Authentication VLAN Solution －認証 VLAN ソリューションご紹介資料－ マルチレイヤスイッチ IP8800/700 シリーズ ＋ VitalQIP

1. Authentication VLAN Solution－認証VLANソリューションご紹介資料－マルチレイヤスイッチIP8800/700シリーズ＋VitalQIP 2004.1.26V1.50 NEC ブロードバンドプロダクト推進本部

2. 認証VLANとは？ 装置単位ではなく、ユーザ単位でのアクセス管理・制限ができるセキュリティに優れたVLAN 個人を認証し、所属するグループに対応したIPアドレスを割り当てグループ単位のネットワークアクセスを可能にします。これにより 　　　①ネットワークのセキュリティ向上 　　　②IPアドレス管理の効率化 を実現します ファンタスティック！！ NEC　ブロードバンドプロダクト推進本部

3. NEC認証VLANシステム構成（製品） ①レイヤ３スイッチと②認証サーバの連携で実現 • ①レイヤ３スイッチ • IP8800/700シリーズ＋SW:VLANaccessAgent • ②認証サーバ • Express5800シリーズ＋SW:NEC VitalQIP 5.2 (Windows2000版) • VitalQIP 5.2 • Enterprise Server (E/S – Sybase, GUI) • Remote Server (R/S – DHCP, DNS) • Registration Manager Ver1.2 (R/M) • 認証ウェブ機能(HTML, CGI(Perl), プラットフォーム依存コマンド群(Win32)) • DHCP API ライブラリ • VLAN Access Controller • VLAN Access Link(オプション機能：Windows2000 Active Directory等、他認証サーバ連携) NEC　ブロードバンドプロダクト推進本部

4. 標準提案構成例(1) 企業ネットワーク 全社サーバ VitalQIPサーバ 管理職サーバ DHCP DHCP 管理職ネットワーク × DHCP DHCP A部門サーバ 部門Aネットワーク × 未認証PC センターL3スイッチ IP8800/740 DHCP DHCP B部門サーバ 部門Bネットワーク 会議室ネットワーク × メリット ①フロア移動が簡単（IP振り直し不要） ②未認証ユーザのネットワーク へのアクセスを遮断。 ③部門間のセキュリティの確保 ④会議室では、複数部門のVLAN 利用が可能な上、VLAN間内の セキュリティレベルを確保 ⑤同一フロアで、社員と、外部作業者 　の　分離が可能 ○ ○ 会議室B 会議室C 会議室A 未認証PC L2スイッチ ES8800/1720 管理職のユーザ IDで認証 B部門のユーザ IDで認証 未認証PC 情報コンセント (誰でも端末を接続可能) NEC　ブロードバンドプロダクト推進本部

5. 標準提案構成例(2) 医療機関ネットワーク L3SW IP8800/740 カルテ情報 サーバ VitalQIP サーバ 電算機室 院長室 経理サーバ 4F Internet Router ○ ○ × 3F 病室B 病室A 未認証PC 患者ID で認証 医師ID で認証 メリット ①未認証ユーザのネットワーク へのアクセスを遮断。 ②事務系、医療系ネットワーク　のセキュリティを確保。 ③医師のIDで認証することに　　よ り、医師は、どこからでも 　カルテなど医療情報サーバを　アクセス可能。 ④フロア移動が簡単（IP振り直し不要） ⑤患者向けサービスとして、 インターネット接続サービスを 提供。患者IDでは、インター ネットのみアクセス可能。 ○ 2F 医師IDで認証することで、どこからでもカルテにアクセス可 診察室 待合室 患者IDで認証した場合は、Internetアクセスのみ可 ○ 1F 受付/事務室 情報コンセント (誰でも端末を接続可能) IP8800/720 NEC　ブロードバンドプロダクト推進本部

6. 標準提案構成例(3) キャンパスネットワーク 情報処理センタ 講義棟 L3SW IP8800/740 教室A 教室B Internet 教員ID で認証 学生ID で認証 教員用 サーバ VitalQIP サーバ × 研究棟 研究室B 研究室A × ○ 事務棟 ○ 学生ID で認証 メリット ①未認証ユーザのネットワークへのアクセスを遮断。 ②事務棟ネットワークへの講義棟、研究棟からの アクセスを制限。 ③教員IDで認証した時のみ、教員用LANに乗り入 れ、教授用サーバにアクセス可能。 ④無線LANとQIPの連携により、セキュリティの高い 　ホットスポットを実現可能 ⑤フロア移動が容易（ＩＰアドレス振り直し不要） × 無線LAN 教員ID で認証 未認証 IP8800/710A 情報コンセント (誰でも端末を接続可能) NEC　ブロードバンドプロダクト推進本部

7. 最小構成例(無線LAN利用) VitalQIPサーバ Express5800/110Eg レイヤ3スイッチ IP8800/710B L2スイッチ ES100X/124A 有線LAN 認証ＶＬＡＮのメリット ① 未認証ユーザのネットワークへの 　アクセスを遮断 ② 無線LANとQIPの連携により、 　セキュリティの高いホットスポットを 　実現可能 無線LAN 無線LAN アクセスポイント Aironet 1200等 NEC　ブロードバンドプロダクト推進本部

8. 最小構成例(無線LAN利用、約７０ユーザ向け) 最小構成品価格一覧 2004.1.26現在 ① ＩＰ８８００／７１０Bシリーズ一式 １００ＢＡＳＥ－ＴＸ×１６ポート レイヤ３スイッチ、ＶＬＡＮaccessAgent/L 価格： １，１８０，０００ ② ＶｉｔａｌＱＩＰサーバ一関連ソフトウェア一式 NEC VLANaccess Solution Pack 100IP アドレス (70ユーザ程度での利用を推奨) 価格： ３７７，０００ ③ Express5800/110Egシリーズ一式 スペシャルスタートアップパック(Windows2000プリインストールモデル) CPU : Pentium4 2.8BGHz, HD : IDE 80GB, Memory : 256MB, DISPLAY 15型CRT OS ： Windows２０００ Server インストール済み 　　増設ﾒﾓﾘ：256MB 価格： ３０２，０００ *別途、ｐｐ保守契約（４，８００円／月）が必須になります 最小構成にて、 １，８５９，０００円で認証ＶＬＡＮ利用可能 ※ケーブル、工事、他のスイッチ、無線ＬＡＮ関連装置、保守料金等の価格は含みません NEC　ブロードバンドプロダクト推進本部

9. 情報発信・サポート • Octpower.com http://www.octpower.com/ 【掲載内容】 ●製品情報（ネットワークサーバ事取扱全製品） ●ダウンロードサービス 　・SW，マニュアル関連（最新バージョン！） 　・製品リーフレット（PDFファイル） ●展示会、セミナー等PR情報（インフォメーション） ●リンク集（ネットワーク関連サイト） ●カタログ請求フォーム ●LAN基礎講座、用語解説 • 製品問い合わせ ブロードバンドプロダクト推進本部 TEL ：03-3798-9616（受付時間：平日9:00～12:00 , 13:00～17:00） MAIL ：lan-cs@nwsv.jp.nec.com VitalQIP情報 http://www.sw.nec.co.jp/middle/WebSAM/products/QIP/index.html NEC　ブロードバンドプロダクト推進本部

10. 参考情報 NEC　ブロードバンドプロダクト推進本部

11. 認証VLANの種類 IPアドレス管理製品（Software）方式 IPアドレス管理製品にてユーザ認証を行い、それに応じてDHCP サーバがリースするIPアドレスを変えることにより実現する。 L3スイッチ方式 L3SWにてユーザ認証を行い、それに応じてL3SWがDHCPリレーエージェント アドレスを切り替えることにより、DHCPサーバがリースするIPアドレス を切り替えることにより実現する。 ※認証後は、どちらの方式でも、認証された端末のMACアドレスを動的MAC 　アドレスベースVLANに登録することにより、認証された端末だけがVLANに 　アクセスできる仕組みを提供致します。 ぶっちゃけた話、 どっちがいいの？ NEC　ブロードバンドプロダクト推進本部

12. ソフトウェア方式とL3スイッチ方式の比較（１）ソフトウェア方式とL3スイッチ方式の比較（１） 可用性 IPアドレス管理製品（Software）方式 • IPアドレス利用履歴を正確に把握するための、 • 利用者の情報（氏名、所属、連絡先等）、 • 端末の情報（ホスト名、マシン情報、MACアドレス、 　　ロケーション情報等）等の情報の一元管理が可能です。 L3スイッチ方式 L3SW方式の場合はユーザ認証機能とDHCPサーバの管理に関連性がないため、 IPアドレスの利用履歴を正確に残すことができません。 可用性の観点では、 Software方式のほうが 有利なのね・・・ NEC　ブロードバンドプロダクト推進本部

13. ソフトウェア方式とL3スイッチ方式の比較（２）ソフトウェア方式とL3スイッチ方式の比較（２） 信頼性 IPアドレス管理製品（Software）方式 L3SW障害時に動的MACアドレスベースVLANを復旧 させることが可能です 参考：NECの新VLANソリューションでは、L3SWの動的MACアドレスベースVLAN情報と、 　　　　管理サーバ側で持つ認証情報の整合性をチェックしています。 　　　　そのため、万が一の障害発生時の復旧が可能です。 L3スイッチ方式 L3SW方式では障害時には、動的MACアドレスベースVLAN情報が削除されて しまうため、利用者は再度認証を行う必要があります。 信頼性の観点でも、 Software方式のほうが 有利なのね・・・ NEC　ブロードバンドプロダクト推進本部

