Nominum DCS (Dynamic Configuration Server) DHCP Solution Presentation in Japanese.

1. ノミナム
ダイナミックコンフィギュレーションサーバ (DCS)
高性能DHCP ソフトウェア
February 1, 2011
Doug Miller Nominum Confidential
+1 650-381-6182
doug.miller@nominum.com

2. 2
我々のミッション
ノミナム社はインターネットを賢く、
より速く、より安全にし、世界中の
ブロードバンドおよび
モバイルユーザにもっとお役に
立てるよう努力いたします。
Nominum Confidential DCSの概要

3. 3
ノミナム社について
DNSを通じインターネットをより良いものにする
ノミナム製品がより優れている理由
技術 ソリューションの多様性 運用実績
DNS要求と返答を評価、ガイドする ビジネスニーズをアドレスする 広いネットワークカバレッジ – 全世界で５
ポリシーレイヤ 多様なソリューション 億以上のユーザが利用
リアルタイムでネットワーク、イベントを知 イン・ネット、オフ・ネット、または両者での
業界最高水準のパフォーマンス
るインテリジェントレイヤ ソリューション提供
DNSサーバ、キャッシュ、問合せ及びデー
ホステッド・ネットワークサービス 100% 運用中 障害ゼロ
タを守るセキュリティレイヤ
ユーザの振る舞い、ネットワークイベント
コンシューマ向けアプリケーション 過去に一度もセキュリティ不履行なし
やトラフィックに基づく動的改善
ノミナムは証明されたインフラにより新しいインターネットを構築
140 以上のお客様のうち、わ
ずか数社で世界のインターネ
ットトラフィックの30%以上を使
用
Nominum Confidential DCSの概要

4. 4
インテリジェントDNS システム
すべての人のためにインターネットをより良くする
• あらゆる点での複雑な方法 どの方法も独自性
– 弊社システムを監視 ソフトウェアストラクチャ
– 積極的に脅威のネットワーク所有者を警告 機能
DBアーキテクチャ
– ダイナミックに解決手段を改善 アルゴリズム
– ボット、マルウェアなど攻撃に抵抗
– 弊社ホステッドネットワークに弊社ソフトウェアスイートを統合
• インターネットに知らせて、変えていく
– ネットワーク防御
– ネットワーク補強
– ネットワークインテリジェンス
– ナビゲーション支援
– 脅威低減
Nominum Confidential DCSの概要

5. 5
ノミナムが提供する主なサービス
単純なDNSではありません
• ソフトウェアシステム
- Vantio キャッシュネームサーバ
- Vantio + NXR, MDR および UAR
- ANS/ANSP 権威ネームサーバ
- Centris 脅威アグリゲーション/プロビジョニングサーバ
- 動的構成サーバ DHCP サーバ
• ホステッドネットワークサービス
- SKYE リゾリューションキャッシングDNS
- SKYE オーソリティ 権威DNS
- SKYE NPS 脅威検知および緩和
- iView 情報サービス
• コンシューマ向けアプリケーション
- NavAssist インターネットサービスリクエストリゾリューション
Nominum Confidential DCSの概要

6. 6
我々のミッション
ノミナム社は世界で最も厳しい
通信事業者からの要求である
信頼性100%のために設計された
高性能でフレキシブルな
DHCPサーバを提供いたします
Nominum Confidential DCSの概要

7. 7
ダイナミックコンフィギュレーションサーバ (DCS)
• 常に以下のサービスを提供
– 高性能アーキテクチャ
– アクティブ-アクティブ フェールオーバー
– 運用中コンフィグアップデート (リスタート不要)
– 超高速リスタート
• 豊富な管理レイヤ
– Java, Perl, Python APIs
– コマンドラインインタフェース (CLI)
– ネイティブ LDAP インタフェース
– SNMPによるリアルタイム監視 (全バージョン対応)
• ロギングおよびレポート機能
– システム全体のリアルタイム統計
– カスタム syslog メッセージ (監査トライアル用)
• 簡単な設定
–
–
トポロジーとは分離したコンフィグ (ポリシーオブジェクト)
特定DHCPオプションと属性によるスクリプトメカニズム経
メリット:
• ダウンタイムなし
由のカスタマイズされた動作
• 柔軟なポリシー管理
• 将来性 • 業界最高水準の高性能
– 完全 IPv6 (DHCPv6) 対応 • 管理オーバーヘッドの削減
Nominum Confidential DCSの概要

