【ShowNet 展示会場内セミナー 2025】ShowNetのネットワークを解説 〜高機能かつシンプルなマルチテナントバックボーンへの挑戦〜

Transcript

1. ShowNetのネットワークを解説 高機能かつシンプルな マルチテナントバックボーンへの挑戦 Interop展示会場内セミナー Interop Tokyo 2025 ShowNet NOCチームメンバー 鎌田徹平

2. Interop とは？ 1986年アメリカでネット技術標準を議論する 会議としてスタート Interoperability(相互運用性）から 作られた造語 ネットワーク製品の検証の場 つなげてみないとわからない 製品の商品化 →

   展示会もスタート 日本では1９９４年スタート。今年で32回目 今でも当初の精神はShowNetが受け継ぐ 応用産業分野（同時開催イベントを実施） 応用産業や上位のイノベーションが広がる ことによって進化し続けるインターネット 技術 2 2

3. ShowNetとは I know it works because I saw it at

   Interop. 最新のネットワーク技術・ ネットワーク機器などを相互に接続 「5年後、10年後に必要となる ネットワークの姿」を示すという ビジョンのもとに構築する コンセプトネットワーク 3

4. ネットワークの規模 コントリビューション機器/製品/サービス：約2300 動員数：828名 NOCチームメンバー：32名、STM：42名 コントリビューター： 754 名 UTP総延長：約24.8km 光ファイバー総延長：約7.0km 総電気容量：100V

   約44.7kW 200V 約123.1kW NOCラック NOC 100V 約23.4kW/200V 約123.1kW Pod 100V 約21.3kW 総コンセント数：約302 NOCラック:約200個、POD:約100個 4

5. ShowNetとインターネット技術の歩み 年代 ShowNetでの取り組み 商用サービスの動き 1990年代 ATM メトロイーサネット ATMメガリンク 広域イーサネットサービス 2000年代

   ADSL キャリアグレードNAT (CGN) セキュリティオペレーションセンタ (SOC) DSLサービス(YBB等） 光接続サービス（USEN, B-フレッツ等） CGN(キャリアグレードNAT) セキュリティインシデントの増加 IPv6サービス 2010年代 100GbE Software Defined Networking (SDN) DCファブリック サービスチェイニング 100GbEサービス SDN/NFV DCネットワークファブリック ネットワークスライシング 2020年代 Segment Routing SASE ゼロトラスト Wi-Fi 6E, Wi-Fi 7, L5G 5

6. エクスターナル図 6

7. 7

8. Copyright © Interop Tokyo 2025 ShowNet NOC Team ShowNet AS290

   External ShowNet 2025

9. Copyright © Interop Tokyo 2025 ShowNet NOC Team ShowNet 2025

   External 構成 合計 2.33Tbps の回線 + Mobile External さらに広がる接続の輪 堅牢で安心な対外防御 Software Defined External クラウドインターコネクトの活用 External 9 高性能な専用線 及び 7波1.2Tbps の波長提供 広帯域・低遅延を実証 商用・学術系IXと共に、今年はコミュニティIXも参加！ フロー監視と連携した DDoS 攻撃対策 TCP-AO によるピアリング認証 の試験導入 Cisco NSO + NOC お手製ポータル によるPeering 自動化 各分科会にコンピューティング環境を提供 External 図は N-1/N-2 ラック前の床にも展示中！

10. Copyright © Interop Tokyo 2025 ShowNet NOC Team Peering with

    ShowNet 2025 External 10 nso ncs57c3.noc cisco8712.noc Peering Portal Rest API mx204.noc 左の QRコードより Peering 受付中！ ※6/10 22:00 時点のデータ • 各接続IXでのピア申請を専用ポータルサイトで受付 • NSOによりShowNetルータへのBGPピア設定を自動で投入

11. Copyright © Interop Tokyo 2025 ShowNet NOC Team DDoS攻撃対策 •

    DDoS攻撃はShowNetでも観測され、対策が必須 • 対外接続ルータ全てに対し攻撃を検知・遮断する装置を導入 ◦ 監視機器ごとに異なるフロー監視＆ DDoS 対策を実施 External 11

