モデルや統合アクセス管理サーバ「CAMS」で提供されているような機能と柔軟性を備えたものが利用可能だ。Quidway S3100の設定はリモートからWebブラウザを利用して管理できる。また、DHCPサーバを利用してネットワークに接続したQuidway S3100に自動的にIPアドレスを割り振ることも可能だ。このほかにもFTPやTelnet、SNMP、RMONなどをサポートしている。 メンテナンス面で便利な独自機能としては、VCT(Virtual Cable Test)が挙げられる。VCTを使うとリモート環境からケーブルの断線の有無だけでなく、断線している個所がQuidway S3100からどのくらいの距離なのかも測定できる。実際の管理業務を行う担当者にはたいへんありがたい機能といえる(図2)。
これらの管理機能と802.1Xの機能をサポートしたうえ、ギガのアップリンクを搭載したS3100は、参考価格6万7000円からと一般のデスクスイッチよりお求めやすい価格でワンランク上の高機能が豊富に実装され提供される。これにより、企業ネットワークに求められる広帯域とインテリジェンスの実現がますます加速するだろう。
提供:ファーウェイスリーコムジャパン株式会社
企画:アイティメディア営業局 制作:@IT編集部 掲載内容有効期限:2006年4月8日 |
|
ファーウェイスリーコムの高い技術力を示すには、ハイエンドのコアスイッチについても触れておく方が分かりやすいだろう。S3100のリリースと同時に、