8. 8
高性能アーキテクチャ
DHCPトランザクションに
軽量スレッド 業界最高性能
最適化されたDB
 完全なる最新かつイン
メモリキャッシュ  最大 2k リース/秒 (ディ
スカバー時)
 ディスク上に保存され
た永続的イメージ情報  DHCPリクエストの並  最大 5k リース/秒 (更
行処理 新時)
 メモリとディスクの差分
の効率的なトランザク  最大1M リース/ペア
ションログ(ジャーナリ  リスタートは10秒以内
ング)
Nominum Confidential DCSの概要

9. 9
DCSアーキテクチャ
認証
プロビジョニング
- ネイティブ LDAP
DHCP - 制御チャネル
- イベントチャネル 課金
エンジン - SNMP
- カスタムロギング
ファイアウォール
コンプライアンス
Nominum Confidential DCSの概要

10. 10
高可用性
アクティブ-アクティブ フェイルオーバー
高速リスタート
X
高負荷時のスマート処理
常時リアルタイム監視
運用中断なし
性能への影響なし
稼働中保守/再コンフィグ
高速復旧
Nominum Confidential DCSの概要

11. 11
豊富な管理レイヤ
• SNMPによるリアルタイム監視 (全バージョン対応)
– 高低水位標による警報トラップ
• 例. DDNSアップデート、リース減少、過度の衰退等
• 高度な統計機能
– 制御チャネル経由SNMPでアクセス
– 運用/開放リース、測定情報、プールリンク情報等広範囲の統計情報
• カスタマイズ形式のログメッセージ
– 設定可能なログ出力
• 多彩なインタフェース
– ネイティブ LDAP
– Java, Perl, Python APIs
– コマンドラインインタフェース (i.e. nom_tell)
Nominum Confidential DCSの概要

12. 12
共通の管理インタフェース
ノミナム全製品に共通した制御チャネルと
APIインタフェース
制御チャネル (config)
イベントチャネル (monitoring)
Vantio
DCS
API (Java, Perl, Python)
ANS/P
Nominum Confidential DCSの概要

13. 13
サービスや課金機能との統合を簡単に
• オープンインテグレーション 顧客サービス
RADIUS LDAP
ポータル
– 外部システム(例. プロビジョニング)
との統合
• ネイティブ LDAP インタフェース
• Java, Perl, Python APIs
– Embedded Python
• 特定のDHCPオプションや属性に基
づくDCSの動きをカスタマイズ
Nominum Confidential DCSの概要

14. 14
レポートとログ機能
• 監査トライアル向けにログメッセージをカスタマイズ可能
– オプション82 (リレーエージェント) ロギング
– リース ロギング
Server.update log-format-dhcp-message=“{msg-type}
{address} {direction} {hardware-address} ({client-
id/xs}) via {via}, client name: {client-name}, tid:
{tid}, xid: 0x{xid/x}”
Gives log file output:
DHCPOFFER of 10.0.0.1 to 00:25:00:4b:69:5f
(01:00:25:00:4b:69:5f) via eth0, client name: client-
1.0, tid: 1, xid: 0x1
Nominum Confidential DCSの概要

15. 15
レポートとログ機能
カスタム化されたログメッセージ用代替キーワードの範囲
• {address} • {hardware-type}
• {agent-circuit-id} • {inbound?true_string:fa
• {agent-remote-id} lse_string}
• {agent-subscriber-id} • {lifetime}
• {client-id} • {msg-type}
• {client-id-type} • {tid}
• {client-name} • {xid}
• {hardware-address} • {via}
Nominum Confidential DCSの概要

16. 16
ポリシーオブジェクト
特定のトポロジーのオブジェクト（プールやネットワークのような）とは
結びつかない管理上のルールを規定する方法を提供
• 設定をトポロジーから分離
• 様々なポリシーをDHCPトランザクションに適用可能
– ポリシーをお互いに連鎖できます
– 整数優先フィールドがポリシーを命令
• ポリシー設定はポリシーがプログラム的に指定されるの
を許容
– i.e. embedded Python
– DHCPトランザクションの中で多様なポイントにおいて
Nominum Confidential DCSの概要

17. 17
ポリシー設定
• ‘policy-name-formats’ フィールドはポリシー名リストを含む
• オプション的にクライアント要求から拡張された代替キーワ
ードを含むかもしれない
– {agent-circuit-id}
– {agent-interface-id}
– {agent-remote-id}
– {agent-subscriber-id}
– {client-id}
– {client-id-type}
– {hardware-address}
– {hardware-type}
Nominum Confidential DCSの概要

