ShowNetレポート

今年のShowNetはここがすごかった!
近未来のネットワークの姿とは

[文:高橋睦美]

2016年6月8日から10日にかけて、千葉・幕張メッセで開催された「Interop Tokyo 2016」は、ネットワーク技術を核に、仮想化やセキュリティ、クラウドといった分野にフォーカスした展示会です。そして、文字通りこのイベントの基盤ネットワークとしての役割を果たしているのが「ShowNet」となります。

ShowNet最大の特徴は、デモンストレーションでありながら、ライブネットワークとして出展各社に安定したネットワークサービスを提供していることです。それも、枯れて安定した技術で構築するのではなく、「近未来のネットワークで使われる技術は何かを考えて取り入れ、利用可能性や相互運用性を実証しながら運用に落とし込んでいくということをやっています」と、ShowNet NOCチームメンバーの遠峰隆史氏(国立研究開発法人 情報通信研究機構)は説明しています。アプリケーションの世界に例えて言うならば、先端技術を取り入れ、時にはスクラッチで修正しながら構築した開発環境のアプリを本番システムとして動かしているようなものです。

その性質を探るには、1994年のInterop日本初開催のころを思い起こしていただくのが一番です。「Interoperabirity」(相互運用性)」という言葉から取られた名称からわかる通り、Interopは元々、異なるベンダーが提供するさまざまなネットワーク機器の相互接続性を検証する場として始まりました。インターネットそのものが黎明期にあった当時は、IETFで標準化された同じプロトコルを実装した機器どうしでも、うまくつながらないことがありました。それをInteropという場で検証し、動くネットワークとして示すことで、仕様と機器の双方を鍛えていったのです。

以来ShowNetは20年以上に渡って、その時々の最新の技術を取り入れ、検証しながら、一歩先のネットワークの姿を形にし、実際に動く巨大なショーケースとして構築されてきました。その中には、ATMやADSLのように一定の役割を果たした後、主役の座を降りつつある技術も含まれます。一方で、キャリアグレードNAT(CGN)や100ギガビットイーサネット、Network Functions Virtualization(NFV:ネットワーク機能の仮想化)のように、今年のShowNetはもちろん、現実世界のネットワークでも重要な役割を果たそうとしている技術もあります。

なお、米国のInteropでもライブデモンストレーションネットワーク「Interopnet」が構築されてきましたが、残念ながら今年は行われませんでした。その意味で、新しいチャレンジに取り組み、近未来のネットワークの姿を示すというInterop本来のスピリッツを受け継ぐのは、日本のShowNetのみになってしまったのかもしれません。

これまでのShowNetをばらして組み直し、
次の姿を模索する三年目

おそらく、皆さんが読まれているこの記事のデータも、データセンターの中にあるWebサーバから、キャリアネットワークを介して企業やISPのバックボーンネットワークに伝送され、ルータやスイッチを経由し、おそらく最後はワイヤレスLAN経由で手元の端末に表示されているかと思います。ShowNetはこうした現実世界のネットワーク構成を踏襲しつつ、随所に新たな取り組みを盛り込んでいます。

では、ShowNetが考えるこれからのネットワークの姿とはどんなものでしょう? ネットワークの相互運用性が当たり前のように確保され、帯域を見ても10Gbpsは当たり前、100Gbpsという帯域をバックボーンで潤沢に利用できるようになった今、まだチャレンジすべき事柄は残っているのでしょうか?

ShowNetはこの3年間「Scratch and Re-build the Internet」というテーマを掲げてきました。遠峰氏は、「ShowNetはこれまでIPv6やVLANなどさまざまなチャレンジを重ねてきました。現実の世界でも、インフラとしてのインターネットが行き渡ってきましたが、これはある意味『硬直化』と言えるかもしれません。それを踏まえ、新しいチャレンジとして、いったん今までのShowNetをばらして組み直し、次の姿を考えていく必要があるだろうという考え方から、『Scratch and Re-build the Internet』という三年計画を立てました」と説明しています。

3年前は、さまざまなサービスやアプリが花開いていることを踏まえ、ネットワークから見たデータセンターの姿とはどうあるべきかという観点から「tough core, soft edge, for future apps」というテーマを掲げました。続く昨年は、「ULTIMATE BALANCE」というテーマで、ネットワークとデータセンターが連携することで、どうやってユーザーに快適に使ってもらうかを検討しました。

