TAINS News No.28 [Page.3]

TAINS/G 移行体験記 ---電気通信研究所編 ---

電気通信研究所やわらかい情報システム研究センター岩谷幸雄

1 はじめに

　電気通信研究所では，2002年3月1日にTAINS/G に移行しました。これに先だって所内ネットワークも刷新し，「やわらかいグローバルネットワーク（以下GlobalNet ）」と称する基幹1Gbpsのネットワークになりました。本稿では，移行前の所内ネットワークの構成と問題点，GlobalNet の構成，TAINS/G への接続などを述べたいと思います。

2 移行前とその問題点

　移行前の所内ネットワークは，図1に示すように少し複雑な形態でSuperTAINS へ接続しておりました。接続形態は，大きく以下のように分かれます。

SuperTAINS FDDIループに自前ルータを用意して直接接続する（26bitマスク接続）。
通研インハウスルータを介してサブネットを組み外部へ接続する（26,27bitマスク接続）。
通研インハウスルータを介して，インハウスネットワーク（26bitマスク接続×4）として外部に接続する。

　1, 2に関してはサブネットを希望するいくつかの研究室が利用し，その他サブネットを組まない研究室のほとんどは，3の形態でネットワークに接続しておりました。概ね30程度ある所内の分野・部局・センターなどの中でサブネットを組んでいた研究室は半分程度でした。したがって，その他の半分については，3の形態で接続していたことになります。

　このような構成の下，移行前には次のような問題がありました。

インハウスネットワークへ接続するホストが多く，研究室単位で管理されていない雑多な構成。
インハウスルータへの過負荷によるスループットの低下。

　このような構成上に起因する不便さに加え，インターネットが社会に普及するに伴って，不正アクセスやウィルスなどが増え，セキュリティの確保についても大きな課題となっておりました。

図1:移行前の通研ネットワーク

3 GlobalNet の構成

　前述の問題の解決を図るために，本センターが中心となって次世代の所内のネットワークの理想像について議論を重ねてきました。そして，昨年度文部科学省のCOEの形成に係わる中核的研究機関支援プログラム予算の研究高度化設備費として6,400万円が認められ，GbEを基幹とする高速ネットワークを実現することになりました。さらに，平成13年度大学研究基盤経費採択事業の一環として，ネットワークセキュリティ装置を導入することも認められ，懸案であったセキュリティの確保についても整備されることとなりました。これら2つの予算によって，高速で安全な\GlobalNet の実現を目指し，本センターでは次のような機器を用意しました。

基幹ネットワーク機器

　すべてのルータ・スイッチをレイヤ3対応とし，以下のような機器を準備しました。

対外接続装置 (1000BASE--SX 8 ports, 1000BASE--LX 8 ports) 1台
高速基幹ルータタイプA (1000BASE--SX 10 ports, 1000BASE--LX 2ports) 2台
高速基幹ルータタイプB (1000BASE--SX 10 ports, 1000BASE--LX 2 ports,10/100BASE--TX 48 ports) 1台
高速ルータタイプA (1000BASE--SX 1 port, 10/100BASE--TX 48 ports) 1台
高速ルータタイプB (1000BASE--LX 1 port, 10/100BASE--TX 48 ports) 2台
高速ルータタイプC (1000BASE--SX 1 port, 10/100BASE--TX 12 ports) 1台
高速スイッチタイプA (1000BASE--SX 1 port, 10/100BASE--TX 24 ports) 14台
高速スイッチタイプB (1000BASE--LX 1 port, 10/100BASE--TX 24 ports) 2台
高速スイッチタイプC (10/100BASE--TX 24 ports) 2台

セキュリティ装置関連機器

高度セキュリティ装置…1000BASE--TXのインタフェースを有し，700Mbps以上のスループット性能をもったステイトフルインスペクション型ファイアウォール装置。
ウィルス検出装置…SMTP, POP3等のプロトコルについてウィルスを検知する機能を有する装置。
ネットワーク管理装置…SNMPマネジャー機能を有し，各種ネットワーク解析が可能な装置。

