【事例】社内ネットを総入れ替え目指すは5000台規模のIPv6ネット（下）

電通国際情報サービス

河井保博

2001.05.22

どこからでも自分のVLANに

図3●LANスイッチのリプレースで「ネットワーク・ログイン」機能も実現
ネットワーク・ログインは，ネットワーク上のどこに接続しても，同じユーザーに必ず同じバーチャルLAN環境を提供する機能。LANスイッチのポートにクライアント・マシンを接続した場合，いったんRADIUSサーバーにアクセスしてユーザー認証を実行。このユーザー情報をLANスイッチが識別し，ユーザーが接続する物理ポートが変わっても，同じバーチャルLANに接続するようにLANスイッチの設定を自動変更する

　LANスイッチをリプレースすることで，IPv4環境での新たな機能も実現できる。ネットワーク・ログインがそれ。ここで言うネットワーク・ログインは，社内の任意の情報コンセントにPCを接続した場合に，ユーザー認証を実行して必ずそのユーザーのバーチャルLAN（VLAN）環境を実現する機能である（図3[拡大表示]）。

　同社の場合，人事異動などに伴って，年に2000台以上のPCやサーバーの配置を換える。当然，その都度，パッチの接続を変えなければならない。また，IPアドレスに関しては，DHCP（ダイナミック・ホスト・コンフィグレーション・プロトコル）サーバーを導入し，自動的に割り当てるようにしたものの，ユーザーのIPアドレスはいつも同じとは限らない。このため，マシンを移動させるたびにVLANの設定を変更する必要も出てくる。

　ところが，この変更作業にかかるコストがバカにならない。「配置換えに伴うコストは，5年間で2000万円以上かかっていた。これが，ネットワーク・ログインを実現すれば，1ポート当たり1500円程度コストを抑えられる」（情報システム部コミュニケーショングループの早野美砂氏）と見込んだ。年間にすると300万円以上のコストを節約できることになる。

　ネットワーク・ログインは，新たに導入するSummit48iの機能で実現する。仕組みはこうだ。まず，LANスイッチには，マシンを接続していないポートからのトラフィックを受け付けない状態になっている。クライアント・マシンが，ネットワークに対してDHCPサーバーを探すパケットを送出すると，スイッチがマシンに対してユーザー認証用のWebページ（Javaスクリプト）を返信。ユーザーがID/パスワードを入力すると，これをRADIUS（リモート・オーセンティケーション・ダイヤルイン・ユーザー・サービス）サーバーに転送して認証処理を実行する。RADIUSサーバーからの応答が返ると，スイッチ側でユーザー情報を識別してVLAN設定を有効にする。

　LANの再構築には，LANの高速化という目的も含まれている。サーバーや一部のデスクトップ・マシンは，ギガビット・イーサネットを利用できる。これ以外のマシンも，100BASE-TXで接続でき，「社内でのビデオ伝送などを実現できる」（熊谷氏）という。これに伴って，ルーターやLANスイッチの帯域制御機能も利用する。

インターネット接続も2重化

　もう1つ，今回のIPv6ネットワーク構築とは別に，同社は企業ユーザーにはまだ珍しい取り組みを進めている。インターネットに接続する際に，異なる2つのISPとそれぞれ接続し，2重化しているのである。いわゆるデュアル・ホーミングだ。

図4●インターネット接続をデュアル・ホームに
2つのISPに接続。それぞれとBGP4を使って経路情報を交換し，自動的に経路を切り替えられるようにした。経路に重み付けし，PSINetを利用するように設定。UUNETはバックアップ用。今後，両方のネットワークを同時に使ってトラフィックを分散させることも考えている

　接続先のISPはピーエスアイネット（PSINet）とユーユーネット・ジャパン（UUNET）。従来は，PSINetに1.5Mビット/秒で接続する形態だったが，2000年秋に，ネットワークの冗長性を保つために2重化を計画。計画を進める折も折，「PSINetのネットワークがつながらなくなってしまうトラブルに何度か見舞われた」（熊谷氏）。そこでデュアル・ホーミング化を急いだ。2001年3月には，それぞれのISPに1.5Mビット/秒の専用線で接続した。

　デュアル・ホーミングを実現するには，ISID側のルーターにISPを使い分けるポリシーを設定しなければならない。この機能を実現するコア技術は，ルーティング・プロトコルのBGP4（BGPはボーダー・ゲートウエイ・プロトコル）である。BGP4は，通常，ISP同士が接続する場合に経路情報をやり取りするためのプロトコル。それぞれのネットワークを識別するためのAS（自律システム）番号と到達可能なIPアドレス群，到達可能なASの番号などを経路情報としてやり取りする。このプロトコルを，ユーザーとしてISPに接続する部分に採用した。

　もう少し具体的に見てみよう。ISIDとISPをつなぐ2台のルーターは，それぞれBGPを使ってISPに対して経路情報を流す（図4[拡大表示]）。2台のルーター同士もBGPで経路情報を交換しあう。「2つの経路に対しては，異なる重み付けを施し，デュアル・ホームに移行するより前から使っていたPSINetを優先するように設定した」（早野氏）。UUNETはあくまでもバックアップ用で，PSINetのネットワークがダウンした場合に限って，ルーターがUUNETを自動選択する。さらに今後は，経路の重み付けをやめ，2つのISPから動的に経路を選択し，トラフィックを分散させるような構成に移行していくことも検討している。