JP5345651B2 - セキュアトンネリングプラットフォームシステム及び方法 - Google Patents
セキュアトンネリングプラットフォームシステム及び方法 Download PDFInfo
- Publication number
- JP5345651B2 JP5345651B2 JP2011102216A JP2011102216A JP5345651B2 JP 5345651 B2 JP5345651 B2 JP 5345651B2 JP 2011102216 A JP2011102216 A JP 2011102216A JP 2011102216 A JP2011102216 A JP 2011102216A JP 5345651 B2 JP5345651 B2 JP 5345651B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- network device
- log
- address
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本願は、概して、ネットワーク帯域幅の共有に関し、特にそのユーザの識別に関する。
Wi−Fi等を介して帯域幅を共有することは実用的なソリューションであり、それは同じ出願人による米国特許出願11/402、576号に記載されているような利点を有する。Wi−Fiを介してインターネット等の通信ネットワークをアクセスするユーザは、多くの場合はパブリックインターネットプロトコル(「IP」)アドレスを共有している。
例えば、各インターネットサービスプロバイダ(「ISP」)は一つ又は限定された数のIPアドレスを介してインターネットアクセスを提供している。インターネット帯域幅は、Wi−Fiアクセスポイントを介して使用可能となっている。ユーザAはIPOD(登録商標) TOUCHを操作して、そのWi−Fiサービスを検出してアクセスし、インターネット上のウェブページにアクセスする。ユーザBはラップトップコンピュータを操作して同じWi−Fiサービスを検出して、インターネット上の別のウェブページにアクセスする。ユーザA及びユーザBに操作されている装置は、ISPにより提供されている一つのパブリックIPアドレスを共有する。この例では、両方のユーザが同じパブリックIPアドレスを共有しているため、どのユーザ(ユーザA又はユーザB)がどのインターネットウェブページをアクセスしたかを決定することは不可能である。
上記の例では、二人のユーザが、別の計算機を操作して、二つの異なるウェブページを同時にアクセスしている。残念ながら、ISPは両方のユーザにより共有されてアクセスされている一つのIPアドレスのみしか検出できない。従って、各ユーザを識別することができない。
Wi−Fi又は他の帯域幅の共有を介して通信ネットワークをアクセスしている各ユーザを、両方のユーザが同時に帯域幅を共有しているときでも、識別するシステム及び方法が提供される。ここでの教示に従うシステム及び方法は、一つ又は限定された数の共有されたパブリックIPアドレスに提供される帯域幅を含む、Wi−Fiサービスを介して提供される帯域幅を使用する各ユーザの識別及び情報開示を更に提供する。
本願の他の特徴及び利点は、本発明の明細書及び図面の下記の記載により明確になるだろう。
Wi−Fi又は他の帯域幅の共有を介して通信ネットワークをアクセスする各ユーザを識別することができる。
本願は米国特許出願11/402、576号に関連しており、その全文は本明細書に援用される。
本願は、ネットワークトンネリングプラットフォームを含み、そのネットワークトンネリングプラットフォームは、ユーザの計算機が一つ又は複数のNATサービスの背後にある場合でも、通信ネットワークにおけるユーザ識別を提供するように設定されているルータ(設定済みルータ(Configured router)100と言う)を提供する。米国出願11/402、576号に示されて記載されているように、登録されているユーザ識別情報が受信されて一つ又は一つ以上のデータベースに記憶されている。従って、ネットワークユーザは加入者であり、そのため明確に特定することができる。例えば、ユーザはユーザ名及びパスワードを提供することにより認証され、ユーザの認証ステータスによって、他のユーザのネットワーク帯域幅を無料又は低料金で共有するように許可され得る。ここでの教示は、ユーザを識別するために、ユーザの接続IPアドレス及びTCP/UDPポートをユーザの認証情報(例えば、ユーザ名及びパスワード)に関連させることを提供する。
ここでの教示に従い提供されるユーザ識別機能(capability)は、最も厳重なインターネットサービスプロバイダであってもそのセキュリティ・ポリシー及び法的要件のコンプライアンスを提供する。
ユーザ識別情報は、少なくとも部分的には、レイヤ2トンネリングプロトコル(「L2TP」)トンネルを介して提供されているPPPセッションを介して提供される。各ユーザセッションはL2TPトンネルを介して確立され、L2TPトンネルは各PPPトンネルに、それに応じて各ユーザに、独立したインターネットプロトコル(「IP」)アドレスを提供する。ユーザのクレデンシャル(credentials)及び各セッションIPアドレスは、例えば、リモート認証ダイアルインユーザサービス(「RADIUS」)サーバがログを取り、RADIUSサーバは認証及びアカウンティングの処理をもサポートできる。
ここでの教示に従うトンネリングソリューション(tunneling solution)は、使用可能なIPアドレスが限定されている環境をも提供する。パブリックIPアドレスの保護は、各ユーザにプライベートIPアドレスを割り当てることにより提供し得る。この実施形態では、各プライベートIPアドレスは、例えば、一つ又は一つ以上のネットワークアドレス変換(「NAT」)サーバを介して、ネットワークトラフィックがインターネットに達する前に、一つ又は一つ以上のパブリックIPアドレスに変換される。一つの実施形態では、複数のプライベートIPアドレスが一つのパブリックIPアドレスとNATされている(PAT又はNATオーバーロード(overload)とも言う)。NATアカウンティング(accounting)ログを提供することにより、明確なユーザ識別が提供される。
ここに記載の多くの実施形態はIP保護に関する。しかし、限定された又は別の方法で減らした数のIPアドレスをサポートするNAT変換を提供しない又は別の方法でサポートしない実施形態の方が、プライベートIPアドレスをNATにより変換して一つ又は一つ以上のパブリックIPアドレスを共有する代わりに、単に独立したパブリックIPアドレスを所定の時間に接続しているユーザに割り当てることにより、複雑及び高価にならないようにできる。
更に、一つの実施形態のインフラストラクチャは、例えば、データセンタ及び通信プロバイダのための冗長性機能により、相当な利用可能性(availability)を提供する。相当なスケーラビリティもサポートされており、例えば、設定済みルータ100とのトンネルの終端となるネットワーク装置を追加することにより、例えば、数百人又は数千人の同時ユーザ(concurrent users)をサポートする。同時ユーザ数が少ない場合、システム及びプラットフォームコストもまた調整可能であり、機能性及びコストの点で適切にスケール(scale)する。
一つの実施形態では、ここでの教示に従う設定済みルータ100は、システムのRADIUSプロキシサーバ120、140にRADIUSリクエストを送信し、そこから設定プロフィール情報を取得する。設定プロフィール情報には例えばホワイトリスト(white-listed)ドメイン、ウェルカムページのユニフォームリソースロケータ(「URL」)、L2TPサーバ(「LNS」)の詳細等が含まれる。システムのRADIUSプロキシ120、140は、設定プロフィールを設定済みルータ100に送信する。ユーザがハイパーテキスト転送プロトコル(「HTTP」)リクエストを、ユーザがアクセスを認められたあるいは許可されたドメイン(「ホワイトリスト」ドメイン)に送信する場合、設定済みルータ100はリクエストをユーザ200に転送して、そのルータはNATによりトラフィックをルータ(100)のパブリックIPアドレスに変換して、インターネットに転送する。HTTPの応答はユーザのブラウザ200に送信される。
ユーザ200がノンホワイトリスト(non-white-listed)ドメインをアクセスしようとした場合には、設定済みルータ(100)のキャプティブポータルはリクエストを遮断して、ユーザのブラウザ200に、例えば、ハイパテキストマークアップランゲージ(「HTML」)のウェルカムページへのHTTPのリダイレクトを送信する。ユーザブラウザ200はウェルカムページをリクエストし、セキュア(「HTTPS」)なウェルカムページがユーザ200に提供される。一つの実施形態では、ユーザは彼又は彼女のクレデンシャル(例えば、ユーザ名及びパスワード)をウェルカムページで記入する。一つ又は一つ以上のウェブサーバ300が、システムのデータベース310にあるユーザクレデンシャルをアクセスすることにより、認証処理を行う。認証が成功すると、ウェブサーバ300はユーザのウェブブラウザソフトウェアアプリケーション200にHTTPリダイレクトリクエストを送信し、それには許可フェーズ中に使用されるランダムなワンタイムパスワードハッシュ(one time password hash)が含まれる。ユーザブラウザ200は設定済みルータ(100)のキャプティブポータルに許可リクエストを、HTTPを介して、送信して、それにはワンタイムパスワードが含まれる。
一度認証されると、例えばトンネルが前回の接続で既に確立されていない場合、設定済みルータ100はそのプライマリシステムLNS(primary system LNS)110へのL2TPトンネルを確立する。もしプライマリLNS110への接続が失敗すると、設定済みルータ100は好ましくはセカンダリLNS110への接続を試みる。設定済みルータ100はL2TPトンネルにわたってLNS110へPPP許可リクエストを送信して、それにはワンタイムパスワードが含まれてもよい。それに応答して、LNS110は、許可RADIUSリクエストを、例えばISPにあるシステムRADIUSプロキシ120に送信する。一つの実施形態では、ISPは、ここでの教示に従ったシステム及び方法のプロバイダ又は所有者(proprietor)と提携している。
続いてこの実施形態では、ISPのRADIUSプロキシ120は許可リクエストを、RADIUSサーバ140へ、DCRルータ150間に確立されている暗号化仮想プライベートネットワーク(「VPN」)を介して転送する。RADIUSプロキシ120は、ここでの教示に従ったシステム及び方法のプロバイダ又は所有者により提供あるいは管理されおり、世界中の何処にでも設置されていても良い。許可に成功した場合、システムにより提供されているRADIUSプロキシ140は、暗号化されたVPNを介して、ISPにてRADIUSプロキシ120にアクセス許可を返送する。その後、ISPのRADIUSプロキシ120はLNS110にアクセス許可パケットを転送して、LNSはPPPトンネルを許可して、PPPセッションにプライベートIPアドレスを割り当てる。
一つの実施形態では、キャプティブポータル認証がサポートされている。例えば、設定済みルータ100はISPのRADIUSプロキシ120に、前述のワンタイムパスワードを含む、RADIUS許可リクエストを送信する。RADIUSリクエストは、ここでの教示に従うシステム及び方法のプロバイダ又は所有者により提供されあるいは管理されているRADIUSプロキシサーバ140に転送される。リクエストは、許可されると予想される。なぜなら、クレデンシャルは、前述のPPPトンネルを許可するために使用されたクレデンシャルと好ましくは同じであるからである。アクセス許可パケット(複数のパケット)(access-accept packet(s))は、世界中のどこに設置されても良いシステムRADIUSプロキシ140に送信され、その後設定済みルータ100へ送信される。アクセス許可パケットは、好ましくはユーザのネットワークプロフィールを含む。その後、設定済みルータ100は各ユーザにインターネットアクセスを提供し、それにはLNS110によりPPPセッションに割り当てられたプライベートIPアドレスと、設定済みルータ100により動的ホスト設定プロトコル(「DHCP」)を通してユーザ装置200へ割り当てられるプライベートIPアドレスとの間の静的なネットワークアドレス変換(「NAT」)が含まれてもよい。
一旦ユーザが認証されると、ユーザは設定済みルータ100を介してインターネットへリクエストを送信する。リクエストは、前述のPPPトンネル内にカプセル化される。LNS110はリクエストのポートアドレス変換(「PAT」)を行い、リクエスト中のプライベートIPアドレス及びポートをパブリックIPアドレス(これは別のポートであっても良い)に変換する。その後、PATのログが情報開示サーバ(disclosure server)130に記憶される。リクエストは、HTTPサーバ等の各サーバ300にインターネットにより転送され、そこから応答がインターネットにわたり別のPAT処理のために送信される。IP(及びポート)変換は効果的に反転されて、LNS110はPPPトンネルを介して設定済みルータ100に応答を送信する。設定済みルータ100は応答をユーザのソフトウェアアプリケーション200に転送する。
そして、上記の実施形態に関連して記載されているように、ここでの教示は、ホワイトリスト及びノンホワイトリストのドメインへのアクセスと、ウェブサーバ認証、トンネル許可、及びキャプティブポータル認証を含むユーザ認証及び許可とを含むユーザ接続フローを提供する。
