hardware, イベント, セキュリティ, ネットワーク

ShowNetで行われるSDN/NFV関連デモは、年々進化しています。今年は、昨年よりも柔軟性と拡張性が大幅にアップしたSDN/NFVサービスチェイニングがShowNetで運用されていました。広帯域・高速処理が必要なバックボーンネットワークを構築しつつ、必要なトラフィックのみをSDN/NFV機器へと誘導することで、SDN/NFV機器を直接バックボーンネットワーク内に設置せずに運用しています。

今年のShowNetで行われたSDN/NFVサービスチェイニングの非常に大きなポイントは、BGP Flowspecを使ってバックボーンルータから特定のトラフィックをSDN/NFVエリアまで誘導できるようにしてあるところです。今年のShowNetでは、SDN/NFVエリアがdcwestエリアにまとめてありますが、任意のタイミングで任意のトラフィックをバックボーンからSDN/NFVエリアを経由させることができます。

1

2

SDN/NFVエリア内では、OpenFlowを使ったサービスチェイニングが行われています。ファイアウォールやDDoS mitigationを行う機器に対してユーザ単位でトラフィックを誘導できるようになっています。

3

4

5

今年のShowNetでのSDN/NFVデモは、SDN/NFV機器へとトラフィックを誘導することを目的として、通常トラフィックが通過する経路上にSDN/NFV機器を設置せずに実現できているという点が昨年と大きく異なります。

昨年のShowNet構成では、出展社などのユーザはvCPE(virtual CPE)に収容され、そのvCPEを通過するトラフィック”のみ”がOpenFlowで変更されるというネットワーク設計でした。そのために、OpenFlowで実現していたサービスチェイネイングの網自体もバックボーンから見ると下流にありました。必要に応じてサービスチェイニングを利用できるようにようするために、すべての出展社へのネットワーク提供の入り口に工夫をする必要があったのが去年の構成です。

去年の構成と比べると、今年の構成はシンプルでエレガントだと思いました。今年は、ShowNet各所でBGP Flowspecが活用されていますが、BGP Flowspec対応機器が増えたことで、サービスチェイニングを行う機器に流入するトラフィックを柔軟に制御しやすくなるので、処理能力に制約がある高機能機器も使いやすくなるのかも知れないと思える展示内容でした。

コラム, プログラミング, 趣味

はじめまして!バーテンツチノコ(仮) の近藤です。六本木のBARで、カクテル作れないバーテンダーをやる傍らで、夜な夜なプログラミングをしています。

人狼をみんなで集まってやる時、人間GM(ゲームマスター)の代わりに司会者をやってくれるLINE BOTを作りました。その名もとろろ人狼BOTです。

今日はそのBOTの紹介をしたいと思います。

 

 

 

使用イメージはこんな感じ

 

とろろ人狼BOTを友達登録し、代表者1名(以後、便宜上「GM」と表記)が「村」を準備し、参加者が集まったら開始合図を行います。

開始後は、会話をしつつ、各々がBOTとやりとりをしながらゲームを進行していきます。

 

ゲームの流れを順を追ってご紹介します。

1.友達登録すると、名前を聞かれるので答えます

2.左上の、「村を作成」をタップすると「村」を作成できるので、友達にQRコードを教えて参加してもらいます

※参加する側(うさぎさん)のLINE(先ほどとは別人物のLINEです)

3.人数を確認。こんな感じに5人集まりました

4.村を開始するとこんな感じ

村人3人、人狼1匹、占い師1人がいるそうです。自分(とろろ) は占い師でした。このメッセージは全員宛にアナウンスされます

 

