Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【ShowNet 展示会場内セミナー 2025】ShowNetのネットワークを解説 〜高機能か...

Avatar for ShowNet ShowNet PRO
August 01, 2025
4

【ShowNet 展示会場内セミナー 2025】ShowNetのネットワークを解説 〜高機能かつシンプルなマルチテナントバックボーンへの挑戦〜

2025年6月に幕張メッセで実施されたInterop Tokyo 展示会場内セミナーでのNOCチームメンバーによる講演資料

A1-01【ShowNetのネットワークを解説 〜高機能かつシンプルなマルチテナントバックボーンへの挑戦〜】

ShowNet NOCチーム
L2L3担当
鎌田 徹平

Avatar for ShowNet

ShowNet PRO

August 01, 2025
Tweet

More Decks by ShowNet

Transcript

  1. Interop とは? 1986年アメリカでネット技術標準を議論する 会議としてスタート Interoperability(相互運用性)から 作られた造語 ネットワーク製品の検証の場 つなげてみないとわからない 製品の商品化 →

    展示会もスタート 日本では1994年スタート。今年で32回目 今でも当初の精神はShowNetが受け継ぐ 応用産業分野(同時開催イベントを実施) 応用産業や上位のイノベーションが広がる ことによって進化し続けるインターネット 技術 2 2
  2. ShowNetとは I know it works because I saw it at

    Interop. 最新のネットワーク技術・ ネットワーク機器などを相互に接続 「5年後、10年後に必要となる ネットワークの姿」を示すという ビジョンのもとに構築する コンセプトネットワーク 3
  3. ShowNetとインターネット技術の歩み 年代 ShowNetでの取り組み 商用サービスの動き 1990年代 ATM メトロイーサネット ATMメガリンク 広域イーサネットサービス 2000年代

    ADSL キャリアグレードNAT (CGN) セキュリティオペレーションセンタ (SOC) DSLサービス(YBB等) 光接続サービス(USEN, B-フレッツ等) CGN(キャリアグレードNAT) セキュリティインシデントの増加 IPv6サービス 2010年代 100GbE Software Defined Networking (SDN) DCファブリック サービスチェイニング 100GbEサービス SDN/NFV DCネットワークファブリック ネットワークスライシング 2020年代 Segment Routing SASE ゼロトラスト Wi-Fi 6E, Wi-Fi 7, L5G 5
  4. 7

  5. Copyright © Interop Tokyo 2025 ShowNet NOC Team ShowNet 2025

    External 構成 合計 2.33Tbps の回線 + Mobile External さらに広がる接続の輪 堅牢で安心な対外防御 Software Defined External クラウドインターコネクトの活用 External 9 高性能な専用線 及び 7波1.2Tbps の波長提供 広帯域・低遅延を実証 商用・学術系IXと共に、今年はコミュニティIXも参加! フロー監視と連携した DDoS 攻撃対策 TCP-AO によるピアリング認証 の試験導入 Cisco NSO + NOC お手製ポータル によるPeering 自動化 各分科会にコンピューティング環境を提供 External 図は N-1/N-2 ラック前の床にも展示中!
  6. Copyright © Interop Tokyo 2025 ShowNet NOC Team Peering with

    ShowNet 2025 External 10 nso ncs57c3.noc cisco8712.noc Peering Portal Rest API mx204.noc 左の QRコードより Peering 受付中! ※6/10 22:00 時点のデータ • 各接続IXでのピア申請を専用ポータルサイトで受付 • NSOによりShowNetルータへのBGPピア設定を自動で投入
  7. Copyright © Interop Tokyo 2025 ShowNet NOC Team DDoS攻撃対策 •

    DDoS攻撃はShowNetでも観測され、対策が必須 • 対外接続ルータ全てに対し攻撃を検知・遮断する装置を導入 ◦ 監視機器ごとに異なるフロー監視& DDoS 対策を実施 External 11
  8. Copyright © Interop Tokyo 2025 ShowNet NOC Team • フローの監視&ミチゲーションを1台で実施

    ◦ MX204 と連携した DDoS 対策を実施中 Juniper Threat Defense Detector 12 mx204 t dd トラフィック監視 & BGP FlowSpec
  9. Copyright © Interop Tokyo 2025 ShowNet NOC Team A10 DDoS

    Protection Solution • オーケストレータ・ディテクタ・ミチゲータが連携し防御 ◦ A10 Control (DDoS Orchestrator)(#D-2ラック 仮想環境上) ◦ A10 Defend DDoS Detector TH7445(#N-2ラック) ◦ A10 Defend DDoS Mitigator TH6655s(#N-2ラック) 13 t hunde r 7445 t hunde r 6655s a 10c ont r ol - a do 検知 指示 IPFIX監視 BGP FlowSpec
  10. Copyright © Interop Tokyo 2025 ShowNet NOC Team Cisco Secure

    DDoS Edge Protection • コンテナとして動作する DDoS 対策アプライアンス ◦ Cisco 8712 上で DDoS 対策中! 14 c i s c o8712 c i s c o- ddos - e p ② ACLを設定 ① DDoSを検知 syslog監視も可能
  11. Copyright © Interop Tokyo 2025 ShowNet NOC Team RPKIによるOrigin Validation

    • Resource Public Key Infrastructure (RPKI) ◦ IPアドレスリソースの正当な保有者を公開鍵基盤(PKI)で証明する仕組み • Route Origin Authorization (ROA) ◦ IPアドレスの保有者がアドレスを広告するASを指定 • Route Origin Validation (ROV) ◦ 受信したBGP経路がROAに適合するかを検証 15
  12. Copyright © Interop Tokyo 2025 ShowNet NOC Team TCP-AO (Authentication

    Option) • トランスポート層の認証を行うためのTCP option ◦ RFC5925,RFC5926で標準化 • 認証アルゴリズムを選択可能 ◦ 認証の危殆化を防ぐアーキテクチャ ◦ ShowNet では AES-128-CMAC-96 を採用 • 2社 3種の External ルータで相互接続中! ◦ 接続先を絶賛募集中!!! 16
  13. ShowNet Backboneのキーテクノロジー Segment Routing ネットワーク上の要素を”Segment”と表現 例: ノード、隣接関係、BGP Peer、サービス ヘッドエンドのルータでパケットにSegmentのリストを挿入 1.

    パケットはリストの最初のSegmentを持つノードへ届く 2. ノードはパケットの宛先をリストの次のSegmentに書き換えて送信 パケットは送信元が指定した箇所を経由しながら転送される(Source Routing) A B C D E Packet List: C,B,D Packet Packet
  14. ”Segment”の2つの実現方法 SR-MPLS MPLSラベルをSegmentとして使う 既存のMPLS Data Planeハードウェアをそのまま利用できる 識別子空間は 20bit SRv6 IPv6アドレスをSegmentとして使う

    SRv6ノードは新しいIPv6拡張ヘッダ(SRv6ヘッダ)に要対応 識別子空間は 128bit • 128 bitをLocator, Function, Argumentとして利用 Eth MPLS IP Payload Eth SRv6 IP Payload IPv6
  15. 2025年のShowNet Backbone 23 EVPN/VXLAN網 ce5732 cat al ys t 9300

    nexus 93108t c ex4400 f x2 Backboneは SRv6 uSIDのみを用いた Layer-3 VPN ユーザアクセス網は EVPN-VXLAN Type-5 によるLayer-3 VPN Inline FWでVXLAN Inspectionを実施 ne8000- f 2c uSI D: 6007 mx204 uSI D: 6001 ncs 57c 3 uSI D: 6002 ci s co8712 uSI D: 6003 ci s co8011 uSI D: 6011 f x2 uSI D: 6010 pt x10002 uSI D: 6005 SRv6 uSID網 ci s co8201- 32f h uSI D: 6004 mx304 uSI D: 6006 acx7100 uSI D: 6012 acx7024x uSI D: 6014 ne8000- f 1a uSI D: 6015 f x2 uSI D: 6013 pa7500 s r x4700
  16. SRv6 uSIDを用いたサービス f x2 SRv6 uSIDによるL2VPNを Backboneで提供中 Media over IP用

    SRv6 EVPN VPLS Externalからの映像伝送用 SRv6 EVPN VPWS 同時にFlexAlgoによる スライシングでの 経路制御も実施 ne8000- f 2c uSI D: 6007 mx204 uSI D: 6001 ncs 57c 3 uSI D: 6002 ci s co8712 uSI D: 6003 ci s co8011 uSI D: 6011 f x2 uSI D: 6010 pt x10002 uSI D: 6005 SRv6 uSID網 ci s co8201- 32f h uSI D: 6004 mx304 uSI D: 6006 acx7100 uSI D: 6012 acx7024x uSI D: 6014 ne8000- f 1a uSI D: 6015 f x2 uSI D: 6013 moip Multicast 映像伝送VLAN1 moip Multicast 映像伝送VLAN2 8k非圧縮映像伝送 with FlexAlgo
  17. コンテナ基盤へのSRv6 f x2 ShowNet2025のSRv6は コンテナ基盤まで延伸 DHCPやDNSのパケットを vrf-global/vrf-privateともに SRv6 VPNでコンテナに直接 転送

    今回は広告されたSIDを用 いて各PODへLBしながら 柔軟にサービス提供 障害時にはDynamic Routing Protocolによる動的な迂回 ne8000- f 2c uSI D: 6007 mx204 uSI D: 6001 ncs 57c 3 uSI D: 6002 ci s co8712 uSI D: 6003 ci s co8011 uSI D: 6011 f x2 uSI D: 6010 pt x10002 uSI D: 6005 SRv6 uSID網 ci s co8201- 32f h uSI D: 6004 mx304 uSI D: 6006 acx7100 uSI D: 6012 acx7024x uSI D: 6014 ne8000- f 1a uSI D: 6015 f x2 uSI D: 6013 eBGP ISIS 出展社 DHCP vrf-global DHCP vrf-private
  18. コンテナ基盤へのSRv6 f x2 ShowNet2025のSRv6は コンテナ基盤まで延伸 DHCPやDNSのパケットを vrf-global/vrf-privateともに SRv6 VPNでコンテナに直接 転送

    今回は広告されたSIDを用 いて各PODへLBしながら 柔軟にサービス提供 障害時にはDynamic Routing Protocolによる動的な迂回 ne8000- f 2c uSI D: 6007 mx204 uSI D: 6001 ncs 57c 3 uSI D: 6002 ci s co8712 uSI D: 6003 ci s co8011 uSI D: 6011 f x2 uSI D: 6010 pt x10002 uSI D: 6005 SRv6 uSID網 ci s co8201- 32f h uSI D: 6004 mx304 uSI D: 6006 acx7100 uSI D: 6012 acx7024x uSI D: 6014 ne8000- f 1a uSI D: 6015 f x2 uSI D: 6013 eBGP ISIS 出展社 DHCP vrf-global DHCP vrf-private
  19. ShowNet2025 SRv6活用のまとめ SRv6 uSID onlyバックボーンはShowNetでは初めて 5ベンダ、13機種がuSIDでパケットを転送 (Cilium含む) アンダーレイは引き続きIPv6 Link Local

    Only L2VPNもEVPN VPLS/VPWS共に問題なく動作 FlexAlgoによるSlicingも有効に動作 Container基盤でもSRv6を有効に活用できた Dynamic Routing protocolによる障害時の自動迂回 Anycast SIDを使ったLoad balanceへの適用の可能性など 27 2019 Data Planeで Service Chaining 2020 コロナ禍で 開催中止 2021 SR-MPLSメイン+ SRv6 L3VPN相接 2022 /2023 SRv6 L3VPN Single Stack 2024 SRv6 over NTN 2025 SRv6 for Container
  20. EVPN-VXLANによるLayer-3 VPN VXLAN: EthernetフレームをIP越しに転送するオーバーレイ EVPN: VXLANの転送先を解決するためのBGPの拡張 BGPのL2VPN EVPN SAFIでIP Prefixを広告

    29 Layer-3 Network MAC A IP: Y Payload BGPルートリフレクタ MAC A Payload MAC A Payload Host: MAC A データセンターやキャリアでの利用を想定し標準化、実装が進んだ技術 最近はキャンパススイッチでも実装が進んでいる
  21. 相互接続性のあれこれ マルチベンダでの相互接続にはハマりどころも多い SRv6 EVPN のBGP Updateにはまだ解釈違いが SRv6 EVPNとVXLAN EVPNのUpdateが混ざると… 他にも今年もあれこれ色々ありました

    かなりの苦労を経て今年も動きました ShowNetラック及び各ホールにてSRv6 uSID、EVPN/VXLANで動作中 の各ルータと出展社収容スイッチ、各FWは無事に稼働中です!
  22. Interop Tokyo 2025 ShowNet 未来のネットワークの1つのカタチ 10年先のインターネットをつくる そのモデルを示すデモと検証 相互接続性 • ShowNetは異種ベンダー、異種

    機器間の相互接続で成り立つ • オープンな技術の上に成り立つ 組み合わせの自由度 • そしてコミュニティへの還元 35
  23. 36