NII - PDF 無料ダウンロード

オープンフォーラム 2018 SINET 加入から利用開始までの流れ第 2 版 2018 年 6 月 20 日国立情報学研究所

本発表の範囲学術情報ネットワーク (SINET) へ加入から接続するまでに必要な申請手続き ( 加入申請 IP アドレスドメイン等 ) や接続するアクセス回線の調達についての注意点等クラウド活用支援クラウド利活用による IT 経費削減研究教育環境の高度化直結クラウドによる利用の促進コンテンツ流通学術情報流通とオープンアクセスの推進オープンサイエンスの推進学術認証電子証明書による安全な認証の推進大学間認証連携による各種資源の相互利用の促進セキュリティ強化情報セキュリティ体制の基盤構築高性能 VPN によるセキュアな通信環境の提供学術情報ネットワーク (SINET) 全ての都道府県を超高速の100Gbps 回線で網羅諸外国と高速国際回線 ( 米国は100Gbps) で接続多様な通信サービスを最新ネットワーク技術で提供 1

1. SINET への加入 a. 加入申請サービス利用申請 b. IPアドレスドメイン 2. SINET への接続本発表の内容 a. ノード接続 (DC 住所問合せアクセス回線引込 / 共同調達 SINETラック利用 ) b. 広域 LAN 接続 c. 既存接続機関経由の接続 3. SINET サービスの利用 a. L3サービス (IP Dual) b. L2サービス (L2VPN/VPLS 仮想大学 LAN L2オンデマンド ) c. ネットワーク運用安定化 (DDoS Mitigation 機能 ) お問合せ窓口 2

1. SINET への加入 3

SINET への加入 SINET を利用するにははじめに SINET への加入が必要関連規程類 https://www.sinet.ad.jp/aboutsinet/document 学術情報ネットワーク加入規程学術情報ネットワークの加入に必要な加入者の資格, 申請, 承認, 遵守事項を定める機関の長が加入申請機関の LAN 管理責任者が利用申請 LAN 管理責任者管理者 ID を発行学術情報ネットワーク加入細則規程を実施するための細則的, 技術的事項を定める SINET ネットワークサービスガイドラインサービスを利用するために必要な事項を定めるネットワークサービス共通ガイドライン利用サービス管理者利用サービス ID IPv4 サービス利用ガイドラインレイヤ 2 オンデマンドサービス利用ガイドライン IPv6 サービス利用ガイドラインマルチキャストサービス利用ガイドライン VPN サービス利用ガイドライン仮想大学 LAN サービス利用ガイドライン QoS サービス利用ガイドライン 4

加入者の資格加入は原則として機関 ( 法人 ) 単位加入機関数 86 (100%) 国立大学公立大学私立大学短期大学 80 (88%) 386 (64%) 77 (23%) 高等専門学校 56 (98%) 大学共同利用機関 16 (100%) その他合計 188 889 (2018 年 3 月 31 日現在 ) 学術情報ネットワーク加入規程より第 2 条加入者の資格一大学短期大学高等専門学校大学共同利用機関等二国立情報学研究所の事業に協力する機関三国公立試験研究機関並びに研究又は研究支援を目的とする独立行政法人及び特殊法人等四前 3 号に定める機関と共同で研究等を行う機関五学会学術研究法人及び大学に相当する教育施設等六研究を目的とするネットワークの参加機関七その他国立情報学研究所長が適当と認めた機関 5

加入についての注意点個々に加入が必要な例複数大学を持つ学校法人 ( 学園で一括加入でなく個々の大学で加入 ) 大学大学短期大学四年制大学に併設の大学短期大学部大学大学短期大学部 6

加入および利用にかかる費用について SINET への加入 SINET サービスの利用自体には加入機関側に費用負担は発生しない一方サービスを利用するために必要となる以下の費用は加入機関側が負担加入機関から SINET 側接続点 ( ノード ) までのアクセス回線料金料金は回線の種類回線速度ノードまでの距離等に依存 SINET 接続用のネットワーク機器の費用費用は性能等に依存回線敷設機器設置等にかかる初期費用接続にかかる業者手配接続作業にかかる費用ノード各都道府県に設置ノード大学企業地方公共団体 7

加入申請申請の大まかな流れ申請者 : 機関の長 ( 学長所長等 ) 公印を捺印し郵送で申請運用責任者 ( 機関の LAN 管理責任者 ) 加入機関のネットワーク運営対外接続に関する責任を持つ方サービス利用申請申請者 : 運用責任者 ( 加入機関の LAN 管理責任者 ) メールで申請利用サービス管理者個々の利用サービスごとの管理責任者利用サービス管理者運用責任者機関の長国立情報学研究所加入申請加入承認運用責任者の情報等を記入管理者 ID 利用申請管理者 ID 及び利用サービス管理者の情報等を記入利用承認利用サービス ID 8

各種担当者 (LAN 管理責任者 / 利用サービス管理者 ) SINET の利用には役割に応じた担当者が必要 LAN 管理責任者 ( 各機関 1 名 ) 加入機関の SINET 接続に関する全権を掌握する方加入申請書の運用責任者欄を LAN 管理責任者として初期登録 SINET サービスのほぼ全ての利用申請は LAN 管理責任者が提出管理者 ID を発行利用サービス管理者 ( 複数名可 ) SINET サービス (VPN サービス等 ) の利用に対して責任を負う方利用サービス管理者を誰にするかは加入機関の方針によるただしインターネット接続サービスは SINET の基本サービスのため利用サービス管理者は LAN 管理責任者が担う利用サービス ID を発行担当者が変わったら速やかに変更申請を! SINETからのお知らせはこれらに登録のメールアドレスに送付 9

各種担当者 ( 事務担当者 ) LAN 管理責任者利用サービス管理者の申請を代行する事務担当者を 1 名登録可能事務担当者は SINET との申請のやり取りが可能 LAN 管理責任者利用サービス管理者とは異なる方の登録を推奨 SINET からのお知らせは事務担当者にも送付業者の登録は不可だが業務委託等で加入機関の担当者として従事する場合は登録可能事務担当者に ID は発行しない担当者が変わったら速やかに変更申請を! 利用申請には提出期限があるため確実に申請対応できる方が必要 10