~~ここから、実際には話し合いが始まります~~

うさぎ『ねこさんが人狼かな?』

ねこ『いや、ねずみさんじゃないかな』

ひつじ『そうかなあ』

ねずみ『うさぎは人間だと思うな』

~~~~~~~~~~~~~~~~~~~~~

(※話し合いは一例です。実際にはもっと殺伐とする可能性があります)

5. といった話し合いの結果、自分が人狼だと疑わしいと思ったうさぎさんに投票することにしましょう

6.皆の投票が済んだら、GMは「時間を進める」コマンドを使います。この時、未投票の人がいると警告が表示されます

うさぎさんが処刑されてしまいました。(※うさぎさんは、実は村人でした)

7.夜が来ます。夜の間は誰とも会話禁止で、各々が淡々と自分の能力を使います
自分(とろろ) は占い師なので、占い先をセットしましょう
ひつじさんを占いたいと思います

8.全員が能力をセットしたら、翌朝に時間を進めます

ねずみさんが人狼に殺されてしまいました。
占いの結果、ひつじさんは人狼だったので、他のメンバーにそれを伝え、ひつじさんへ票を入れてもらうように説得します。

9.投票を行い、時間を進める

10.決着

13393054_1144158248940477_1216561269_n

 

いかがでしたでしょうか。キャプチャを淡々と貼り付けただけの紹介でしたが、ゲームの流れは以上です。

★LINEがインストールさえされていればアプリインストール・ユーザ登録不要

★それぞれがBOTを通じてコマンド入力を行うので、自分の挙動を隠したりする必要がなく進行がスムーズ

★GMが不要になるので、全員で同じ情報量・立場でゲームに参加出来る

何度かテストプレイをしていますが、上記の点でたいへんご好評をいただいております!

 

とろろ人狼Bot(@tororo_jinro) というTwitterアカウントを作っております。

公開出来ると判断でき次第、LINE QRコードを公開しますので、良かったらフォローしてください(๑´ㅂ`๑)

 

ではでは

 

 

補足:GM用 チートシート

イベント, セキュリティ, ネットワーク

今年のShowNetのセキュリティ関連デモは、次の図のような構成になっています。NFVはサービスチェーニング、BGP Flowspecを使ってDDoS mitigationを行う機器へのトラフィックの誘導、TAP/ミラーリングと解析、来場者や出展社への通信サービス提供箇所での監視とブロックなどです。

今年のShowNetでは、様々なセキュリティ製品のオーケストレーションをNICTのNIRVANA改が行っています。ここ数年は、毎年グラフィカルな攻撃可視化を行っているNIRVANA改ですが、今年は大幅にバージョンアップしてShowNetでのセキュリティオーケストレーションを行うようになったようです。

今年のセキュリティ連携は、以下のような構成になっています。

  1. タップ/ミラーしたトラフィックを検知装置に分配
  2. 検知結果をsyslogで通知して集約
  3. 各種機器にフィルタを設定

今年の構成では、ShowNetのトラフィックがタッピングもしくはミラーリングされ、検知機器に分配されます。検知機器は何らかの攻撃を検知するとsyslogで通知します。各種機器からのsyslogを収集したうえで、それらを統合的に扱うのがNIRVANA改です。

解析装置によって攻撃が発見されると、ShowNet運用者に攻撃内容と遮断する設定を行う機器の候補が通知されます。NIRVANA改は、ShowNetのトポロジを把握した上で防御用の設定を入力する機器の候補の計算も行うようになっています。ただし、今回は、自動的に攻撃を遮断するのではなく、その攻撃を遮断するのかどうかの判断をオペレータが行うという運用になっています。

ShowNet運用者が、攻撃を遮断すると判断すると、遮断を行う設定が各種機器に対して行なわれます。各種機器への設定入力の方法も機種依存します。今年のShowNetでは、NETCONF、BGP Flowspec、REST API、syslogの4種類の手法でNIRVANA改から機器へと設定が行われています。

シングルベンダーであればひとつの手法で一気にできることでも、マルチベンダーになるとこのようなオーケストレーションが必要になるというのが良くわかるデモと言えるかもしれません。

イベント, ネットワーク, 歴史