一つの実施形態では、少なくとも三つのセッションアカウンティングの統合が含まれている。一つ目は、ここでの教示に係る所有者により管理又は維持されている一つ又は一つ以上のRADIUSサーバ140によるPPPセッションアカウンティングである。二つ目も、システムのRADIUSサーバ(複数)140により生成されているキャプティブポータルセッションアカウンティングである。三つ目は、LNSルータ110により提供されるNATアカウンティングである。PPPセッションアカウンティングは、少なくともユーザのセッション開始時間、停止時間、及びPPPセッションが終了する各LNS(110)のIPアドレスを含んでも良い。PPPセッションアカウンティングは、LNS110のためのトンネルIPソースであるCPEのIPアドレスをも含んでも良く、なぜならばCPE210は設定済みルータ100のワイドエリアネットワーク(「WAN」)IPアドレスを変換(NAT)しているからである。PPPセッションアカウンティングに含まれる他の情報は、PPPセッションのためにLNS110により設定済みルータに割り当てられたプライベートIPアドレス、ユーザのユーザ名、アカウンティングパケットの種類、及びFONの固有のセッション識別子(キャプティブポータルセッション用も同じ)である。
一つの実施形態では、設定済みルータでのユーザ認証及びアカウンティングをキャプティブポータルにより管理する。キャプティブポータルセッションアカウンティングは、好ましくは下記を一つ又は一つ以上含む。それらは、ユーザのセッション開始時間、セッション停止時間、ユーザのユーザ名、ユーザの装置の種類(スマートフォン等)、及び媒体アクセス制御(「MAC」)アドレス、ユーザのCPE210MACアドレス、設定済みルータ100によりDHCPを介して割り当てられるユーザの計算装置200(スマートフォン等)IPアドレス、及び固有のセッション識別子(PPPセッション用に関連して前述したものと同じ)である。
更に、NAT変換セッションアカウンティングはLNSルータ110により作成されて、下記を一つ又は一つ以上含む。それらは、変換作成時間(translation creation time)、変換削除時間(translation deleting time)、アカウンティングの種類(例えば、NAT作成又はNAT削除)、レイヤ4通信プロトコル(UDP又はTCP)、PPPセッションIPアドレス(内部アドレス)及びポート、変換及びポートに使用されるLNSパブリックIPアドレス、及びユーザが達しようとしているインターネットIPアドレス及びポートである。
従って、各セッションアカウンティングに従って、ユーザの追跡及び識別が提供される。例えば、ユーザのパブリックIPアドレス、TCP又はUDPポート、及びタイムフレーム(time frames)は既知である。この情報を用いて、タイムフレームが適当であれば(即ち、24時間のタイムフレームでは、異なる時に同じプライベートIPアドレスを共有したPPPセッションが複数あるかもしれない)、ここでの教示により、一つのPPPセッションに関連する、PPPセッションに割り当てられているプライベートIPアドレスを探し出す。更に、PPPセッションIPアドレスを使用して、そのIPアドレス用のPPPセッションアカウンティングを決定でき、ユーザのユーザ名及びCPEアドレス210を決定できる。
その上、更なる情報が必要な場合(即ち、ユーザ装置のMACアドレス)、固有セッションIDを取得することができ、同じ固有セッションIDを有するキャプティブポータルのユーザセッションを探し出すことができる。従って、ユーザ装置(200)のMACアドレス及び設定済みルータ(100)のMACアドレスを識別できる。
更に、ここでの教示は、スケーラビリティ及び冗長性を促進するためのモジュラー設計を含む「ライブプラットフォーム(Live Platform)」を提供している。一つの実施形態では、LNSサブプラットフォームは、設定済みルータ100から生じるL2TPoPPPトンネルを終了させる。LNSサブプラットフォームは、更に、ユーザのセッションにプライベートIPアドレスを割り当て、プライベートIPアドレスをパブリックに変換し、NATアカウンティングを作成して外部システムログ(external Syslog)に転送し、RADIUSプロトコルを使用してユーザのセッションを認証し、RADIUSプロトコルを使用してセッションアカウンティングを作成しても良い。
情報技術(「IT」)サービスサブプラットフォームをも設けてもよく、それはセキュアなRADIUS認証及び他のトランザクションのためにシステムプラットフォームとの暗号化されたトンネル(Gre/IPSec)を提供することができる一つ又は一つ以上の設定済みルータ/ファイアウォールを含む。ITサービスプラットフォームは、データセンタに設置されているサーバを保護するために、一つ又は一つ以上のファイアウォール機能を実行しても良い。ITサービスプラットフォームはRADIUSプロキシサーバをも含んでもよく、そのRADIUSプロキシサーバは一つの実施形態ではRADIUS認証及びアカウンティングを集中させて、それに関連する情報をシステムのRADIUSプロキシ140に転送し、システムのRADIUSプロキシ140は、ここでの教示に従うシステム又は方法のプロバイダ又は所有者により維持又は管理されており、世界中のどこにでも設置されてもよい。更に、モニタリングサーバを含んでもよく、そのモニタリングサーバはネットワーク及びサーバ装置の健康状態(health status)を検査し、その情報を集中型モニタプラットフォームに転送するように設定されて、その集中型モニタプラットフォームはここでの教示に従うシステム及び方法のプロバイダ又は所有者により維持又は管理されても良い。更に、情報開示サーバを含んでもよく、情報開示サーバは情報開示アクションに必要な情報(RADIUSログ、NATアカウンティング等)を記憶し、データ抽出のためのセキュアなウェブインターフェースを提供する。
更にLNSサブプラットフォーム、境界スイッチ(border switches)に加えて、ここに教示されるプラットフォームは、LNS110及びITサービスサブプラットフォームからのトラフィックを集約し、更にISP集約プラットフォームとIP接続性を提供し、冗長性の目的のためにデータセンタ間の接続性を提供するように構成されている。
ここでの教示に従い、Wi−Fi又は他の共有されている帯域幅を介して通信ネットワークをアクセスする各ユーザを特定するようにシステム及び方法が提供されている。共有パブリックIPアドレス(複数)を介してWi−Fiサービスを使用する各ユーザは、例えば、行政当局(civil authorities)に識別及び開示されることができる。
本発明は特定の実施形態に関連して記載及び例示されているが、多くの他の変形、改良、及び他の用途も当業者には明らかになるだろう。従って、ここには様々な実施形態及び変形例が示されており、従って本発明がここに記載されている特定の開示に限定されないことが好ましい。
<実施例>
本発明のシステムの実施の例が下記に説明される。
本発明のシステムの実施の例が下記に説明される。
1 定義/装置の用語集
表1に記載されている定義及び装置は本発明の記載に使用されている。
表1に記載されている定義及び装置は本発明の記載に使用されている。
2 序文
2.1 目的
ここではネットワークトンネリングプラットフォームのためのハイレベルデザインを記載しており、それはユーザが一つ又は複数のNATサービスの背後にあっても、システムルータ(設定済みルータ100と言う)に明確なユーザ識別を提供する。
表2に示されるように、ユーザ識別機能は、システムソリューションが最も厳格なISPセキュリティポリシー及び法的要件にも遵守できるようにする。
2.1 目的
ここではネットワークトンネリングプラットフォームのためのハイレベルデザインを記載しており、それはユーザが一つ又は複数のNATサービスの背後にあっても、システムルータ(設定済みルータ100と言う)に明確なユーザ識別を提供する。
表2に示されるように、ユーザ識別機能は、システムソリューションが最も厳格なISPセキュリティポリシー及び法的要件にも遵守できるようにする。
表3に示すように、システムトンネリングソリューションは限定されたIPアドレスしか使用可能でない環境にも設計することができる。
2.2 実施例
・IP保護:ここでは、ソリューションの機能(capability)についてより詳細な説明を提供するためにIP保護が必要だと仮定している。しかしながら、IP保護がなければこのソリューションについての複雑性及びコストは減少でき、それはNATを使用してパブリックIPアドレスを共有することの代わりに、独立したパブリックIPアドレスを与えられた時間に接続している各ユーザに割り当てることにより行える。
・インフラストラクチャの高可用性:ここで記載されているシステムネットワークトンネリングソリューションは完全に冗長であり、データセンタ及び通信プロバイダ用のインフラストラクチャの冗長化も必要である。
・スケーラビリティ:提案されたソリューションでは、LNSルータ110を追加することにより簡単に200Kの同時ユーザにスケールできる。少数の同時ユーザが必要である場合、システムはこの設計及びプラットフォームコストを調整してあらゆる提供される同時使用予測(concurrency forecast)に適合するようにできる。
・管理:システムネットワークチームは、ネットワークトンネリングプラットフォーム設計、発展、設置、及びメンテナンスを担当している。
・IP保護:ここでは、ソリューションの機能(capability)についてより詳細な説明を提供するためにIP保護が必要だと仮定している。しかしながら、IP保護がなければこのソリューションについての複雑性及びコストは減少でき、それはNATを使用してパブリックIPアドレスを共有することの代わりに、独立したパブリックIPアドレスを与えられた時間に接続している各ユーザに割り当てることにより行える。
・インフラストラクチャの高可用性:ここで記載されているシステムネットワークトンネリングソリューションは完全に冗長であり、データセンタ及び通信プロバイダ用のインフラストラクチャの冗長化も必要である。
・スケーラビリティ:提案されたソリューションでは、LNSルータ110を追加することにより簡単に200Kの同時ユーザにスケールできる。少数の同時ユーザが必要である場合、システムはこの設計及びプラットフォームコストを調整してあらゆる提供される同時使用予測(concurrency forecast)に適合するようにできる。
・管理:システムネットワークチームは、ネットワークトンネリングプラットフォーム設計、発展、設置、及びメンテナンスを担当している。
3 ネットワークソリューション説明
3.1 ユーザ接続フロー図
図1は、システム構成及びユーザ接続フローの図の例を示している。
ユーザは下記に説明されるようにインターネットに接続する。図1のフローは、例えば、設定済みルータ100がスマートフォン200(ユーザ)からHTTPリクエストを受信した場合に開始する。
3.1 ユーザ接続フロー図
図1は、システム構成及びユーザ接続フローの図の例を示している。
ユーザは下記に説明されるようにインターネットに接続する。図1のフローは、例えば、設定済みルータ100がスマートフォン200(ユーザ)からHTTPリクエストを受信した場合に開始する。
<<設定済みルータのプロフィールリクエスト>>
1 設定済みルータ100はその設定プロフィール(ホワイトリストのドメイン、ウェルカムページのURL、LNSの詳細等)を得るために、RADIUSリクエストを、世界中のどこに位置しても良いシステムのRADIUSプロキシ120、140に送信する。
2 システムRADIUSプロキシ120、140は、設定プロフィールを設定済みルータ100に送信する。
1 設定済みルータ100はその設定プロフィール(ホワイトリストのドメイン、ウェルカムページのURL、LNSの詳細等)を得るために、RADIUSリクエストを、世界中のどこに位置しても良いシステムのRADIUSプロキシ120、140に送信する。
2 システムRADIUSプロキシ120、140は、設定プロフィールを設定済みルータ100に送信する。
<<ホワイトリストのドメインへのアクセス>>
3 ユーザがHTTPリクエストをホワイトリストドメインに送信した場合、設定済みルータ100は、トラフィックをパブリックIPアドレスにNATしてインターネットに転送するユーザCPE210へリクエストを転送する。
4 HTTP応答はユーザのブラウザ(200)に送信される。
3 ユーザがHTTPリクエストをホワイトリストドメインに送信した場合、設定済みルータ100は、トラフィックをパブリックIPアドレスにNATしてインターネットに転送するユーザCPE210へリクエストを転送する。
4 HTTP応答はユーザのブラウザ(200)に送信される。
<<ノンホワイトリストのドメインへのアクセス>>
5 ユーザはHTTPリクエストをノンホワイトリストドメインへ送信する。
6 設定済みルータ(100)のキャプティブポータルはリクエストを遮断して、ユーザブラウザ(200)にウェルカムページへのHTTPリダイレクトを送る。
7 ユーザブラウザ(200)はウェルカムページをリクエストする。
8 HTTPSウェルカムページがユーザに示される。
5 ユーザはHTTPリクエストをノンホワイトリストドメインへ送信する。
6 設定済みルータ(100)のキャプティブポータルはリクエストを遮断して、ユーザブラウザ(200)にウェルカムページへのHTTPリダイレクトを送る。
7 ユーザブラウザ(200)はウェルカムページをリクエストする。
8 HTTPSウェルカムページがユーザに示される。