各種担当者 ( 連絡先情報 ) 利用申請書等には担当者情報とは別に連絡先情報を記入する箇所がある SINETからの障害発生や計画作業の連絡に使用緊急時の連絡先のため確実に届く連絡先を記入連絡先情報運用連絡用メールアドレスメーリングリスト等関係者に確実に届くアドレスを登録複数のアドレスは登録不可なのでメーリングリスト等を推奨障害連絡用 FAX 登録番号障害発生時はメールが受信できない可能性がある FAX 番号も忘れずに登録 11

( 参考 )VPN 申請の流れ加入機関の LAN 管理責任者利用サービス管理者注 )VPN 利用グループの他のメンバでもある VPN 利用グループ代表者国立情報学研究所加入機関 LAN 管理責任者は下記を考慮して接続を許可します学内ポリシー学内資源 ( 構内線等 ) 状況など写し送付 ( 学内調整 ) 申請用申請用申請用 ID ID ID 申請前に各機関で事前調整写し送付申請用申請用申請用 ID ID ID 利用開始日の候補を依頼 VPN 利用開始申請メール申請用 ID VPN 利用開始承認ここでインタフェースの空き状況等をチェックする個別でバラバラと申請が来ると全体の構成が見えないためネットワーク構築ができなくなる可能性があるためまず代表者に申請をしてもらう判断学内準備作業送付利用開始日の 7 日前までに研究所必着申請 ID を付与して申請 ID 申請用 ID ID 利用申請書利用届スタートできる機関だけとりまとめて連絡研究所は事前に代表者から利用開始日を把握できる利用承認書利用承諾書利用承諾書サービスサービスID サービスIDID 写し送付 Password Password 利用承認書利用承諾書利用承諾書サービスサービスID サービスID Password ID Password 送付利用承認書判断遅れる機関は調整 VPN 利用申請設定作業送付利用承認書 12

IP アドレス SINET に接続するにはグローバル IP アドレスが必要プライベート IP アドレスのみの運用は不可グローバル IP アドレスは必須 SINET で使用可能なグローバル IP アドレスは 2 種類プロバイダ非依存アドレス (Provider Independent Address:PI アドレス ) SINET から割り当てを受けたグローバル IP アドレス (SINET CIDR) 商用プロバイダから割り当てを受けたグローバル IP アドレスは使用不可プロバイダ集成可能アドレス (Provider Aggregatable Address:PA アドレス ) 所有しているグローバル IP アドレスがどのタイプか不明なときは WHOIS サービス等を活用 JPNIC WHOIS APNIC WHOIS など 13

( 参考 )PI アドレスの場合 JPNIC の WHOIS サービスで検索した場合の表示例 ( 一部抜粋 ) Network Information: [ ネットワーク情報 ] [IPネットワークアドレス] xxx.yyy.zzz.0/24 [ ネットワーク名 ] EXAMPLE-NET [ 組織名 ] イグザンプル大学 [Organization] Example Universitiy [ 管理者連絡窓口 ] XX1234JP [ 技術連絡担当者 ] ZZ4321JP 上位情報 ---------- 該当するデータがありません下位情報 ---------- 該当するデータがありません上位情報および下位情報に該当するデータがない場合は PI アドレス PI アドレスの管理は JPNIC (SINET は関与しない ) 14

( 参考 )SINET CIDR の場合 JPNIC の WHOIS サービスで検索した場合の表示例 ( 一部抜粋 ) Network Information: [ ネットワーク情報 ] [IP ネットワークアドレス ] xxx.yyy.zzz.0/24 [ ネットワーク名 ] EXAMPLE-NET [ 組織名 ] イグザンプル大学 [Organization] Example Universitiy [ 管理者連絡窓口 ] XX1234JP [ 技術連絡担当者 ] ZZ4321JP 上位情報 ---------- 大学共同利用機関法人情報システム研究機構国立情報学研究所 (Research Organization of Information and Systems, National Institute of Informatics) [ 割り振り ] xxx.yyy.0.0/16 上位情報に SINET が該当する場合は SINET CIDR 下位情報 ---------- 該当するデータがありません上位情報に商用プロバイダが該当する IP アドレスは利用不可 15

ネットワーク図 IP アドレス割り当て申請利用計画の内容に沿った簡単なネットワーク構成図を用意ネットワーク図中に表記する機器名は利用計画書中の名称と統一ネットワーク図中に IP アドレスを割り当てる箇所を明記利用計画 IP アドレスの使用個数を割り当て直後 6 か月後 1 年後の 3 段階で記述する 1 年後の利用数が必要なので 1 年以上の継続利用が前提 IPv4 アドレスの割り当てには IP アドレスの利用率が重要直後は 25% 以上 6 か月後 1 年後は 50% 以上の利用率になっている必要があるイベント等短期利用での IP アドレスの割り当てが必要な場合は SINET 利用推進室に要相談 16

( 参考 )IP アドレス (IPv4) 割り当てポリシー割り当て可能なIPアドレスは /29 以上 (8 個以上 ) から割り当てたIPアドレス範囲の両端 2 個は使用不可希望した個数の割り当てが出来ない場合もあり割り当てが必要なIPアドレスの個数によって審査にかかる時間が異なる SINETの審査のみで割り当て可能な個数の場合申請書に不備がなければ即日で割り当てが完了する場合あり JPNICの審議を経る必要がある個数の場合割り当て完了までに1ヶ月ほど要する場合あり希望する割り当て個数を減らさなくてはならない場合あり 17

ドメイン名登録 SINET で登録可能なドメインは AC.JP ドメインのみ汎用 JP ドメイン名都道府県型 JP ドメイン名などは登録不可指定事業者を SINET に変更するかどうかは任意 1 加入機関につき 1 つの AC.JP ドメインが登録可能大学の場合組織種別を大学か法人 ( 学校法人国立大学法人公立大学法人 ) で登録が可能 SINET へ加入の際は大学単位だがドメイン名の登録はどちらでも OK SINET で登録可能でないドメインは別の指定事業者で登録する 18