NCSA Mosaicをいじったり、XMint端末でX11プログラミングをしていた18歳の夏を思い出すような、おっさんホイホイ展示が7ホールにありました。NCSA Mosaic、HotJava 1.0、Mozilla 1.0、Netscape Communicator 4.8、世界初のWebブラウザであるWorldWideWeb(ブラウザ名です)が動体展示されていたのです。いやぁ、良く動く状態を作ったなぁと感心してしまいました。

今朝行われたプレス向けブリーフィングで昔懐かしのブラウザ展示に関して紹介されたとき、少しだけプレスルームがざわつきました。隣にいた記者と私の会話が「おっさんホイホイですね(笑」でしたが、多分、多くの方々がそういう感想を持たれたと思います。


プレス向けブリーフィングの様子

Sun SPARC Station IPXで起動されたNCSA Mosaicと、NeXTで起動されたWorldWideWebはショーケースの中なので触れませんが、Mosaic、HotJava、Mozilla、Netscapeが実際に操作できるWindows端末もありました。SUN SPARC Station IPXは、私が研究室に入って初めてOSをインストールした機種です。懐かしすぎます。


体験コーナー

早速、懐かしのブラウザをいじって遊んでいたのですが、どこもかしこも表示できません。バーチャルホストだと駄目だったり、HTMLが新しすぎて駄目だったり、文字コードの問題で駄目だったり、といった感じです。ブラウザがいきなり死亡したりもしました。

どこか表示できるページはないかなぁとHotJavaなどをいじって遊んでいたら、たまたま通りがかった大学の先輩が「大学時代の自分のホームページを表示してみたら」と言いました。言われてみれば、自分が昔作ったままで放置しているWebページは、すごくレガシーな感じで残っています。「このページを最後に見たのは何年前だろうか。。。」とか思いつつ、化石を発掘した気分になった今日この頃でした。

hardware, IPv6, イベント, ネットワーク

こんにちは。あきみちです。Interop Tokyo 2016取材記事第二弾です。

特定のフローに対する設定情報をBGP(Border Gateway Protocol)のNLRI(Network Layer Reachability Information)で広告できるBGP FlowspecがShowNet 2016で活用されています。

BGP FlowspecのRFCは、RFC 5575として2009年に発行されていますが、その中では、ACL(Access Control List)やファイアウォール設定を行うために使うという用途が紹介されています。

BGP Flowspecの標準化は2009年に行われていましたが、ネットワーク機器への実装が増えてきたのは、ここ2年ぐらいです。ネットワーク機器への実装が増えてきた背景のひとつとして、大規模なDDoSトラフィックへの対処への要求が増え、それを行う要素技術のひとつとしてBGP Flowspecが注目されたことがあげられます。

今年のShowNetでのBGP Flowspec活用は、以下の5種類です。

  • ACLの配布
  • IPv6対応(Rate limit、Discard、Marking)
  • NFV(サービスチェーニング)へとVRFリダイレクト
  • セキュリティオーケストレータからの動的ACL設定
  • DDoS detection装置との連携

ACLの配布は、ShowNet外部からShowNet内部に対するtelnetなどのトラフィックを遮断するなどが行われています。

BGP FlowspecのIPv6対応は、いままさにIETFで標準化が行われていますが、RFC発行に先駆けて実装が登場しているので、今年のShowNetではそれらが活用されています。

今回のShowNetでは、dcwest内にNFV関連の展示をまとめたエリアが作られています。NFVを経由してからShowNet内の出展社ブースなどに転送されるべきトラフィックに関する設定がvMXで行われ、その設定をBGPルータに対して配布するためにBGP Flowspecが使われています。

flowspec-interop-2016

セキュリティオーケストレータからの動的ACL設定、DDoS detection装置との連携に関する話は、別途記事を書きます。

今回のShowNetでは、昨年と比べてBGP Flowspecの活用方法が増えていますが、これら意外にも様々な活用手法のひろがりがありそうです。もはやBorder Gatewayではなくなりつつあるぐらい、様々なものがBGPへと突っ込まれているような気がしている今日この頃です。

PAGE TOP