<<ユーザ認証及び許可>>
−ウェブサーバ認証−
9 ユーザは本人のクレデンシャル(ユーザ名及びパスワード)をウェルカムページにて記入する。
10 ウェブサーバ300は、システムのデータベース310にあるユーザのクレデンシャルにアクセスして認証を行う。
11 認証に成功した場合、ウェブサーバ300は、認証段階で使用されるランダムなワンタイムパスワードハッシュを含むHTTPリダイレクトリクエストをユーザブラウザ200に送信する。
12 ユーザのブラウザは、前回のワンタイムパスワードを含む認証リクエストを、HTTPを介して設定済みルータ(100)のキャプティブポータルへ送信する。
−ウェブサーバ認証−
9 ユーザは本人のクレデンシャル(ユーザ名及びパスワード)をウェルカムページにて記入する。
10 ウェブサーバ300は、システムのデータベース310にあるユーザのクレデンシャルにアクセスして認証を行う。
11 認証に成功した場合、ウェブサーバ300は、認証段階で使用されるランダムなワンタイムパスワードハッシュを含むHTTPリダイレクトリクエストをユーザブラウザ200に送信する。
12 ユーザのブラウザは、前回のワンタイムパスワードを含む認証リクエストを、HTTPを介して設定済みルータ(100)のキャプティブポータルへ送信する。
−トンネル認証−
13 設定済みルータ100はプライマリシステムLNS110へのL2TPトンネルを確立させる(前回の接続で既に確立されていない場合のみ)。もしプライマリLNS110への接続が失敗すると、設定済みルータ100はセカンダリLNS110への接続を試みる。
14 設定済みルータ100は、ワンタイムパスワードを含むPPP認証リクエストを、L2TPトンネル越しにLNS110へ送信する。
15 LNS110は、認証RADIUSリクエストをパートナーのISPのシステムRADIUSプロキシ120へ送信する。
16 パートナーISPのシステムRADIUSプロキシ120は、リクエストをシステムのプロバイダにより管理されているシステムRADIUS140に、DCRルータ150間に確立されている暗号化されたVPNを介して転送する。
17 認証に成功した場合、システムのプロバイダにより管理されているシステムRADIUS140は、暗号化VPNを介して、パートナーISPのRADIUSプロキシ120へアクセス許可(access-accept)を返送する。
18 パートナーISPのRADIUSプロキシ120は、アクセス許可をLNS110に転送する。
19 LNSルータ110は、PPPトンネルを受け入れ、PPPセッションにプライベートIPアドレスを割り当てる。
13 設定済みルータ100はプライマリシステムLNS110へのL2TPトンネルを確立させる(前回の接続で既に確立されていない場合のみ)。もしプライマリLNS110への接続が失敗すると、設定済みルータ100はセカンダリLNS110への接続を試みる。
14 設定済みルータ100は、ワンタイムパスワードを含むPPP認証リクエストを、L2TPトンネル越しにLNS110へ送信する。
15 LNS110は、認証RADIUSリクエストをパートナーのISPのシステムRADIUSプロキシ120へ送信する。
16 パートナーISPのシステムRADIUSプロキシ120は、リクエストをシステムのプロバイダにより管理されているシステムRADIUS140に、DCRルータ150間に確立されている暗号化されたVPNを介して転送する。
17 認証に成功した場合、システムのプロバイダにより管理されているシステムRADIUS140は、暗号化VPNを介して、パートナーISPのRADIUSプロキシ120へアクセス許可(access-accept)を返送する。
18 パートナーISPのRADIUSプロキシ120は、アクセス許可をLNS110に転送する。
19 LNSルータ110は、PPPトンネルを受け入れ、PPPセッションにプライベートIPアドレスを割り当てる。
−キャプティブポータル認証−
20 設定済みルータ100は、パートナーのISPのシステムRADIUSプロキシ120へ、ワンタイムパスワードを含むRADIUS認証リクエストを送信する。
21 RADIUSリクエストが、システムのプロバイダが管理しているシステムのRADIUS140へ転送される。
22 クレデンシャルはPPP認証用のものと同じであるから、リクエストは必ず許可される。アクセス許可パケットは、世界中のどこに位置しても良いシステムRADIUSプロキシ120、140へ送信される。
23 アクセス許可は設定済みルータ100に送信されて、それにはユーザのネットワークプロフィールが含まれる。
24 設定済みルータ100は、LNS110によりPPPセッションに割り当てられたプライベートIPアドレスとDHCPを介して設定済みルータ100によりユーザ装置に割り当てられたプライベートIPアドレスとの間の静的NATを含むインターネットアクセスを、ユーザのために設定する。
20 設定済みルータ100は、パートナーのISPのシステムRADIUSプロキシ120へ、ワンタイムパスワードを含むRADIUS認証リクエストを送信する。
21 RADIUSリクエストが、システムのプロバイダが管理しているシステムのRADIUS140へ転送される。
22 クレデンシャルはPPP認証用のものと同じであるから、リクエストは必ず許可される。アクセス許可パケットは、世界中のどこに位置しても良いシステムRADIUSプロキシ120、140へ送信される。
23 アクセス許可は設定済みルータ100に送信されて、それにはユーザのネットワークプロフィールが含まれる。
24 設定済みルータ100は、LNS110によりPPPセッションに割り当てられたプライベートIPアドレスとDHCPを介して設定済みルータ100によりユーザ装置に割り当てられたプライベートIPアドレスとの間の静的NATを含むインターネットアクセスを、ユーザのために設定する。
<<認証ユーザ用のインターネットへのアクセス>>
25 ユーザは、設定済みルータ100を介してインターネットへリクエストを送信する。
26 リクエストはPPPトンネル内にカプセル化される。
27 LNS110はそのリクエストにPAT(ポートアドレス変換)を行い、リクエストのプライベートIPアドレス及びポートをパブリックIPアドレス(これは別のポートであっても良い)へ変換する。
28 PATログは情報開示サーバ130に記憶される。
29 リクエストはインターネットへ転送される。
30 インターネットからの応答はPAT処理に戻る。
31 IP変換は反転される。
32 LNS110は、PPPトンネルを介して設定済みルータ100へ応答を送信する。
33 設定済みルータ100はリクエストをユーザへ転送する。
25 ユーザは、設定済みルータ100を介してインターネットへリクエストを送信する。
26 リクエストはPPPトンネル内にカプセル化される。
27 LNS110はそのリクエストにPAT(ポートアドレス変換)を行い、リクエストのプライベートIPアドレス及びポートをパブリックIPアドレス(これは別のポートであっても良い)へ変換する。
28 PATログは情報開示サーバ130に記憶される。
29 リクエストはインターネットへ転送される。
30 インターネットからの応答はPAT処理に戻る。
31 IP変換は反転される。
32 LNS110は、PPPトンネルを介して設定済みルータ100へ応答を送信する。
33 設定済みルータ100はリクエストをユーザへ転送する。
3.3 ライブプラットフォーム
ライブプラットフォームはソリューションのスケーラビリティ及び冗長性を促進するためのモジュラー設計を有する。
ライブプラットフォームはソリューションのスケーラビリティ及び冗長性を促進するためのモジュラー設計を有する。
−機能性の説明−
*LNSサブプラットフォーム
・設定済みルータ100で発生したL2TPoPPPトンネルを終了する。
・ユーザの複数のセッションにプライベートIPアドレスを割り当てる。
・プライベートIPアドレスをパブリックのものに変換する。
・NATアカウンティングを作成して、それを外部シスログに転送する。
・RADIUSプロトコルを使用して複数のユーザセッションを認証する。
・RADIUSプロトコルを使用してセッションアカウンティングを作成する。
*LNSサブプラットフォーム
・設定済みルータ100で発生したL2TPoPPPトンネルを終了する。
・ユーザの複数のセッションにプライベートIPアドレスを割り当てる。
・プライベートIPアドレスをパブリックのものに変換する。
・NATアカウンティングを作成して、それを外部シスログに転送する。
・RADIUSプロトコルを使用して複数のユーザセッションを認証する。
・RADIUSプロトコルを使用してセッションアカウンティングを作成する。
*ITサービスサブプラットフォーム
・ルータ/ファイアウォール
−セキュアなRADIUS認証及び他のトランザクションのため、プロバイダのシステムプラットフォームと暗号化トンネル(Gre/IPSec)を提供する。
−データセンタに取り付けられたサーバを保護するためにファイアウォール能力を実行する。
・ルータ/ファイアウォール
−セキュアなRADIUS認証及び他のトランザクションのため、プロバイダのシステムプラットフォームと暗号化トンネル(Gre/IPSec)を提供する。
−データセンタに取り付けられたサーバを保護するためにファイアウォール能力を実行する。
・RADIUSプロキシサーバ120
−全てのRADIUS認証及びアカウンティングが集中されて、それをシステムのプロバイダに管理されているシステムRADIUSプロキシ140へ転送する。
・モニタリングサーバ
−ネットワーク及びサーバ装置の健康状態を検査して、その情報をプロバイダの集中型モニタプラットフォームに転送する。
−全てのRADIUS認証及びアカウンティングが集中されて、それをシステムのプロバイダに管理されているシステムRADIUSプロキシ140へ転送する。
・モニタリングサーバ
−ネットワーク及びサーバ装置の健康状態を検査して、その情報をプロバイダの集中型モニタプラットフォームに転送する。
・情報開示サーバ130
−情報開示アクションに必要な情報を記憶する(RADIUSログ、NATアカウンティング等)
−データ抽出のためのセキュアなウェブインターフェースを提供する。
−情報開示アクションに必要な情報を記憶する(RADIUSログ、NATアカウンティング等)
−データ抽出のためのセキュアなウェブインターフェースを提供する。
*境界スイッチ
・LNS110及びITサービスサブプラットフォームからの全てのトラフィックを集約する。
・ISPパートナーの集約プラットフォームとのIP接続性を提供する。
・冗長性の目的のため、データセンタ間の接続性を提供する。
・LNS110及びITサービスサブプラットフォームからの全てのトラフィックを集約する。
・ISPパートナーの集約プラットフォームとのIP接続性を提供する。
・冗長性の目的のため、データセンタ間の接続性を提供する。
−スケーラビリティ−
*LNSサブプラットフォーム:トンネルセッション及びNATは全てのLNSルータ110の間で分散される。このプラットフォームには単一障害点又はトラフィックの集中はないため、追加のLNSルータ110を単に加えることによりスケールできる。
・ITサービス:複数の目的(モニタリング、RADIUSプロキシ、及び情報開示サービス)のためのサーバファーム(即ち、HP DL 380)であり、それは追加サーバを加えることに簡単に増大できる。
・ITサービスルータ:更なるハードウェア又は二つ目のルータのどちらかでアップグレードできるモジュラールータ(即ち、Cisco 3945)
・境界スイッチ:コアスイッチ(即ち、StackWise Plusテクノロジーを有するCisco3950Eで、それにより64Gbpsバックボーンで9個のスイッチの集約を可能にする)
−冗長性−
*LNSサブプラットフォーム:各LNS110は他から完全に独立しており、二つの地理的に離れているデータセンタにわたり分散している。各設定済みルータ100は、プライマリLNS110(プライマリデータセンタに位置する)及びセカンダリLNS(セカンダリデータセンタに位置する)を動的に構成する。従って、一つ又は一つ以上のLNS110がデータセンタで故障した場合、ユーザはセカンダリLNS110に再接続できる。
*LNSサブプラットフォーム:トンネルセッション及びNATは全てのLNSルータ110の間で分散される。このプラットフォームには単一障害点又はトラフィックの集中はないため、追加のLNSルータ110を単に加えることによりスケールできる。
・ITサービス:複数の目的(モニタリング、RADIUSプロキシ、及び情報開示サービス)のためのサーバファーム(即ち、HP DL 380)であり、それは追加サーバを加えることに簡単に増大できる。
・ITサービスルータ:更なるハードウェア又は二つ目のルータのどちらかでアップグレードできるモジュラールータ(即ち、Cisco 3945)
・境界スイッチ:コアスイッチ(即ち、StackWise Plusテクノロジーを有するCisco3950Eで、それにより64Gbpsバックボーンで9個のスイッチの集約を可能にする)
−冗長性−
*LNSサブプラットフォーム:各LNS110は他から完全に独立しており、二つの地理的に離れているデータセンタにわたり分散している。各設定済みルータ100は、プライマリLNS110(プライマリデータセンタに位置する)及びセカンダリLNS(セカンダリデータセンタに位置する)を動的に構成する。従って、一つ又は一つ以上のLNS110がデータセンタで故障した場合、ユーザはセカンダリLNS110に再接続できる。