18. 18
ポリシー設定の実例
“ゴールド” サービスポリシーを作成し、MACアドレス
によるクライアントを追加する場合
• # Create a policy named “gold”
• # Gold policy might have higher bandwidth (e.g. 5Mbps)
• # Create policy for specific clients and assign to “gold” service level
• # Define how policy is applied at server level (scope)
Nominum Confidential DCSの概要

19. 19
ネイティブLDAPインタフェース
LDAP
DCS
LDAPクエリー結果に基づいた
DCSポリシー
リース結合もしくは非結合に基づく
LDAPアップデート
Nominum Confidential DCSの概要

20. 20
LDAP経由でのポリシー設定
• 以下の‘ldap’ オブジェクトの設定フィールドは LDAP ポリ
シークエリのフォーマットを規定
– enable-queries
• Enables LDAP object for queries
– search-base
• Base object to perform queries relative to
(dc=dhcp,dc=example,dc=com)
– search-scope
• Search scope (‘base’, ‘one-level’ or ‘subtree’)
– search-filter-format
• Filter to use for searches (e.g. (cn={hardware-address}))
– search-result-map
• Table mapping LDAP attributes to DCS configuration fields (e.g. {
sn = 'ddns-domain' })
Nominum Confidential DCSの概要

21. 21
LDAP経由でのポリシー設定（続き）
• どんなDCS ‘policy’ オブジェクトフィールドも LDAP 属性から
設定することができます
• LDAP属性の翻訳は‘search-result-map’で定義されます
– ‘search-result-map’のLDAP属性名はLDAP サーバによって返された
属性とマッチしなければなりません
• LDAP属性は ‘policy-fields’にマップされます
– 属性はポリシーフィールドのテーブルと数値を含むべきです
– ‘policy-fields’は 一つのLDAP 属性から全体のポリシーオブジェクト
にマップされます
Nominum Confidential DCSの概要

22. 22
リース状態を用いたLDAPアップデート
• 以下の設定フィールドはアップデートの振る舞いを制御します
– ‘enable-updates’
– ‘enable-additions’
– ‘update-name-format’
– ‘update-attributes-map’
– ‘addition-objectclasses’
– ‘addition-attributes-map’
• アップデートは‘enable-updates’フィールドによって可能になります
• DCSは最初に‘update-name-format’中の定義されたDNによって定義された
エントリーをアップデートすることを試みます
– アップデートは‘update-attributes-map’に定義された全属性を含みます
• もしエントリーが存在せず、‘enable-additions’が設定された場合、DCS は新
しいエントリーを追加するよう試みます
– 新しいエントリーは ‘update-attributes-map’ および‘addition-attribute-map’中に
定義された全属性を持っています
Nominum Confidential DCSの概要

23. 23
リース状態を用いたLDAPアップデート（続き）
• DCSによって作成されたエントリーは ‘addition-objectclasses’
に指定されたobjectClassを持っています
• もしLDAPアップデートが失敗したら、DCSは後でアップデート
のリトライができます
• アップデートのリトライは以下の方法で制御されます
– ‘update-retry-attempts’
• 回数、DCSが失敗したアップデートをリトライします
– ‘update-retry-delay’
• 時間量（秒）、失敗したアップデートをリトライする前にDCSは待ちます
Nominum Confidential DCSの概要

24. 24
LDAP性能チューニング
• DCSの様々な性能の観点からコントロールされる設定フィールド
– connections-per-server
• 各LDAP サーバへの接続回数
– transactions-per-connection
• １ LDAP 接続のLDAP同時リクエストの最大数connection
– connection-lifetime
• LDAP接続の最大生存時間（秒）
– reconnect-interval
• 届かないサーバへの再接続を試行する前の待ち時間
– request-timeout
• LDAP サーバからのレスポンスを待っている待ち時間 (タイムアウト後閉められた接続)
– transaction-timeout
• DHCP トランザクションの一部が完了したLDAP運用を待っている最大時間
• 個別サーバ用‘request-timeout’, トランザクションを扱うために設定された全てのサーバ用
‘transaction-timeout’
Nominum Confidential DCSの概要

25. 25
DHCPv6対応
• 完全なる DHCPv6 を実装
– 静的アドレス配分
– 動的アドレス配分
– 一時的アドレス
– 重複アドレス検知
– 高速コミット
• 主なRFCs:
– RFC 3315 DHCPv6
– RFC 3633 IPv6 Prefix Options for DHCPv6
– RFC 3646 DNS options for DHCPv6
– RFC 3736 Stateless DHCPv6
• IPv4と同様にDCSにIPv6を設定
Nominum Confidential DCSの概要