Upload
yutaka-ikeda
View
512
Download
1
Embed Size (px)
DESCRIPTION
Nominum DCS (Dynamic Configuration Server) DHCP Solution Presentation in Japanese.
Citation preview
Nominum Confidential
ノミナム ダイナミックコンフィギュレーションサーバ (DCS) 高性能DHCP ソフトウェア February 1, 2011
Doug Miller
+1 650-381-6182
Nominum Confidential
2
我々のミッション
ノミナム社はインターネットを賢く、
より速く、より安全にし、世界中の
ブロードバンドおよび
モバイルユーザにもっとお役に
立てるよう努力いたします。
DCSの概要
Nominum Confidential
3
ノミナム社について DNSを通じインターネットをより良いものにする
ノミナム製品がより優れている理由
技術 ソリューションの多様性 運用実績
DNS要求と返答を評価、ガイドする ポリシーレイヤ
ビジネスニーズをアドレスする 多様なソリューション
広いネットワークカバレッジ – 全世界で5億以上のユーザが利用
リアルタイムでネットワーク、イベントを知るインテリジェントレイヤ
イン・ネット、オフ・ネット、または両者でのソリューション提供
業界最高水準のパフォーマンス
DNSサーバ、キャッシュ、問合せ及びデータを守るセキュリティレイヤ
ホステッド・ネットワークサービス 100% 運用中 障害ゼロ
ユーザの振る舞い、ネットワークイベントやトラフィックに基づく動的改善
コンシューマ向けアプリケーション 過去に一度もセキュリティ不履行なし
DCSの概要
140 以上のお客様のうち、わずか数社で世界のインターネットトラフィックの30%以上を使用
ノミナムは証明されたインフラにより新しいインターネットを構築
Nominum Confidential
4
インテリジェントDNS システム すべての人のためにインターネットをより良くする
• あらゆる点での複雑な方法
– 弊社システムを監視
– 積極的に脅威のネットワーク所有者を警告
– ダイナミックに解決手段を改善
– ボット、マルウェアなど攻撃に抵抗
– 弊社ホステッドネットワークに弊社ソフトウェアスイートを統合
• インターネットに知らせて、変えていく
– ネットワーク防御
– ネットワーク補強
– ネットワークインテリジェンス
– ナビゲーション支援
– 脅威低減
どの方法も独自性
ソフトウェアストラクチャ 機能
DBアーキテクチャ アルゴリズム
DCSの概要
Nominum Confidential
5
ノミナムが提供する主なサービス 単純なDNSではありません
• ソフトウェアシステム
- Vantio キャッシュネームサーバ
- Vantio + NXR, MDR および UAR
- ANS/ANSP 権威ネームサーバ
- Centris 脅威アグリゲーション/プロビジョニングサーバ
- 動的構成サーバ DHCP サーバ
• ホステッドネットワークサービス
- SKYE リゾリューションキャッシングDNS
- SKYE オーソリティ 権威DNS
- SKYE NPS 脅威検知および緩和
- iView 情報サービス
• コンシューマ向けアプリケーション
- NavAssist インターネットサービスリクエストリゾリューション
DCSの概要
Nominum Confidential
6
我々のミッション
ノミナム社は世界で最も厳しい
通信事業者からの要求である
信頼性100%のために設計された
高性能でフレキシブルな
DHCPサーバを提供いたします
DCSの概要
Nominum Confidential
7
ダイナミックコンフィギュレーションサーバ (DCS)
• 常に以下のサービスを提供
– 高性能アーキテクチャ
– アクティブ-アクティブ フェールオーバー
– 運用中コンフィグアップデート (リスタート不要)
– 超高速リスタート
• 豊富な管理レイヤ
– Java, Perl, Python APIs
– コマンドラインインタフェース (CLI)
– ネイティブ LDAP インタフェース
– SNMPによるリアルタイム監視 (全バージョン対応)
• ロギングおよびレポート機能
– システム全体のリアルタイム統計
– カスタム syslog メッセージ (監査トライアル用)
• 簡単な設定
– トポロジーとは分離したコンフィグ (ポリシーオブジェクト)
– 特定DHCPオプションと属性によるスクリプトメカニズム経由のカスタマイズされた動作
• 将来性
– 完全 IPv6 (DHCPv6) 対応
メリット: • ダウンタイムなし
• 柔軟なポリシー管理
• 業界最高水準の高性能
• 管理オーバーヘッドの削減
DCSの概要
Nominum Confidential
8
最大 2k リース/秒 (ディスカバー時)
最大 5k リース/秒 (更新時)
最大1M リース/ペア
リスタートは10秒以内
DHCPリクエストの並行処理
完全なる最新かつインメモリキャッシュ
ディスク上に保存された永続的イメージ情報
メモリとディスクの差分の効率的なトランザクションログ(ジャーナリング)
高性能アーキテクチャ
DHCPトランザクションに最適化されたDB
軽量スレッド 業界最高性能
DCSの概要
Nominum Confidential
9
DCSアーキテクチャ
課金
ファイアウォール
コンプライアンス
認証
プロビジョニング
DHCP エンジン
- ネイティブ LDAP
- 制御チャネル
