OpenFlow(オープン・フロー)は新しいデータ転送の管制方法

交差点を、信号に従って走行している車が、例え交通ルールを守ったとしても、事故の可能性がゼロになることはありません。

それは、ハンドルを握っているドライバーの個人的な判断によって、その車をコントロールしているからです。

もしも、雲の上から全ての車の現在地を確認しながら、車のスピードや進行方向を決めることができたら、これほど安全な交通手段は他に存在しないでしょう。

 

ネットワークの世界でも同様です。

ネットワークの世界では、交通事故は発生しませんが、同じくらい危険な問題が発生しています。

それは、ネットワーク上を流れているデータを、外部の人が持ち出すような事件です。

 

全てのデータの行き先を、一カ所でコントロールできれば、そのような問題を回避することが可能です。

それを実現できるのが「OpenFlow(オープン・フロー)」と呼ばれている技術です。

では、どのような方法でデータの流れを管制するのでしょうか?

 

OpenFlowとは?

ネットワークを構成している通信機器を経由して行われるデータ転送を、1つの機器によって集中して管理することによって、物理的な接続形態を変更することなく、データの転送先を自由に制御することができる技術です。

すでに、業界団体によってその仕様の策定が行われています。

 

ソフトウェアによって、ネットワークの構成や、機能をプログラミングできるようにすることを目標とする「Software-Defined Network」というコンセプトを実現できる、標準的な技術として注目されています。このOpenFlowの技術は独自の方法によってデータの転送をコントロールするようです。

 

このOpenFlowに対応している通信機器は、これまでの機器では一台ごとに内蔵していたデータ転送機能とその送信先を決定する経路制御機能のうち、経路制御に付いては制御を集中して行う機器の指示に従います。

各ネットワークに、1台設置されている制御装置(OpenFlowコントローラ)により複数の通信機器の経路制御を行うことによって、非常に複雑なデータ転送の制御であっても比較的容易に行うことが可能となります。

 

そのネットワークの管理者は、OpenFlowコントローラに対してだけ、各通信機器の経路制御のルールを内容とするデータ転送に関する指示を行います。

指示を受け取ったOpenFlowコントローラから各通信機器に対して送信された指示に従って、各機器はデータの転送やパケットの破棄やデータの送信先の書き換えなどの対応を行います。

 

OpenFlowでなにができる?

OpenFlowコントローラは、処理の対象となるパケットの指定と実際にそのパケットに適用すべき処理内容(アクション)を定義して各通信機器へ書き込みます。

パケットの指定方法としては、ポート番号、転送元の端末や、転送先の端末のIPアドレスなどの様々な条件を指定することが可能です。

 

また、処理内容として指定できる動作も、特定の通信機器のLANポートからの出力、パケットのヘッダ情報の書き換え、パケット自体の破棄などの様々な対応を指示することが可能です。

このような方法で、細かく設定することによって、見た目では、一つのネットワークを構成しているようでも、実際のデータの流れは、複数のネットワークが存在している場合と同様の形態となります。

この機能によって、多数の通信端末が必要以上に重要なデータにアクセスすることがないような環境を瞬時に構成することが可能となります。

 

例えば、企業内で、物理的には同じネットワークを利用している複数の部署が存在するような場合に、OpenFlowコントローラに対して同じ部署内でのみデータ転送を許可するように、指示をすればどうでしょうか?

結局、配線を変更することなく、部署毎に独立したネットワークを構成することが可能となります。

本来であれば、ネットワークを構成している全ての通信機器毎に細かい設定をする必要があります。

 

しかし、集中管理ができるOpenFlow技術に対応した通信機器を、設置している場合にはそのような手間をかける必要がありません。

また、データを転送する先を、ポート番号や、IPアドレスなどによって、細かく設定することで、外部からの侵入者が、例え、持ち込んだ通信端末を、ネットワークへ接続することに成功したとしても、データを盗み出すことは容易ではありません。

OpenFlowに対応した機器であれば、物理的に接続するだけでは、ネットワークに侵入することができない仕組みになっているからです。

 

OpenFlowの採用

このように、ネットワークの管理の面でも、データ保護の面でも非常に有効な技術であることが理解できるのではないでしょうか?

全ての通信機器に、この技術が搭載されている訳ではありませんが、今後ネットワークを構築する機会があるときには、すぐに利用するかどうかに関係なく多少高額の製品であっても、この技術に対応した通信機器を採用することを、検討すべきではないかと思いますがいかがでしょうか?