12. Copyright © Interop Tokyo 2025 ShowNet NOC Team • フローの監視＆ミチゲーションを1台で実施

    ◦ MX204 と連携した DDoS 対策を実施中 Juniper Threat Defense Detector 12 mx204 t dd トラフィック監視 ＆ BGP FlowSpec

13. Copyright © Interop Tokyo 2025 ShowNet NOC Team A10 DDoS

    Protection Solution • オーケストレータ・ディテクタ・ミチゲータが連携し防御 ◦ A10 Control (DDoS Orchestrator)（#D-2ラック 仮想環境上） ◦ A10 Defend DDoS Detector TH7445（#N-2ラック） ◦ A10 Defend DDoS Mitigator TH6655s（#N-2ラック） 13 t hunde r 7445 t hunde r 6655s a 10c ont r ol - a do 検知 指示 IPFIX監視 BGP FlowSpec

14. Copyright © Interop Tokyo 2025 ShowNet NOC Team Cisco Secure

    DDoS Edge Protection • コンテナとして動作する DDoS 対策アプライアンス ◦ Cisco 8712 上で DDoS 対策中！ 14 c i s c o8712 c i s c o- ddos - e p ② ACLを設定 ① DDoSを検知 syslog監視も可能

15. Copyright © Interop Tokyo 2025 ShowNet NOC Team RPKIによるOrigin Validation

    • Resource Public Key Infrastructure (RPKI) ◦ IPアドレスリソースの正当な保有者を公開鍵基盤(PKI)で証明する仕組み • Route Origin Authorization (ROA) ◦ IPアドレスの保有者がアドレスを広告するASを指定 • Route Origin Validation (ROV) ◦ 受信したBGP経路がROAに適合するかを検証 15

16. Copyright © Interop Tokyo 2025 ShowNet NOC Team TCP-AO (Authentication

    Option) • トランスポート層の認証を行うためのTCP option ◦ RFC5925,RFC5926で標準化 • 認証アルゴリズムを選択可能 ◦ 認証の危殆化を防ぐアーキテクチャ ◦ ShowNet では AES-128-CMAC-96 を採用 • 2社 3種の External ルータで相互接続中！ ◦ 接続先を絶賛募集中！！！ 16

17. ShowNet2025 L2L3解説

18. L2L3 2025 テーマ 18 高機能かつシンプルな マルチテナントバックボーンへの挑戦 SRv6・EVPN VXLANを用いたバックボーンと ネットワークファンクションのシームレスな統合 ネットワークスライスを活用した高度なトラフィック制御

    多様なアプリケーションを支える バックボーンサービスの提供

19. 19 多様なアプリケーションを支える バックボーンサービスの提供 =SRv6 L2VPN/L3VPN SRv6・EVPN VXLANを 用いたバックボーンと ネットワークファンクションの シームレスな統合

    =container SRv6/VXLAN inspection ネットワークスライスを活用した 高度なトラフィック制御 =SRv6 uSID FlexAlgo

20. ShowNet Backboneのキーテクノロジー Segment Routing ネットワーク上の要素を”Segment”と表現 例: ノード、隣接関係、BGP Peer、サービス ヘッドエンドのルータでパケットにSegmentのリストを挿入 1.

    パケットはリストの最初のSegmentを持つノードへ届く 2. ノードはパケットの宛先をリストの次のSegmentに書き換えて送信 パケットは送信元が指定した箇所を経由しながら転送される(Source Routing) A B C D E Packet List: C,B,D Packet Packet

21. ”Segment”の2つの実現方法 SR-MPLS MPLSラベルをSegmentとして使う 既存のMPLS Data Planeハードウェアをそのまま利用できる 識別子空間は 20bit SRv6 IPv6アドレスをSegmentとして使う

    SRv6ノードは新しいIPv6拡張ヘッダ(SRv6ヘッダ)に要対応 識別子空間は 128bit • 128 bitをLocator, Function, Argumentとして利用 Eth MPLS IP Payload Eth SRv6 IP Payload IPv6

22. ShowNetとSegment Routingの変遷 ShowNetではSegment Routing黎明期から様々な取り組みを 行ってきました Dataplaneを手作りしていた時代からはじめ、去年までの営 みでかなり成熟したことを確認 2018 小島で相互 接続検証

    2019 Data Planeで Service Chaining 2020 コロナ禍で 開催中止 2021 SR-MPLSメイン+ SRv6 L3VPN相接 2022 /2023 SRv6 L3VPN Single Stack 2024 SRv6 over NTN

23. 2025年のShowNet Backbone 23 EVPN/VXLAN網 ce5732 cat al ys t 9300

    nexus 93108t c ex4400 f x2 Backboneは SRv6 uSIDのみを用いた Layer-3 VPN ユーザアクセス網は EVPN-VXLAN Type-5 によるLayer-3 VPN Inline FWでVXLAN Inspectionを実施 ne8000- f 2c uSI D: 6007 mx204 uSI D: 6001 ncs 57c 3 uSI D: 6002 ci s co8712 uSI D: 6003 ci s co8011 uSI D: 6011 f x2 uSI D: 6010 pt x10002 uSI D: 6005 SRv6 uSID網 ci s co8201- 32f h uSI D: 6004 mx304 uSI D: 6006 acx7100 uSI D: 6012 acx7024x uSI D: 6014 ne8000- f 1a uSI D: 6015 f x2 uSI D: 6013 pa7500 s r x4700

24. SRv6 uSIDを用いたサービス f x2 SRv6 uSIDによるL2VPNを Backboneで提供中 Media over IP用

    SRv6 EVPN VPLS Externalからの映像伝送用 SRv6 EVPN VPWS 同時にFlexAlgoによる スライシングでの 経路制御も実施 ne8000- f 2c uSI D: 6007 mx204 uSI D: 6001 ncs 57c 3 uSI D: 6002 ci s co8712 uSI D: 6003 ci s co8011 uSI D: 6011 f x2 uSI D: 6010 pt x10002 uSI D: 6005 SRv6 uSID網 ci s co8201- 32f h uSI D: 6004 mx304 uSI D: 6006 acx7100 uSI D: 6012 acx7024x uSI D: 6014 ne8000- f 1a uSI D: 6015 f x2 uSI D: 6013 moip Multicast 映像伝送VLAN1 moip Multicast 映像伝送VLAN2 8k非圧縮映像伝送 with FlexAlgo

25. コンテナ基盤へのSRv6 f x2 ShowNet2025のSRv6は コンテナ基盤まで延伸 DHCPやDNSのパケットを vrf-global/vrf-privateともに SRv6 VPNでコンテナに直接 転送

    今回は広告されたSIDを用 いて各PODへLBしながら 柔軟にサービス提供 障害時にはDynamic Routing Protocolによる動的な迂回 ne8000- f 2c uSI D: 6007 mx204 uSI D: 6001 ncs 57c 3 uSI D: 6002 ci s co8712 uSI D: 6003 ci s co8011 uSI D: 6011 f x2 uSI D: 6010 pt x10002 uSI D: 6005 SRv6 uSID網 ci s co8201- 32f h uSI D: 6004 mx304 uSI D: 6006 acx7100 uSI D: 6012 acx7024x uSI D: 6014 ne8000- f 1a uSI D: 6015 f x2 uSI D: 6013 eBGP ISIS 出展社 DHCP vrf-global DHCP vrf-private

26. コンテナ基盤へのSRv6 f x2 ShowNet2025のSRv6は コンテナ基盤まで延伸 DHCPやDNSのパケットを vrf-global/vrf-privateともに SRv6 VPNでコンテナに直接 転送

    今回は広告されたSIDを用 いて各PODへLBしながら 柔軟にサービス提供 障害時にはDynamic Routing Protocolによる動的な迂回 ne8000- f 2c uSI D: 6007 mx204 uSI D: 6001 ncs 57c 3 uSI D: 6002 ci s co8712 uSI D: 6003 ci s co8011 uSI D: 6011 f x2 uSI D: 6010 pt x10002 uSI D: 6005 SRv6 uSID網 ci s co8201- 32f h uSI D: 6004 mx304 uSI D: 6006 acx7100 uSI D: 6012 acx7024x uSI D: 6014 ne8000- f 1a uSI D: 6015 f x2 uSI D: 6013 eBGP ISIS 出展社 DHCP vrf-global DHCP vrf-private

27. ShowNet2025 SRv6活用のまとめ SRv6 uSID onlyバックボーンはShowNetでは初めて 5ベンダ、13機種がuSIDでパケットを転送 (Cilium含む) アンダーレイは引き続きIPv6 Link Local

    Only L2VPNもEVPN VPLS/VPWS共に問題なく動作 FlexAlgoによるSlicingも有効に動作 Container基盤でもSRv6を有効に活用できた Dynamic Routing protocolによる障害時の自動迂回 Anycast SIDを使ったLoad balanceへの適用の可能性など 27 2019 Data Planeで Service Chaining 2020 コロナ禍で 開催中止 2021 SR-MPLSメイン+ SRv6 L3VPN相接 2022 /2023 SRv6 L3VPN Single Stack 2024 SRv6 over NTN 2025 SRv6 for Container

28. アクセスネットワークのL3VPN化 エンタープライズ、キャンパスネットワークではまだまだ VLANが用いられている 運用コスト、スケーラビリティが課題 今年のShowNetではEVPN VXLANを用いてフルL3VPN化 すべてL3化することでDynamic Routing Protocolによる経路制御 運用コストやスケーラビリティの課題を解決

    L2延伸が必要な際にはEVPN VXLAN Type2にて延伸することも可能

29. EVPN-VXLANによるLayer-3 VPN VXLAN: EthernetフレームをIP越しに転送するオーバーレイ EVPN: VXLANの転送先を解決するためのBGPの拡張 BGPのL2VPN EVPN SAFIでIP Prefixを広告

    29 Layer-3 Network MAC A IP: Y Payload BGPルートリフレクタ MAC A Payload MAC A Payload Host: MAC A データセンターやキャリアでの利用を想定し標準化、実装が進んだ技術 最近はキャンパススイッチでも実装が進んでいる

30. ShowNet2025のアクセス網構成 EVPN Type5によるEVPN/VXLAN網 アンダーレイはOSPFで冗長化 エンタープライズ向けスイッチを含む3社6機種で相互接続 FWはVXLAN Inspection機能によりEVPN/VXLAN網にOSPFで インライン接続 30 EVPN/VXLAN網

    ce5732 cat al ys t 9300 nexus 93108t c ex4400 ne8000- f 2c mx304 pa7500 s r x4700

31. ShowNet2025のアクセス網構成の良かった点 ShowNetでは例年、ホール毎に異なるFWに振り分ける これまではこの振り分けをService chainingで行ったり、 VRFを分けてRoute leakによるRoutingなどで解決してきた 結果、複雑になりがちだった。 2019年:SRv6 Service Chaining

    各ホールごとにつけるSIDを変えて制御 2024年:VRF Route Leaking 同じRouterが3回も出てくる構成に 例) Hall6の場合

32. ShowNet2025のアクセス網構成の良かった点 ShowNetでは例年、ホール毎に異なるFWに振り分ける 今年はOSPFコストのみで制御することができて 非常にシンプルな構成を構築! 32 EVPN/VXLAN網 ce5732 cat al ys

    t 9300 nexus 93108t c ex4400 ne8000- f 2c mx304 pa7500 s r x4700 cost 10 cost 10 cost 1000 cost 1000 cost 10

33. 相互接続性のあれこれ マルチベンダでの相互接続にはハマりどころも多い SRv6 EVPN のBGP Updateにはまだ解釈違いが SRv6 EVPNとVXLAN EVPNのUpdateが混ざると… 他にも今年もあれこれ色々ありました

    かなりの苦労を経て今年も動きました ShowNetラック及び各ホールにてSRv6 uSID、EVPN/VXLANで動作中 の各ルータと出展社収容スイッチ、各FWは無事に稼働中です！

34. Special Thanks 34

35. Interop Tokyo 2025 ShowNet 未来のネットワークの1つのカタチ 10年先のインターネットをつくる そのモデルを示すデモと検証 相互接続性 • ShowNetは異種ベンダー、異種

    機器間の相互接続で成り立つ • オープンな技術の上に成り立つ 組み合わせの自由度 • そしてコミュニティへの還元 35

36. 36