*LNSフェイルオーバー:LNSプラットフォームは余分の容量を有する大きさにできる。複数のLNS110が故障した場合には、最大使用のシナリオの場合でも他のLNS110がサービスを100%引き受けられる。
*ITサービスルータ及びサーバ:これらは二つのデータセンタで二重にしてある。全てのLNSルータ110は両方のITサービスプラットフォームに局所的に又はデータセンタ間リンクを介して達することができる。例えば、もしプライマリRADIUSプロキシサーバ120が故障した場合、全てのLNS110はセカンダリRADIUSプロキシ120に接続できる。
*境界スイッチ:境界スイッチは各データセンタでクラスタに構成されている。マスタスイッチが一つのデータセンタで故障した場合には、同じデータセンタのスレーブスイッチがマスタになり、サービスが中断されることがない。全てのLNSルータ110及びITサービスルータはマスタ及びスレーブスイッチとの重複した接続を有する。
3.4 ライブプラットフォームIPアドレッシング
3.4.1 トンネルが確立される前
図2は、トンネリングセッションが確立する前の状態を説明する図である。
スマートフォン200のIPアドレスは、DHCPを介して設定済みルータ100により割り当てられるプライベートIPアドレスである。LAN側の設定済みルータ100のIPアドレスは、システムのプロバイダ又は所有者により割り当てられている又はユーザにより手入力で設定されるプライベートIPアドレスである。図2では、設定済みルータ100のLAN側及びスマートフォン200のWAN側のネットワークアドレスは、192.168.182.0/24である。192.168.182.10はスマートフォン200に割り当てられて、192.168.182.1はLAN側の設定済みルータ100に設定される。
3.4.1 トンネルが確立される前
図2は、トンネリングセッションが確立する前の状態を説明する図である。
スマートフォン200のIPアドレスは、DHCPを介して設定済みルータ100により割り当てられるプライベートIPアドレスである。LAN側の設定済みルータ100のIPアドレスは、システムのプロバイダ又は所有者により割り当てられている又はユーザにより手入力で設定されるプライベートIPアドレスである。図2では、設定済みルータ100のLAN側及びスマートフォン200のWAN側のネットワークアドレスは、192.168.182.0/24である。192.168.182.10はスマートフォン200に割り当てられて、192.168.182.1はLAN側の設定済みルータ100に設定される。
WAN側の設定済みルータ100のIPアドレスは、DHCPを介してCPEにより割り当てられる又はユーザが手入力で設定したプライベートIPアドレスである。LAN側のCPE210のIPアドレスは、ISPにより事前に設定された又はユーザにより手入力で設定されたプライベートIPアドレスである。図2では、設定済みルータ100のWAN側及びCPE210のLAN側のネットワークアドレスは、172.16.34.0/24である。172.16.34.10がWAN側の設定済みルータ100に設定され、172.16.34.1がLAN側のCPE210に設定される。
WAN側のCPE210のIPアドレスは、DHCP、PPPoE等を介してISPにより割り当てられたパブリックIPアドレスである。図2では、CPE210のWAN側のネットワークアドレスは62.134.8.16/29である。62.134.8.18がWAN側のCPE210に設定されて、62.134.8.17がCPE210のデフォルトゲートウェイとして設定される。
この状態で、スマートフォン200のIPアドレスは62.134.8.18である。更に、ネットワーク192.168.182.0/24又は172.16.34.0/24に接続されているあらゆる装置は、PAT処理のためインターネットでパブリックIPアドレスの62.134.8.18を使用する。加入者の接続を差別化することはできない。
3.4.2 L2TPトンネルは確立されているがPPPセッションは確立されていない
図3は、L2TPトンネルが確立された後、かつPPPセッションが確立される前の状態を示す図である。図3は、設定済みルータ100により一つのL2TPトンネルが確立されて、LNS110へ直接のケーブル(レイヤ2機能)をエミュレートする状態を示している。図3では、205.67.78.20がWAN側でLNS110のIPアドレスとして設定されていると仮定する。L2TPトンネルのみが確立されており、PPPセッションは確立されていないため、トンネルはユーザトラフィックを移送できない。
図3は、L2TPトンネルが確立された後、かつPPPセッションが確立される前の状態を示す図である。図3は、設定済みルータ100により一つのL2TPトンネルが確立されて、LNS110へ直接のケーブル(レイヤ2機能)をエミュレートする状態を示している。図3では、205.67.78.20がWAN側でLNS110のIPアドレスとして設定されていると仮定する。L2TPトンネルのみが確立されており、PPPセッションは確立されていないため、トンネルはユーザトラフィックを移送できない。
設定済みルータ100は、スマートフォン200のIPアドレス192.168.182.10を、設定済みルータ(100)のWANIPアドレス172.16.34.10にPAT処理で変換する。設定済みルータ100及びLNS110の間のL2TPアドレス指定に関して、設定済みルータ100は、宛先IPアドレスを、LNS110のWANIPアドレスである205.67.78.20に設定し、ソースIPアドレスを、設定済みルータ100のWANIPアドレスである172.16.34.10に設定する。しかしながら、CPE210は設定済みルータ100のIPアドレス172.16.34.10をCPE(210)のWANIPアドレス62.134.8.18にもPAT処理により変換する。従って、LNS110のソースIPアドレスは62.134.8.18となる。
3.4.3 L2TPトンネル及びPPPセッションが両方とも確立されている
図4は、L2TPトンネル及びPPPセッションが両方とも確立された後の状態を説明する図である。図4では、1.1.1.1がLNS110のループバックIPアドレスとして設定されていると仮定する。
図4は、L2TPトンネル及びPPPセッションが両方とも確立された後の状態を説明する図である。図4では、1.1.1.1がLNS110のループバックIPアドレスとして設定されていると仮定する。
PPPセッションがL2TPトンネルを介して確立されると、LNS110はプライベートIPアドレスをPPPセッションに割り当てる。複数のPPPセッションがL2TPトンネルで移送できるため、LNS110は各PPPセッション用に異なるプライベートIPアドレスを設定済みルータ100に割り当てる。図4では、10.128.40.34がPPPセッション用に設定済みルータ100で割り当てられ、PPPセッションのデフォルトゲートウェイはLNS110のループバックアドレスである1.1.1.1に設定される。L2TPトンネルがレイヤ2接続をエミュレートするため、設定済みルータ100はLNS110IPループバックアドレスに直接接続しているようにみえる。
設定済みルータ100は、PAT処理より高い優先順位である、PPPセッション用の静的NAT処理を実施する。スマートフォン200のIPアドレス192.168.182.10は10.128.40.34に変換され、これはPPPセッションの設定済みルータ100のWANIPアドレスである。PPPセッションは、L2TPトンネル内にカプセル化されるため、CPE210によって変換されない。従って、PPPトンネルアドレッシングに関して、宛先アドレスは1.1.1.1であり、ソースアドレスは設定済みルータ100及びLNS110の両方でも10.128.40.34である。
LNS110はPATを実施して、これによりPPPセッションのトラフィックがインターネットに転送される前に変換される。LNS110はPAT処理のかわりにNAT処理を実施してもよく、これにより個別のIPアドレスが各PPPセッションに割り当てられる。図4では、LNS110のPATではネットソースは10.128.0.0/16であり、ネット宛先は205.67.80.64/26である。PATアカウンティングは開示提案のときのために、情報開示サーバ130に格納される。
図4では、スマートフォン200のインターネットでのIPアドレスは、例えば205.67.80.65であり、これはシステムのプロバイダ又は所有者のパブリックIPアドレスである。この状態では、各PPPセッションにプライベートアドレスが割り当てられているため加入者の接続を差別化することができる。
3.5 レイヤ3ライブプラットフォームマップ
図5は、レイヤ3ネットワークマップの例を示している。このマップは、パートナーのデータセンタと、パートナーのネットワークプラットフォームと、プロバイダのシステムプラットフォームとのシステムのキャビネットのIP接続を表している。
図5は、レイヤ3ネットワークマップの例を示している。このマップは、パートナーのデータセンタと、パートナーのネットワークプラットフォームと、プロバイダのシステムプラットフォームとのシステムのキャビネットのIP接続を表している。
3.6 レイヤ2ライブプラットフォームマップ
図6は、レイヤ2ライブネットワークマップの例を示している。このマップはISPパートナーのデータセンタのシステムプラットフォームと、パートナーのプラットフォームとの間のリンク接続を表している。
図6は、レイヤ2ライブネットワークマップの例を示している。このマップはISPパートナーのデータセンタのシステムプラットフォームと、パートナーのプラットフォームとの間のリンク接続を表している。
4 ネットワークインフラストラクチャ
4.1 装置の説明
4.1.1 L2TPネットワークサーバルータ(Cisco.comから)
「CISCO7201」
CISCO7201の利点は下記を含む。
・CISCO7301に比べて2倍の性能を提供する。CISCO EXPRESS FORWARDINGで毎秒2億パケット(2Mpps)まで。
・4つのビルトインギガビット・イーサネット(GE)ポートを提供する。
・管理のため一つ専用の10/100Mbps銅イーサネットポートを提供する。
・一般的な格納及びセキュリティトークン格納のため一つのUSBポートを提供する。
・デフォルトで1GBのDRAMメモリを提供する。2GBにアップグレード可能。
・大幅に改良された価格/性能比を提供する。
・CISCO7000シリーズポートアダプタスロットを一つ提供する。
・完全なCISCOIOSソフトウェア特徴セットをサポートする。
・差し込み可能な(pluggable)GE光学部品(小型フォームファクタ差し込み可能[SFP]光学部品)を提供する。
・コンパクトで、効率的(power efficient)な1RUフォームファクタを有する。
・前面から背面へのエアーフロー及び一面側管理(single-sided management)を提供する。
4.1 装置の説明
4.1.1 L2TPネットワークサーバルータ(Cisco.comから)
「CISCO7201」
CISCO7201の利点は下記を含む。
・CISCO7301に比べて2倍の性能を提供する。CISCO EXPRESS FORWARDINGで毎秒2億パケット(2Mpps)まで。
・4つのビルトインギガビット・イーサネット(GE)ポートを提供する。
・管理のため一つ専用の10/100Mbps銅イーサネットポートを提供する。
・一般的な格納及びセキュリティトークン格納のため一つのUSBポートを提供する。
・デフォルトで1GBのDRAMメモリを提供する。2GBにアップグレード可能。
・大幅に改良された価格/性能比を提供する。
・CISCO7000シリーズポートアダプタスロットを一つ提供する。
・完全なCISCOIOSソフトウェア特徴セットをサポートする。
・差し込み可能な(pluggable)GE光学部品(小型フォームファクタ差し込み可能[SFP]光学部品)を提供する。
・コンパクトで、効率的(power efficient)な1RUフォームファクタを有する。
・前面から背面へのエアーフロー及び一面側管理(single-sided management)を提供する。
「CISCO7200 NPE−G2 ネットワーク処理エンジン」
ますます、ビジネスアプリケーション及びサービスが、WAN及びメトロポリタンエリアネットワーク(MAN)にわたり、ブランチオフィス及び本部の両方にて、集約必須要件及びルータ統合サービスを影響している。従って、ブランチオフィス及び本部にて統合したサービスのための更なる必要性を持続的に満たすため、及び格別な価値及びフレキシビリティを維持するため、CISCOSYSTEMS(登録商標)はCISCO(登録商標)に最新のプロセッサを紹介する。
7200VXRシリーズ CISCO7200VXR NPE−G2ネットワーク処理エンジン。CISCO NPE−G2は性能及びフレキシビリティへの要求を、その処理容量を更に増加して、最新のCISCO IOS(登録商標)ソフトウェア特徴を可能にすることにより対処している。CISCO NPE−G2の利点は下記を含む。
ますます、ビジネスアプリケーション及びサービスが、WAN及びメトロポリタンエリアネットワーク(MAN)にわたり、ブランチオフィス及び本部の両方にて、集約必須要件及びルータ統合サービスを影響している。従って、ブランチオフィス及び本部にて統合したサービスのための更なる必要性を持続的に満たすため、及び格別な価値及びフレキシビリティを維持するため、CISCOSYSTEMS(登録商標)はCISCO(登録商標)に最新のプロセッサを紹介する。
