ボーダレスネットワーク第2弾はセキュリティにも注力

シスコの新CatalystはStackPowerとTrustSecに注目！

2010年03月19日 09時00分更新

文● 大谷イビサ／TECH.ASCII.jp

ビデオとグリーンの対応強化

　大木氏が次に説明したのが、こうしたボーダレスネットワーク対応製品によって実現されるサービスである。

　1つ目のサービスはビデオ伝送を効率的に行なう「medianet」だ。「近年のビデオは非常に大きな帯域を要求するので、従来のQoSでは対応できなくなっている。弊社の社員はみんなノートPCを持っているが、こうしたモビリティユーザーをサポートし、かつHD解像度のデータを流すようになった場合にはどうしたらよいのか？を考えた」（大木氏）というのが、ビデオ対応の課題だ。

　medianetは帯域などリソース予約の仕組み、ビデオのメディアを認識するメカニズム、品質に損害が発生した場合の分析機能、移動するユーザーの自動構成など、おもに4つの技術によって構成される。その一例として既存のマルチキャストでは苦手だったワイヤレス環境でのビデオ配信技術が紹介された。

無線LANが苦手なマルチキャスト配信を例にmedianetの取り組みを紹介

　2つ目は、ネットワーク経由での電力制御を実現する「Cisco EnergyWise」のアップデートだ。今まではネットワーク機器や無線LAN、PoEデバイスなどが対象だったが、新たにオフィスでの電力消費のかなりの部分を占めるPCの電力管理も可能になった。PCにソフトウェアを導入することで、GUI管理ツールである「Energy Wise Orchestrator」から管理が実現する。これにより企業のIT機器のうち60％がEnergy Wise Orchestratorで管理可能になるという。

「サスティナビリティダッシュボード」といわれるOrchestratorのGUI

IPアドレスに依存しないアクセス管理を実現する
「TrustSec」の中身

　3つ目が、シスコの新しい認証・アクセス管理技術の「TrustSec」である。今回もっともメインとなるサービスで、ボーダレスネットワークにおいて、一貫性をもったポリシーでアクセスを管理するためのインフラになるものだ。

TrustSecは、同社が培ってきた認証やアクセス管理の集大成

　TrustSecに含まれる技術の1つが、IPアドレスに依存しないアクセス制御を実現する「SG-ACL」である。「多くの会社は、ビジネス情報の保護に大変苦労している。ネットワークのレベルではVLANや大量のアクセスリストを用いて、アクセス制御を行なっている」（大木氏）とのことで、送信元や宛先をIPアドレスによるフィルタリングの限界を指摘した。これに対して、TrustSecではユーザーの所属したグループとアクセス先となるサーバーなどにSGT（Security Group Tag）を付け、そのタグを元にフィルタリングする方法を提案している。

　まずはポリシー管理を行なうSecure ACS（Access Control System）にサーバーを登録し、SGTを割り当てる。一方のユーザーはIEEE802.1Xで認証の後、ユーザー属性によってユーザー用のSGTを割り当て、EthernetフレームにSGTを埋め込む。あとは通信の際にCisco Nexus 7000などのセンタースイッチがフレームのSGTを読み取り、ユーザーごとのアクセスを制御するという流れだ。IPアドレスではなく、ユーザーに対してSGTが付与されるので、これをフレームに付け、対応スイッチでコントロールするわけだ。

Secure ACS 5.1のアプライアンス版。VMware対応版もある

　実際、46のユーザーと60台のサーバーという例で、従来のように送信元と宛先のIPアドレスでアクセスリストを設定すると、アクセスリストの数はなんと2760になるという。しかし、送信元のユーザーを4つのSGT、サーバーを4つのSGTに集約することで、アクセスリストの数はたったの16で済むことになるという。正社員、契約社員、ゲストといった認証情報に日時、検疫状態、場所、デバイス、アクセス手段などの条件を組み合わせることで、きめ細やかなアクセス制御が可能になる。Active DirectoryとACSの連携が可能なので、ユーザー属性等の情報を二重で持つという心配はないという。