ネットワーク分野のトレンドの1つにSD-WANがあります。SD-WANはハードウェアで構築されたネットワークをソフトウェアによって制御できる技術です。

ヤマハは今年9月、SD-WANソリューションを強化する製品として、仮想ルータ「vRX」とアプリケーション制御ライセンス「DPI」を発表しました。前者は、従来のヤマハルータの標準的な機能を踏襲したソフトウェアルータです。また、後者は、ヤマハルータを通過するパケットを検査するDPI機能をソフトウェアライセンスとして販売するものです。

本連載では、ヤマハルータ「RTX830」を使ってVPN構築に関する技術を紹介してきましたが、「DPI」はRTX830のみに対応するものです。そこで、今回は、VPNを構築・運用している環境にDPIを取り入れる際の注意点、実際にDPIを使ってみた結果などを説明します。

DPIとは

DPIとは、Deep Packet Inspectionの略で、直訳すると「パケットの深い部分を検査する」ことを指します。DPIは、一般的にパケットフィルタリングの一種に分類され、インスペクションポイント(今回のケースでは、ルータRTX830に搭載されるDPIエンジン)を通過するパケットのデータ部を検査するものです。

パケットのデータ部の検査とは、例えば「通過するパケットが指定のプロトコルに準拠している「「ウイルスではない」「スパムではない」「外部から侵入されたデータではない」など、インスペクションポイントを通過するパケットが、何らかの基準に従っているかを調べるものです。

検査の結果、「通過させるパケットなのか」「それとも破棄するパケットなのか」「経路を変更させるパケットなのか」などを判断する仕組みです。さらに、検査にとどまらず、通過するパケットを統計的に情報収集することで、ネットワークの運用管理にも活用できます。

なお、パケットの中身を見ることができるということは、いきおい、データマイニングや傍受、ネット検閲などに悪用される可能性もあることは心に留めておいたほうがよいでしょう。とはいえ、現代では、一般企業のみならず、インターネットサービスプロバイダーや政府機関など、さまざまな用途でDPIは活用されているようです。

ヤマハのDPI

ヤマハから発売されたDPIは、一般的なDPIの仕組みをベースに、通信トラフィックをアプリケーションごとに識別し、識別したアプリケーションごとにルーティング、QoS、フィルタリング処理を可能にすることで、快適なクラウドサービス使用を実現するための機能拡張をルータに施せるものです。ソフトウェアライセンスとして提供されており、使用するにはライセンスの購入が必要です。

ヤマハのDPIの特徴は主に「WebGUIによるかんたん設定」「通信トラフィックの見える化」となります。いずれも従来のヤマハルータの特徴を継続するものです。

WebGUIによるかんたん設定

従来のヤマハルータと同様、DPIもWebGUIを使って簡単に設定することができます。DPIに対応するファームウェア(Rev.15.02.13以降)に更新すると、かんたん設定に「アプリケーション制御」という項目が追加されます。

「ライセンスの確認」「フィルターの経路の設定」「シグネチャーの保存設定」などを設定すれば、DPIの設定は完了です。例えば、「特定のアプリケーションの通信を破棄する」「パケットの通信経路をインターネットに直接出すようにする」といった設定は、かんたん設定内の「フィルターの経路の設定」でマウス操作するだけで実行できます。

  • WebGUIによるかんたん設定

通信トラフィックの見える化

DPIでも、WebGUI上でグラフィカルにトラフィックの様子を見ることができます。WebGUIのダッシュボードにHistoryというタブがあり、そこから、ガジェット「トラフィック情報(アプリケーション)」を追加すると表示することができます。WebGUIでは、「すべての通信トラフィック」「通信トラフィックの多いアプリケーション」「通信トラフィックの多い端末」を確認できます。

  • WebGUIのダッシュボード

上図は、当社で実際にDPIを運用してみた時のトラフィックの様子です。稼働時間中にトラフィックの山ができていることを確認できます。突発的に通信量が多くなることもなく、夜間に通信が発生していることもないので、外部に向けて通信を発生させてしまうようなアプリケーションを社内に持ち込んでいないことがわかります。さらに、通信トラフィックの多いアプリケーションとしてgithub、ipsecが示されており、作業をしていることが見て取れます。