7200VXRシリーズ CISCO7200VXR NPE−G2ネットワーク処理エンジン。CISCO NPE−G2は性能及びフレキシビリティへの要求を、その処理容量を更に増加して、最新のCISCO IOS(登録商標)ソフトウェア特徴を可能にすることにより対処している。CISCO NPE−G2の利点は下記を含む。
・CISCO7200 VXR NPE−G1に比べて2倍の性能を提供する。CISCO EXPRESS FORWADINGで毎秒2億パケット(pps)まで。
・10/100/1000Mbps銅イーサネットポート及びあらゆる帯域ポイントを消耗しない光学ポートを3つ提供する。
・管理のため専用の10/100Mbps銅イーサネットポートを一つ提供する。
・一般的な格納及びセキュリティトークン格納のため2つのUSBポートを提供する。
・デフォルトで1GBのDRAMメモリを提供する。
・I/Oコントローラの要件を削除する。
・利用可能なIOスロットの使用を一つのポートアダプタ又はCISCO 7200 VXR VPNサービスアダプター(VSA)に延長する。
・大幅に改良された価格/性能比を提供する。
・10/100/1000Mbps銅イーサネットポート及びあらゆる帯域ポイントを消耗しない光学ポートを3つ提供する。
・管理のため専用の10/100Mbps銅イーサネットポートを一つ提供する。
・一般的な格納及びセキュリティトークン格納のため2つのUSBポートを提供する。
・デフォルトで1GBのDRAMメモリを提供する。
・I/Oコントローラの要件を削除する。
・利用可能なIOスロットの使用を一つのポートアダプタ又はCISCO 7200 VXR VPNサービスアダプター(VSA)に延長する。
・大幅に改良された価格/性能比を提供する。
4.1.2 サービスルータ(Cisco.comから)
「CISCO3945シリーズサービス統合型ルータ」
CISCO3900シリーズは既存のCISCO3800シリーズの最高商品(best-in-class offering)にビルドする。
サービス統合型ルータは2つのプラットフォームを提供する。CISCO3925及びCISCO3945サービス統合型ルータ。
CISCO3900シリーズサービス統合型ルータは両方とも、組み込みハードウェア暗号化アクセラレーション、音声及びビデオ可能デジタル信号プロセッサ(DSP)スロット、任意のファイアウォール、侵入防止、コール処理、音声メール、及びアプリケーションサービスを提供する。更に、プラットフォームは、産業界で最も広範囲のワイヤード及びワイヤレス接続オプションであるT1/E1、T3/E3、xDSL、銅、及びファイバGE等をサポートしている。
CISCO3900シリーズは小さなビジネスオフィスから大きな企業オフィスまでフレキシブルネットワーク展開のために高い性能及びフレキシビリティを提供して、それらは全て業界最先端の投資保護を提供しながら提供される。
「CISCO3945シリーズサービス統合型ルータ」
CISCO3900シリーズは既存のCISCO3800シリーズの最高商品(best-in-class offering)にビルドする。
サービス統合型ルータは2つのプラットフォームを提供する。CISCO3925及びCISCO3945サービス統合型ルータ。
CISCO3900シリーズサービス統合型ルータは両方とも、組み込みハードウェア暗号化アクセラレーション、音声及びビデオ可能デジタル信号プロセッサ(DSP)スロット、任意のファイアウォール、侵入防止、コール処理、音声メール、及びアプリケーションサービスを提供する。更に、プラットフォームは、産業界で最も広範囲のワイヤード及びワイヤレス接続オプションであるT1/E1、T3/E3、xDSL、銅、及びファイバGE等をサポートしている。
CISCO3900シリーズは小さなビジネスオフィスから大きな企業オフィスまでフレキシブルネットワーク展開のために高い性能及びフレキシビリティを提供して、それらは全て業界最先端の投資保護を提供しながら提供される。
4.1.3 帯域外監視ネットワークルータ(Cisco.comから)
「CISCO2911シリーズサービス統合型ルータ」
CISCO2900シリーズは既存のCISCO2800シリーズサービス統合型ルータの最高商品にビルドし、それは4つのプラットフォーム(図1)の、CISCO2901、2911、2921、及び2951サービス統合型ルータを提供することにより行われる。
「CISCO2911シリーズサービス統合型ルータ」
CISCO2900シリーズは既存のCISCO2800シリーズサービス統合型ルータの最高商品にビルドし、それは4つのプラットフォーム(図1)の、CISCO2901、2911、2921、及び2951サービス統合型ルータを提供することにより行われる。
全てのCISCO2900シリーズサービス統合型ルータは、組み込みハードウェア暗号化アクセラレーション、音声及びビデオ可能デジタル信号プロセッサ(DSP)スロット、任意のファイアウォール、侵入防止、コール処理、音声メール、及びアプリケーションサービスを提供する。更に、プラットフォームは、産業界の最も広範囲の、T1/E1、xDSL、銅及びファイバGE等のワイヤード及びワイヤレス接続オプションをサポートしている。
4.1.4 サーバ(Hp.comから)
「HP ProLiant DL380 G6」
HP ProLiant DL380 G6サーバは、更なるフレキシビリティ及び性能、企業クラスアップタイム及び扱いやすさ、2ソケットインテル Xeon性能、及び複数のアプリケーション用の2U密度と、その技術的な優秀さの伝統を提供し続ける。
・プロセッサ
2Quad−Core又はインテル(登録商標)Xeon(登録商標)プロセッサ5500シーケンスまで
インテル(登録商標) 5520チップセット
・メモリ
合計18のDIMMスロット
192GB(12のDIMMスロットがある16GBキットが実装される)まで、PC3−8500R DDR3登録(RDIMM)メモリを使用し、2DIMMが各チャンネルに12スロットに完全に実装される場合800Mhzで動作する。
「HP ProLiant DL380 G6」
HP ProLiant DL380 G6サーバは、更なるフレキシビリティ及び性能、企業クラスアップタイム及び扱いやすさ、2ソケットインテル Xeon性能、及び複数のアプリケーション用の2U密度と、その技術的な優秀さの伝統を提供し続ける。
・プロセッサ
2Quad−Core又はインテル(登録商標)Xeon(登録商標)プロセッサ5500シーケンスまで
インテル(登録商標) 5520チップセット
・メモリ
合計18のDIMMスロット
192GB(12のDIMMスロットがある16GBキットが実装される)まで、PC3−8500R DDR3登録(RDIMM)メモリを使用し、2DIMMが各チャンネルに12スロットに完全に実装される場合800Mhzで動作する。
4.2 データセンタインフラストラクチャ
4.2.1 レイヤ1プラットフォームマップ
図7はインフラストラクチャマップの例を示している。このマップは両方のデータセンタのラック内の装置の配置を表している。
4.2.1 レイヤ1プラットフォームマップ
図7はインフラストラクチャマップの例を示している。このマップは両方のデータセンタのラック内の装置の配置を表している。
4.2.2 データセンタ必須要件
・位置:二つのデータセンタは地理的に冗長
・キャビネット:データセンタ毎に1ラック(即ち、48U 750mm幅×1200mm)。例えば、このモデル。
・スイッチPDU:リモート電源ON/OFFを行うラックパワーバー(rack power bar)。例えばこのモデル。
・NOCサポート:あらゆる可能性のある問題を拡大させるネットワーク操作センタ。例えば、システムは停電を報告する必要があるかもしれない。
・インテリジェント・ハンズ(intelligent hands):緊急な物理的操作が必要になった場合のエンジニアアベイラビリティ。例えば、システムは電線が適切に装置に接続されているかを検査するエンジニアが必要となるかもしれない。
・SLA及びセキュリティ:適当な環境パラメータ及び安全なアクセスが必要である。
・位置:二つのデータセンタは地理的に冗長
・キャビネット:データセンタ毎に1ラック(即ち、48U 750mm幅×1200mm)。例えば、このモデル。
・スイッチPDU:リモート電源ON/OFFを行うラックパワーバー(rack power bar)。例えばこのモデル。
・NOCサポート:あらゆる可能性のある問題を拡大させるネットワーク操作センタ。例えば、システムは停電を報告する必要があるかもしれない。
・インテリジェント・ハンズ(intelligent hands):緊急な物理的操作が必要になった場合のエンジニアアベイラビリティ。例えば、システムは電線が適切に装置に接続されているかを検査するエンジニアが必要となるかもしれない。
・SLA及びセキュリティ:適当な環境パラメータ及び安全なアクセスが必要である。
4.3 通信
*ライブネットワーク
・各データセンタにユーザトラフィック用の2×10Gbpsインターネットリンク(全部で4×10Gbps)
・インターフェースタイプは後述する(LR、SR等)
・冗長性の目的で各リンクは異なるルータに接続されている。
*ライブネットワーク
・各データセンタにユーザトラフィック用の2×10Gbpsインターネットリンク(全部で4×10Gbps)
・インターフェースタイプは後述する(LR、SR等)
・冗長性の目的で各リンクは異なるルータに接続されている。
*帯域外監視ネットワーク
・リモート管理目的用の1×ファスト・イーサネットインターネットリンク(2×100Mbps)
・これらのリンクは、冗長性の目的のために、ライブネットワークのものではない別のルータに接続されるべきである。
・リモート管理目的用の1×ファスト・イーサネットインターネットリンク(2×100Mbps)
・これらのリンクは、冗長性の目的のために、ライブネットワークのものではない別のルータに接続されるべきである。
*データセンタ間プライベートネットワーク
・各データセンタに位置する両方のラックの間の1×ファスト・イーサネットプライベートリンク
・これは重要なリンクのため、様々な保護により実施されるべきである(冗長性の目的のため複数のパス)。
・もし様々な保護が可能でない場合、第2リンクは実施されるべきである。
・各データセンタに位置する両方のラックの間の1×ファスト・イーサネットプライベートリンク
・これは重要なリンクのため、様々な保護により実施されるべきである(冗長性の目的のため複数のパス)。
・もし様々な保護が可能でない場合、第2リンクは実施されるべきである。
5 管理
5.1 帯域外監視ネットワーク
5.1.1 OBSN説明
帯域外監視ネットワークは安全で信頼できるリモート管理能力を提供する。
5.1 帯域外監視ネットワーク
5.1.1 OBSN説明
帯域外監視ネットワークは安全で信頼できるリモート管理能力を提供する。
*セキュア
・IPSecトンネルはプロバイダのOBSNルータからパートナーのデータセンタのシステムOBSNルータに確立される。
・プロバイダのシステム管理ネットワークからパートナーのデータセンタの全ての装置への接続は完全に暗号化されている。
・OBSNへのトラフィックはユーザのトラフィックとは別であり、VRF(仮想ルーティングフォーワディング)インスタンスを含む。
・IPSecトンネルはプロバイダのOBSNルータからパートナーのデータセンタのシステムOBSNルータに確立される。
・プロバイダのシステム管理ネットワークからパートナーのデータセンタの全ての装置への接続は完全に暗号化されている。
・OBSNへのトラフィックはユーザのトラフィックとは別であり、VRF(仮想ルーティングフォーワディング)インスタンスを含む。
*信頼性
・障害点が一つではない(全てのOBSNルータ及びトンネルは冗長である)。
・各装置へのアクセスはリモートでセキュアシェル(SSH)又はコンソールによりできる。これにより、装置に接続問題がある場合又はブートシーケンスにリモートアクセスが必要な場合でも、装置が利用可能及び到達可能であることを保証する。
OBSN用の装置は端末サービスモジュールを含む2つのCISCOルータ2911である(詳細は4.1.3を参照)。
・障害点が一つではない(全てのOBSNルータ及びトンネルは冗長である)。
・各装置へのアクセスはリモートでセキュアシェル(SSH)又はコンソールによりできる。これにより、装置に接続問題がある場合又はブートシーケンスにリモートアクセスが必要な場合でも、装置が利用可能及び到達可能であることを保証する。
OBSN用の装置は端末サービスモジュールを含む2つのCISCOルータ2911である(詳細は4.1.3を参照)。
5.1.2 レイヤ3OBSNネットワークマップ
図8はレイヤ3OBSNネットワークマップの例を示している。このマップはパートナーのデータセンタ、パートナーのプラットフォーム、及びプロバイダのシステムプラットフォームのシステムキャビネットの帯域外監視ネットワークのIP接続を表している。
図8はレイヤ3OBSNネットワークマップの例を示している。このマップはパートナーのデータセンタ、パートナーのプラットフォーム、及びプロバイダのシステムプラットフォームのシステムキャビネットの帯域外監視ネットワークのIP接続を表している。
5.1.3 レイヤ2OBSNプラットフォームマップ
図9はレイヤ2OBSNプラットフォームマップの例を示している。このマップはパートナーのデータセンタのシステム帯域外監視ネットワークプラットフォーム、及びパートナープラットフォームのインターコネクションのリンクコネクションを表している。
図9はレイヤ2OBSNプラットフォームマップの例を示している。このマップはパートナーのデータセンタのシステム帯域外監視ネットワークプラットフォーム、及びパートナープラットフォームのインターコネクションのリンクコネクションを表している。