各種担当者 (JPNIC JPRS) SINET から IP アドレスの割り当てを受ける /AC.JP ドメイン名登録の指定事業者を SINET にする場合は担当者が別途必要 JPNIC ハンドル (JPNIC JPRS 共通 ) 個人を登録 JPNIC の管理者連絡窓口技術連絡担当者に使用 JPRS の登録担当者技術連絡担当者に使用グループハンドル (JPNIC のみ ) 窓口部署等を登録 JPNIC の管理者連絡窓口技術連絡担当者に使用グループハンドルは JPRS の登録には使用不可 SINET 担当者 (LAN 管理責任者利用サービス管理者等 ) と異なっても OK 19

WHOIS 情報 SINET から IP アドレスの割り当てを受ける /AC.JP ドメイン名登録の指定事業者を SINET にする場合は必要に応じて WHOIS 情報の登録更新が必要 IP アドレス逆引きネームサーバ追加削除申請 SINET から割り当てを受けている IP アドレスの逆引きネームサーバを追加削除する申請 IP アドレスの割り当てが /24 未満の場合は SINET の DNS サーバからの逆引き委譲による対応 (WHOIS 情報の変更はなし ) ホスト情報登録変更申請 AC.JP ドメインの正引きネームサーバの FQDN と IP アドレスを登録変更する申請申請の際に JPNIC ハンドルが必要 AC.JP ドメイン名正引きネームサーバ追加削除申請正引きネームサーバの追加削除申請異なるドメインのネームサーバの登録も可能 example.ac.jp ドメインで ns.hoge.com を追加 20

( 参考 ) 逆引き DNS の委譲 (Delegation) 設定 SINET が割り当てた IP アドレス空間が /24 未満だと /24 のアドレス空間ごとに SINET の DNS サーバが逆引きを担当 /24 の中の一つ一つの IP アドレスごとに各機関へ振り分ける例 )some-dom.ac.jp に 192.168.100.128/28 の割り当てがあった場合加入機関側の逆引き用のゾーンの設定 128/28.100.168.192.in-addr.arpa の名前で作成 SINET 側のネームサーバで 100.168.192.in-addr.arpa を管理 128/28 という書式は JPNIC の設定例に準拠ゾーン名に / 等が使用できないネームサーバもある模様使用できない場合は相談 21

( 参考 ) 分散セカンダリ DNS サービス加入機関のプライマリ DNS サーバのセカンダリとして利用いただけます複数のセカンダ DNS リサーバを地理的に分散稼働 ( 耐障害性の向上 ) しています詳細 ( 利用開始手順申請フォーム等 ) は SINET ホームページを参照ください https://www.sinet.ad.jp/connect_service/service/dns_x 冗長構成 IPv6 通信対応 DNSSEC 対応 ( トライアル ) ゾーン転送加入機関 B プライマリ DNS ns.hoge.ac.jp セカンダリ DNS dns-x.sinet.ad.jp 加入機関 B 加入機関 A ゾーン転送加入機関 A プライマリ DNS ns.fuga.ac.jp インターネットプライマリ NDS で障害が発生してもセカンダリが応答するので大丈夫 22

( 参考 ) 分散セカンダリ DNS サービスの注意点分散セカンダリ DNS サービスを利用有無に関わらず SINET を利用するには加入機関側でプライマリ DNS サーバを用意する必要がありますオンプレミスクラウド商用サービス等 DNS サーバの構成は任意です SINET に直接接続している必要もありません分散セカンダリ DNS サーバは加入機関様側からの外部名前解決用サーバではありません外部から加入機関側のホスト名や IP アドレスの名前解決用ですリカーシブ動作には対応していませんので再帰検索用サーバとしてはご利用できません再帰検索用のネームサーバは加入機関側でご用意ください Windows 端末等の代替 DNS サーバに指定しても動作しません 23

2. SINET への接続 24

アクセス回線を調達 ( 契約 ) する前にノード接続 SINET ノード所在地の確認 (SINET5 データセンタ (DC) 住所問合せ ) 回線事業者に見積りを取る際に必要データセンタ住所問合せ未実施だと接続申請不可ノードは全国 50 ヶ所のデータセンタ (DC) に設置接続先は加入機関拠点の最寄りの DC( 県内等 ) でも離れた DC( 県外等 ) でも OK 回線事業者に DC への回線引き込みが可能であることを確認事前に現地調査を行うことも可能加入機関機器設置用ラックに機器の設置が必要な場合許容基準を満たすか確認 25

ノード接続の責任分界責任分界点は SINET ユーザラック内のパッチパネルの表面 SINETノードがあるデータセンタ SINETノード SINET 機器用ラック SINETユーザラックパッチパネル回線終端装置の設置場所とパッチパネルのポート番号は申請書提出後に案内加入機関回線終端装置と SINET パッチパネル間の配線は加入機関で実施回線業者の責任範囲について確認実施パッチパネルと回線終端装置の間の配線は範囲外の場合もあり要注意 SINET5 ルータ回線終端装置ルータやスイッチ等光ファイバ加入機関が配線加入機関 SINET の責任範囲加入機関の責任範囲責任分界点 26

SINET5 で利用できるインタフェースついて SINET5 ノードでの接続時に利用できるインタフェース 100GBASE-LR4 40GBASE-LR4 10GBASE-LR 光ファイバケーブルは 2 芯シングルモードファイバ SC コネクタ 1000BASE-LX 1000BASE-T / 100BASE-TX / 10BASE-T (RJ45 コネクタ ) SINET 加入機関機器設置用ラックスペース ( ユーザラック ) に設置可能な機器に条件あり詳細は SINET の Web サイトに掲載 SINET ラックスペース内設置機器の許容基準についてを確認のこと接続に必要なインタフェースが充分にない可能性があるため回線調達前に必ず NII へ相談とくに 100G 40G インタフェースを検討の場合できるだけ早い段階 ( 可能な場合利用開始想定時期の 1 年ほど前 ) に NII へ相談 27