2016年は「Scratch and Re-build the Internet」の集大成として「Infinite Challenge」を掲げ、過去2年間に試してきたさまざまな新しい技術、VXLANやEVPN/MPLS、OpenStackの活用、セキュリティ機器の連携といった事柄を、実験レベルから一歩進めて大規模に実装しました。

ネットワークを生かしたデータセンター、
データセンターを生かしたネットワーク

中でも、特に最近大きな役割を担っているのが、データセンターネットワークです。インターネットが当たり前になることで、これまでになかったWebサービスやアプリが、クラウドやデータセンターから配信されるようになっています。企業システムの構築方法を見ても、オンプレミスで完結するのではなく、ISPや事業者が用意するデータセンターに、仮想基盤でさまざまなシステムを構築するのが当たり前になりました。

そこで浮上している課題が、「遠隔にある複数のデータセンターネットワークの間を、レイヤ2(L2)でつなぎ、同じVLANで使えるようにしたい」というものです。実はこれ、ここ数年ShowNetが取り組んでいる課題で、過去にはVXLANとIPマルチキャストを組み合わせる、という方法を試したりしていました。

2016年のShowNetでは、マルチプロトコルBGPの一つであるEVPNによってMACアドレスの情報を網全体に行き渡らせ、そのうえでVXLANとMPLSを「スティッチング」(縫い合わせ)し、端から端までL2でつなぐという課題を解決しています。

今回ShowNetの中には、仮想的に「東データセンター」と「西データセンター」が構築され、その中はそれぞれEVPN/VXLANで運用されています。そして、この2つのデータセンターをつなぐISPを模した「コアネットワーク」は、EVPN/MPLSで運用されています(もちろん、異機種相互接続による構成です)。そして、EVPN/VXLANとEVPN/MPLSの間でパス情報を交換できるようにする、すなわちVXLANとMPLSをスティッチングすることによって、東西のデータセンターをL2で接続できるようにしました。遠隔地のデータセンター間を、レイヤ2で透過的に接続する一つの方法を示したわけです。

他にも、BGPのルート計算を行う「ルートリフレクター」を、従来のように物理的なルータではなく、汎用サーバのVM上に構築した仮想ルータで担うようにしたり、NOCのラックに収容されたHadoopサーバにsyslogを収集してネットワーク監視に役立てたり、複数のOpenStackディストリビューションを活用するなど、さまざまな側面でデータセンターを活用してネットワーク運用を支援し、またデータセンター上のサービスをよりよく活用するための工夫が盛り込まれました。

BGP拡張技術を活用し、
セキュリティ対処の半自動化も実現

もう一つ、セキュリティも重要なテーマです。ShowNetでは、インターネットワームが猛威を振るった2000年代前半から独立したSecurity Operation Center(SOC)を設け、やがてセキュリティも一体となって運用すべくNOCに統合していったことが示す通り、はじめからネットワークにセキュリティを織り込み、運用しやすい形で構築することも追求しています。

「セキュリティを自動化し、ネットワークと協調してどのように守るかを考える状況になっています」と遠峰氏が説明した通り、今回は、複数のネットワーク機器とセキュリティ製品が連携し、脅威を見つけるだけでなく対処まで実施する「セキュリティオーケストレーション」に取り組みました。これまでもSDN/NFVを活用して試験的に行っていたものですが、2016年は実際にバックボーンを流れるトラフィックに適用されたことが特徴です。

そもそも、先に紹介した通りShowNetのバックボーンは100Gbpsという広帯域であり、そのトラフィックを、市販のファイアウォールなどで守るのは性能面から非現実的です。そこでShowNetでは、まず光タップやミラーリングを用いてパケットのコピーを多数生成し、複数のセキュリティ機器に配ります。各機器がそれをチェックし、疑わしいものを見つけるとアラートやsyslogを出し、NICTが提供した「NIRVANA改」に集約します。

ポイントはここからで、ただ可視化して「ここに危険なものがあります」と知らせるだけでなく、危険なものがそれ以上拡散しないようなアクションを簡単に取れるようになっているのです。NIRVANA改では「アクチュエーション」と呼んでいますが、ファイアウォールやルータなどの機器の設定を変更し、トラフィックを遮断するといったアクションを実施するインターフェイスを用意し、管理者が「ぽちっ」とクリックするだけで、速やかに不審な兆候に対処できるようにしました。

