導入事例

もくじ

• 

  株式会社 日本ネットワークサービス
  技術局 情報ネットワーク部
  部長
  林本 雅之 氏

• 

  株式会社 ウインテックコミュニケーションズ
  技術・運用保守グループ
  シニアマネジャー
  岡 裕人 氏

いよいよ内部でも在庫が底をついたIPv4、FTTH化とともにCGNAT導入へ

日本ネットワークサービス（NNS）は1970年の創業以来、「皆様の生活パートナー」というビジョンに基づき、山梨県甲府市をはじめ7市3町でケーブルテレビ事業、インターネット事業や電話事業を提供して地域の生活を支えてきた。同じ山日YBSグループでISP事業やシステムインテグレーション事業を手がけるウインテックコミュニケーションズのノウハウや支援を生かしながらサービスを提供している。

近年はインターネット、特にブロードバンド接続の需要が高まり、求められるサービス品質もシビアになっている。そうしたニーズを受けて同社は近年、完全FTTH化を進めてきた。「昔のような伝送路のトラブルは減りましたが、使い方が多種多様になり、想定外の事象が生じることもあります。細やかな検証を積み重ねてそうした問題を解消しつつ、日々、安定したサービス提供に務めています」（日本ネットワークサービス 技術局 情報ネットワーク部部長 林本雅之氏）

NNSは比較的珍しいことに、加入者にIPv4アドレスを割り当てるサービスを提供してきた。しかしIPv4アドレスは2011年の時点ですでに全世界で在庫が枯渇。オークションサイトなどでアドレスを購入するほか、HFC網で一足先にグローバルIPアドレスとプライベートIPアドレスを変換し、IPアドレスの有効利用を可能にするキャリアグレードNAT（CGNAT）を導入するなどして綱渡りを続けてきたが、NNS内の在庫アドレスもいよいよ底が見えてきた。

「在庫は残り数千を切るギリギリのところまで減っていました。IPアドレスを購入するにしても、単価がどんどん上がり続ける中、どこまで買い続けるべきか先が見えないところもありました」（林本氏）。将来的にIPv6への移行も視野に入れ、FTTH網でもCGNATを導入する方針に踏み切った。

多くのセッションを安定的に処理するには「ASIC」が最適と判断

FTTH網でCGNATを実現するに当たって同社は、FortiGateを採用した。FortiGate Aシリーズ の頃からフォーティネットの製品を知り、ASICでIP通信をハードウェア処理するアーキテクチャに興味を抱いていた、ウインテック コミュニケーションズ 技術・運用保守グループシニアマネジャー、岡裕人氏の提案によるものだった。かつてメーカーに所属していた経歴を持ち「ハードウェア好き」の岡氏にとって、FortiGateのアーキテクチャは非常に興味深いものだったという。

「ケーブル技術ショーでフォーティネットジャパンのブースを訪れたところ、CGNATを含めたさまざまな処理をチップで行えるNP7とFortiOSを大々的にアピールしていました。汎用プロセッサと普通のOSでもNATの処理はできますが、大量の通信を処理するのは困難です。ちょうどNNSがCGNATに悩んでいることを耳にしていたため、ASICが絶対に適していると考え、『使ってみましょう』と提案しました」（岡氏）

実はNNSでは、HFC網のCGNATには異なるベンダーの製品を導入していた。しかしFTTHの加入者はそれ以上に多い。「機器を何台も並べて処理をさせるよりも、必要なスペックを備えた一台の機器ですべて処理できる方がいいと考えました」（岡氏）

NNSも、タイミング良く出てきたこの提案に飛びついた。ただ、地域のインフラを支える通信事業者としては、しっかりとした検証が欠かせない。その際の支援体制にさらに好印象を抱いたという。

「装置の性能がきちんと出るかどうかも重要ですが、検証で一番大事なのは、そのベンダーのフォロー体制です。フォーティネットでは、技術担当者が非常に親身で、こちらからの質問にもすぐに答えが返ってきました。検証で問題が起こったときも時間をかけず解決できたため、他のベンダーに比べてもいい意味で印象に残っています」（岡氏）

通信事業者として不可欠なトレーサビリティはアラクサラの可視化ツールで実現

「これでいけるだろう」と考え始めていたNNSだが、一つ大きな課題が浮上した。FortiAnalyzerではFortiGate1800FのNP7が行うCGNAT処理のログが取得できず、トレーサビリティが確保できない可能性が出てきたのだ。