SINET5 データセンタ (DC) 住所問合せノードを設置しているDCの位置 ( 住所 ) は非公開所定のフォームで問合せた場合に情報を開示加入機関がメールで申請 ( 電話での問合せは受付けていない ) 注意事項目的以外利用不可二次利用等は厳禁回線事業者への見積りに利用する場合は必ずその旨を記入接続予定のインタフェースを記入インタフェースによりラック番号が異なるDCあり一般競争入札等の仕様書にこれら情報の直接記載はNG 別途秘密保持契約を締結した上で開示などとする接続を検討している機関に対してのみ情報を開示通信事業者ベンダ等からの問合せはNG 加入機関からの問合せに限定通信事業者が加入機関から得たノード情報を他案件に流用は厳禁 28

発注前 ( 契約前 ) NII 加入機関回線業者 DC 事業者アクセス回線の見積り依頼必要な情報確認見積り依頼受理接続先住所の提供依頼 DC 住所問合せ申請受理 DC 住所問合せの実施 DC 住所の開示 DC 住所を入手回線業者からの問合せに対しては開示しない DC 住所を開示秘密保持契約締結後 DC 住所を受領 DC 内利用 ( 配線等 ) 問合せ問合せへの対応発注するか検討アクセス回線の見積り受領アクセス回線の見積り提示ユーザラックに機器設置の有無等の情報も提示すること 29

発注検討段階 ( 契約検討 ) 回線業者から設置基準を満たさない機器が提示されたとき設置基準を満たす機器に変更可能かまず確認もしくはキャリアコロケーションラック ( 回線業者が DC 内に建てたラック ) に機器を設置できるか確認回線業者に確認したが条件を満たすものが用意できないとなったとき別の回線業者にも見積りを取るできるだけ複数の業者に見積りを取ることを推奨設置の可否を加入機関から NII に相談相談の際は必ず加入機関から NII に相談回線業者からの相談は NG 相談の際は設置希望機器の型番サイズ消費電力等の情報が必要 30

発注後 ( 契約後 ) NII 加入機関回線業者 DC 事業者アクセス回線の発注発注受理 DC 内利用 ( 配線等 ) 申込日程確認等申込受領日程連絡等開通日が決まったら申請書を提出開通日受領アクセス回線の開通日連絡申請書準備工事申請書受理接続申請接続案内連絡申請書受理入館案内連絡入館申請ユーザラックの解錠が必要な場合開通まで通常 2 3 か月かかるので注意! 31

( 参考 ) アクセス回線共同調達 SINET ノードへ接続するための加入機関のアクセス回線を NII のアクセス回線調達に合わせ NII と複数の加入機関とが共同で調達することでボリュームディスカウントを引き出し経済的にアクセス回線を調達する取り組み帯域占有型のアクセス回線 ( ダークファイバ等 ) を安価な調達を目指す回線速度回線本数は各機関で決める契約期間保守内容等は共通仕様今後次期 SINET に向けたアクセス回線の共同調達実施を検討予定機関機関機関機関 NII 機関機関仲間を増やしてボリュームディスカウントを目指す 32

( 参考 ) アクセス回線共同調達実績 SINET4 では平成 22 年度 23 年度と計 2 回実施第 1 期分 20 機関 24 回線 ( 利用期間 5 年 H23.4~H28.3) 第 2 期分 11 機関 15 回線 ( 利用期間 4 年 H24.4~H28.3) SINET5 では平成 27 年度に実施第 1 期分 73 機関 88 回線 ( 利用期間 6 年 H28.4~H33.3) ( 注意 ) 第 2 期は実施しない予定 SINET4 第 1 期第 2 期国立大公立大私立大その他国立大公立大私立大その他計機関数 ( 回線数 ) 7(8) 1(1) 8(11) 4(4) 3(4) 3(3) 5(8) 31(39) フ数内ェ訳ー ( イ : スン数機タ ) 関 SINET5 10G 1(1) 2(2) 2(7) 5(10) 1G 6(7) 1(1) 6(9) 4(4) 3(4) 3(3) 3(5) 26(33) 第 1 期国立大公立大私立大その他機関数 ( 回線数 ) 25(31) 4(5) 20(22) 24(30) 73(88) 計内訳フ : ェ機ー関ス数数 ( ) インタ 100G 6(6) 1(1) 2(3) 9(10) 40G 1(1) 1(1) 10G 26(36) 2(2) 11(18) 12(23) 51(79) 1G 2(3) 9(9) 14(15) 25(27) 回線数は加入機関拠点と SINET DC 間の回線部分で計上インタフェース数は波長数で計上 33

加入機関機器設置用ラックスペースについて (1) SINET ラックスペース内設置機器の許容基準について 3. 設置機器の形状等 < 平成 27 年 6 月 8 日改訂版より抜粋 > 1 大きさは横置き時高さ 65mm 以内幅 170mm 以内奥行き 260mm 以内であり個数は 1 つであること 2 回線の仕様上必要な場合に限り本研究所と協議の上 2 つまでを上限に機器を設置できるただし事前に本研究所と協議の上設置方法は本研究所の指示に従うこと 3 最大消費電力は合計 100W 以下であること加入機関機器設置用ラックスペース ( ユーザラック ) に機器設置が必要な場合まず 1 及び 3 の基準に収まる機器で対応可能かどうか回線業者に確認接続先 DC によっては縦置きで機器を設置する場合がある 34

加入機関機器設置用ラックスペースについて (2) 機器設置の際は必ず最新の許容基準を参照他の機器設置方法を参考にした場合最新の許容基準を満たさない場合あり許容基準の改訂 ( 例 ) ( 横置きのスペースの ) 棚板前面に 3 台後面に 3 台の機器が配置できるよう機器の設置およびケーブル配線する耐震バンドを用いる場合割当スペース内のみでバンド固定をする設置機器の幅を超える耐震バンド等での固定を行わない改訂前の設置機器耐震バンドが干渉して棚板前面に別の機器を配置できない! 改訂後の設置機器 35

