ページの先頭です。
このページの本文へ移動します。
 平日9:00-17:30  03-5210-5021

14.IPネットワークの抱える課題【NAT/Firewall越え】
テレビ会議教室

14.IPネットワークの抱える課題【NAT/Firewall越え】

前回は、IPネットワークの抱える課題のうち、セキュリティについてご説明いただきました。今回はQoSについてお伺いします。

IPネットワークでテレビ会議システムを使うときの大きな課題は、NAT/Firewall越えですね。

大久保先生

INATは、IPv6になっても避けられない問題と言われています。
以前にもお話ししましたが、NATはその仕組み上、ネットワークの外側から内側にコネクションを張ることができません。その解決策として、内側から外側に 一旦接続し、その接続を維持し続ける方法があります。その原理に基づいて、ITU-TではH.460.18/H.460.19という標準ができました。こ れから製品に実装する段階に入っています。

IPv6(Internet Protocol Version 6)

現在インターネットで使われているIPプロトコルIPv4の次期バージョンにあたる。管理できるアドレス空間の増大、セキュリティ機能の追加、優先度に応じたデータの送信などの改良が行われている。インターネットの普及に伴い、IPv4で利用できるアドレス空間の枯渇が心配されていたが、128ビットの広大なアドレス空間を持つIPv6を利用することで解決する。

H.460.18/H.460.19標準とはどんなものでしょうか。

大久保先生

H.323では、通信の最初にRAS (Registration, Admission and Status)メッセージをゲートキーパーに送ります。そこには、次に呼制御のメッセージを送るべき通信相手のアドレスが書かれているのです。パケットの 中にそれが書かれているので、NATを越えるときにそれが問題になります。NATの外側からは内側には接続できませんので、送られてきたアドレスに返して も通信が成り立たないのです。
それを回避するために、セッション・ボーダー・コントローラーをNATの外側に置いて、そこに内側から一旦接続します。その接続を維持し続けられれば、外側からも接続することができるという仕組みです。
これに関するITU-T勧告が、H.460.18とH.460.19です。

Firewallの方は多分に利用者のポリシーにかかわることで、どの種類のパケットを通して、どれ を通さないようにするかというのが、ネットワーク管理者の判断で設定されます。テレビ会議のパケットは通してねというのが、社内でテレビ会議システムの利 用者からネットワーク管理者への依頼ということになりますね。
世界中どこでも、ネットワーク管理者というのは、セキュリティのためになるべくパケットを通さないようにするものです。何が起こるか分からないので、なるべく開くべきポートの数を減らして通信するというのが、1つのセキュリティ対策手段ですよね。

IPネットワーク上で音声・映像・データをリアルタイムにデータ交換するための標準H.323の世界 では、IPネットワークに関わる3つの大きな問題の1つであるNAT/Firewall越えについて、制御信号の扱いを定めたH.460.18、メディア 信号の扱いを定めたH.460.19というソリューションができたという状況です。

セッション・ボーダー・コントローラー(SBC, Session Border Controller)

VoIP (Voice over IP)端末間の相互通信を実現するために用意された機能で、アクセスネットワークとコアネットワークの間に置かれ、接続制御信号とメディア情報の双方の接 続に介在する。端末Aから別の端末Bへの接続は、端末AがまずSBCを呼び、次にあらかじめ端末BからSBCへのコネクションが確立していることを利用 し、SBCが端末Bを呼ぶことで実現する。H.323システムのためのNAT/Firewall越えソリューションH.460.18/19はこのSBCの アーキテクチャに則っている(図参照)。

映像,音声遅延時間差

H.460.18/H.460.19に対応した製品も登場してきました。

大久保先生

これまでは、独自仕様として、各社それぞれに「当社の製品ではNAT/Firewall越えができますよ」とやってきたわけですが、H.460.18/H.460.19ができましたので、今後は異なるベンダーのシステムでも原理的には相互接続できるはずです。

ただし、端末だけでは100%解決できません。大規模なネットワークにしようとすると、どうしてもゲートキーパーが必要になります。それは各企業が自ら運用するか、どこかのサービスを使うことになるのではないでしょうか。

私が仕事をしている早稲田大学の職場にも、2種類のテレビ会議システムがあります。1つは大学のネットワーク内で使用し、もう一方はインターネット上で使用します。これが相互には繋がらないんです。学内のネットワークがFirewallの内側にあるせいです。このような場合は、H.460.18/H.460.19に対応したテレビ会議システムを買っただけでは解決しなくて、ゲートキーパーやセッションボーダーコントローラーを経由しなければなりません。

大規模なネットワークのときは、Firewallの内側でセキュリティ管理したいというのが根強いですね。大規模ネットワークでは、海外だけはインターネットでゲートキーパーなどを経由して入ってきて、国内は場合によってはISDNで入ってくるようにすることが多いのですが、1台2台の小規模なネットワークのときは、かえってネックになります。そう考えると、普及するにはまだまだ課題があると思います。
小規模なネットワーク向けのゲートキーパーや、セッションボーダーコントローラーをサービスするプロバイダが出てくるといいですね。需要が多ければ、このようなサービスも登場すると思うのですが。

ありがとうございました。3回に渡ってIPネットワークの抱える課題についてお話しいただきました。次回は「テレビ会議の将来」についてお伺いします。 この「テレビ会議システム入門2 大久保先生に聞くテレビ会議教室」も、次回でいよいよ最終回となります。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15