5.1.4 OBSN内部ルーティング
OBSNネットワークはDCRルータ150に位置しており、DCRルータはVLAN構成能力を有する24ポートのファスト・イーサネットカードを有する。装置(ルータ、サーバ、PDU等)の各部品は、リモート管理目的のためにこのネットワークに接続されている。
装置がVRF(仮想ルーティングフォーワディング)能力を有しているであろうとなかろうと、他のネットワークからOBSN隔離を保証するために構成されるべきである。もし装置がこの能力を有していない場合には、装置はOBSNネットワークのみに接続されるか、又は最も厳格なレベルのセキュリティで構成されて、OBSNが侵害されないようにする。
OBSNネットワークはDCRルータ150に位置しており、DCRルータはVLAN構成能力を有する24ポートのファスト・イーサネットカードを有する。装置(ルータ、サーバ、PDU等)の各部品は、リモート管理目的のためにこのネットワークに接続されている。
装置がVRF(仮想ルーティングフォーワディング)能力を有しているであろうとなかろうと、他のネットワークからOBSN隔離を保証するために構成されるべきである。もし装置がこの能力を有していない場合には、装置はOBSNネットワークのみに接続されるか、又は最も厳格なレベルのセキュリティで構成されて、OBSNが侵害されないようにする。
下記はルータ毎のルーティングの説明である。
*OSRルータ
・DCR150のローカルOBSNVlanに達するルート
・境界スイッチによって他のデータセンタOBSNVlanに達するルート
・IPSec/GREトンネルによってプロバイダのプラットフォームに達するルート
*DCRルータ150
・OBSNVlanが直接接続される
・境界スイッチを介して他のデータセンタOBSNVlanに達するルート
・デフォルトルートはローカルOSR
*境界スイッチ
・DCR150でローカルOBSNVlanに達するルート
・二点間リンクによって他のデータセンタOBSNVlanに達するルート
・デフォルトルートはローカルOSR
*OSRルータ
・DCR150のローカルOBSNVlanに達するルート
・境界スイッチによって他のデータセンタOBSNVlanに達するルート
・IPSec/GREトンネルによってプロバイダのプラットフォームに達するルート
*DCRルータ150
・OBSNVlanが直接接続される
・境界スイッチを介して他のデータセンタOBSNVlanに達するルート
・デフォルトルートはローカルOSR
*境界スイッチ
・DCR150でローカルOBSNVlanに達するルート
・二点間リンクによって他のデータセンタOBSNVlanに達するルート
・デフォルトルートはローカルOSR
5.2 テストプラットフォーム
テストプラットフォームは、ISPプラットフォーム内に配置される前にトンネリングソルーションを広範囲にわたり検査するには重要である。
テストプラットフォームは、ISPプラットフォーム内に配置される前にトンネリングソルーションを広範囲にわたり検査するには重要である。
−装置−
・IOSソフトウェアありのCISCOルータ2811:LNS110(CISCO7201)と同様のL2TP及びPPP機能性(functionality)を有する。
・DebianOSのサーバ:最終ITサービスサーバが有するのと同様の機能を有する。
・IOSソフトウェアありのCISCOルータ2811:LNS110(CISCO7201)と同様のL2TP及びPPP機能性(functionality)を有する。
・DebianOSのサーバ:最終ITサービスサーバが有するのと同様の機能を有する。
−実施した検査−
・トンネル確立:設定済みルータ(100)のファームウェアは修正されて、このプラットフォームに接続して、パートナーが位置する国の異なるISPでPPPトンネルにわたるL2TPがフィルターされないことをチェックする。全ての検査は、好結果である。
・ユーザトラフィックNAT:プライベートアドレスが各PPP接続に割り当てられて、オーバーロードNATが正常に適用されている。
・NATアカウンティング:全てのNATアカウンティングはサーバに格納されている。
設定済みルータ100の今後のあらゆる新しい機能性は、ライブプラットフォームに統合される前に、このプラットフォームで検査されるべきである。
・トンネル確立:設定済みルータ(100)のファームウェアは修正されて、このプラットフォームに接続して、パートナーが位置する国の異なるISPでPPPトンネルにわたるL2TPがフィルターされないことをチェックする。全ての検査は、好結果である。
・ユーザトラフィックNAT:プライベートアドレスが各PPP接続に割り当てられて、オーバーロードNATが正常に適用されている。
・NATアカウンティング:全てのNATアカウンティングはサーバに格納されている。
設定済みルータ100の今後のあらゆる新しい機能性は、ライブプラットフォームに統合される前に、このプラットフォームで検査されるべきである。
5.3 モニタリング
システムは日本にあるプラットフォームに二重モニタリングシステムを実施する。
システムは日本にあるプラットフォームに二重モニタリングシステムを実施する。
*ローカルモニタリング
・各データセンタに設置されているモニタリングサーバは、プラットフォーム用にローカルモニタリングを提供する。
・ネットワークモニタリング:OpenNMSプラットフォームが配置され、SNMPプロトコルを用いてネットワーク装置を監視する。
・システムモニタリング:Zabbixプラットフォームが配置されて、ローカルエージェント(local agents)を使用してサーバ及びサービス(RADIUSプロキシ等)を監視する。
・システム管理社のブラックベリー装置へEメールにて警報が増加する。
・各データセンタに設置されているモニタリングサーバは、プラットフォーム用にローカルモニタリングを提供する。
・ネットワークモニタリング:OpenNMSプラットフォームが配置され、SNMPプロトコルを用いてネットワーク装置を監視する。
・システムモニタリング:Zabbixプラットフォームが配置されて、ローカルエージェント(local agents)を使用してサーバ及びサービス(RADIUSプロキシ等)を監視する。
・システム管理社のブラックベリー装置へEメールにて警報が増加する。
*リモートモニタリング
・セカンダリモニタリングプラットフォームがプロバイダのシステムプラットフォームに構成されて、下記を検査する。
−パートナーのデータセンタのプライマリモニタリングプラットフォームが正常に働いているか。
−パートナーのデータセンタ及びプロバイダのシステムプラットフォームの間の通信が正常に働いているか。
・システム管理社のブラックベリー装置へEメール/SMSによる警報が増加する。
・このリモートモニタリングプラットフォームはOBSNを使用して、パートナーのデータセンタにあるシステム装置に達する。
・セカンダリモニタリングプラットフォームがプロバイダのシステムプラットフォームに構成されて、下記を検査する。
−パートナーのデータセンタのプライマリモニタリングプラットフォームが正常に働いているか。
−パートナーのデータセンタ及びプロバイダのシステムプラットフォームの間の通信が正常に働いているか。
・システム管理社のブラックベリー装置へEメール/SMSによる警報が増加する。
・このリモートモニタリングプラットフォームはOBSNを使用して、パートナーのデータセンタにあるシステム装置に達する。
*第三者モニタリング
・システムはサードパーティ企業と契約することにより、プラットフォームに完全に独立したモニタリングシステムを提供してもよい。
・このサービスのコアパラメータは下記の通りにしてもよい。
−プロバイダは、システムの帯域外監視ネットワークにアクセスするため、両方のデータセンタに位置する各2911に暗号化VPNを確立する必要がある。
−CISCOの各装置は下記に監視される必要がある。
−SNMPプーリング(pooling):モニタリングプラットフォームはSNMPリクエスト(後に定義する)をルータ及びサーバに送信しなければならない。
−SNMPトラップ:ルータ及びサーバからSNMPトラップが受信可能でなければならない。
−モニタリングサービスプロバイダは下記が可能であるオペレーションチームが必要である。
−プラットフォームを24×7をベースに監視する。
−警報を分析して、それが参考目的(informational)又は重要かを区別する。
−システムのネットワーク管理者に重要な警報をEメール、電話等(後に規定する)によって、サービスSLA(後に規定する)で規定される最大通知時間内に増加する。
−システムは、プラットフォームステータス、ログ、及び報告が使用可能な情報ポータルへの安全なアクセスが必要である。
・システムはサードパーティ企業と契約することにより、プラットフォームに完全に独立したモニタリングシステムを提供してもよい。
・このサービスのコアパラメータは下記の通りにしてもよい。
−プロバイダは、システムの帯域外監視ネットワークにアクセスするため、両方のデータセンタに位置する各2911に暗号化VPNを確立する必要がある。
−CISCOの各装置は下記に監視される必要がある。
−SNMPプーリング(pooling):モニタリングプラットフォームはSNMPリクエスト(後に定義する)をルータ及びサーバに送信しなければならない。
−SNMPトラップ:ルータ及びサーバからSNMPトラップが受信可能でなければならない。
−モニタリングサービスプロバイダは下記が可能であるオペレーションチームが必要である。
−プラットフォームを24×7をベースに監視する。
−警報を分析して、それが参考目的(informational)又は重要かを区別する。
−システムのネットワーク管理者に重要な警報をEメール、電話等(後に規定する)によって、サービスSLA(後に規定する)で規定される最大通知時間内に増加する。
−システムは、プラットフォームステータス、ログ、及び報告が使用可能な情報ポータルへの安全なアクセスが必要である。
5.4 メンテナンス
システムプラットフォーム装置はハードウェアメンテナンスサービスが必要であり、それはパートナーISP又はサードパーティ企業が提供できる。
下記はメンテナンスサービスの必要条件であり、それはサードパーティ企業が外部モニタリングサービスを提供すると仮定した場合である。
・モニタリングサービスにより全部又は一部のシステム故障が検出されなければならない。
・短期間(後に規定する)で、エンジニアは故障した装置が位置するパートナーISPデータセンタにあるシステムキャビネットに行く必要がある。
・故障が始まってから最大4時間以内に、代替の装置が設置されて稼動しているべきである。
・全処理にわたりフィードバックがシステムに定期的に(後に規定する)報告されるべきである。
・このサービスには強いSLAを必要とし、プロバイダは365×24×7サービスに専念できる必要がある。
・サーバHPDL380のメンテナンスは保留であり、これから規定される。
システムプラットフォーム装置はハードウェアメンテナンスサービスが必要であり、それはパートナーISP又はサードパーティ企業が提供できる。
下記はメンテナンスサービスの必要条件であり、それはサードパーティ企業が外部モニタリングサービスを提供すると仮定した場合である。
・モニタリングサービスにより全部又は一部のシステム故障が検出されなければならない。
・短期間(後に規定する)で、エンジニアは故障した装置が位置するパートナーISPデータセンタにあるシステムキャビネットに行く必要がある。
・故障が始まってから最大4時間以内に、代替の装置が設置されて稼動しているべきである。
・全処理にわたりフィードバックがシステムに定期的に(後に規定する)報告されるべきである。
・このサービスには強いSLAを必要とし、プロバイダは365×24×7サービスに専念できる必要がある。
・サーバHPDL380のメンテナンスは保留であり、これから規定される。
5.5 管理
システムはネットワーク管理が2層ある。
*システムネットワーク部門
・プロバイダ及び国際パートナーISPのシステムプラットフォームを管理する。
・システム本部からOBSNへのアクセスがある。
・緊急の場合、OSBNにリモート接続できる。
・リアルタイムで警報を受信できるブラックベリー装置を管理者は有する。
*外部ネットワークコンサルタント会社
・システムはサードパーティ企業とパートナー契約をして、特定のプロジェクトに更なるネットワークリソース及びコンサルタント業を提供する。
・前述のサードパーティ企業のネットワークエンジニアは、管理目的のためにシステムOBSNにアクセスできる。
システムはネットワーク管理が2層ある。
*システムネットワーク部門
・プロバイダ及び国際パートナーISPのシステムプラットフォームを管理する。
・システム本部からOBSNへのアクセスがある。
・緊急の場合、OSBNにリモート接続できる。
・リアルタイムで警報を受信できるブラックベリー装置を管理者は有する。
*外部ネットワークコンサルタント会社
・システムはサードパーティ企業とパートナー契約をして、特定のプロジェクトに更なるネットワークリソース及びコンサルタント業を提供する。
・前述のサードパーティ企業のネットワークエンジニアは、管理目的のためにシステムOBSNにアクセスできる。
5.6 オンコール/緊急サービス
システムは緊急事態のためにオンコールサービスを提供する。下記がサービスの定義である。
*システムは自身のネットワークアドミニストレータチームがいるが、ビジネス時間外に緊急アドミニストレーションサービスが必要となる。
・月曜日から金曜日−19:00から9:00
・土曜日、日曜日−24時間
・他の日(公休日(bank holiday)等)−24時間
