Ciscoルータに統合されたAkamai ConnectによるWAN帯域の有効利用

• 
• 

ビジネス推進本部 応用技術部
エンタープライズSDNチーム
山下 薫

はじめに

Windows PCやスマートデバイスのソフトウェアアップデートの頻度は増す一方です。多少くだけた表現ですが、「降ってくる」という表現が最近用いられます。ユーザの視点からは、唐突なソフトウェアアップデートが、まるで突然降ってくる雨や雪のように、コントロールできないものとして感じられるのでしょう。

個人用途のデバイスであれば、煩わしくはありますが、まだ気軽にアップデートできます。しかし、スマートデバイスを業務に使うユーザや、企業のITシステムを管理している立場からは、ソフトウェアアップデートは厄介な問題です。アップデートの頻度が高くなるだけではなく、いつ来るか予測できないのは非常に困ります。ダウンロードされるデータ量も多くなる一方で、大きめのアップデートでは、ギガバイト単位が普通になってきています。

このコラムは、
【Cisco IWAN with Akamai Connect】クラウドを意識したエンタープライズWANの再設計
の補足です。

Cisco WAAS (Wide Area Application Service)は初めて、という方にもお読みいただけるよう、WAASの基本や概要から解説します。また、インターネット経由で大量のデータを配信するCDN(コンテンツ・デリバリー・ネットワーク)において大きなシェアを持つアカマイ・テクノロジーズ社(以下、Akamai社)が、WAASへのアドオンとして開発したAkamai Connectを、既存のWANにどうやって適合させるのかの一例をご紹介します。

1.WAASの基本とAkamai Connectの役割

まず、Cisco WAASによるWAN最適化を導入する際の基本的なネットワーク構成と、WAAS特有の用語を簡単にご説明します。図1が、典型的なWAASの導入構成です。

WAASは、帯域が不足していたり遅延の大きいWANを挟むかたちで、少なくとも2台を設置します。この導入形態を「Dual-Sided (両面)」構成と呼び、図1の例ではデータセンタと拠点にそれぞれWAASを設置しています。
WAASは、ルータやL3スイッチとペアを組み、透過的にWANを経由する通信に介入します。具体的には、TCPやアプリケーションレベルのプロトコルの挙動を最適化し、アプリケーションを高速化します。そこで、これらのWAASを「AA (Application accelerator, アプリケーション高速化装置)」と呼びます。
AAの設定と運用管理は、「CM (Central Manager, 集中管理装置)」にWebブラウザでアクセスすることによって、まとめて実施できます。

Akamai ConnectによるWebコンテンツのキャッシュ機能は、図1の拠点側のWAASにアドオンします。これによって、WAASの持つWAN最適化機能に加え、より多彩なWebコンテンツを透過的にキャッシュできるようになります。
一方、データセンタ側にWAAS AAを置かず、図2のように拠点側だけに設置することも可能です。この場合は、WAASが本来持っているWAN最適化機能は使わず、Akamai Connectの機能だけを利用することになります。

図1の構成と異なり、WAASがペアになっていないので、この形態を「Single-Sided (片面)」構成と呼びます。ドキュメントによっては、WAAS上で動作しているAkamai Connectを指して、「Cache Engine (キャッシュエンジン)」」やそれを略した「CE」という用語を用いていることがあります。Single-Sided構成でも、WAAS AAを集中管理するCMは少なくとも1台必要で、通常はCMを社内網のどこか(例えばデータセンタ)に設置します。

2.前回のコラムで想定していたネットワーク

前回のコラムでは、図3のように拠点(Branch)が2種類の回線によって外部に接続しているネットワークを想定していました。

具体的には、拠点側のルータが2つのインターフェイスを持ち、それぞれがインターネットと閉域網に接続していました。
拠点側のルータはインターネットに直結しており、その際に用いられるブロードバンド回線は十分な帯域を持っている場合が多いので、拠点からインターネットに直接アクセスすることが、通信経路としては最適です。これをDirect Internet Access (DIA)と呼びます。ベストエフォートとは言え、大量のデータのダウンロードが発生しても、拠点からインターネットに接続する回線が輻輳するだけであり、データセンタへ接続するWAN回線や、データセンタからインターネットへ接続している全社共用の足回り回線に影響することはありません。

