前回,エッジ・スイッチが「機能重視タイプ」と「価格重視タイプ」に二分化していることを説明した。今回と次回は,機能重視タイプのスイッチが搭載する具体的な機能を見ていこう。

 機能重視タイプで最も顕著なのが,セキュリティ機能の搭載である。特にLANに端末をつないだ際の認証機能の搭載が進んでいる。「エッジ・スイッチの標準機能になりつつある」(ネットマークスの岸部貞治第二マーケティング室企画第二グループマネージャ)というほどだ。認証機能を搭載した機種が少なかった2~3年前に比べると,ユーザーは認証機能を導入しやすい状況になってきた。

 エッジ・スイッチへの実装が進んでいる認証方式は「802.1X認証」,「MACアドレス認証」,「Web認証」の3種類(図1)。機能重視タイプのスイッチは,ほとんどが3種類すべてに対応する。

図1●エッジ・スイッチでの認証を高度化する機能
図1●エッジ・スイッチでの認証を高度化する機能
ハブを介して1ポートで複数端末を認証する機能やダイナミックVLAN/ACLなどをサポートした製品が増えている。
[画像のクリックで拡大表示]

 ただし,認証機能に関連した細かな部分が,製品によって違っている。具体的には,1台のスイッチで3方式を混在させて使えるか,ハブ接続時にどの方式を使えるか,といった点である。認証機能を適用できる端末や将来的な機能拡張に影響するため,選択に際しては注意が必要である。

 3方式以外の認証機能を持つ製品もある。富士通の「SR-S」シリーズがそれ。SR-Sに搭載されている「ARP認証」は,ARPフレームを監視し,認証サーバーに未登録のMACアドレスを発見すると偽のARP情報を送信して通信不能にする。「ARP認証を利用するには,一つのブロードキャスト・ドメインに1台ずつSR-Sを置くだけで済む」(富士通の中島部長)。既存環境に手を加えずに低コストで認証機能を導入できる点が特徴である。

1ポートで複数端末を認証できる

 認証に関する最重要チェック・ポイントは,一つの物理ポートで認証できる端末数が1台だけか,複数端末を認証できるかという点だ。アラクサラネットワークスの滝安美弘マーケティング本部長兼事業推進室長は「1ポートで複数端末を認証できるスイッチは,2006年ころから急増してきた」という。

 「フロアに認証対応スイッチを1台ずつ置き,ハブを介してパソコンやIP電話機を認証する」といった使い方を望むなら,1ポートで複数の端末を認証できる製品を選ぶ必要がある。ポートごとに1端末しか認証できないスイッチを使う場合は,利用中の認証未対応のエッジ・スイッチをすべて置き換えなければならない。

 1ポートで種類が異なる複数の端末を認証する場合についても考慮しておきたい。スイッチによって,異なる認証方式を混在させられるものとそうでないものがある。混在させられない場合は,ポートごとに利用する認証方式を選択しなければならない。シスコやアラクサラ,アルカテル・ルーセントなどの製品は,複数の認証方式を混在させて利用できる上,接続した端末の種類に応じて自動的に認証方式を切り替える仕組みを備えている。

 もう一つ,認証に失敗した場合の動作も製品ごとに異なる。具体的には,単純に接続を遮断する仕様になっているスイッチと,接続するVLANを自動的に切り替える「ダイナミックVLAN」や「認証VLAN」と呼ばれる機能に対応したスイッチがある。

 認証機能を導入した後,その拡張として検疫ネットワークの導入を狙うユーザーは多いだろう。この検疫ネットを実現するには,ダイナミックVLANによる動的なVLANの切り替えが欠かせない。接続を遮断するタイプのスイッチでは,Windows Updateなどを実施する「治療」のプロセスを実行できなくなってしまう。

ウイルス,不正アクセスの防御機能も強化

 エッジ・スイッチによっては,ウイルスの拡散やDoS(サービス妨害)攻撃のような不正アクセスを食い止める仕組みを持つ。(1)異常トラフィックの検知,(2)IDS/IPSとの連携,(3)UTM--といった機能である(図2)。

図2●“認証後”のセキュリティを重視した製品も登場している
図2●“認証後”のセキュリティを重視した製品も登場している
一部のエッジ・スイッチでは,社内から社内への不正アクセスやDoS攻撃,ウイルスの侵入を防ぐ機能を持つ。フォーティネットの「FortiGate-224B」ように,ポート一つひとつがUTM(unified threat management)機能を持つ製品もある。
[画像のクリックで拡大表示]

 (1)は異常トラフィックを自動検知してウイルスの侵入やDoS攻撃を防ぐ機能。米ヒューレット・パッカードのスイッチが搭載する「ウイルス・スロットリング」が代表例である。ポートやユーザーごとにパケットの流量やコネクションの数などを監視し,問題ありと判断した場合には強制的に遮断する。

 (2)のIDS/IPSとの連携機能は,サーバー・ファームなどに設置したIDS/IPSで異常を検知した場合,その送信元アドレス(感染源)のパソコンが接続されたポートを遮断するもの。アルカテル・ルーセントの「OmniSwitch」がこうした機能を搭載している。

 そして,新勢力と言えるセキュリティ・アプライアンス・ベンダーが提供するのが(3)である。フォーティネットの「FortiGate-224B」は,スイッチのポート一つひとつで別々にUTM機能を利用できる。このため,持ち込みパソコンからのウイルス侵入や社内でのサーバーへの不正アクセスを,エッジ・スイッチで防げるようになる。ただし,UTM機能をフルに使うと通信速度が低下しやすい。

 同様のコンセプトのスイッチには,コンセントリーネットワークスの「LANShield Switch」がある。FortiGate-224Bに比べるとセキュリティ機能は少ないが,UTM機能を利用してもGbEのワイヤー・スピードで動作する点が特徴だ。

 これらのセキュリティ機器から発展したスイッチは,ほかのエッジ・スイッチに比べるとかなり高価である。FortiGate-224Bは24ポートのモデルで参考価格は124万9400円から。LANShield Switchは,GbEを48ポート搭載する「CS4048X」が日商エレクトロニクスの場合で298万円からである。