*このサービスは小人数チームの適任のエンジニアにより提供される必要がある。
*エンジニアは、システムプラットフォーム、インフラストラクチャプロバイダ、起こり得る問題及び問題の対策に関して深い知識を必要とする。
*システムはこの目的に必要な全ての書類を送信するが、プロバイダは自身の書類を作成して自身の内部処理に応じるようにする。
*モニタリングサービスを担当するオペレーションチームが更なる行動(ハードウェアの置き換え、インフラストラクチャプロバイダのトラブルシューティング等)を必要とする警報を検出した場合、オンコールエンジニアはその事件の担当になり、それを修理するために必要な行動を実行する必要がある。
*システムは、オンコールサービスにより実行されたあらゆるトラブルシューティングのフィードバックをもらい、発生後に詳細レポート(フォーマットは後述する)をもらう必要がある。
システムは緊急事態のためにオンコールサービスを提供する。下記がサービスの定義である。
*システムは自身のネットワークアドミニストレータチームがいるが、ビジネス時間外に緊急アドミニストレーションサービスが必要となる。
・月曜日から金曜日−19:00から9:00
・土曜日、日曜日−24時間
・他の日(公休日(bank holiday)等)−24時間
*このサービスは小人数チームの適任のエンジニアにより提供される必要がある。
*エンジニアは、システムプラットフォーム、インフラストラクチャプロバイダ、起こり得る問題及び問題の対策に関して深い知識を必要とする。
*システムはこの目的に必要な全ての書類を送信するが、プロバイダは自身の書類を作成して自身の内部処理に応じるようにする。
*モニタリングサービスを担当するオペレーションチームが更なる行動(ハードウェアの置き換え、インフラストラクチャプロバイダのトラブルシューティング等)を必要とする警報を検出した場合、オンコールエンジニアはその事件の担当になり、それを修理するために必要な行動を実行する必要がある。
*システムは、オンコールサービスにより実行されたあらゆるトラブルシューティングのフィードバックをもらい、発生後に詳細レポート(フォーマットは後述する)をもらう必要がある。
6 IP保存性
6.1 NATソリューション
当初必要とされていたパブリックIPアドレスの数を減らすために、IP保存性のシナリオが必要となるかもしれない。
下記の通りに仮定する。
・入力通信(インターネットからユーザ装置への)は必要ではない。
・ISPユーザ間の直接的な通信は必要でない。
IP保存性に関するシステムのアプローチは、各LNS110内で分散されたNATを行うことである。このソリューションのいくつかの利点は下記の通りである。
・性能:全てのユーザトラフィックは7200CISCOルータ内でNATを通る必要があり、NATアカウンティングは7200自身で作成される必要がある。このルータはこの様な操作のために設計されている。
・スケーラビリティ:NATが分散されているからスケーラビリティに限度はない。各LNS110は互いから完全に独立している。
・信頼性:ソリューションは既存のネットワーク装置に依拠するため、障害点は余分にない。
・操作:CISCOルータは少ないメンテナンスですむ。
6.1 NATソリューション
当初必要とされていたパブリックIPアドレスの数を減らすために、IP保存性のシナリオが必要となるかもしれない。
下記の通りに仮定する。
・入力通信(インターネットからユーザ装置への)は必要ではない。
・ISPユーザ間の直接的な通信は必要でない。
IP保存性に関するシステムのアプローチは、各LNS110内で分散されたNATを行うことである。このソリューションのいくつかの利点は下記の通りである。
・性能:全てのユーザトラフィックは7200CISCOルータ内でNATを通る必要があり、NATアカウンティングは7200自身で作成される必要がある。このルータはこの様な操作のために設計されている。
・スケーラビリティ:NATが分散されているからスケーラビリティに限度はない。各LNS110は互いから完全に独立している。
・信頼性:ソリューションは既存のネットワーク装置に依拠するため、障害点は余分にない。
・操作:CISCOルータは少ないメンテナンスですむ。
6.2 IPアドレッシングスキーマ(addressing schema)
6.2.1 ライブプラットフォーム用のIPアドレッシング
・システムはPPPセッションに10.128.0.0/9の範囲のプライベートIPアドレスを割り当てる。
・ユーザのPPPトンネルに、プライベート/18プールが各LNS110に割り当てられる。
・PPPセッションをNATするため各LNS110はパブリック/26プールを有する。
・プラットフォーム構成にパブリックIPアドレスも必要である。
・合計で、パブリック/22ネットワークが各データセンタ、NATプール、プラットフォーム構成、及び将来のサービスの成長に必要である。
・HLDの更なるリリースは詳細なIPアドレッシングスキーマを含む。
6.2.1 ライブプラットフォーム用のIPアドレッシング
・システムはPPPセッションに10.128.0.0/9の範囲のプライベートIPアドレスを割り当てる。
・ユーザのPPPトンネルに、プライベート/18プールが各LNS110に割り当てられる。
・PPPセッションをNATするため各LNS110はパブリック/26プールを有する。
・プラットフォーム構成にパブリックIPアドレスも必要である。
・合計で、パブリック/22ネットワークが各データセンタ、NATプール、プラットフォーム構成、及び将来のサービスの成長に必要である。
・HLDの更なるリリースは詳細なIPアドレッシングスキーマを含む。
6.2.2 OBSNプラットフォーム用のIPアドレッシング
・システムは、セキュリティ及びIP保存性の理由のため、OBSNプラットフォームでパライベートIPアドレスを設定する。
・OBSNプラットフォームでの唯一のパブリックIPアドレスはOSRルータにて設定され、OSRルータはパートナーISPプラットフォームを介してインターネットに接続されている。
・HLDの更なるリリースは、詳細なIPアドレッシングスキーマを含む。
・システムは、セキュリティ及びIP保存性の理由のため、OBSNプラットフォームでパライベートIPアドレスを設定する。
・OBSNプラットフォームでの唯一のパブリックIPアドレスはOSRルータにて設定され、OSRルータはパートナーISPプラットフォームを介してインターネットに接続されている。
・HLDの更なるリリースは、詳細なIPアドレッシングスキーマを含む。
7 スケーラビリティ
トンネル及びNATソリューションはLNSルータ110により、分散されたモデルで、提供される。データセンタ毎の二つの境界スイッチは、少なくとも14のLNSルータ110を集約できる。
各LNSルータ110は約10、000のユーザセッションをサポートし、1,8Gbpsのスループット、及び2GBのメモリRAMを有し、そのことは同時使用がピークのときには各ユーザは少なくとも平均すると100Kbpsのスループット及び100のNAT変換を実施できることを意味する。
サーバの性能によっては、将来NATログ格納のために更なる装置を追加することが必要となるかもしれない。
トンネル及びNATソリューションはLNSルータ110により、分散されたモデルで、提供される。データセンタ毎の二つの境界スイッチは、少なくとも14のLNSルータ110を集約できる。
各LNSルータ110は約10、000のユーザセッションをサポートし、1,8Gbpsのスループット、及び2GBのメモリRAMを有し、そのことは同時使用がピークのときには各ユーザは少なくとも平均すると100Kbpsのスループット及び100のNAT変換を実施できることを意味する。
サーバの性能によっては、将来NATログ格納のために更なる装置を追加することが必要となるかもしれない。
下記の表4は、LNSルータ110(全てのLNSルータ110は完全にロードされ(fully loaded)、バックアップモードではない)の数によってプラットフォームがサポートできる同時ユーザ数の要約である。
8 プラットフォームセットアップ
*ネットワーク
・設計
−要件コンパイル
−要件分析
−機能的設計(トンネル、NAT、IP保存性、冗長性、セキュリティ、及びスケーラビリティ)
・技術リサーチ及び装置の選択(特徴及びコスト評価)
・レイヤ3及びレイヤ2設計
・レイヤ1(ラック配置)設計
・プリインストレーション
・IPスキーマを規定する
・装置の構成を準備する
・IPSecトンネル統合のためシステムISPにて装置を構成する
・インストレーション
・両方のデータセンタにて、ワイヤリング及びレーベリングを含む、ラックへの装置の物理的設置
・適当なIOSバージョンで装置をアップグレード
・装置の構成を挿入
・装置内のIP接続性を確認する
*ネットワーク
・設計
−要件コンパイル
−要件分析
−機能的設計(トンネル、NAT、IP保存性、冗長性、セキュリティ、及びスケーラビリティ)
・技術リサーチ及び装置の選択(特徴及びコスト評価)
・レイヤ3及びレイヤ2設計
・レイヤ1(ラック配置)設計
・プリインストレーション
・IPスキーマを規定する
・装置の構成を準備する
・IPSecトンネル統合のためシステムISPにて装置を構成する
・インストレーション
・両方のデータセンタにて、ワイヤリング及びレーベリングを含む、ラックへの装置の物理的設置
・適当なIOSバージョンで装置をアップグレード
・装置の構成を挿入
・装置内のIP接続性を確認する
*システム
サーバの設置及び構成(OpenNMS、ラジエーター(radiator)及び情報開示サービス)
サーバの設置及び構成(OpenNMS、ラジエーター(radiator)及び情報開示サービス)
*統合
・ISPパートナーネットワークへの接続:ISPパートナーネットワークへの接続が必要である。プラットフォームで一つ故障が起こるように強制して、IPトランジット及び両方のデータセンタ間の冗長性が機能しているかをチェックする。
・ISPパートナーネットワークへの接続:ISPパートナーネットワークへの接続が必要である。プラットフォームで一つ故障が起こるように強制して、IPトランジット及び両方のデータセンタ間の冗長性が機能しているかをチェックする。
・ITサービスプラットフォームへの接続:監視統合及びRADIUS統合
−モニタリング統合
・システムモニタリングプラットフォーム:システムモニタリングシステムはSNMPを使用してプラットフォーム健康状態を検査して、あらゆる警報をオンコールエンジニアに報告する。
・第三者モニタリング:VPNが確立されて、サードパーティ企業が監視目的のためにシステムの帯域外監視ネットワーク(System’s Out of Band Supervision Network)にアクセスできるようにする。あらゆる警報はオペレーションチームのためにリアルタイムで分析されて、更なる行動が必要な場合にはオンコールエンジニアに報告される。
・RADIUS統合:LNSルータ110を日本にあるRADIUSプロキシサーバ120に接続して、これらをプロバイダのプラットフォームのシステムRADIUSサーバ140に接続する。
−モニタリング統合
・システムモニタリングプラットフォーム:システムモニタリングシステムはSNMPを使用してプラットフォーム健康状態を検査して、あらゆる警報をオンコールエンジニアに報告する。
・第三者モニタリング:VPNが確立されて、サードパーティ企業が監視目的のためにシステムの帯域外監視ネットワーク(System’s Out of Band Supervision Network)にアクセスできるようにする。あらゆる警報はオペレーションチームのためにリアルタイムで分析されて、更なる行動が必要な場合にはオンコールエンジニアに報告される。
・RADIUS統合:LNSルータ110を日本にあるRADIUSプロキシサーバ120に接続して、これらをプロバイダのプラットフォームのシステムRADIUSサーバ140に接続する。
−設定済みルータ100−ネットワークプラットフォーム:ネットワークプラットフォームが一旦作動すると(物理的及び論理的レイヤ)、設定済みルータ100が設置されたLNSルータ110に対してトンネルを発生させるかを検査する必要があり、それは設定済みルータ100のパブリック信号とシステムクレデンシャルとを接続させてウェブをサーフすることによりできる。システムは設定済みルータ100により提供される両方のデータセンタへのトンネル性能及び冗長性を検査する。
−ユーザ経験:これはトンネリングソリューションのためにユーザ経験を確認するための品質保証段階(quality assurance phase)である。
−ユーザ経験:これはトンネリングソリューションのためにユーザ経験を確認するための品質保証段階(quality assurance phase)である。
Claims (13)
- インターネットを介してパケットを転送するシステムであって、
ルーティング装置と、
ネットワーク装置と、
前記ルーティング装置及び前記ネットワーク装置に接続されるログ装置と、
を備え、
前記ルーティング装置は、
ユーザ装置から前記パケットを受信するように構成される受信ユニットと、
前記ユーザ装置を使用するユーザを認証するように構成される認証ユニットと、
前記ユーザが認証された場合に、トンネリングプロトコルを使用して前記ネットワーク装置へトンネリングセッションを確立させるように構成されるセッション確立ユニットと、
前記トンネリングセッションを介して前記ネットワーク装置へ前記パケットを転送するように構成される転送ユニットと、
を備え、
前記ネットワーク装置は、前記インターネットを介して前記サーバに前記パケットを転送するように構成されている転送ユニットを備え、
