レイヤ7スイッチでなにができるか？

セキュリティ、IP課金、QoS

ブロードバンド時代を目前に控え、米国のネットワークベンチャーが続々と日本進出を図っている。「AppSwitch」というレイヤ7スイッチを扱うトップレイヤーネットワーク（以下トップレイヤ）もその1つ。アプリケーションを認識するスイッチでなにができるか？　日本法人であるトップレイヤーネットワークスジャパンの中田雄介氏にAppSwitchの効能についてうかがった。

トップレイヤーネットワークスジャパン マーケティングマネージャ 中田雄介氏

[編集部] AppSwitchは具体的にはどんな機能を持っているのでしょうか？

[中田氏] AppSwitchの機能は「e-Application Control」という3つのフレームワークから構成されています。1つ目は「Addptive Security」というセキュリティ機能です。これは主にファイアウォールやIDS（不正侵入検知装置）の機能を補完するもので、現在米国でもっとも受けている機能です。AppSwitchは「フローミラー」という機能で、フロー自体のカーボンコピーを作ることができます。これでIDSに投げることで広帯域になってもきちんと不正検知が行なえます。また、ファイアウォールのロードバランシングと冗長化をとることができます。

10/100BASE-TX×12ポート、1000BASE-FX×2ポートを搭載した「AppSwitch 3502」コンパクトフラッシュにアプリケーション設定データが入っている点もユニーク

[編集部] ファイアウォールとして使うことはできないのですか？

[中田氏] 一応、ファイアウォールの認定もとっているのですが、侵入検知装置とか、他のファイアウォールとかと補完させる使い方のほうが、AppSwitchの本筋ですね。ユニークなものとしては「デコイサーバ（おとりサーバ）」の機能があります。これはアタックをかけられているサーバのおとりとして動作する機能 です。AppSwitchは正常なフローに対してはサーバの方にリダイレクトするのですが、Synに対してAckが返ってこないとか、レスポンスが不規則であったとか、いうセッションはおとりのサーバに誘いこむ動きをします。ハッカーからは実際のサーバに侵入しているように侵入しているように見えるのですが、実際はセッションのログがとられているのです。
　2つ目の「Measurement and Management」は、IP課金をするための生データを提供する機能です。チップセットがレイヤ7で動作することを想定して作られていますので、セッションのデータを持ちながら、誰がどのアプリケーションをどれだけ使ったか、詳細なデータをとることができます。ただ、あくまで生データを出力する機能なので、課金自体はサービスプロバイダやポータルなどで行なってもらいます。アプリケーションごとに帯域保証や利用制限をかけることも可能です。3つ目が「Application Traffic Management」という負荷分散と帯域制御をあわせた機能です。

[編集部] 最近のレイヤ4〜7スイッチはこうした機能がメインのようですが。

[中田氏] はい。われわれは「SecureQoS」という言い方をしますが、これは「アプリケーションが本来の使い方をされている」ことを意味します。たとえば、RealPlayerなどのアプリケーションをポート番号で認識しているレイヤ4のスイッチの場合、HTTPに埋め込まれているアプリケーションの制御は不可能です。AppSwitchの場合、128ビットのペイロードを見ることで、400以上のアプリケーションを認識します。DDOSなどもアプリケーションとして認識していますので、これらをブロックすることができます。また、HTTP以外のアプリケーションのロードバランシングをとれるというのもAppSwitchの特徴的なところです。

(NETWORK MAGAZINE編集部)

AppSwitchの事例と製品

[編集部] 実際にはどんな使い方をしているのでしょうか？

[中田氏] ある証券会社の例なんですが、RealSystemでリアルタイムな株の売買を業務として行なっていたのですが、遊びでRealSystemを使っている社内ユーザーのためにパフォーマンスがあがらないという問題がありました。そこで、AppSwitchを導入し、「Trader」というグループにはRealSystemを使わせる設定にし、そのほかのグループはRealSystemを使えないようにしました。これにより、Traderは他のグループのトラフィックに影響を受けず、取引ができるようになりました。そのほか、ある大学ではAppSwitchでNapstarをキャンパスネットワークで利用できないようにしています。お客様も使い方をイメージしながら、導入を検討していただけるようです。

[編集部] 製品の種類を教えてください。

[中田氏] 製品は2モデルで4タイプがあります。違いはギガビットEthernetのサポートとセッション数で、AppSwitch 2500は8000〜3万2000というセッション数ですが、3500では25万以上のセッションをサポートしています。その他、PCIカードに機能をまとめた製品もあり、マシンに2枚装着することで3500の機能を提供することができます。

(NETWORK MAGAZINE編集部)