一方、セキュリティの視点からすると、拠点のインターネット接続ポイント全てが外部からの侵入や攻撃の対象になり得ます。また、インターネットとの不適切な通信が、全拠点で発生する可能性が出てきます。これらを防ぐためには、ファイアウォールやIDSなどを、データセンタ以外の全拠点に配置し、運用しなければなりません。しかし、そのためのコストは、多くの場合現実的なものではありません。

そこで、実際のインターネットへのアクセスは、黄色の点線で示すように、閉域網経由で左側のデータセンタを迂回します。このため、拠点におけるWindows UpdateやApple iOS Updateのトラフィックは、直接インターネット経由で送受信されるのではなく、閉域網を経由して、必ずデータセンタからの対インターネット接続部分を通ります。このため、拠点側でソフトウェアアップデートなどに伴うダウンロードが短時間に集中すると、データセンタからインターネットへの接続部分にトラフィックが大量に流れ、帯域が枯渇するという問題が発生します。

3.今回のネットワークの前提条件

今回のコラムでは、対象となるネットワークに以下の3つの制約事項があるものと仮定しました。

a. WAN回線は専用線などを用いた閉域網のみ。インターネットには接続しない
b. 拠点側ルータのみを入れ替える
c. 対インターネット接続(ファイアウォール等)の構成、設定の変更は原則許されない

最初の制約事項aは、セキュリティ要件の厳しいケースを想定したものです。この具体的な内容を図4に示します。

拠点側が全くインターネットに接続していないため、前回のコラムの後半でご紹介したような、アプリケーションレベルでトラフィックを識別し、必要に応じてWAN回線とインターネット接続を使い分ける、といった先進的な機能を利用することができません。

また、制約事項bがあるので、センター側の機器には手を加えることなく、拠点側のルータの入れ替えのみで帯域枯渇を防ぐ必要があります。そのためのソリューションとして、Cisco ISRルータに統合されたWAAS(ISR-WAAS)と、その拡張機能として動作するAkamai Connectが、より制約の強い条件下でもご使用いただけることと、その効果を検証しました。

4.拠点側ルータのみの変更で、Akamai Connectは導入できる

Akamai Connectは、スタンドアローンでは動作することはできず、インターネット経由でAkamai社の管理サーバへアクセスできることが必須です。
前回の構成(図3)では、Akamai Connectを動作させる拠点側のCisco ISRルータがインターネットに直結しています。ですので、Akamai社の管理サーバへのアクセスだけをインターネット経由にすることが容易でした。

しかし、拠点が全くインターネットに接続していない今回のネットワーク構成では、Akamai Connectが直接Akamai社の管理サーバにアクセスすることができません。このため、Akamai Connectでは、WAAS Central Manager (CM)をProxyサーバとすることにより、間接的に管理サーバへ接続でき、動作要件を満たせるように工夫されています。これを図5に示します。

Akamai ConnectとAkamai社の管理サーバの通信は、必ず前者から開始されます。Akamai社側からアクセスし始めることはありませんので、WAAS Central Manager (CM)とインターネットとの接続は、CMがクライアントにしかならないという前提で構いません。ですので、既存のファイアウォールのポリシーの変更の必要性が少なくなります。

さらに、CMとしてアプライアンス版のWAASを用いる場合は、ネットワークインターフェイスが2つありますので、一方を内部ネットワークへ、他方をインターネット接続に用いることで、既存のファイアウォールのポリシーなどを変更しなくても、安全にインターネットへ接続することができます。