加入機関機器設置用ラックスペースについて (3) 縦置きの場合は下図のように仕切り板に機器を固定する機器選定の際は縦置き横置き両方に対応しているか確認くださいこの板に固定する機器 36

加入機関機器設置用ラックスペースについて (4) 設置基準を満たす機器が用意できない場合設置基準に収まる機器では利用予定の回線が利用できない場合は必ず回線の契約前に NII へ相談ください相談の際にはご利用予定の回線速度設置予定の機器諸元 ( メーカ型番サイズ消費電力等 ) を提示ください設置可否は接続先 DC の利用状況等から判断します過去に設置が認められた機器でもそのときの状況から判断します過去の設置許可実績は考慮されませんので注意ください NII への相談は加入機関よりお願いいたします回線業者からの直接相談は対応できません回線業者を入札で決定する場合回線業者から NII へ設置基準を満たさない機器の設置許可について相談が多くあります入札案件の場合応札検討業者様間での条件の公平性担保のため調達機関に対する質問の形態とし調達機関から NII に問い合せください 37

加入機関機器設置用ラックスペースについて (5) SINET ラックスペース内設置機器の許容基準 (3. 設置機器の形状等より ) 2 回線の仕様上必要な場合に限り本研究所と協議の上 2 つまでを上限に機器を設置できるただし事前に本研究所と協議の上設置方法は本研究所の指示に従うことフレッツ網 + フレッツ VPN の様なケースを想定しており機器単体がサイズの基準を満たさない場合の救済想定ではありませんなお機器が 3 台以上必要になる回線は利用できません加入機関 LAN 加入機関側ルータ B VPN 装置 ONU フレッツ回線 ( その 1) L2 トンネル区間 NTT フレッツ網終端装置に加えて VPN 装置が必要な場合が対象になります ONU フレッツ回線 ( その 2) VPN 装置フレッツ VPNワイドによる拠点間接続だけではL3の疎通性のみしか確保されません両端にVPN 装置を設置し L2のトンネルを張ることでノード接続可能な状態になります SINET ノード側 A SINET ルータ 38

( 参考 ) アクセス回線にフレッツを利用する場合の注意点アクセス回線にフレッツを利用する場合図 (A) の構成を想定しています VPN 装置の仕様上図 (B) のように C D 点にも IP アドレスが必要な場合 (A B C D が同一セグメントである必要がある ) 事前に SINET 利用推進室へお問い合わせください図 (A) 加入機関側 L2 トンネル区間 SINET ノード側加入機関 LAN ルータ B NTT フレッツ網 VPN 装置 ONU VPN 装置 ONU A SINET Router 150.99.*.*/30 区間図 (B) 加入機関側 L2 トンネル区間 SINET ノード側加入機関 LAN ルータ B D NTT フレッツ網 VPN 装置 ONU VPN 装置 ONU C A SINET Router 150.99.*.*/29 が必要 39

( 参考 ) フレッツ構成の NG 例加入機関機器設置用ラックスペースにルータを設置する構成ルータが VPN の機能を有する場合でもユーザラックに設置する場合は VPN 機能のみしか使用できません L2 トンネルでカプセル化されていない構成フレッツ VPN ワイドで拠点間を接続しただけでは IP-VPN( レイヤー 3VPN) です SINET 接続用のアクセス回線にするには L2 トンネルでカプセル化が必須です図 (C) 加入機関機器設置用ラックにルータは設置できません加入機関 LAN 加入機関側ルータ ONU NTT フレッツ網 ONU ルータ B A SINET ノード側 SINET ルータ図 (D) 150.99.*.*/30 区間加入機関 LAN 加入機関側ルータ ONU NTT フレッツ網 ONU SINET ノード側 SINET ルータフレッツ VPN ワイドのみ (IP-VPN) 40

ユーザラックに機器を置かない接続イメージ図ユーザラックに機器を置かずに SINET に接続する構成例 SINET ノード SINET 機器用ラックユーザラック SINET5 ルータパッチパネル回線業者ラック回線終端装置 SINET ノードがある DC に回線業者のラック ( キャリアコロケーションラック ) がある場合は終端装置を回線業者ラックに設置し構内配線ケーブルのみで接続できる場合があります ( 可能かどうか回線業者に確認ください ) 回線終端装置加入機関ルータやスイッチ等構内配線ケーブル光ファイバ SINET ノード SINET 機器用ラックユーザラック個別契約ラック SINET ノードがあるデータセンタ光ファイバ加入機関 SINET5 ルータパッチパネル回線終端装置ルータやスイッチ等加入機関機器 SINET ノードがある DC に加入機関が個別に契約しているラックがある場合は終端装置を加入機関のラックに設置し構内配線ケーブルのみで接続できます回線終端装置スイッチ等個別契約ラックから SINET ユーザラックに接続する構内配線ケーブルの手配が必要 41

回線の冗長化 (1) アクセス回線の冗長化について SINET で対応している主な方式を以下にまとめます L3 サービスについて (IP Dual 等 ) BGP による冗長化商用 ISP 等とのマルチホーム接続 JPNIC よりグローバル AS 番号の割り当てが必要 JPNIC 等より割り当てを受けた IP アドレス (PI アドレス ) を利用する SINET のみに複数回線で接続上記に加え SINET から払い出すプライベート AS 番号を使用した接続も可能 IP アドレスも SINET から割り当てた IP アドレス (PA アドレス ) の利用も可能また異なる SINET5 ノードへそれぞれ接続することも可能 PI アドレス : Provider Independent Address; プロバイダ非依存アドレス PA アドレス : Provider Aggregatable Address; プロバイダ集成可能アドレスリンクアグリゲーション (LAG) による冗長化同一速度 ( 帯域 ) 同一 SINET5ノードへの接続回線を複数束ねることが可能リンクアグリゲーションの設定はスタティックと LACP に対応 42

