NetScaler のキャリアグレード NAT(CGNAT) 機能 www.citrix.co.jp
NetScaler のキャリアグレード NAT(CGNAT) 機能がもたらす主なメリット IPv4 ベースのサービスおよびアプリケーションを継続して提供できるほか シームレスな透過性と高い性能により IPv4 を使 するサブスクライバーをサポートできる CGNAT と負荷分散機能を統合した単一の実績あるアプリケーションデリバリーコントローラー (ADC) を使 することで 運 を簡素化しコストを削減できる 2RU プラットフォームで最 2 億 5600 万件のセッションをサポートできるため トラフィックの急増に対応するためのスケーリングをコスト効率良く実施できる キャリアグレード NAT( ネットワークアドレス変換 ) を使 すると IPv4 インフラストラクチャーに対して った過去の投資を保護できます NetScaler では 業界トップのアプリケーションデリバリーと 高性能でアプリケーション透過的なキャリアグレード NAT 機能が結合されているため 通信サービス事業者は NetScaler を使 することで 自社保有の IPv4 ネットワークの寿命を延 することや サブスクライバートラフィックの急増をサポートするために S/Gi-LAN をスケーリングすること およびアプリケーションデリバリー制御を統合することをすべて コスト効率の良い単一プラットフォーム上で実現できるようになります 絶えず変化が続くような環境であっても 変化しないものがいくつか存在します そのようなものの一例として IPv4 が挙げられます IPv4 は グローバル IP アドレス空間が完全に割り当てられてしまっているにもかかわらず すぐには消えてなくなりそうにありません ネットワークアドレス変換 (NAT) 自体は 古くから使われている実績あるテクノロジーですが キャリアグレード NAT(CGNAT) を実装する場合 通信事業者はコストと機能という 2 つの課題に直面し続けています 一部の CGNAT ソリューションでは専 システムが必要となりますが これには独 したハードウェアの設置と保守が必要となるため 結果として設備費と運 費が増加することになります より適切なアプローチは CGNAT 機能を高性能のアプリケーションデリバリーコントローラー (ADC) へと統合することです ただし 一部の ADC ベースのソリューションでは CGNAT の性能をスケーリングする場合に追加のリソース (CPU/ メモリのアップグレードやブレードの追加 ) が必要となることがあるため 結果としてコストが増加します 機能面の課題としては NAT において各種のプロトコルとアプリケーションを全体的な透過性と共にサポートするために 必要となる各種の形式や関連する機能を実装することが挙げられます 例えば UDP TCP ICMP のようなプロトコルではすべて エンドツーエンドの透過的な動作を うために特定の形式の NAT が必要となります また 特定のトンネリングプロトコルやシグナリングプロトコル ( 特にパケットペイロードに IP アドレスや TCP/UDP ポート番号を含んでいるようなプロトコル ) の場合 アプリケーションレイヤーゲートウェイ (ALG) 機能が必要となります ALG は一種のプロキシとして機能することで アプリケーションで必要となる変換がパブリックアドレス体系とプライベートアドレス体系の間でシームレスに われるようにします ただし ALG はプロキシとは異なり クライアントやサーバーに対する変更は必要ありません シトリックスは 高性能の CGNAT ソリューションを NetScaler アプリケーションデリバリーコントローラーに組み込むことで これら 2 つの課題に対処しています CGNAT と負荷分散機能が組み込まれた業界トップの高性能の NetScaler ADC を使 することで 通信事業者は 機器の統合が可能となり 追加的な単一目的のシステムを導入する必要がなくなります また 統合によるコスト効率性の改善は 毎年 50 100% 増加している S/Gi-LAN トラフィックを処理する場合に特に重要となります CGNAT をサポートする一部の ADC では性能が問題となりますが 厳しいテストの結果 NetScaler は 2RU プラットフォーム上で最 2 億 5600 万件のセッションをサポートできることが証明されています また テストの結果 NetScaler は 最 レイヤ 7 スループットが 150Gbps であり 1 秒当たり 100 万件を超える接続を処理できることが証明されています さらに 完全なユーザー設定が可能な ADC プラットフォーム上で高性能の CGNAT を実現するために NetScaler を購入した通信事業者に対しては 3 年間のサポートが提供されます www.citrix.co.jp 2
NetScaler の CGNAT ソリューションには 通信事業者が今日必要としているアプリケーションレイヤーゲートウェイに関する広範な種類のサポートも含まれています また 同ソリューションは拡張可能な設計を持つため 変化し続けるマーケット状況に対応する場合には 必要に応じて他の ALG を追加することもできます このように NetScaler の CGNAT ソリューションでは様々な種類の ALG を利 できるため 通信事業者は 企業や個々のサブスクライバーが抱える接続要件を満たすと同時に 高品位なエクスペリエンスを制限なしに提供することが可能となります 主な機能 標準ベースのネットワークアドレス変換およびポート変換 NetScaler の CGNAT は 最新の RFC に基づく標準ベースのプライベート IPv4- パブリック IPv4 ネットワークアドレス変換 (NAT44) を提供しており クライアント - サーバー環境およびピアツーピア (P2P) 環境の両方での相互運 性と透過性を実現します また CGNAT では パブリック IPv4 アドレスのプールを使 して 各サブスクライバーにグローバル IP アドレスを割り当てた後 インターネットやその他のパブリック IP ネットワークと通信する際に必要に応じて 各サブスクライバーのプライベート IPv4 アドレスと それに対応するグローバルアドレス間でのマッピングを自動的かつ透過的に実施します インバウンド接続に対するオープン性の制御 NetScaler は オープンな ( またはマッピングされた ) 内部アドレスを通じた 