ノミナム   ダイナミックコンフィギュレーションサーバ (DCS)   高性能DHCP ソフトウェア   February 1, 2011Doug Miller               Nominum Confidential+1 650-...
2我々のミッション   ノミナム社はインターネットを賢く、   より速く、より安全にし、世界中の      ブロードバンドおよび   モバイルユーザにもっとお役に    立てるよう努力いたします。           Nominum Confi...
3ノミナム社についてDNSを通じインターネットをより良いものにする                 ノミナム製品がより優れている理由        技術               ソリューションの多様性                    ...
4インテリジェントDNS システムすべての人のためにインターネットをより良くする• あらゆる点での複雑な方法                                どの方法も独自性  –   弊社システムを監視             ...
5ノミナムが提供する主なサービス単純なDNSではありません• ソフトウェアシステム - Vantio キャッシュネームサーバ - Vantio + NXR, MDR および UAR - ANS/ANSP 権威ネームサーバ - Centris 脅...
6我々のミッション    ノミナム社は世界で最も厳しい    通信事業者からの要求である   信頼性100%のために設計された     高性能でフレキシブルな    DHCPサーバを提供いたします           Nominum Confi...
7ダイナミックコンフィギュレーションサーバ (DCS)• 常に以下のサービスを提供  –   高性能アーキテクチャ  –   アクティブ-アクティブ フェールオーバー  –   運用中コンフィグアップデート (リスタート不要)  –   超高速...
8    高性能アーキテクチャDHCPトランザクションに                       軽量スレッド                      業界最高性能  最適化されたDB   完全なる最新かつイン    メモリキャッシュ ...
9DCSアーキテクチャ                                      認証                                    プロビジョニング                     - ネイティ...
10高可用性アクティブ-アクティブ フェイルオーバー      高速リスタート                                     X   高負荷時のスマート処理    常時リアルタイム監視                 ...
11豊富な管理レイヤ• SNMPによるリアルタイム監視 (全バージョン対応)  – 高低水位標による警報トラップ     • 例. DDNSアップデート、リース減少、過度の衰退等• 高度な統計機能  – 制御チャネル経由SNMPでアクセス  –...
12共通の管理インタフェース   ノミナム全製品に共通した制御チャネルと         APIインタフェース      制御チャネル (config)      イベントチャネル (monitoring)                   ...
13 サービスや課金機能との統合を簡単に• オープンインテグレーション                                顧客サービス                                                 ...
14 レポートとログ機能• 監査トライアル向けにログメッセージをカスタマイズ可能  – オプション82 (リレーエージェント) ロギング  – リース ロギング Server.update log-format-dhcp-message=“{m...
15レポートとログ機能カスタム化されたログメッセージ用代替キーワードの範囲•   {address}                         • {hardware-type}•   {agent-circuit-id}        ...
16 ポリシーオブジェクト 特定のトポロジーのオブジェクト(プールやネットワークのような)とは    結びつかない管理上のルールを規定する方法を提供• 設定をトポロジーから分離• 様々なポリシーをDHCPトランザクションに適用可能 – ポリシー...
17ポリシー設定• ‘policy-name-formats’ フィールドはポリシー名リストを含む• オプション的にクライアント要求から拡張された代替キーワ ードを含むかもしれない  –   {agent-circuit-id}  –   {a...
18 ポリシー設定の実例        “ゴールド” サービスポリシーを作成し、MACアドレス                    によるクライアントを追加する場合• # Create a policy named “gold”• # Gol...
19ネイティブLDAPインタフェース                                     LDAP   DCS         LDAPクエリー結果に基づいた              DCSポリシー         リース...
20LDAP経由でのポリシー設定• 以下の‘ldap’ オブジェクトの設定フィールドは LDAP ポリ シークエリのフォーマットを規定  – enable-queries      • Enables LDAP object for queri...
21LDAP経由でのポリシー設定(続き)• どんなDCS ‘policy’ オブジェクトフィールドも LDAP 属性から  設定することができます• LDAP属性の翻訳は‘search-result-map’で定義されます  – ‘search...
22リース状態を用いたLDAPアップデート• 以下の設定フィールドはアップデートの振る舞いを制御します  –   ‘enable-updates’  –   ‘enable-additions’  –   ‘update-name-format...
23リース状態を用いたLDAPアップデート(続き)• DCSによって作成されたエントリーは ‘addition-objectclasses’  に指定されたobjectClassを持っています• もしLDAPアップデートが失敗したら、DCSは後...
24LDAP性能チューニング• DCSの様々な性能の観点からコントロールされる設定フィールド  – connections-per-server       • 各LDAP サーバへの接続回数  – transactions-per-conne...
25DHCPv6対応• 完全なる DHCPv6 を実装   –   静的アドレス配分   –   動的アドレス配分   –   一時的アドレス   –   重複アドレス検知   –   高速コミット• 主なRFCs:   –   RFC 331...
Upcoming SlideShare
Loading in …5
×