前記ログ装置は前記ユーザ装置及び前記ネットワーク装置を示すログをデータベースに記録するように構成され、
前記ネットワーク装置は、前記各トンネリングセッションに別のポートを割り当てるように構成されるアドレス割り当てユニットを更に備えること、
を特徴とするシステム。 - 請求項1に記載のシステムであって、
前記ルーティング装置は、前記ユーザ装置がアクセスを許可されているアドレスを記憶するホワイトリストを更に備え、
前記パケットにアドレス指定されている前記サーバのアドレスが、前記ホワイトリストに記憶されている場合、前記セッションユニットが前記トンネリングセッションを確立する前に、前記転送ユニットは前記インターネットを介して前記サーバに前記パケットを転送すること、
を特徴とするシステム。 - 請求項1又は2に記載のシステムであって、
前記ログ装置は更に、前記ネットワーク装置による前記パケットの転送に関するログを記録するように構成されること、
を特徴とするシステム。 - 請求項3に記載のシステムであって、前記ログ装置は前記ユーザを示す情報を含む前記ログを記憶することを特徴とするシステム。
- 請求項1乃至4のいずれか一項に記載のシステムであって、前記ネットワーク装置は、各トンネリングセッションにインターネットの異なるグローバルアドレスを割り当てるように構成されるアドレス割り当てユニットを更に備えていることを特徴とするシステム。
- 請求項1又は2に記載のシステムであって、
前記ログ装置は、前記ネットワーク装置による前記パケットの転送に関してログを記録するように構成され、
前記ログは前記ユーザ及び前記各ポートを示す情報を含むこと、
を特徴とするシステム。 - インターネットを介してパケットを転送する方法であって、
サーバへアドレス指定されている前記パケットを、ルーティング装置によりユーザ装置から受信するステップと、
前記ユーザ装置を使用するユーザを前記ルーティング装置により認証するステップと、
前記ユーザが認証された場合、前記ルーティング装置及びネットワーク装置によって、トンネリングプロトコルを使用してトンネリングセッションを前記ルーティング装置から前記ネットワーク装置へ確立するステップと、
前記ネットワーク装置により、インターネットにおける同じグローバルアドレスの異なるポートを前記各トンネリングセッションに割り当てるステップと、
前記ルーティング装置によって、前記トンネリングセッションを介して前記パケットを前記ネットワーク装置へ転送するステップと、
前記ネットワーク装置によってインターネットを介して前記パケットを前記サーバに転送するステップと、
ログ装置によって、前記ユーザ装置及び前記ネットワーク装置を示すログをデータベースに記録するステップと、
を備えることを特徴とする方法。 - 請求項7に記載の方法であって、
前記ルーティング装置は、前記ユーザ装置がアクセスを許可されているアドレスを含むホワイトリストを記憶しており、
前記方法は、前記パケットにアドレス指定されている前記サーバのアドレスが、前記ホワイトリストに含まれている場合、前記ルーティング装置によりインターネットを介して前記サーバに前記パケットを転送するステップを更に備えること、
を特徴とする方法。 - 請求項7又は8に記載の方法であって、
前記ネットワーク装置による前記パケットの転送に関するログを、前記ネットワーク装置に接続されているログ装置により記録するステップを更に備えること、
を特徴とする方法。 - 請求項9に記載の方法であって、
前記ログは前記ユーザの情報を含むこと、
を特徴とする方法。 - 請求項7乃至10のいずれか一項に記載の方法であって、
前記ネットワーク装置により、インターネットにおける異なるグローバルアドレスを前記各トンネリングセッションに割り当てるステップを更に備えること、
を特徴とする方法。 - 請求項7又は8に記載の方法であって、
前記ネットワーク装置により、インターネットにおける異なるグローバルアドレスを前記各トンネリングセッションに割り当てるステップと、
前記ネットワーク装置に連結されたログ装置により、前記ネットワーク装置による前記パケットの転送に関するログを記録するステップと、を更に備え、
前記ログは前記ユーザ及び前記各グローバルアドレスを示す情報を含むこと、
を特徴とする方法。 - 請求項7又は8に記載の方法であって、
前記ネットワーク装置に連結されたログ装置により、前記ネットワーク装置による前記パケットの前記転送に関するログを記録するステップと、を更に備え、
前記ログは前記ユーザ及び前記各グローバルアドレス及びポートを示す情報を含むこと、
を特徴とする方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201061428620P | 2010-12-30 | 2010-12-30 | |
| US61/428,620 | 2010-12-30 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012165351A JP2012165351A (ja) | 2012-08-30 |
| JP5345651B2 true JP5345651B2 (ja) | 2013-11-20 |
Family
ID=46844274
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011102216A Expired - Fee Related JP5345651B2 (ja) | 2010-12-30 | 2011-04-28 | セキュアトンネリングプラットフォームシステム及び方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5345651B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6346208B2 (ja) * | 2016-02-12 | 2018-06-20 | 日本電信電話株式会社 | 通信システム |
| KR101677051B1 (ko) * | 2016-09-05 | 2016-11-17 | 이형근 | 보안 웹브라우저 동작 방법 |
| JP2018142891A (ja) * | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | インターネット接続処理方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2002361080A1 (en) * | 2002-12-05 | 2004-06-23 | Allied Telesis K.K. | User identification system, user identification apparatus, user identification method, and program |
| JP4495049B2 (ja) * | 2005-08-10 | 2010-06-30 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置 |
| JP4752064B2 (ja) * | 2006-04-07 | 2011-08-17 | 国立大学法人信州大学 | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
| JP2008010934A (ja) * | 2006-06-27 | 2008-01-17 | Nippon Telegr & Teleph Corp <Ntt> | ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体 |
| JP5453941B2 (ja) * | 2009-06-09 | 2014-03-26 | 三菱電機株式会社 | 通信制御装置 |
-
2011
- 2011-04-28 JP JP2011102216A patent/JP5345651B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012165351A (ja) | 2012-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9015855B2 (en) | Secure tunneling platform system and method | |
| JP5620400B2 (ja) | セキュアなリモートアクセスの公衆通信環境 | |
| CN105637805B (zh) | 增强移动备用信道以解决有线线路网络中的节点故障 | |
| US7035281B1 (en) | Wireless provisioning device | |
| US7461157B2 (en) | Distributed server functionality for emulated LAN | |
| US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
| US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
| US10778465B1 (en) | Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud | |
| US20220210130A1 (en) | Method and apparatus for maintaining a resilient vpn connection | |
| JP2004507169A (ja) | 網フロースイッチを用いてのvpnデバイスのクラスタリング | |
| US8611358B2 (en) | Mobile network traffic management | |
| WO2009132594A1 (zh) | 实现私网之间转发数据的方法和系统 | |
| JP5345651B2 (ja) | セキュアトンネリングプラットフォームシステム及び方法 | |
| WO2004111864A1 (ja) | インターネットセキュア通信装置及び通信方法 | |
| US8365253B2 (en) | Method and system for secure management of co-located customer premises equipment | |
| JP3668731B2 (ja) | 仮想プライベートネットワーク(vpn)システム及び中継ノード | |
| JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
| JP5982706B2 (ja) | セキュアトンネリング・プラットフォームシステムならびに方法 | |
| CN113472625B (zh) | 基于移动互联网的透明桥接方法、系统、设备及存储介质 | |
| KR102103484B1 (ko) | 가상 네트워킹 기술을 이용한 고객사별 인트라넷 서비스 제공 방법 및 그 시스템 | |
| CN118802320A (zh) | 网络接入方法、装置、电子设备、存储介质及产品 | |
| JP6664232B2 (ja) | 無線lanアクセスシステム、ルータ装置およびアクセス制御方法 | |
| CN115767591A (zh) | 一种基于无线网桥的网络系统 | |
| JP5875507B2 (ja) | 中継装置、プログラム、情報処理方法、及び情報処理装置 | |
| Edwards et al. | Nortel guide to VPN routing for security and VoIP |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20120530 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120605 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120903 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120906 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20121004 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20121010 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20121105 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20121108 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121204 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130312 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130409 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130716 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130814 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5345651 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |