ユースケースで紐解く! 日本のネットワークサービスに+αを追加するDPI装置の価値

ビジネス推進本部 応用技術部
コアネットワークチーム
松本 考之

 これまで以下の弊社ではDPI装置の特徴的な機能概要をご紹介してきましたが、今回は日本のインターネットサービスプロバイダにおいて、DPI装置がどのような役割を果たすことが可能か、具体的にイメージを持っていただけるユースケースをご紹介致します。

コラム DPI (Deep Packet Inspection)入門
MVNOによるサービス展開① ~ネットワークモデルとサービスモデル~
MVNOによるサービス展開② ~具体的なサービス展開~

ユースケース1:非従量課金の固定回線サービスにおける例

 日本における固定回線サービスはいわゆる「使い放題」サービスが一般的ですが、最近のユーザトラフィックの増大に伴い、使い放題サービスを維持するための設備投資コストの増大が課題となっています。その費用負担のために、モバイル網サービスのような従量課金モデルを導入する事は、使い放題サービスに慣れているエンドユーザに対する説明や従量課金サービス内容の決定など、困難を極めます。

 そこで、使い放題サービスを維持しながら増大するユーザトラフィックを処理するコストの低減手法として、ユーザトラフィックの利用量をユーザ間で公平に分配する「公平制御」が必要になってきました。

 この公平制御を行う際、「ネットワークのどこで公平制御を行うか」という点が重要な検討事項となります。現在のインターネットアーキテクチャでは、最も輻輳が発生する箇所(ボトルネック)で公平制御を行うことが効果的です。固定回線サービスでは、サービスプロバイダーのコアネットワークと接続して複数のユーザを収容する網終端装置がボトルネックになる場合が多いです。

 この網終端装置はコアネットワークよりユーザ側に近いネットワーク集約点であるため、網終端装置の数は数百台規模になる場合もあります。このような規模の集約点にそれぞれ公平制御用の機器を設置するのは大きなコストとなります。

m1

図1.網終端装置毎に公平制御機器を設置した場合

 

 コストを抑えるためには、トラフィックが集約されたコアネットワークに近い集約点に公平制御用の機器を設置することで、大幅に設置機器の台数を削減することができます。
しかしこの場合、どのように数百台規模にもなる網終端装置毎のトラフィック制御を行うか、という点が課題となります。

 この課題を解決する方法としては、「網終端装置に収容されている送信元IPアドレス毎にコアネットワークで帯域制御を行う」、「MPLSのラベルやVLAN ID等で網終端装置を識別して帯域制御を行う」という方法があります。
それでも上記のような方法では、ネットワークの構成変更などが発生する度に情報更新を行う必要があり、管理・運用負荷の増大が課題となります。

 これに対し、DPI装置では「加入者識別機能」を用いて、網終端装置毎の帯域制御をコアネットワークに設置した機器で動的に行う事が可能になります。

m2

図2 加入者識別機能を用いてコアネットワークから網終端装置の公平制御を行う例

 

 このようにDPIの加入者識別機能を持った公平制御機器を利用することにより、ユーザトラフィックのIPパケットに含まれる送信元情報(送信元IPアドレス、ポート番号やMPLSラベル、VLAN ID等)に加えて、「加入者名」や加入者が収容されている「網終端装置の識別子(NAS-IP-Addressや、DHCP Relay agent IP Address等)」の情報を扱うことが可能となります。

 これらのIPパケットだけでは識別不能な加入者情報を利用して、「ユーザ」と「ユーザが収容されている網終端装置」を特定し、「トラフィック」とマッピングすることで、コアネットワークに設置した機器のみで公平制御を実現します。

m3

図3 コアネットワークの集約点で網終端装置毎の帯域制御を行うDPI機能付き公平制御装置

 

ユースケース2:モバイル回線サービスにおける例

 モバイル回線サービスにおいては、固定回線サービスとは異なり、従量課金サービスが一般的なサービスモデルとして広く普及しています。

 そのため、従量課金の対象トラフィックをDPI装置の「アプリケーション/トラフィック識別機能」によって制御することで、サービスプロバイダーの独自サービスや、ビジネスパートナーとの販売促進キャンペーンの手段とすることが可能です。
モバイル回線サービスにおけるアプリケーション/トラフィック識別機能を利用した独自サービスとしては、「ゼロレーティング」と呼ばれる、特定のアプリケーション(SNSやチャットソフト等)やトラフィック(自社やパートナーサイトの閲覧等)を無料化するサービスがあります。
このゼロレーティングサービスについては、弊社のコラム「MVNOによるサービス展開② ~具体的なサービス展開~」で詳しく内容をご紹介しておりますので、是非合わせてご覧ください。

MVNOによるサービス展開② ~具体的なサービス展開~

m4

図4 ゼロレーティングの例

 

 このゼロレーティングサービスは日本だけではなく、諸外国でも一般的なサービスであるため、大規模なスポーツイベント等で来日した外国人利用者にも受け入れやすく、普段到達しにくい顧客層へのキャンペーンの露出や広告効果の向上が見込めるサービスです。