DCS Solution

748 views
620 views

Published on

Nominum DCS (Dynamic Configuration Server) DHCP Solution Presentation in Japanese.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
748
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

DCS Solution

  1. 1. ノミナム ダイナミックコンフィギュレーションサーバ (DCS) 高性能DHCP ソフトウェア February 1, 2011Doug Miller Nominum Confidential+1 650-381-6182doug.miller@nominum.com
  2. 2. 2我々のミッション ノミナム社はインターネットを賢く、 より速く、より安全にし、世界中の ブロードバンドおよび モバイルユーザにもっとお役に 立てるよう努力いたします。 Nominum Confidential DCSの概要
  3. 3. 3ノミナム社についてDNSを通じインターネットをより良いものにする ノミナム製品がより優れている理由 技術 ソリューションの多様性 運用実績 DNS要求と返答を評価、ガイドする ビジネスニーズをアドレスする 広いネットワークカバレッジ – 全世界で5 ポリシーレイヤ 多様なソリューション 億以上のユーザが利用リアルタイムでネットワーク、イベントを知 イン・ネット、オフ・ネット、または両者での 業界最高水準のパフォーマンス るインテリジェントレイヤ ソリューション提供DNSサーバ、キャッシュ、問合せ及びデー ホステッド・ネットワークサービス 100% 運用中 障害ゼロ タを守るセキュリティレイヤユーザの振る舞い、ネットワークイベント コンシューマ向けアプリケーション 過去に一度もセキュリティ不履行なし やトラフィックに基づく動的改善 ノミナムは証明されたインフラにより新しいインターネットを構築 140 以上のお客様のうち、わ ずか数社で世界のインターネ ットトラフィックの30%以上を使 用 Nominum Confidential DCSの概要
  4. 4. 4インテリジェントDNS システムすべての人のためにインターネットをより良くする• あらゆる点での複雑な方法 どの方法も独自性 – 弊社システムを監視 ソフトウェアストラクチャ – 積極的に脅威のネットワーク所有者を警告 機能 DBアーキテクチャ – ダイナミックに解決手段を改善 アルゴリズム – ボット、マルウェアなど攻撃に抵抗 – 弊社ホステッドネットワークに弊社ソフトウェアスイートを統合• インターネットに知らせて、変えていく – ネットワーク防御 – ネットワーク補強 – ネットワークインテリジェンス – ナビゲーション支援 – 脅威低減 Nominum Confidential DCSの概要
  5. 5. 5ノミナムが提供する主なサービス単純なDNSではありません• ソフトウェアシステム - Vantio キャッシュネームサーバ - Vantio + NXR, MDR および UAR - ANS/ANSP 権威ネームサーバ - Centris 脅威アグリゲーション/プロビジョニングサーバ - 動的構成サーバ DHCP サーバ• ホステッドネットワークサービス - SKYE リゾリューションキャッシングDNS - SKYE オーソリティ 権威DNS - SKYE NPS 脅威検知および緩和 - iView 情報サービス• コンシューマ向けアプリケーション - NavAssist インターネットサービスリクエストリゾリューション Nominum Confidential DCSの概要
  6. 6. 6我々のミッション ノミナム社は世界で最も厳しい 通信事業者からの要求である 信頼性100%のために設計された 高性能でフレキシブルな DHCPサーバを提供いたします Nominum Confidential DCSの概要
  7. 7. 7ダイナミックコンフィギュレーションサーバ (DCS)• 常に以下のサービスを提供 – 高性能アーキテクチャ – アクティブ-アクティブ フェールオーバー – 運用中コンフィグアップデート (リスタート不要) – 超高速リスタート• 豊富な管理レイヤ – Java, Perl, Python APIs – コマンドラインインタフェース (CLI) – ネイティブ LDAP インタフェース – SNMPによるリアルタイム監視 (全バージョン対応)• ロギングおよびレポート機能 – システム全体のリアルタイム統計 – カスタム syslog メッセージ (監査トライアル用)• 簡単な設定 – – トポロジーとは分離したコンフィグ (ポリシーオブジェクト) 特定DHCPオプションと属性によるスクリプトメカニズム経 メリット: • ダウンタイムなし 由のカスタマイズされた動作 • 柔軟なポリシー管理• 将来性 • 業界最高水準の高性能 – 完全 IPv6 (DHCPv6) 対応 • 管理オーバーヘッドの削減 Nominum Confidential DCSの概要
  8. 8. 8 高性能アーキテクチャDHCPトランザクションに 軽量スレッド 業界最高性能 最適化されたDB 完全なる最新かつイン メモリキャッシュ  最大 2k リース/秒 (ディ スカバー時) ディスク上に保存され た永続的イメージ情報  DHCPリクエストの並  最大 5k リース/秒 (更 行処理 新時) メモリとディスクの差分 の効率的なトランザク  最大1M リース/ペア ションログ(ジャーナリ  リスタートは10秒以内 ング) Nominum Confidential DCSの概要