14. ソフトウェア方式とL3スイッチ方式の比較（３）ソフトウェア方式とL3スイッチ方式の比較（３） パフォーマンス IPアドレス管理製品（Software）方式 L3SWはルーティング＆スイッチング処理に専念できるため、 ベストパフォーマンスを発揮できます。 L3スイッチ方式 L3SW方式では、認証機能の影響を受け、スイッチ本来の性能が低下しています。 パフォーマンスでも、 Software方式のほうが 有利なのね・・・ NEC　ブロードバンドプロダクト推進本部

15. ソフトウェア方式とL3スイッチ方式の比較（４）ソフトウェア方式とL3スイッチ方式の比較（４） 結論 IPアドレス管理製品（Software）方式の方が圧倒的に優れている IPアドレス管理製品（Software）方式 IP8800/700シリーズ With IPアドレス管理ソフトVitalQIP L3スイッチ方式 某A社等 ファンタスティック！！ NEC　ブロードバンドプロダクト推進本部

16. VitalQIPの評価(1) Authentication VLAN Solutionにおいて利用されるVitalQIPは、既に 世界中で６５０社以上のお客様に使用されている実績のあるシステム です。IPアドレス管理システムの中でもトップシェアを確保しています。 　・業界トップの実績－フォーチュン５００企業の２０％以上がVitalQIPのお客様です。 　・フォーチュン５００企業の製薬会社の７０％以上がVitalQIPのお客様です。 　・テレコミュニケーション企業の５０％、証券会社の３３％がVitalQIPのお客様です。 　・フォーチュン５００企業のトップ６のすべての銀行がVitalQIPのお客様です。 IPアドレス管理システムの中で、VitalQIPのシェアは４０％ ５０００以上のIP数のお客様を対象にすると７０％以上になります。 VitalQIPは世界におけるIPアドレス管理の デファクトスタンダード製品です NEC　ブロードバンドプロダクト推進本部

17. VitalQIPの評価(2) 1997年 QIPの高い信頼性・製品性が評価され、数々の賞 　　 　 （PC Magazine, PCToday Magazine, Data Communications） 　　　 を獲得。 2000年 QIP Enterprise 5.0が NetworkWorld誌のブルーリボン賞 を受賞 　　　　　平成 12 年 5 月 1 日に米国の NetworkWorld 誌が IP アドレス 管理製品の評価を行い、Lucent QIP Enterprise 5.0 がブルー リボン賞を受賞しました。 2001年QIP Enterprise 5.0が NetworkMagazineの PRODUCT OFTHE YEAR 2001に決定2001/04/17 に米国の Network Magazine の PRODUCT OF THE YEAR 2001 において、2000 年に発表された数千の製品 の中から、QIP Enterprise 5.0 (VitalQIP) は最も良いネットワー ク管理製品として評価されました。 NEC　ブロードバンドプロダクト推進本部

18. ＩＰアドレス管理製品(ＮＥＣ　ＶｉｔａｌＱＩＰ５．２)の紹介（１）ＩＰアドレス管理製品(ＮＥＣ　ＶｉｔａｌＱＩＰ５．２)の紹介（１） ＩＰアドレス管理・ユーザ認証、アクセス制御の機能を備えた『NEC VitalQIP5.2』についてご紹介します 特長 ＩＰネットワークの運用性の飛躍的向上 　ユーザ情報によるＩＰアドレス管理を一元管理することにより、コスト削減につながります オープン性 　マルチプラットホーム対応・他社製のDHCP，DNSサーバをサポート・ディレクトリサーバとの情報共有があります 高信頼性 DHCPフェイルオーバ・DNSセカンダリの機能があります 高性能性 　ネットワーク全体を１台のマシンで管理可能・ DHCP，DNS処理をマルチスレッド化しています カスタマイズ CLIにより既存の情報を以降可・ユーザ固有の 　情報の登録が可能です IPアドレス一覧 NEC　ブロードバンドプロダクト推進本部

19. ＮＥＣ　ＶｉｔａｌＱＩＰ５．２の機能（２）ＮＥＣ　ＶｉｔａｌＱＩＰ５．２の機能（２） リモート管理機能 • QIPは、Windows 98 / 2000 用のグラフィカルユーザインタフェース (GUI)、Web ベースの管理インタフェース、さらに、コマンドラインインタフェース (CLI) を提供しています。これらのインタフェースにより、ネットワーク管理をリモートから行うことができます。 • 複数の管理者を定義することにより、一人の管理者がすべての管理を行う必要はなく、数人による分散管理ができます。 • 管理機能の制限を持たせることでそれぞれの管理者に運用可能な範囲/機能の制限ができます。 ＱＩＰ管理者インタフェース画面 Ｗｅｂインタフェース画面 NEC　ブロードバンドプロダクト推進本部