- イベントチャネル
- SNMP
- カスタムロギング
DCSの概要
Nominum Confidential
10
運用中断なし
性能への影響なし
高速復旧
X アクティブ-アクティブ フェイルオーバー
高速リスタート
高負荷時のスマート処理
常時リアルタイム監視
稼働中保守/再コンフィグ
DCSの概要
高可用性
Nominum Confidential
11
豊富な管理レイヤ
• SNMPによるリアルタイム監視 (全バージョン対応)
– 高低水位標による警報トラップ
• 例. DDNSアップデート、リース減少、過度の衰退等
• 高度な統計機能
– 制御チャネル経由SNMPでアクセス
– 運用/開放リース、測定情報、プールリンク情報等広範囲の統計情報
• カスタマイズ形式のログメッセージ
– 設定可能なログ出力
• 多彩なインタフェース
– ネイティブ LDAP
– Java, Perl, Python APIs
– コマンドラインインタフェース (i.e. nom_tell)
DCSの概要
Nominum Confidential
12
ノミナム全製品に共通した制御チャネルと
APIインタフェース
共通の管理インタフェース
DCSの概要
Vantio
ANS/P
DCS
制御チャネル (config)
イベントチャネル (monitoring)
API (Java, Perl, Python)
Nominum Confidential
13
サービスや課金機能との統合を簡単に
DCSの概要
• オープンインテグレーション – 外部システム(例. プロビジョニング)との統合
• ネイティブ LDAP インタフェース
• Java, Perl, Python APIs
– Embedded Python
• 特定のDHCPオプションや属性に基づくDCSの動きをカスタマイズ
顧客サービス
ポータル RADIUS LDAP
Nominum Confidential
14
レポートとログ機能 • 監査トライアル向けにログメッセージをカスタマイズ可能
– オプション82 (リレーエージェント) ロギング
– リース ロギング
Server.update log-format-dhcp-message=“{msg-type}
{address} {direction} {hardware-address} ({client-
id/xs}) via {via}, client name: {client-name}, tid:
{tid}, xid: 0x{xid/x}”
DHCPOFFER of 10.0.0.1 to 00:25:00:4b:69:5f
(01:00:25:00:4b:69:5f) via eth0, client name: client-
1.0, tid: 1, xid: 0x1
Gives log file output:
DCSの概要
Nominum Confidential
15
レポートとログ機能 カスタム化されたログメッセージ用代替キーワードの範囲
• {address}
• {agent-circuit-id}
• {agent-remote-id}
• {agent-subscriber-id}
• {client-id}
• {client-id-type}
• {client-name}
• {hardware-address}
• {hardware-type}
• {inbound?true_string:false_string}
• {lifetime}
• {msg-type}
• {tid}
• {xid}
• {via}
DCSの概要
Nominum Confidential
16
ポリシーオブジェクト
特定のトポロジーのオブジェクト(プールやネットワークのような)とは
結びつかない管理上のルールを規定する方法を提供
DCSの概要
• 設定をトポロジーから分離
• 様々なポリシーをDHCPトランザクションに適用可能 – ポリシーをお互いに連鎖できます
– 整数優先フィールドがポリシーを命令
• ポリシー設定はポリシーがプログラム的に指定されるのを許容 – i.e. embedded Python
– DHCPトランザクションの中で多様なポイントにおいて
Nominum Confidential
17
ポリシー設定
• ‘policy-name-formats’ フィールドはポリシー名リストを含む
•オプション的にクライアント要求から拡張された代替キーワードを含むかもしれない
– {agent-circuit-id}
– {agent-interface-id}
– {agent-remote-id}
– {agent-subscriber-id}
– {client-id}
– {client-id-type}
– {hardware-address}
– {hardware-type}
DCSの概要
Nominum Confidential
18
ポリシー設定の実例
• # Create a policy named “gold”
• # Gold policy might have higher bandwidth (e.g. 5Mbps)
• # Create policy for specific clients and assign to “gold” service level
• # Define how policy is applied at server level (scope)
“ゴールド” サービスポリシーを作成し、MACアドレスによるクライアントを追加する場合
DCSの概要
Nominum Confidential
19
LDAPクエリー結果に基づいた