  9. 9. 9DCSアーキテクチャ 認証 プロビジョニング - ネイティブ LDAP DHCP - 制御チャネル - イベントチャネル 課金 エンジン - SNMP - カスタムロギング ファイアウォール コンプライアンス Nominum Confidential DCSの概要
  10. 10. 10高可用性アクティブ-アクティブ フェイルオーバー 高速リスタート X 高負荷時のスマート処理 常時リアルタイム監視 運用中断なし 性能への影響なし 稼働中保守/再コンフィグ 高速復旧 Nominum Confidential DCSの概要
  11. 11. 11豊富な管理レイヤ• SNMPによるリアルタイム監視 (全バージョン対応) – 高低水位標による警報トラップ • 例. DDNSアップデート、リース減少、過度の衰退等• 高度な統計機能 – 制御チャネル経由SNMPでアクセス – 運用/開放リース、測定情報、プールリンク情報等広範囲の統計情報• カスタマイズ形式のログメッセージ – 設定可能なログ出力• 多彩なインタフェース – ネイティブ LDAP – Java, Perl, Python APIs – コマンドラインインタフェース (i.e. nom_tell) Nominum Confidential DCSの概要
  12. 12. 12共通の管理インタフェース ノミナム全製品に共通した制御チャネルと APIインタフェース 制御チャネル (config) イベントチャネル (monitoring) Vantio DCS API (Java, Perl, Python) ANS/P Nominum Confidential DCSの概要
  13. 13. 13 サービスや課金機能との統合を簡単に• オープンインテグレーション 顧客サービス RADIUS LDAP ポータル – 外部システム(例. プロビジョニング) との統合 • ネイティブ LDAP インタフェース • Java, Perl, Python APIs – Embedded Python • 特定のDHCPオプションや属性に基 づくDCSの動きをカスタマイズ Nominum Confidential DCSの概要
  14. 14. 14 レポートとログ機能• 監査トライアル向けにログメッセージをカスタマイズ可能 – オプション82 (リレーエージェント) ロギング – リース ロギング Server.update log-format-dhcp-message=“{msg-type} {address} {direction} {hardware-address} ({client- id/xs}) via {via}, client name: {client-name}, tid: {tid}, xid: 0x{xid/x}” Gives log file output: DHCPOFFER of 10.0.0.1 to 00:25:00:4b:69:5f (01:00:25:00:4b:69:5f) via eth0, client name: client- 1.0, tid: 1, xid: 0x1 Nominum Confidential DCSの概要
  15. 15. 15レポートとログ機能カスタム化されたログメッセージ用代替キーワードの範囲• {address} • {hardware-type}• {agent-circuit-id} • {inbound?true_string:fa• {agent-remote-id} lse_string}• {agent-subscriber-id} • {lifetime}• {client-id} • {msg-type}• {client-id-type} • {tid}• {client-name} • {xid}• {hardware-address} • {via} Nominum Confidential DCSの概要
  16. 16. 16 ポリシーオブジェクト 特定のトポロジーのオブジェクト(プールやネットワークのような)とは 結びつかない管理上のルールを規定する方法を提供• 設定をトポロジーから分離• 様々なポリシーをDHCPトランザクションに適用可能 – ポリシーをお互いに連鎖できます – 整数優先フィールドがポリシーを命令• ポリシー設定はポリシーがプログラム的に指定されるの を許容 – i.e. embedded Python – DHCPトランザクションの中で多様なポイントにおいて Nominum Confidential DCSの概要
  17. 17. 17ポリシー設定• ‘policy-name-formats’ フィールドはポリシー名リストを含む• オプション的にクライアント要求から拡張された代替キーワ ードを含むかもしれない – {agent-circuit-id} – {agent-interface-id} – {agent-remote-id} – {agent-subscriber-id} – {client-id} – {client-id-type} – {hardware-address} – {hardware-type} Nominum Confidential DCSの概要
  18. 18. 18 ポリシー設定の実例 “ゴールド” サービスポリシーを作成し、MACアドレス によるクライアントを追加する場合• # Create a policy named “gold”• # Gold policy might have higher bandwidth (e.g. 5Mbps)• # Create policy for specific clients and assign to “gold” service level• # Define how policy is applied at server level (scope) Nominum Confidential DCSの概要