 また、アプリケーション/トラフィック識別によるゼロレーティングに加えて、ユースケース1でもご紹介した加入者識別機能も併用することで、さらにサービスの提供条件を拡張することができます。

 例えば、モバイル回線網で付与可能な「加入者の位置情報」をサービス提供の条件にすることで、特定のイベント会場でのみ露出する広告媒体や、著名な観光地でのタイアップキャンペーンの一環として、特定地域に限定したゼロレーティングサービス提供も可能になります。

 さらに、パートナー企業の製品購入などで提供される商品貼付けのQRコード等の識別子を準備し、それをキャンペーンサイト等で入力した加入者をDPIの加入者識別機能で選び出し、そのユーザに対してのみ提供するゼロレーティングや、通信料の割引(従量課金サービスサービスの場合、契約トラフィック量へのボーナス加算等)といったインセンティブ広告も可能になります。

 

ユースケース3:トラフィック識別装置連携例(サービスチェイニング)

 ユースケース1、2では固定回線サービス、モバイル回線サービスにおけるDPI装置の利用例をそれぞれご紹介しました。ユースケース3では固定・モバイル回線を問わずに利用可能なDPI装置の利用例として、IPSやIDS等のトラフィック識別装置との連携についてご紹介します。

 IPS/IDS装置はDPI装置と同様にトラフィックの識別機能を持ち、主にマルウェアやDDoS攻撃等のセキュリティインシデントに対する検知、防御機能を提供します。
DPI装置と異なる点としては、マルウェアやウィルス検出等のためにIPパケットのペイロード部分を検疫することで、詳細なトラフィック検出機能を提供します。

 ペイロード部分を検疫する手法は、詳細なトラフィック情報を取得することに繋がりますが、その処理負荷は非常に高く、IPS/IDS装置のトラフィック処理能力当たりの装置負荷や機器コストがDPI装置に比べて高価となる要因の一つとなっています。

 DPI装置はIPS/IDS装置のようなIPパケットのペイロード部分の検疫は行わず、シグネチャや、振る舞い検知等でトラフィックの識別機能を提供することで、IPS/IDS装置に比べてはるかに低い処理コストでトラフィック識別機能を提供しています。

m5

図5 DPI装置とIPS/IDS装置の特徴

 

 また、トラフィック識別機能に加えて、加入者識別機能を持つDPIはIPS/IDS装置と連携することで、「特定のサービスに加入した利用者のトラフィックのみをIPS/IDS装置に転送する」や、「特定の加入者のみIPS/IDS装置に転送しない、もしくは別系統のIPS/IDS装置に転送する」、といったサービスの階層化、差別化機能を提供することが可能です。

 さらに、アプリケーション識別機能と連携することで、「特定のアプリケーショントラフィックのみをIPS/IDS装置に転送」したり、「特定の加入者の暗号化トラフィックのみを中間者攻撃型の暗号化解除装置に転送」したり、「URLフィルタリング等のペアレンタルコントロール機能を提供する」といったような使い方も可能になります。

m6

図6 DPI装置とIPS/IDS装置との連携例

 

このようにDPI装置とIPS/IDS装置を連携することによって、特定トラフィックに対してのみIPS/IDS装置によるサービスを付加(サービスチェイニング)することが可能になります。同時に機器コストやIPS/IDSの帯域ライセンスの低減、設備の稼働効率の向上を見込めます。

まとめ

ユースケース1:
DPI装置の加入者識別機能を利用することで、多数の網終端装置毎に帯域制御装置を設置したのと同じ機能をコアネットワークに設置した少数のDPI装置で実現できる

ユースケース2:
DPI装置の加入者識別機能でゼロレーティングサービスを実施すことで、スポーツイベント限定、外国人旅行者限定、キャンペーン商品購入者限定等の差別化サービスを実現できる

ユースケース3:
DPI装置の高効率なシグネチャによるトラフィック識別機能と詳細なペイロード検疫機能を持つIPS/IDS装置を連携することで、システム全体として高度でかつ費用対効果の高い付加価値サービスの提供が実現できる

 

 DPI装置の基本機能である帯域制御、公平制御、アプリケーション/トラフィック識別、加入者識別機能を利用して「どのような追加サービスを実現できるか」、「どのように既存サービスの効率化を見込むことができるか」、という点に対して3つのユースケースを基にご紹介しました。

 ネットワンシステムズでは上記例のようなご用件に対するご紹介事例や、その他の様々なアプリケーションレイヤでのトラフィック制御のソリューションをご用意しております。
DPIによるトラフィック制御の効率化をご検討の際はぜひネットワンシステムズの御社担当営業までご連絡ください。

執筆者プロフィール

松本 考之
ネットワンシステムズ株式会社
ビジネス推進本部 応用技術部 コアネットワークチーム所属

1998年にネットワンシステムズ入社。
SNAを皮切りに低レイヤから徐々にレイヤを上げながら、様々なプロトコルや製品を担当し、現在はハイレイヤー製品であるDPIプロダクトを担当。
9600bpsの記憶を持ちながら100Gbpsの天下を眺め、留まることのない技術革新の世界を堪能している。
・CCIE #7970

イベント/レポート

pagetop