前半では、ファイアウォール選びのポイントとして、扱いやすさや管理性、信頼性・耐障害性の高さ、カタログだけでは分からない真のパフォーマンスといった観点について紹介してきた。このような種々の要素を考慮したうえでお勧めできる製品が、ノキア・インターネットコミュニケーションズがチェック・ポイント・ソフトウェア・テクノロジーズ（チェック・ポイント）との協力の下、開発、提供している「ノキアIPシリーズ」である。

　ノキアIPシリーズは、これまでにわずか1件（SNMPの脆弱性）しかセキュリティホールが発見されていないという専用OS「IPSO」に、定評あるチェック・ポイントのファイアウォール/VPN製品、「VPN-1/FireWall-1」を搭載したアプライアンス製品だ。これらはともに「Commom Criteria EAL4」に相当するセキュリティ評価認定、ITSEC「E3」を取得しており、堅牢な設計を誇る。パフォーマンスの高さはもちろん、専用管理ツール「Voyger（ボイジャー）」「Horizon Manager（ホライゾンマネージャー」による容易な運用管理、既存のネットワークとの高い親和性など、数々の特徴を備えた製品だ。

　ノキアIPシリーズが備える多様な機能の中でも、特筆すべきは、「IPクラスタリング機能」だ。

　いわゆる「クラスタリング」については、システム管理者ならば一度は聞いたことがあるだろう。冗長性の確保やパフォーマンスの向上を目的に組まれるシステムのことだ。クライアントからは1つのシステムに見えても、実は、複数のクラスタノードによって構成されており、どれか一部に障害が起きても、他のノードが処理を引き継ぐことで、システム全体としての稼働を継続できる。

　このクラスタリングを実現する手段には、ベンダー独自のプロトコルやVRRP（Virtual Redundant Routing Protocol）などがあり、さまざまな実装がなされている。ただし、多くの場合は高いレイヤーで処理がなされるため、回復にはミリ秒どころか数秒間を要する。「わずかなダウンでも許されない」というミッションクリティカルな環境では、許容しがたい数値だ。

　これに対し、ノキアIPシリーズが搭載しているIPクラスタリング機能は、文字通りIPレイヤだけで処理がなされる。このため、障害発生時でも、わずか1秒という非常に短い時間で他のクラスタノードに処理を引き継ぎ、継続することができる。

　なおIPクラスタリングの場合も、一般的なクラスタリングと同様に、クラスタ内にマスターとスレーブ（ノード）を設置し、これらが定期的に生死およびパフォーマンスを監視・確認する仕組みを取っている。しかもIPクラスタリングでは、単なるサーバの生死やリソースインタフェースの監視だけでなく、デーモンの監視までなされる仕組みだ。「じゃあ、マスターに障害が発生したときはどうなるの？」と気になるかもしれないが、実はこの監視は、マスターとノードが互いに行っている。マスターに万一のことがあった場合は、パフォーマンスや稼働状況などを基準にして、他のノードの中から1台が自動的に選ばれ、マスターに昇格する。

　一般的なクラスタリングでは、ファイアウォールのセッション管理は可能でも、VPNまではサポートされていないケースが多い。しかしIPクラスタリングではこれが可能だ。それも、VPNのSA（Security Association：データ通信用のトンネル）ごとにステートを保持することができる。

　1秒での処理引継ぎやVPNセッションの維持といった、高度な機能を可能にしているのが、IPシリーズが搭載する、通称「バケット」と呼ばれる1024個の専用バッファだ。クラスタに向けて送られてきたパケットは、いったん各ノードのバケットに収納される。マスターは、各々の負荷状態を踏まえたうえで、どのノードが処理を行うかを割り当てる。最初にバケットに収納された段階で、すべてのノードがセッション情報を保持するため、障害時にも速やかに切り替えを行えるという仕組みだ。

　これにはまた、専用機能に特化した同社独自のOS、IPSOも一役買っている。さらに、元々チェック・ポイントとの緊密なパートナー関係があって開発されただけあり、VPN-1/FireWall-1に最適化されていることもポイントだ。これにより、きめ細かなコネクション管理と運用が可能になっている。

　IPクラスタリングには、パフォーマンス向上というメリットもある。クラスタ内の特定の機器のみに負荷が集中する事態を避けられるよう、ダイナミックなロードバランスが可能だ。

　そのうえ、クラスタノードが追加されたときにそれを自動的に検知し、負荷を分散するといったこともやってのける。機器やディスクの追加時にしばしばあるケースが、「作業のためしばらくシステムを停止します」というパターンだ。だがIPクラスタリングでは停止どころか、増設後すぐに、最も高いパフォーマンスを得ることができる。

　なお、クラスタ構成を取った場合、ノードの台数に応じてリニアに（直線的に）パフォーマンスが向上することはまずない。クラスタ間の監視や管理によって、ある程度のオーバヘッドが発生することは避けられないからだ。

　しかしIPクラスタリングでは、それを最低限に抑える工夫もなされている。前述のとおり、IPレイヤでクラスタ処理を行うため、処理の効率が高く、ひいてはシステム全体のパフォーマンス向上につながるというわけだ。現に、ファイウォール2台の場合は1台のときに比べて1.5倍、VPNではなんと1.9倍のスループット／コネクションが実現できるというが、この数字はさらに、今後のIPSOのバージョンアップで改善される方向だ。

　その一方で、IPシリーズではVRRPもサポートすることによって、アクティブ-スタンバイ形式での運用も可能である。信頼性を重視するか、あるいは普段からのパフォーマンスを重視するか、それぞれの利用環境に応じて選択できる。

　ノキアでは2003年3月末頃をめどに、IPクラスタリング機能のバージョンアップを行う計画だ。これにより、セッション復旧に必要な時間が、最短0.5秒にまで短縮されるほか、サポート可能なクラスタノード数の拡大、監視機能の充実など、さまざまな機能追加がなされる予定である。現在は1本のみとなっている、クラスタノードを結ぶクラスタ同期リンクも冗長化される予定だ。

　また「Single-System-Image」のサポートもポイントだろう。現行のIPクラスタリングでは、各ノードごとに個別に設定を行う必要があった。だがこの新機能により、クラスタノードのうち1台に設定を施せば、それを他のメンバーに伝えることができ、設定作業の手間を省くことができる。

　とはいえ、現行のIPシリーズでも、決して設定・管理作業が面倒だということはない。同社が提供する専用管理インタフェース、Horizon Managerによって、マニュアル無しでも設定できるほどで、慣れてしまえば簡単にすいすい行えるという。

　ノキアIPシリーズには、SOHOをターゲットとしたローエンド機種から、エンタープライズ向け、さらに、キャリアやサービスプロバイダーでの利用にも十分耐え得るハイエンド機に至るまで、幅広いラインナップが用意されている。

　特にIP350、380は、昨年秋にリリースされたばかりの新製品だ。いずれも1Uサイズの筐体に、IPシリーズならではの便利な機能を格納している。これら2機種も、IPクラスタリングのバージョンアップによって、クラスタ機能を利用できるようになるという。

[ノキアIPセキュリティ・シリーズ]