高度なセキュリティ機能を持つ オールインワンのレイヤー2スイッチ
クライアントのセキュリティを確保するためには、認証や検疫のシステムが有効である。しかし、例えばLAN内でもバックボーンに近い場所に認証スイッチを配置するようなシステムの場合、スイッチやハブで接続されたクライアントどうしの通信はチェックできないなどの問題点が残る。したがって、安全性を高めたいならば、できるかぎりクライアントPCに近い場所で保護を実施する必要がある。それがエンドポイントセキュリティの考え方だ。
http://www.networkworld.jp/security/-/70869.html
しかし日本のように、部署単位でスイッチを配置することの多いネットワークでは問題がある。エッジ部分にセキュリティ製品を導入しようとすると、どうしても必要な台数が多くなってしまう。認証機能を持つようなインテリジェントなスイッチは一般的に高価であるため、なかなか理想どおりにいかないのが現実だ。
ディーリンクの「DGS-3200-10」は、こうした日本独特のネットワークに着目して開発された製品だ(写真1)。基本的には、クライアントPCを直接つなぐエッジスイッチを置き換えるものとして考えられている。もちろん単なるスイッチではない。複数の認証機能をサポートし、検疫システムとの連係にも対応したギガビットセキュアスイッチなのである。
写真1● ディーリンクの「DGS-3200-10」は、認証機能や検疫対応機能などを搭載したインテリジェントなスイッチながら、4万9,800円と低価格
高度なセキュリティ機能と
スイッチ機能でこの価格!
DGS-3200-10は、IEEE 802.1X、Web認証、MACアドレス認証をサポートする(図1)。しかも、Web認証とMACアドレス認証は併用することも可能だ。例えば、クライアントPCはWeb認証、部内プリンタはMACアドレス認証というような使い分けも可能というわけである。認証後に検疫サーバと連係すれば、セキュリティレベルの低いPCなども安全に更新・利用できるようになる。
図1● DGS-3200-10は、クライアントPCのいちばん近い場所でセキュリティを確保することを目的とする。下層にリピータハブやアクセスポイントがあっても認証が可能
さらに、数台のデスク単位でハブを設置する“島ハブ”構成でも、この機能は利用できる。つまり、DGS-3200-10の下にリピータハブを設置している場合でも、MACアドレスを取得して認証を行えるということだ。加えて、端末のMACアドレスを上流に渡すタイプのアクセスポイントであれば、無線LAN環境でも認証機能が利用できる。製品によってこの仕様は異なるが、同社の販売する無線LAN製品ならば対応を検証済みとのことだ。
検疫機能については、マイクロソフトの「NAP(Network Access Protection)」で提供される検疫システムにいち早く対応しており、すでに機能を検証済みである。Windows Vista/XPなど、NAPクライアント機能を実装するPCを接続すると、検疫ポリシーに従って適切なネットワークに自動的に接続させることができる。このほか、NAP以外にも、国内主要ベンダーの検疫システムとの連係を予定しているという。
インタフェースとしては、10/100/1000BASE-Tを8ポート搭載し、アップリンク側は標準で1000BASE-T/SFPのコンボポートを搭載する。SFPモジュールを交換すれば、1000LX/SX/LHなど、多数のメディアにも対応することができる。
このほか、IPv6/IPv4双方向マルチキャスト、スパニングツリー(IEEE 802.1D/802.1W/802.1S)、QoS(IEEE802.1p)、ポートミラーリング、802.3adリンクアグリゲーションなどへの対応が可能で、エンタープライズ向けL2スイッチとしての機能を押さえている。
本体の設定は、Webベースで簡単に行うことができ、慣れた管理者にはCLIでの操作も可能となっている。ロギング/レポーティング機能も充実し、クライアントPCごとのアクセス/利用状況を詳細に把握できる。
何より驚くのは、これほどまでにしっかりとした機能を搭載しておきながら、本体標準価格が4万9,800円という安さを実現していることだ。これならば、部署単位で導入するのにも躊躇することはない。
同社製品と組み合わせ
システムアップも可能
またDGS-3200-10は、同社のセキュリティ製品と組み合わせることにより、さらなる機能アップが可能となる。
例えば、UTMファイアウォール「DFL-860/260」と組み合わせると、内部クライアントの不正な通信を効果的にシャットダウンすることが可能だ。具体的には、DFLが不正なパケットを検知すると、そのクライアントPCが接続されているDGS-3200-10に対して、ポート遮断を指示する。
また、同社のバックボーンスイッチ製品と組み合わせれば、複数のDGS-3200-10を管理することも容易となる。DGS-3200-10と同社のDGS-3600シリーズ(L3)/DGS-3400シリーズ(L2)は、シングルIPマネジメント機能「D-Link SIM」に対応しており、1台のDGS-3600/3400から、複数のDGS-3200-10(32台まで)を一元管理することが可能となる。Webブラウザがあれば利用でき、別途ライセンス費用などは必要ない。
D-Link SIMでは、各スイッチの詳細な設定やトポロジーマップの表示、ファームウェアの一括アップデート、設定ファイルのリストアやバックアップ、一括したログの取得などの機能を持ち、比較的規模の大きいネットワークでも、DGS-3200-10をフル活用することができる。
まずは、安価にDGS-3200-10のみを用いて認証を実現し、予算やニーズに応じて検疫システムとの連係、UTMファイアウォールとの連係などを導入していく。さらに、ネットワークが大きくなってきたら、バックボーンスイッチで複数のDGS-3200-10を管理し、社内LAN全体のエンドポイントセキュリティを確保する。こうしたステップアップ式の導入方法が容易なことも、DGS-3200-10/ディーリンクの特徴と言えるだろう。