任意の外部ホストから任意の内部ホスト (CGNAT サービスの 背後 にあるホスト ) への接続を許可します このような動作のことを Endpoint Independent Filtering(EIF) と呼びます IETF(Internet Engineering Task Force) は CGNAT のデフォルトの動作として EIF を推奨しています マッピングされたアドレスの永続性 NetScaler は 同じ内部ホストを発信元とするすべてのセッションに対して同一の外部パブリック IP アドレスを使 できます このような動作のことを Endpoint Independent Mapping(EIM) と呼びます EIM は 同じ内部ホスト / ポートを発信元とするすべての接続に対して 1 つの永続的な外部 IP アドレス / ポートを割り当てることにより P2P アプリケーションや VoIP アプリケーションに透過性を提供します これにより 接続に関する問題が起こる可能性を最小化できます フルコーン (Full Cone)NAT のサポート NetScaler は EIF と EIM の両方が有効である場合 フルコーン (Full Cone)NAT をサポートします フルコーン NAT は 静的な 1 対 1 のポートフォワーディング NAT としても知られており 厳密なセキュリティのプロビジョンを必要としないアプリケーションの場合に適しています アプリケーションレイヤゲートウェイ NetScaler は あらゆる種類の企業アプリケーションやコンシューマアプリケーションにとっての透過性を確保するために アプリケーションレイヤゲートウェイ (ALG) に関する広範なサポートを提供します 現時点で ALG のサポートは UDP(RFC4787) TCP(RFC5382) ICMP(RFC5508) FTP/TFTP に関して提供されているほか SIP RTSP PPTP および GRE に関してサポートが予定されています ヘアピニング NetScaler はヘアピニングをサポートしています ヘアピニングを使 すると プライベート IP アドレスとパブリック IP アドレス間での変換の必要なしに プライベート IP アドレスを持つエンドポイントが別のエンドポイントと互いに通信できるようになります ( ただし 2 つのエンドポイントが両方とも同じ CGNAT サービスの背後に存在する場合に限ります ) これにより 例えば サブスクライバーのクライアントが通信事業者のサーバーにアクセスすることや あるサブスクライバーの VoIP デバイスが別のサブスクライバーの VoIP デバイスを呼び出すことが アドレス変換を わずに可能となります www.citrix.co.jp 3
接続制限 すべてのサブスクライバー間で一貫した性能を確保し しかも DDoS 攻撃に対する保護を提供するために NetScaler では 商 およびコンシューマのサブスクライバーごとに利 可能なセッション数を制限できるようになっています 高速ロギング NetScaler は すべての NAT トランザクションのログを外部サーバーに継続して記録します この機能は 一部のアプリケーションに関する政府指令に従う場合に必要となります NetScaler が着信接続の完全なレートで正確なロギングを実施できることを保証するために CGNAT の syslog メッセージは高速リンクを介して送信されます Deterministic NAT Deterministic NAT を使 すると 通信事業者は 動的に利 可能なポートと IP アドレスの固定的なブロックをサブスクライバーに割り当てることで 拡張的なロギングの必要をなくすことができます 通常の NAT 環境では ロギングに関する要件がクリティカルとなるため 通信事業者が CGNAT 機能を使 するとログファイルのサイズが非常に きくなるため ログ管理に多くの時間とコストがかかるようになります 機能要約 性能 (MPX 24150) NAT 機能透過性アプリケーションレイヤゲートウェイ RFC への準拠 最 同時セッション数 :2 億 5600 万件 最 レイヤ 7 スループット :150Gbps 1 秒当たりの接続数 :100 万件以上 N:M NAPT アドレス制限 ポート制限 対称型 NAT 静的マッピング Sticky NAT Deterministic NAT セッションタイムアウト フルコーン (Full cone)/ ペアリングされた IP のプーリング ヘアピニング マッピングとフィルタリング o エンドポイント非依存 o アドレスに依存 o アドレスおよびポートに依存 FTP TFTP ICMP SIP RTSP PPTP GRE(2015 年に対応予定 ) 4787 (UDP) 5382 (TCP) 5508 (ICMP) 6888 (CGNAT) www.citrix.co.jp 4
Citrix について Citrix Systems, Inc.(NASDAQ:CTXS) は 新しい快適なワークスタイルを実現する仮想化 ネットワーキング クラウドインフラストラクチャーのリーディングカンパニーです 多くの企業および組織の IT 部門やサービスプロバイダーが 仮想化 モバイル化されたワークスペースの構築 管理 セキュリティ確保のために シトリックスのソリューションを利 しています 仮想化 モバイル化されたワークスペースでは デバイス ユーザー 利 するネットワークやクラウドを問わず アプリケーション デスクトップ データ サービスをシームレスに利 することができます シトリックスは今年 創設 25 周年を迎えますが 今後も革新に取り組み モバイルワークスタイルにより IT をさらにシンプルにするとともに生産性の向上に貢献していきます シトリックスの 2013 年度の年間売上高は 29 億ドルで その製品は世界中の 33 万以上の企業や組織において 1 億 以上の 々に利 されています シトリックスの詳細については www.citrix.co.jp をご覧ください 2014 Citrix Systems, Inc. All rights reserved. Citrix および NetScaler は Citrix Systems, Inc. またはその子会社の登録商標であり 米国の特許商標局およびその他の国に登録されています その他の商標や登録商標はそれぞれの各社が所有権を有するものです E1014/PDF J1214/PDF www.citrix.co.jp 5