また、Akamai ConnectおよびCMは、直接ではなくても良いので公開DNSサーバにアクセスする必要があります。さらに、キャッシュの時刻等の管理のために、各機器のクロックは誤差30秒以内でntp.nict.jpなどの公開NTPサーバに同期しなければなりません。これは絶対時刻が合えば良いので、公開NTPサーバの代わりに、GPS衛星電波から時刻情報を取得するNTPサーバなどを用いても構いません。

WAASとAkamai Connecｔは、専用機器(アプライアンス)にインストールして利用することが主流でした。これに対し、今回ご紹介する構成例では、図5の右側のように1台のルータのなかに、必要な構成要素が全て統合されています。具体的には、ISR4000シリーズに標準で搭載されている複数のCPUコアのうち、このような目的のために予約されているコアを用いてWAASソフトウェアを動作させます。これをISR-WAASと呼びます。ISR-WAASはアプライアンス版と全く同じ機能を持っており、ライセンスと、キャッシュに用いる専用のSSD (型番: NIM-SSD)を追加するだけで、Akamai Connectを動作させることができます。

5.Akamai Connectの導入と効果

ここまでご説明した前提条件においても、実際にCisco WAASとAkamai Connectが動作し、キャッシュの効果があることを検証しました。使用したハードウェアと、ソフトウェアのバージョンは、以下の通りです。

図5右側でご説明したように、ISR-WAASはISR4000シリーズルータの中で動作します。具体的には、ISR-WAASのソフトウェアイメージを今回使用したISR4451-Xの内蔵フラッシュメモリ上にコピーし、"service waas enable" コマンドを実行して必要なパラメータ数個を入力するだけで、ISR-WAASが動作し始めます。すぐにISR-WAASがWAAS Central Manager (CM)からアクセス可能になりますので、CMのWeb UIからAkamai Connectのライセンスを投入し、Proxyサーバの設定をすると、Akamai Connectが有効になります。

Akamai Connectの効果は、Windows Updateが高速化されるかどうかで確認しました。具体的には、KB3170735という約2MBのアップデートファイルを、Windows 8.1に適用する際の時間を測定しました。このアップデートは、Windowsを再起動しなくてもアンインストールでき、繰り返し検証するのに適しているため選択しました。デモンストレーションが目的ではありませんので、全トラフィックをキャプチャできるように、比較的サイズの小さなアップデートを選択しています。
表2に測定結果を示します。

ダウンロード時間は、ISR-WAASとクライアントのあいだのトラフィックのキャプチャ結果をもとに、セッション開始時刻と終了時刻を解析し、計算したものです。

今回の検証では、キャッシュの効果の解析のために、約2MBという小さなサイズのデータを用いましたが、それでも約10倍の高速化が実証できました。実際の環境では、例えばWindows 10 Anniversary Updateが3GBから4GB、Apple iOS 10が1GB以上と、桁違いに大量のデータがダウンロードされます。Akamai Connectでこのような巨大なデータをキャッシュすることにより、もしこれらのアップデートが短時間に集中したとしても、WAN回線の帯域を大幅に節約することが可能です。

6.まとめ

インターネットにおけるコンテンツ配信で大きなシェアを持つAkamai社の技術を、Cisco ISR4000シリーズルータに手軽にアドオンして利用できるAkamai Connectをご紹介しました。セキュリティポリシーなどの関係で、社内ネットワークを自由にインターネットに接続することができない制約がある多くのユーザ様においても、拠点側のルータを置き換えるだけでWAN回線の帯域不足を緩和できるソリューションとしてご検討いただけるのではと考えております。

執筆者プロフィール

山下 薫
ネットワンシステムズ株式会社 ビジネス推進本部
応用技術部 エンタープライズSDNチーム
所属

2016年1月ネットワンシステムズ入社。
専門はLANスイッチですが、久しぶりにHTTPを掘り下げてみました。
近著に「第3版 Cisco LANスイッチ教科書」があります。

• 
• 

ナレッジセンターを検索する