DCSポリシー
リース結合もしくは非結合に基づく LDAPアップデート
DCS
LDAP
ネイティブLDAPインタフェース
DCSの概要
Nominum Confidential
20
LDAP経由でのポリシー設定
•以下の‘ldap’ オブジェクトの設定フィールドは LDAP ポリシークエリのフォーマットを規定
– enable-queries
• Enables LDAP object for queries
– search-base
• Base object to perform queries relative to (dc=dhcp,dc=example,dc=com)
– search-scope
• Search scope (‘base’, ‘one-level’ or ‘subtree’)
– search-filter-format
• Filter to use for searches (e.g. (cn={hardware-address}))
– search-result-map
• Table mapping LDAP attributes to DCS configuration fields (e.g. { sn = 'ddns-domain' })
DCSの概要
Nominum Confidential
21
LDAP経由でのポリシー設定(続き)
•どんなDCS ‘policy’ オブジェクトフィールドも LDAP 属性から設定することができます
• LDAP属性の翻訳は‘search-result-map’で定義されます – ‘search-result-map’のLDAP属性名はLDAP サーバによって返された属性とマッチしなければなりません
• LDAP属性は ‘policy-fields’にマップされます – 属性はポリシーフィールドのテーブルと数値を含むべきです
– ‘policy-fields’は 一つのLDAP 属性から全体のポリシーオブジェクトにマップされます
DCSの概要
Nominum Confidential
22
リース状態を用いたLDAPアップデート
• 以下の設定フィールドはアップデートの振る舞いを制御します
– ‘enable-updates’
– ‘enable-additions’
– ‘update-name-format’
– ‘update-attributes-map’
– ‘addition-objectclasses’
– ‘addition-attributes-map’
• アップデートは‘enable-updates’フィールドによって可能になります
• DCSは最初に‘update-name-format’中の定義されたDNによって定義されたエントリーをアップデートすることを試みます
– アップデートは‘update-attributes-map’に定義された全属性を含みます
• もしエントリーが存在せず、‘enable-additions’が設定された場合、DCS は新しいエントリーを追加するよう試みます
– 新しいエントリーは ‘update-attributes-map’ および‘addition-attribute-map’中に定義された全属性を持っています
DCSの概要
Nominum Confidential
23
リース状態を用いたLDAPアップデート(続き)
• DCSによって作成されたエントリーは ‘addition-objectclasses’に指定されたobjectClassを持っています
•もしLDAPアップデートが失敗したら、DCSは後でアップデートのリトライができます
•アップデートのリトライは以下の方法で制御されます – ‘update-retry-attempts’
• 回数、DCSが失敗したアップデートをリトライします
– ‘update-retry-delay’
• 時間量(秒)、失敗したアップデートをリトライする前にDCSは待ちます
DCSの概要
Nominum Confidential
24
LDAP性能チューニング
• DCSの様々な性能の観点からコントロールされる設定フィールド
– connections-per-server
• 各LDAP サーバへの接続回数
– transactions-per-connection
• 1 LDAP 接続のLDAP同時リクエストの最大数connection
– connection-lifetime
• LDAP接続の最大生存時間(秒)
– reconnect-interval
• 届かないサーバへの再接続を試行する前の待ち時間
– request-timeout
• LDAP サーバからのレスポンスを待っている待ち時間 (タイムアウト後閉められた接続)
– transaction-timeout
• DHCP トランザクションの一部が完了したLDAP運用を待っている最大時間
• 個別サーバ用‘request-timeout’, トランザクションを扱うために設定された全てのサーバ用‘transaction-timeout’
DCSの概要
Nominum Confidential
25
DHCPv6対応
• 完全なる DHCPv6 を実装
– 静的アドレス配分
– 動的アドレス配分
– 一時的アドレス
– 重複アドレス検知
– 高速コミット
• 主なRFCs:
– RFC 3315 DHCPv6
– RFC 3633 IPv6 Prefix Options for DHCPv6
– RFC 3646 DNS options for DHCPv6
– RFC 3736 Stateless DHCPv6
• IPv4と同様にDCSにIPv6を設定
DCSの概要