ビデオとグリーンの対応強化
大木氏が次に説明したのが、こうしたボーダレスネットワーク対応製品によって実現されるサービスである。
1つ目のサービスはビデオ伝送を効率的に行なう「medianet」だ。「近年のビデオは非常に大きな帯域を要求するので、従来のQoSでは対応できなくなっている。弊社の社員はみんなノートPCを持っているが、こうしたモビリティユーザーをサポートし、かつHD解像度のデータを流すようになった場合にはどうしたらよいのか?を考えた」(大木氏)というのが、ビデオ対応の課題だ。
medianetは帯域などリソース予約の仕組み、ビデオのメディアを認識するメカニズム、品質に損害が発生した場合の分析機能、移動するユーザーの自動構成など、おもに4つの技術によって構成される。その一例として既存のマルチキャストでは苦手だったワイヤレス環境でのビデオ配信技術が紹介された。
2つ目は、ネットワーク経由での電力制御を実現する「Cisco EnergyWise」のアップデートだ。今まではネットワーク機器や無線LAN、PoEデバイスなどが対象だったが、新たにオフィスでの電力消費のかなりの部分を占めるPCの電力管理も可能になった。PCにソフトウェアを導入することで、GUI管理ツールである「Energy Wise Orchestrator」から管理が実現する。これにより企業のIT機器のうち60%がEnergy Wise Orchestratorで管理可能になるという。
IPアドレスに依存しないアクセス管理を実現する
「TrustSec」の中身
3つ目が、シスコの新しい認証・アクセス管理技術の「TrustSec」である。今回もっともメインとなるサービスで、ボーダレスネットワークにおいて、一貫性をもったポリシーでアクセスを管理するためのインフラになるものだ。
TrustSecに含まれる技術の1つが、IPアドレスに依存しないアクセス制御を実現する「SG-ACL」である。「多くの会社は、ビジネス情報の保護に大変苦労している。ネットワークのレベルではVLANや大量のアクセスリストを用いて、アクセス制御を行なっている」(大木氏)とのことで、送信元や宛先をIPアドレスによるフィルタリングの限界を指摘した。これに対して、TrustSecではユーザーの所属したグループとアクセス先となるサーバーなどにSGT(Security Group Tag)を付け、そのタグを元にフィルタリングする方法を提案している。
まずはポリシー管理を行なうSecure ACS(Access Control System)にサーバーを登録し、SGTを割り当てる。一方のユーザーはIEEE802.1Xで認証の後、ユーザー属性によってユーザー用のSGTを割り当て、EthernetフレームにSGTを埋め込む。あとは通信の際にCisco Nexus 7000などのセンタースイッチがフレームのSGTを読み取り、ユーザーごとのアクセスを制御するという流れだ。IPアドレスではなく、ユーザーに対してSGTが付与されるので、これをフレームに付け、対応スイッチでコントロールするわけだ。
実際、46のユーザーと60台のサーバーという例で、従来のように送信元と宛先のIPアドレスでアクセスリストを設定すると、アクセスリストの数はなんと2760になるという。しかし、送信元のユーザーを4つのSGT、サーバーを4つのSGTに集約することで、アクセスリストの数はたったの16で済むことになるという。正社員、契約社員、ゲストといった認証情報に日時、検疫状態、場所、デバイス、アクセス手段などの条件を組み合わせることで、きめ細やかなアクセス制御が可能になる。Active DirectoryとACSの連携が可能なので、ユーザー属性等の情報を二重で持つという心配はないという。
そしてTrustSecを支えるもう1つの技術が、Ethernetレベルでの暗号化を実現する「MACSec(IEEE802.1AE)である。こちらはCatalyst 3xxx-X系でサポートされており、搭載の暗号化チップにより、対応PC、対応スイッチ間の通信を暗号化できる。
今回発表したTrustSecに関しては、より詳細な技術情報が今後披露される予定。また今回紹介されなかったパフォーマンスやモビリティといったサービスに関する取り組みも、今後あきらかにされていくはずだ。
初出時、Catalyst 3760-Xという製品名の表記が記事の一部に出てきましたが、正しくはCatalyst 3750-Xです。お詫びして、訂正させていただきます。本文は訂正済みです。(2010年12月21日)