L2 サービスについて (L2VPN 等 ) リンクアグリゲーション (LAG) による冗長化回線の冗長化 (2) 同一速度 ( 帯域 ) 同一 SINET5 ノードへの接続回線を複数束ねることが可能リンクアグリゲーションの設定はスタティックと LACP に対応 SINET 機器はスパニングツリープロトコル (STP) 等の冗長化プロトコルは解釈しませんさらに SINET5 においては L2VPN/VPLS の通信が行えなくなるということが確認されています SINET へ複数回線で接続を検討される場合の注意事項接続を希望する SINET5 ノードのポートの利用状況によっては希望に沿えない場合がありますので必ず事前に申請窓口までお問い合せくださいアクティブ / スタンバイによる冗長化を検討される場合は加入機関側機器のみで実現できるような構成を検討ください SINET 機器はアクティブ / アクティブな設定となります 43

SINET5 接続機器の設定について VLAN を利用する SINET5 接続を行う際は申請以外の VLAN を送出しないよう機器設定をお願いします ( 設定詳細は機器ベンダへ確認ください ) 加入機関申請した VLAN のみを送出するよう設定 SINET5 加入機関 LAN RT/L3SW 等 Payload Tag Src Dst Cisco 機器の例 interface GigabitEthernet x/y/z switchport mode trunk switchport trunk allowed vlan 100! Juniper 機器の例 interfaces { ge-x/y/z { vlan-tagging; unit 0 { family bridge { interface-mode trunk; vlan-id-list [ 100 ]; } } } } 44

広域 LAN 接続 SINET への接続を経済的に行いたい機関のための接続方法です利用可能帯域が限られているため SINET5 の利点を十分には活用できませんが国内外の学術研究ネットワーク接続機関との間で商用インターネットを介さない通信が可能です NTT コミュニケーションズへの申込みが必要ですインターネット接続サービス (IP Dual) のみご利用可能です SINET クラウド接続サービスの利用を検討されている場合はノード接続タイプを検討ください大阪 DC SINET5 東京 1DC 広域 LAN 網 (UNO) 広域 LAN 網 (UNO) 広域 LAN 接続の提供範囲加入機関加入機関加入機関加入機関加入機関で用意する部分フレッツ回線等で接続可能 45

既存接続機関経由の接続 SINET に既に接続している他の加入機関に向け専用回線等を敷設し間接的に SINET に接続する方法です既存接続機関の L3 接続に相乗り VLAN で論理分割し既存接続機関の通信と分けて L2 接続で相乗り利用シーン : 大学と短大など各機関ごとに SINET に加入しているが敷地が隣接していたり学内ネットワークを一体として運営している場合 ( それぞれ SINET に接続しなくても SINET の利用が可能です ) 当該既接続機関の同意を得る必要があります SINET では既存接続機関経由による接続の調整仲介は行っていません WDM 等で既存接続機関の波長 ( インタフェース ) と分けて相乗りする場合は SINET に接続するインタフェースが別になるため既存接続機関経由の接続には該当しません同意書の提出は不要です SINET5 既存接続機関相乗り区間加入機関 46

3. SINET サービスの利用 47

SINET5 のサービス大学等からの要望を基に共考共創で新サービスを開発提供 VPN 系サービス ( インターネットとは完全に切り離された通信環境 : 赤字 ) が急増中 L3 サービス L2 サービスサービスメニューインターネット接続 (IP Dual) フルルート提供 IPマルチキャスト (+QoS) アプリケーション毎 QoS L3VPN(+QoS) L2VPN/VPLS(+QoS) 仮想大学 LAN L2オンデマンド ( 基本 ) L2オンデマンド ( 国際連携 :NSI) L2オンデマンド ( クラウド連携 :REST) 備考急増中マルチキャンパス等で拡大中大容量伝送実験等で頻繁に利用国際実験等で利用 L1サービス波長専用線マルチホーミングアクセス回線冗長化対応リンクアグリゲーション冗長トランクグループサービスネットワーク運用安定化 DDoS Mitigation 機能セキュリティ対策機能次世代ネットワーク機能 NFV 機能活用次世代機能として実験中転送性能向上パフォーマンス計測 100G 対応高速ファイル転送日米間で世界最速の231Gbpsを達成 48

IP Dual 接続の構成例インターネット接続を行うための SINET の基本的な接続 (L3) になりますしかしながら SINET が加入機関様の接続用に払い出す 150.99.xxx.zzz( 接続セグメント用 IP アドレス ) の加入機関様機器での設定及び使用が SINET で認めていない構成になっている実例があります例 ) IP Dual 接続の基本的な構成イメージ加入機関若番学内 LAN SINET5 学内 LAN 接続セグメント用アドレスは 150.99.xxx.yyy/30 という形式で払い出されます ( 申請窓口より案内します ) 老番ルータ FW SW 等中 2 つのアドレスのうち老番を加入機関機器の WAN 側へ若番を SINET 側へ ( 加入機関機器にデフォルトゲートウェイとして設定 ) それぞれ設定します 49

IP Dual 接続の構成例 (1) OK 例 (1) SINET/JPNIC 等よりグローバル IP アドレスの割り当てを受け SINET 接続ルータ等にて NAT/NAPT を行わずインターネットに対して当該グローバル IP アドレスで通信学内 LAN のアドレスが通信元となる加入機関学内 LAN 150.99.xxx.yyy SINET5 接続セグメントルータ /FW/ L3SW 等グローバル IP アドレス 150.99.xxx.zzz グローバル IP アドレスを 150.99.xxx.zzz に NAT/NAPT せずに通信 50

IP Dual 接続の構成例 (2) OK 例 (2) SINET/JPNIC 等よりグローバル IP アドレスの割り当てを受け SINET 接続ルータ等にて NAT/NAPT を行わず学内のプライベート IP アドレスは DMZ 境界のルータ等にて加入機関のグローバル IP アドレスへ NAT/NAPT を行いインターネットに対しては当該アドレスで通信 DMZ 境界ルータのアドレスが通信元となる加入機関 NAT/NAPT 学内 LAN 150.99.xxx.yyy SINET5 接続セグメントルータ /FW/ L3SW 等 DMZ グローバル IP アドレスルータ / L3SW 等プライベート IP アドレス 150.99.xxx.zzz プライベートIPアドレスは DMZでグローバルIPアドレスにNAT/NAPTするがインターネットに対しては当該アドレスで通信 51