このように簡単に、半自動で対処を実現できるようにしたのが、「BGP Flow Specification(RFC5575、BGP-Flowspec)」と呼ばれる技術です。このおかげでルータやファイアウォール一台一台に設定を追加する必要がなくなりました。BGP-FlowspecはBGPの拡張技術で、経路情報だけにとどまらず、例えばある特定のポート番号に対するアクションなどを定義できます。これを、ルートリフレクター経由でBGP経路として配信することによって、各機器に適切な設定やルールが入るというわけです。ネットワークオペレータによっては、使い慣れたBGPを使って機器を設定・制御できることがメリットと言えるでしょう。

これはNFVにも適用可能で、例えば特定のトラフィックのみにファイアウォールによる制御を追加したい、といったことも可能になります。DDoS攻撃を検知したら専用対策装置にトラフィックをねじ曲げたり、不審なトラフィックをトリガーにして、その前5分間分のパケットをキャプチャし、詳しく調査できるようにしたり……と、セキュリティオーケストレーションにはさまざまな活用が考えられますが、ShowNetではその一部が実際に示されました。

ShowNetではこのように複数の機器と技術を組み合わせることで、複数の機器でトラフィックを多面的に解析すると共に、セキュリティインシデントへの対応を半自動化し、少ない労力で適切にネットワークセキュリティを保てる仕組みを提案しました。また、昨年から試され始めたResource Public Key Infrastructure(RPKI)もフルに実装しました。これは、経路情報を検証する仕組みにより、不正な経路にトラフィックを送り込まないようにするものです。

随所に盛り込まれたネットワーク運用のための工夫

近未来のネットワークという意味では、Internet of Things(IoT)という要素も不可欠です。ShowNetでは、IoT機器をインターネットにつないで情報を収集する際の一つのモデルとして、NOCの各ラックに「いいねボタン」を実装しました。さくらのIoT PlatformとArcstar Universal Oneモバイルを活用して、閉じたネットワークで安全にIoT機器をつなぐモデルを示すもので、とかくセキュリティが課題とされるIoTに対する一つの答えとなるでしょう。

他にも、SDN対応ソフトウェアスイッチ「Lagopus」とプログラマブルなFPGAを組み合わせたOpenFlow処理の高速化、Precision Time Protocol(PTP)を用いたマイクロ秒単位での高精度な時刻同期や、あえてアクセスポイントを減らすアプローチによる「きれいな」無線LANの提供、十種類を越える運用ツールによるネットワーク監視とSlackの連携、「抜けにくい電源ケーブル」などを活用したすっきりしたラック・ケーブル類収納など、挙げていけばきりがありません。おそらくこうしたさまざまな工夫は、これからのネットワーク運用にさまざまな形で応用されていくことでしょう。

ネットワークの進化が新たなサービスを生み、
新たな挑戦が生まれる

これを支えるのが、NOCチームとShowNet Team Member(STM)と呼ばれるボランティアのエンジニア、それに機器を提供するコントリビュータです。産学、さまざまな組織から集まったトップエンジニアの数は、のべ396人に上ります。彼ら、彼女らが、コントリビュータから提供された約74億円分の機器を設置し、実際の構築作業だけでも2週間かけて設定を投入し、運用することでShowNetは実現されています。

「ShowNetそのものと同じく、NOCチームやSTMも新陳代謝しています。次世代のエンジニアにもぜひ、挑戦しながらネットワークを作る楽しさを知ってほしいと思います」(遠峰氏)

いろいろな新しい要素を盛り込むとはいえ、これからのネットワークにも変わらず第一に求められるのは、互いにつながり、安定して動作すること。「AとBとはうまく動いても、間にCが入ったらうまくいかないなどということがないよう、検証して結果をフィードバックし、時にはその場でコードを書いてもらって修正していく、そのプロセスをShowNetはうまく取り持っています」と遠峰氏は述べています。

一つの課題を乗り越えて成熟したかに見える技術でも、それが土壌となって生まれたサービスによりまた新たな課題が生まれ、次々に取り組むべき課題が生まれ、次のエンジニアに受け継がれていく??そんなことを考えさせられる場として、これからのShowNetにもぜひ注目いただきたいと思います。

インターネットアーキテクチャ研究会 発表資料

「PTP (Precision Time Protocol) の相互接続実証実験の現状と方向性 Phase2」

http://archive.interop.jp/2016/images/shownet/shownet_ia-report.pdf

Interop Tokyo 2016 ShowNet NOC Member
セイコーソリューションズ株式会社 長谷川 幹人
株式会社IIJイノベーションインスティテュート 阿部 博
東京大学 情報基盤センター 関谷 勇司