  19. 19. 19ネイティブLDAPインタフェース LDAP DCS LDAPクエリー結果に基づいた DCSポリシー リース結合もしくは非結合に基づく LDAPアップデート Nominum Confidential DCSの概要
  20. 20. 20LDAP経由でのポリシー設定• 以下の‘ldap’ オブジェクトの設定フィールドは LDAP ポリ シークエリのフォーマットを規定 – enable-queries • Enables LDAP object for queries – search-base • Base object to perform queries relative to (dc=dhcp,dc=example,dc=com) – search-scope • Search scope (‘base’, ‘one-level’ or ‘subtree’) – search-filter-format • Filter to use for searches (e.g. (cn={hardware-address})) – search-result-map • Table mapping LDAP attributes to DCS configuration fields (e.g. { sn = ddns-domain }) Nominum Confidential DCSの概要
  21. 21. 21LDAP経由でのポリシー設定(続き)• どんなDCS ‘policy’ オブジェクトフィールドも LDAP 属性から 設定することができます• LDAP属性の翻訳は‘search-result-map’で定義されます – ‘search-result-map’のLDAP属性名はLDAP サーバによって返された 属性とマッチしなければなりません• LDAP属性は ‘policy-fields’にマップされます – 属性はポリシーフィールドのテーブルと数値を含むべきです – ‘policy-fields’は 一つのLDAP 属性から全体のポリシーオブジェクト にマップされます Nominum Confidential DCSの概要
  22. 22. 22リース状態を用いたLDAPアップデート• 以下の設定フィールドはアップデートの振る舞いを制御します – ‘enable-updates’ – ‘enable-additions’ – ‘update-name-format’ – ‘update-attributes-map’ – ‘addition-objectclasses’ – ‘addition-attributes-map’• アップデートは‘enable-updates’フィールドによって可能になります• DCSは最初に‘update-name-format’中の定義されたDNによって定義された エントリーをアップデートすることを試みます – アップデートは‘update-attributes-map’に定義された全属性を含みます• もしエントリーが存在せず、‘enable-additions’が設定された場合、DCS は新 しいエントリーを追加するよう試みます – 新しいエントリーは ‘update-attributes-map’ および‘addition-attribute-map’中に 定義された全属性を持っています Nominum Confidential DCSの概要
  23. 23. 23リース状態を用いたLDAPアップデート(続き)• DCSによって作成されたエントリーは ‘addition-objectclasses’ に指定されたobjectClassを持っています• もしLDAPアップデートが失敗したら、DCSは後でアップデート のリトライができます• アップデートのリトライは以下の方法で制御されます – ‘update-retry-attempts’ • 回数、DCSが失敗したアップデートをリトライします – ‘update-retry-delay’ • 時間量(秒)、失敗したアップデートをリトライする前にDCSは待ちます Nominum Confidential DCSの概要
  24. 24. 24LDAP性能チューニング• DCSの様々な性能の観点からコントロールされる設定フィールド – connections-per-server • 各LDAP サーバへの接続回数 – transactions-per-connection • 1 LDAP 接続のLDAP同時リクエストの最大数connection – connection-lifetime • LDAP接続の最大生存時間(秒) – reconnect-interval • 届かないサーバへの再接続を試行する前の待ち時間 – request-timeout • LDAP サーバからのレスポンスを待っている待ち時間 (タイムアウト後閉められた接続) – transaction-timeout • DHCP トランザクションの一部が完了したLDAP運用を待っている最大時間 • 個別サーバ用‘request-timeout’, トランザクションを扱うために設定された全てのサーバ用 ‘transaction-timeout’ Nominum Confidential DCSの概要
  25. 25. 25DHCPv6対応• 完全なる DHCPv6 を実装 – 静的アドレス配分 – 動的アドレス配分 – 一時的アドレス – 重複アドレス検知 – 高速コミット• 主なRFCs: – RFC 3315 DHCPv6 – RFC 3633 IPv6 Prefix Options for DHCPv6 – RFC 3646 DNS options for DHCPv6 – RFC 3736 Stateless DHCPv6• IPv4と同様にDCSにIPv6を設定 Nominum Confidential DCSの概要

×