IP Dual 接続の構成例 (3) NG 例 (1) SINET/JPNIC 等よりグローバル IP アドレスの割り当てを受けずプライベート IP アドレスのみにて機関内を運用し SINET 接続ルータ等にて NAT/NAPT を行いインターネットに対しては 150.99.xxx.zzz として通信接続用アドレスが通信元となる加入機関学内 LAN SINET5 150.99.xxx.yyy 接続セグメント 150.99.xxx.zzz ルータ /FW/ L3SW 等 NAT/NAPT プライベート IP アドレス 192.168.*.* 172.1[6-9].*.* 10.*.*.* プライベート IP アドレスを 150.99.xxx.zzz に NAT/NAPT して通信 52

IP Dual 接続の構成例 (4) NG 例 (2) SINET/JPNIC 等よりグローバル IP アドレスの割り当てを受けているが SINET 接続ルータ等にて NAT/NAPT を行いインターネットに対しては 150.99.xxx.zzz として通信接続用アドレスが通信元となる加入機関学内 LAN 150.99.xxx.yyy SINET5 接続セグメントルータ /FW/ L3SW 等グローバル IP アドレス 150.99.xxx.zzz NAT/NAPT グローバル IP アドレスを 150.99.xxx.zzz に NAT/NAPT して通信 53

IP Dual 接続の構成例 (5) NG 例 (3) SINET/JPNIC 等よりグローバル IP アドレスの割り当てを受けているが DMZ においてのみ使用し学内の一般端末等にはプライベート IP アドレスを設定し SINET 接続ルータ等にて NAT/NAPT を行いインターネットに対しては 150.99.xxx.zzz として通信接続用アドレスが通信元となる SINET5 150.99.xxx.yyy 接続セグメント 150.99.xxx.zzz 加入機関 DMZ グローバル IP アドレスルータ /FW/ L3SW 等 NAT/NAPT 学内 LAN プライベート IP アドレス 192.168.*.* 172.1[6-9].*.* 10.*.*.* プライベート IP アドレスを 150.99.xxx.zzz に NAT/NAPT して通信 54

IP Dual 接続の構成例まとめ SINET/JPNIC 等よりグローバル IP アドレスの割り当てを受けてください SINET から IP アドレスの割り当てを受ける方法 https://www.sinet.ad.jp/connect_service/service/ipaddress 加入機関としての SINET を含むインターネットとの通信には割り当てを受けたグローバル IP アドレスのみを使用してください SINET が加入機関接続用に払い出しを行っている接続セグメント用 IP アドレス ( 150.99.xxx.zzz) を発信元アドレス / 宛先アドレスとする通信は行わないでください接続セグメント用 IP アドレス (150.99.xxx.zzz) を直接設定する SINET 接続用ルータ等自身の通信についてはこの限りではありませんが技術的に可能であるかぎり加入機関が割り当てを受けたグローバル IP アドレスを使用してください ( たとえばルータのループバックアドレスとして設定しルータ自身の通信にはそれを使用する等 ) 接続セグメント用アドレスとして加入機関が割り当てを受けたグローバル IP アドレスを設定及び使用することは認めておりません eduroam.jp より NAT 運用を前提として eduroam 別接続用として割り当てを受けた IP アドレス (150.100.xxx.zzz) についてはこの限りではありません eduroam JP アクセスネットワークの整備 https://www.eduroam.jp/for_admin/#_191 55

( 参考 ) 連絡事項 SINET ではプライベートアドレスを発信元 / 宛先とする通信について注意喚起を行って参りましたこの注意喚起に関し十分な対応が図られるよう SINET では今後発信元 / 宛先がプライベート IP アドレスの通信について破棄する設定を行う予定ですこのような挙動が望ましくない場合 SINET 利用推進室へご連絡ください 56

L2VPN 接続の構成例 L2VPN は拠点間を同一のセグメントで閉域網を構築する接続になります IP Dual 接続用と L2VPN 接続用の VLAN を分けることで同一の物理回線で両サービスのご利用が可能です VLAN 番号は 2~4094 の範囲で自由に指定できます加入機関の WAN 側をタグ VLAN に設定し SINET と接続します (WAN 側がアンタグの場合は設定変更が必要です ) 例 ) L2VPN 接続の基本的な構成イメージ加入機関 IP Dual インターネット IP Dual SINET 側もタグ VLAN に設定 VLAN A ルータ FW SINET5 VLAN A B L2VPN L2VPN の場合 SINET 機器は L2SW として動作 WAN 側をタグ VLAN に設定 VLAN B L2VPN 学内 LAN 57

L2VPN 接続の構成例 (2) 複数のキャンパスからそれぞれ SINET へ接続しキャンパス間通信を SINET 経由の L2VPN で構築する例 1) キャンパス間を L2VPN で接続しインターネットへの出口を A 拠点に集約する例 2) キャンパス間を L2VPN で接続しインターネットへの出口は拠点ごとに別々にするインターネットへは A 拠点経由で出ていく IP Dual インターネットへはそれぞれの拠点から出ていく IP Dual SINET5 SINET5 IP Dual と L2VPN の VLAN を分けるキャンパス間を L2VPN で設定キャンパス間を L2VPN で設定 IP Dual と L2VPN の VLAN を分ける IP Dual L2VPN L2VPN IP Dual L2VPN IP Dual L2VPN A 拠点 B 拠点 A 拠点 B 拠点 58

L2VPN 接続の構成例 (3) 多数の VLAN を利用する多くの拠点に VLAN を展開するような構成については仮想大学 LAN サービスの利用をご検討ください (~100VLAN 程度 ) 仮想大学 LAN サービスのイメージ C 拠点 D 拠点 E 拠点 SINET5 全体で利用する VLAN:100~200 A 拠点 VLAN 100-129 VLAN 130-169 VLAN 170-200 B 拠点申請した範囲内の VLAN を自由に設定可能 59

