複数のISPと接続し,ネットワークの負荷状況に応じてトラフィックを動的に分散させる――。そのための機能を備えたロード・バランサ製品が充実してきた。米ファットパイプ・ネットワークスが日本市場に本格参入したほか,米F5ネットワークスも近く製品を出荷する。こうしたマルチホーミング専用のロード・バランサをうまく使うことで,ADSLなどの格安サービスであっても,広帯域かつ信頼性の高いインターネット接続を実現することが可能になってきた。

(河井 保博=kawai@nikkeibp.co.jp)

写真1●米ファットパイプ・ネットワークスの「FatPipe Xtreme」
ラック・ユニットで4Uのサイズ。物理的な故障率を下げるために大型ファンを採用し,全体が大きくなっている。WARP,Multi-Path VPNなどの上位機種も外観は同じ。
写真2●イスラエルのラドウエアの「LinkProof」
ラック・ユニットで1Uのサイズ。小型だが高速な点を売り物にしている。
表1●国内で入手可能なトラフィック分散装置
図1●アウトバウンド・トラフィックを分散させる仕組み
あて先までの応答時間の統計値をもとに経路を決める方法を採用している製品が多い(左側)。ストーンソフト製品は,複数回線にアクセス要求を同報して,それ以降は一番応答が速かった経路を使う(右側)。それぞれ,単純なラウンドロビン方式での分散も可能。
図2●VPNの経路を複数設定してトラフィック分散させることも可能
トラフィック分散装置を拠点ごとに設置し,それぞれ対向で使う。経路(VPNトンネル)を冗長化できる,広帯域のVPNを実現できる,経路上での盗聴の危険を一層小さくできる,などのメリットがある。図の例では,一方が3つ,もう一方が2つのISPに接続しているため,拠点間の経路は6通りになる。

 マルチホーミングを実現するために使うロード・バランサ製品が充実してきた。例えば,米ファットパイプ・ネットワークスは昨年末に丸紅ソリューションと代理店契約を締結。これを受けて,丸紅ソリューションは2002年1月に「FatPipe」(写真1)シリーズを発売した。日立情報システムズもファットパイプと代理店契約を結ぶべく準備中で,早ければ3月にも製品を投入する。ロード・バランサの大手,米F5ネットワークスも2001年12月に「BIG-IP Link Controller」を発表した。日米とも出荷は4月以降になる。

 マルチホーミングとは,1つの組織が複数のISPと接続することでインターネット接続を冗長化すること。マルチホーミングを実現してトラフィックを分散させれば,より広帯域なインターネット接続環境を実現しやすい。たとえ一方のネットワークに障害が発生しても,他方のネットワークを使うことでインターネットへの接続性を維持できるなど,耐障害性も高まる。

 最近は,eビジネスの浸透で高い信頼性を求めるユーザーが増えると同時に,ADSL(非対称ディジタル加入者線)接続など格安のインターネット接続サービスが台頭してきたことで,マルチホーミングを実現しようというユーザーが増えつつある。これらのツールを使うと,ネットワークの負荷状況などに応じた動的なトラフィック分散を容易に実現できる。

 同種の製品は,国内ですでに販売されていた。イスラエルのラドウエアが開発した「LinkProof」がそうだ(写真2)。フィンランドのストーンソフトも,同様の機能を搭載したファイアウォール製品「Stonesoft FireWall/VPN」(海外ではStoneGate)を日本で販売している。ここに,新製品が加わったことで選択肢が増えた。

アウトバウンド専用なら安価

 複数のISPに対するトラフィックの分散と言っても,組織内からインターネットに接続する「アウトバウンド」と,インターネット側からのアクセスを受け付ける「インバウンド」では,トラフィック分散の手法が異なる。このうち,アウトバウンドのトラフィック分散機能は,どの製品にも実装されている。

 例えば,ファットパイプのFatPipe SuperStreamと同Xtreme,ストーンソフトのStonesoft FireWall/VPNはアウトバウンドのトラフィック分散だけに対応している。こうした製品は,安いモデルなら100万円を切るため,比較的導入しやすい(表1[拡大表示])。

 一方,インバウンドのトラフィック分散は,自社でサーバーを公開し大量のアクセスを受け付けるEC(電子商取引)サイトなどに向けた機能である。FatPipe WARPやLinkProof,BIG-IP Link Controllerは,アウトバウンドに加えて,このインバウンドのトラフィック分散機能を備えている。価格は1台で200万~400万円程度だが,多くの場合,信頼性を上げるために2台を並べる冗長構成とするため,高価になってしまうことは否めない。

分散手法にもいくつかの手法

 アウトバウンドのトラフィック分散方法は,大きく分けて2通りある。

 1つは,FatPipeシリーズとLinkProof,BIG-IP Link Controllerが採用している「スマートNAT」(NATはIPアドレス変換)機能。ネットワークの混雑状況などに応じて,どちらのISP(厳密にはISPから割り当てられたIPアドレス)を使うかを自動的に切り替える機能である。

 トラフィック分散装置は,一種のNAT装置として動作する。分散装置自身が,過去にアクセス要求があったWebサイトなどに対して,定期的にping(ICMP echo)のような操作を実行し,応答時間を計測する。この統計値から,一番応答が速そうな経路(ISP)を選択し,そのISPから割り当てられたIPアドレスを使ってデータを送出する(図1[拡大表示])。

 これに対して,ストーンソフトは他社と異なるアプローチを採る。同社の製品は,クラスタリング機能を持ったファイアウォールである。ファイアウォールを複数台連携させることで,トラフィック分散を実現する。

 例えば,1つのWebサイトへのアクセス要求が発生すると,各ファイアウォールがアクセス要求を複製し,接続しているすべてのISP(経路)に同時に送り出す。当然,Webサイトからはそれぞれの要求に対する応答が返ってくる。ファイアウォールは,これらの応答のうち,一番速く返ってきた応答をエンドユーザー側に中継する。この際,クラスタ化されたファイアウォール全体としてセッションを管理し,ほかのISPから返ってくる応答は廃棄する。以後は,セッション情報に登録された経路だけを使って通信を継続する。

 インバウンド・トラフィックについては,どの製品の機能も変わらない。広域負荷分散と同様に,DNS(ドメイン名システム)をベースにトラフィックを分散する方法である。

 トラフィック分散装置は,DNSサーバーとしての機能を備えている。インターネット上のユーザーからのアクセスを受け付けると,それぞれのユーザーが使うDNSまでの応答速度を計測。「近い」方の経路(ISPから割り当てられたIPアドレス)をWebサイトのアドレスとしてユーザーに返す。

対向で使えばVPN環境にも対応

 製品によっては,VPN(仮想プライベート・ネットワーク)環境でも経路を冗長化させられる。例えば,FatPipe MultiPath VPNやストーンソフト製品がこうした機能を備えている。

 VPNで利用する場合は,各拠点ごとに,VPN機器とルーターの間に設置する。分散装置にとっては,VPN機器間の1対1の通信にしか見えない。

 トラフィックの分散手法は,アウトバウンドのトラフィック分散と同じだ。あて先のVPN機器までの応答速度が速い経路を選んで通信する。こうすることで,理論的には,双方の拠点で接続するISPの数を積算した数だけの経路が存在することになり,VPNトンネルの冗長性を向上させられる。

 例えば,図2[拡大表示]のように一方が3つ,もう一方が2つのISPに接続していれば,経路は6通りになる。さらに言うと,3つの経路を同時に使うような通信を行えば,ある経路上でデータを盗み見られても,盗まれるデータは3分の1だけで済むため,危険性は下がる。