GlobalNet の物理構成

　物理構成は，図2に示すように対外接続装置を経由してTAINS/G 接続しています。また，高速基幹ルータは，1号館および2号館の南北ウイングに配置され，対外接続装置へは1000BASE--SXあるいは，--LXで接続されています。さらに，末端には高速ルータ・スイッチが配備され10〜1000Mbpsの速度で端末を接続することが可能になっています。セキュリティ装置は，対外接続装置に接続しています。

図2:GlobalNet の物理構成図

GlobalNet の論理構成

　雑多なネットワーク構成を移行前の問題点として挙げましたが，これを解消するために，1研究室に1つのサブネットドメインを強制的に与えることにして，論理的に簡潔なネットワーク構成にすることとしました。研究室によっては，建家や階にまたがることもあったため，VLANを用いています。

　また，セキュリティ装置の利用については，研究室によってネットワークの利用方法が千差万別であるため，次のような方針を掲げ，研究室へ周知およびアンケートを送付しました。

高度セキュリティ装置の恩恵を受けるか否かは，各研究室の判断に任せる（前者をsecure net，後者をopen netと俗称している）。ただし，secure とopenの併用は認めない。
ウィルス検出装置は，所内のどのサブネットからでも利用できるようにする。

アンケートの結果，secure net とopen netにおおよそ半分ずつの研究室が分かれることになりました。大雑把にいって，従来から独自サブネットを組んでいた研究室はopenへ，そうでないところはsecureへ移行したようです。

　この結果，論理的な構成は図3に示すように，ファイアウォール装置をはさんでopen netとsecure net が存在していることになります。また，ウィルス検出装置やネットワーク管理装置，および本センターが管理する各種サービス用のサーバの一部は，DMZに置くこととしました。この他 secure net の研究室を主な対象として，open net 側にWebサーバのバーチャルホスティングサービス等を行っています。

図3:論理的なネットワーク構成

4 TAINS/G への接続

　前にも書いたようにTAINS/G には，対外接続装置が，TAINS/G の幹線ルータ BR に1000BASE--LX で物理的に接続しています。しかし，ルーティングを全て対外接続装置に任せてしまうとスループットが落ちる可能性があったため，論理的なルーティングは，secure netとopen netで以下のように区別して行うことにして工夫しました。

open net は，上流にある基幹ルータでルーティングする。
secure net は，一括して対外接続装置でルーティングする。

　このため，論理上のルーティングを行う対外接続装置と3つの高速基幹ルータに対して情報シナジーセンターからIPアドレスを付与してもらうこととしました。インハウス側には，それぞれ通研側のアドレスを付与しています。

4 おわりに

　移行の結果，SuperTAINS 接続時に問題になっていたスループットの低下に関する問題は，基幹をGbEにすることで解消され，セキュリティについても，今回導入される機器によって，ある程度確保されることを期待しています。

　さらに，今回のネットワークが雑多なものから論理的・物理的に極めてシンプルな構成に移行できた背景には，TAINS/G の運用において自由にサブネット長を変更できることになったことが大きな理由としてあげられます。実は，SuperTAINS では，ネットマスクが固定されてしまっていたために，結果として複雑な構成に成らざるを得なかったのが本音です。しかし，TAINS/G がRIP2を導入したことによって，サブネットワークの大きさを自由に決めることが可能になったため，今後は各部局で特徴ある自由な設計が可能になるのではないでしょうか。

　また，通研内には，ネットワークそのものを研究の対象としている研究室もあり，今回TAINS/G の基幹がGbEになったことは，単に情報ハイウエイとしてのインフラとしてだけでは留まらず，実際に行える研究の幅が一段と広がったと期待している研究者もおり移行は非常に歓迎されています。