20. ＤＮＳレポート出力例 ＮＥＣ　ＶｉｔａｌＱＩＰ５．２の機能（３） レポート出力機能 • 以下について、ファイル、プリンタ、又はメールへの出力が可能です • DHCP オブジェクト情報リスト • 管理者プロファイル • 利用可能なサブネットをリストするフリーサブネットレポート • オブジェクトの履歴を確認するための監査履歴レポート • アドレス範囲、場所、管理者、アプリケーションごとの • 　　オブジェクトリスト • オブジェクトの所在を突き止めるための、名前、IP アドレス、 • MAC アドレス、ユーザ定義フィールドに基づいた、 • 　　オブジェクトをリストする照会レポート インポート／エクスポート機能 QIPは、CLIによるインポート／エクスポート機能により、ネットワーク設定のバックアップが可能です NEC　ブロードバンドプロダクト推進本部

21. デスクトップセキュリティシステム連携 指紋認証・ICカード認証連携 ・ 指紋認証、ICカード認証等のデスクトップセキュリティシステムと認証VLANシステムとを連携させることが可能です。これにより、デスクトップセキュリティシステムの認証を行うことにより、同時に認証VLANへのログオン・ログオフを自動的に行うことができるようになります • SecureFinger　（NEC)　指紋認証 • SecureTrue　（NECソフト）　ICカード認証 • SecureTrue-S　（NECソフト）　住基ネット対応大容量ICカード認証 NEC　ブロードバンドプロダクト推進本部

22. IP8800/700series ラインナップ Gigabit-Ethernet時代のバックボーン、アプリケーション保護、企業内 セキュリティ向上を実現する新世代の高品質・高性能レイヤ３スイッチ IP8800/730 32Gbps フロアＬＡＮ向 NEW! IP8800/720 16Gbps IP8800/710B 8Gbps IP8800/750 192Gbps IP8800/740 96Gbps 2 SLOT装備 GbE：MAX 2port FE：MAX 32port 価格　88万円～ 4 SLOT装備 GbE：MAX 8port FE：MAX 64port 価格　149万円～ 8 SLOT装備 GbE：MAX 16port FE：MAX 128port 価格　449万円～ IP8800/735 32Gbps 12 SLOT装備 GbE：MAX 96port FE：MAX 384port 価格　1,030万円～ 6 SLOT装備 GbE：MAX 48port FE：MAX 192port 価格　670万円～ 2 SLOT装備 GbE：MAX 16port FE：MAX 64port 価格　400万円～ バックボーンＬＡＮ向 NEC　ブロードバンドプロダクト推進本部

23. ES4000 Ｉｎｓｉｄｅ IP8800/700シリーズの特徴(1) 自社開発LSIES4000 chip set 世界に先駆けた ＩＰＶ６ハードウェア・ルーティング処理 世界最高のスケーラブル・アーキテクチャ（スイッチ容量８～３８４Ｇｂｐｓ） ソフトウエア処理性能比１０００倍の ハードウェア・ＩＰマルチキャスト処理 世界最高の高速パケット転送技術（２８８Ｍｐｐｓ） 高性能フィルタリング処理 ８レベル・ハードウェア・ＱｏＳ処理 ＩＰ８８００／７００　シリーズ 日本工業新聞 H14..4.25掲載記事 ・IPｖ6対応通信ネットワーク農水省から６億円で受注… 電波新聞　日刊工業新聞 H14.5.23掲載記事 ・認証仮想LANシステム発売・・・ ・不正アクセス防止へ・・・ 電波新聞　H14..8.22掲載記事 ・低価格、コンパクトIP8800/710Aを発売… NEC　ブロードバンドプロダクト推進本部

24. IP8800/700シリーズの特徴(2) • ＮＥＣ自社開発マルチレイヤ・スイッチ（レイヤ２/３スイッチ） • レイヤ3/4レベルのハードウェア高性能フィルタリングを装備 • ハードウェア８レベルQoS処理（WFQ、Shaper） • 多様なVLANに対応（Tag,Port,MAC,IPsubnet,Protocol） • フレキシブルな構成が可能（スロット型、GBIC） • 高信頼性/高可用性(冗長化、活線挿抜） • 次世代IPアドレスIPｖ６に対応 • ハードウェア・マルチキャスト処理でマルチキャストも高速 NEC　ブロードバンドプロダクト推進本部