L2VPN 接続の構成例 (4) L2 オンデマンドを利用する事で加入機関自身で VPN セルフプロビジョニングが可能です従来の VPN(= スタティック ) では加入機関からその都度申請をいただいて設定するのに対し L2 オンデマンドは加入機関にて必要に応じて VPN の設定 / 変更 (= セルフプロビジョニング ) が可能です L2 オンデマンドは通信経路も自由に設定可能なので高遅延でのアプリケーションの挙動テストなどにもご利用頂けます L2 オンデマンドのイメージ :L2VPN(2 地点 ) :VPLS( 多地点 ) クラウドコントローラ REST NSI Global Requester 長パス ( 経路設定 ) 経路指定 L2OD サーバ動的設定帯域確保設定要求最短パス ( 通常挙動 ) SINET 利用機関 SINET 利用機関 SINET 利用機関 SINET 利用機関ユーザユーザユーザユーザユーザユーザユーザユーザユーザユーザ 60

L2VPN 接続の構成例 (5) L2 オンデマンドは REST API での設定が可能です遠隔バックアップサイトを通常は切断しておきバックアップを行う時だけ接続するといった使い方が可能です (1) REST API L2OD サーバ (2) VPN 設定 (2) VPN 設定拠点 A バックアップスクリプト (3) 開通した VPN でデータバックアップ拠点 B 61

L2VPN 接続の構成例 (6) 100 を超える VLAN を扱いたい場合や大学仮想 LAN サービス利用のために特定範囲内に VLAN を収める事が難しい場合は QinQ 対応スイッチをご用意頂く事で自由に VLAN をご利用頂く事が可能です QinQ 利用の際は外側 VLAN Tag には EtherType 0x8100 を設定してください外側 VLAN Tag が EtherType 0x8100 でないフレームでは通信は行えませんのでご注意ください QinQ 利用イメージ VLAN 2-4094 で自由に利用可能加入機関 QinQ 対応スイッチ外側 VLAN Tag が EtherType 0x8100 となるよう設定 SINET5 Payload Tag Src Dst Payload Tag Tag Src Dst EtherType 0x8100 62

L2VPN 接続の構成例 (7) クラウド接続サービスで接続しているサービス提供機関と L2VPN で接続する例 1) クラウド接続サービスの基本的な構成イメージサービス提供機関 L2SW 等 IP Dual SINET5 加入機関 VLAN A ルータ IP Dual キャンパス間の L2VPN と同様 VLAN B L2VPN 例 2) L2VPN 上で L3 の通信を行う場合の構成イメージサービス提供機関ルータ L2SW 等 L2 のままクラウドリソースにアクセスさせたくない場合等にルータを挟む IP Dual SINET5 加入機関 VLAN A VLAN B ルータルータ拠点間の通信はL3だが SINET 側はL2VPNの設定のみ (SINET 機器はL2SWとして動作 ) IP Dual L2VPN 63

DDoS mitigation 機能 SINET では加入機関からの要望に応じフィルタリングの実施を行っています今後 BGP flowspec を用いた DDoS mitigation 機能として改訂します従来の方式加入機関向け IF でフィルタするため SINET 網内には DDoS トラフィックが存在しルータが過負荷状態に陥るインターネット DDoS トラフィック SINET ルータ SINET ルータ加入機関外部ネットワーク SINET ルータ SINET ルータ (2) SINET ルータの加入機関向け IF にフィルタ設定 SINET オペレーションセンタ (1) メールで依頼メール差出人で認証大学情報基盤センターです送信元 w.x.y.z 宛先 a.b.c.d の通信を遮断してください 64

DDoS mitigation 機能 DDoS mitigation 機能 SINETでは加入機関からの要望に応じフィルタリングの実施を行っています今後 BGP flowspecを用いた DDoS mitigation 機能として改訂しますインターネット外部から SINET への入り口となるルータでトラフィックが遮断される SINET ルータ SINET ルータ加入機関外部ネットワーク SINET ルータ SINET ルータ (2) 全 SINET ルータに一斉設定 (BGP flowspec 技術を利用 ) SINET オペレーションセンタ (1) 申請フォーム ( 策定中 ) で依頼管理者 ID : SAxxxxx 遮断 Src IP : w.x.y.z 遮断 Dst IP : a.b.c.d 遮断ポート : 80 管理者 ID で認証 65

注意事項 DDoS mitigation 機能 SINET ではトラフィックを見て能動的にフィルタを行う事はありません必ず加入機関からの申告を基にフィルタ設定が行われますフィルタ設定は恒久的なものではありません定期的に解除の可否を確認させて頂きます SINET で設定しているフィルタ (flowspec) 情報の提供は行いませんただし自組織に関わるフィルタ情報 ( 現在の設定内容など ) は提供致します 66

お問合せ窓口加入接続開始各種申請 SINETチーム( 平日 9:00-17:00) apply@sinet.ad.jp nyuukan@sinet.ad.jp 03-4212-2265 通信障害 SINETオペレーションセンタ(24 時間 365 日 ) ipnoc@sinet.ad.jp 03-3263-5804 コンサルティング利用者支援等 SINET 利用推進室 ( 平日 10:00-17:00) support@sinet.ad.jp 03-4212-2269 67

利用申請書 / 利用変更届 ( 参考 ) 利用申請利用変更時間外作業対応希望日の 2 週間前までに提出ください接続作業は平日 9:00~18:00 で対応いたしますノードへの入館申請は作業の 7 営業日前までに提出ください SINET ラックに設置する加入機関機器の設置場所は利用申請書 / 利用変更届の受理後にお知らせいたします時間外作業対応平日日中帯にネットワークは止められない等の要望に応えるため下記時間帯での接続関連作業が可能です ( 先着順の申請で対応 ) 時間外に接続関連作業を希望する場合は作業予定日の 2 ヶ月以上前にお問い合わせください土日祝 9:00~17:00 又は平日 18:00~22:00 68

改版履歴第 1 版 : 会場投影資料第 2 版 : P.19: グループハンドルの説明にある登録担当者は管理者連絡窓口の誤りのため訂正 69