通信事業者は情報流通プラットホーム対処法に基づき、情報開示請求に応え、CGNATのログからユーザーを特定する必要があるが、この状態ではそれができない。「プロバイダ責任制限法への対応ももちろんですが、何か問題があった場合にそのIPアドレスを特定できなければ他のお客様にご迷惑がかかる恐れがあります。通信事業者として、トレーサビリティの確保は非常に大事にしています」（林本氏）

先行するHFC網ではツールを内製してCGNATのログを収集していたが、自社で作ったこともあり性能面が十分とは言えず、メンテナンスにも労力がかかっていた。「HFCはそれほどトラフィックが多くないのでギリギリ持ちこたえていましたが、FTTHのトラフィックもこのツールで、となると難しい状況でした」（林本氏）

トレーサビリティの確保はマストの 条件であり、このままではFortiGateの導入自体も難しい、と考えていたところに朗報が入ってきた。「フォーティネットの傘下に入ったアラクサラネットワークスがCGNAT可視化ツールを作成しており、それが使えるかもしれない」という話だ。

CGNATのデモを見た翌年、InteropTokyo 2023フォーティネットジャパンのブースで、今度はアラクサラが提供する可視化ツール（AXNetwork-Visualization）のNAT情報可視化機能を確認した。「検証レベルで動いているくらいのものかと想像していたら、きちんとデータを流して連携の仕組みを動かしているところが確認でき、『これならいける』と感じました」（岡氏）

もちろん、当時開発途中の機能ということもあり、NNSが求める性能や検索機能が当初からすべてカバーできていたわけではない。「この画面でこんな検索ができるといいな、検索の速度もこのくらいだといいな、といろいろな要望をお伝えしました」（林本氏）

検証に当たっては、フォーティネットとアラクサラ、双方のエンジニアがNNSの試験環境の管理ネットワークにダイレクトに入り、事象やログを直接確認できる体制でサポートを提供した。「一緒になって、常にコミュニケーションを取りながら進めていったことでここまで素早く開発が進み、安定稼働につながっていると思います」（岡氏）

関連情報

根本的な課題をASICで解決、約2万6,000ユーザーのCGNAT処理を安定して実現

CGNATそのものにしても、そのログの可視化にしても、いずれもタイミング良くぴったりのソリューションに出会うことができた。

NNSではInterop Tokyo 2023の直後からFortiGate 1800Fの導入に向けた準備を進め、2024年から段階的にユーザーを移行し、本格稼働を開始した。「少しずつ切り替えていったため、オペレーションが混在するという意味で煩雑な部分はありましたが、それほど問題なく切り替えられました」（林本氏）切り替え完了後は約2万6,000人のユーザーのアドレス変換を一手に担い、ピークには約300万セッションを処理している。「安定して動いてくれています。一番いいのは、IPv4アドレスの心配をしなくてよくなったことです」（林本氏）また、FortiGate 1800FにHyperscaleライセンスを適用することで、CGNATはもちろんのことDDoSやASICチップあたり秒間200万の新規セッション、4,000万の同時セッションの処理が可能になるため、同社の加入者向けサービスのトラフィックをASICでマネージできている。

一台で処理できることもメリットだ。「同じ量のトラフィックを処理するにしても、複数台を並行稼働させるよりも一台でできるほうが障害ポイントも少なくなりますし、運用メリットがあると考えています」（林本氏）。懸念だった発信元IPアドレスに関する問い合わせに関してもCGNATのログをアラクサラのAX-NVに転送する事で瞬時に特定できる様になりました。見方によっては、これまでグローバル固定IPアドレスで提供されていたサービスがプライベートIPに切り替わるのは「サービスダウン」と受け取られかねない。だが「この先いつまで続くかわからないものを使い続けるよりは、課題を根本的に解決する手段としてCGNATが正しい判断であると経営層や関係者にも説明し、理解を得た上で導入しています」（林本氏）

「ASICでトラフィックが処理されることには、ネットワークを管理する立場として非常に大きなメリットがあります。v4のCGNATだけではなく、IPv6シングルスタックで運用してオペレーションコストをさらに削減したり、運用をいっそう楽にできるよう、いろいろな使い方を提案していきたいと考えています」（岡氏）。それを可能にするであろうNP8、NP9といったプラスアルファの機能を備えたチップの登場にも期待しつつ、ウインテックとして、今回のノウハウを生かし、FortiGateを用いたCGNATソリューションを他の通信事業者に提供していくことも検討している。