大学キャンパスネットワークにてPAシリーズをL3コアスイッチとして活用

　2017年にPA-5200シリーズがリリースされ、従来モデルに比べ性能およびキャパシティが飛躍的に向上しました。また、PAN-OSでは以前からL2機能としてVLAN機能やLACPのリンクアグリゲーションプロトコル、L3スイッチ機能としてOSFP/BGPなどのルーティングプロトコルなどを実装しており、いよいよ大学のキャンパスネットワークでのコアスイッチとして利用できるレベルに成長してきました。

　L3コアスイッチとしてPAシリーズを活用することで、以下のようなメリットがあります。

1. キャンパスネットワーク内のトラフィックの可視化とユーザ識別
   (Captive Portal機能や他社Web認証システムとのSyslog連携による運用負担の軽減）
2. 学内での感染や攻撃トラフィックを検知し、危険な通信を自動的にサブネット内に封じ込めることで、学内全体への感染を自動的に防止
3. PAシリーズと他社L2スイッチ製品やWiFi製品とのSyslog連携により、PAシリーズが検知した危険な端末からの通信をフロアスイッチで自動的に遮断

　実は、このファイアウォールをセンターL3スイッチとして利用したり、IDS/IPSでトラフィックを監視したりするコンセプトは、2000年代に日本の一部の大学で導入されてきた設計手法であり、それほど目新しい発想ではありません。しかし、当時のファイアウォール製品は性能も低く、またトラフィックの可視化機能もほとんどありませんでした。しかし、次世代ファイアウォールのPAシリーズを活用することで、インターネットからだけではなく、学内での感染や攻撃を防ぐことで、より安心で安全な大学のネットワークの利活用ができるようになります。特にWiFi環境は持ち込み端末の接続なども多く、実質的には学外として考えたセキュリティ対策も必要だと考えられます。

　また、情報センターのセキュリティ担当者も、万が一の学内感染やインシデント発生時にも、自動的に影響範囲を局所化し、かつ、より詳細なログによる状態確認も行えますので、迅速に適切な措置が行えます。さらに、UserID機能の活用により、PAシリーズのトラフィックログや脅威ログに利用者のユーザIDを含めることが可能です。この効果は運用面で絶大であり、例えばDHCP環境であっても同一ユーザと特定が可能になります。

尚、検討される上で、以下が注意点となります。

1. 接続される端末数に応じたモデルを選定する必要があり、下記のサイトにて、各モデルの"L2 Forwarding"の項目をご確認ください。IPv4 ARP tableやIPv6 neighbor tableなどは同じリソースを消費しますので、各項目でそれぞれの上限まで利用できません。
   https://www.paloaltonetworks.jp/products/product-selection
2. IPv6を利用する場合、1台の端末がLink-local AddressやGlobal Address、さらにIPv6 Privacy Extention (RFC 4941)などの実装で、複数のIPv6アドレスを利用するため、IPv6 neighbor table数は接続される端末台数の数倍になることがあります。例えば、PA-5220の場合、IPv4 ARP tableやIPv6 neighbor tableなどの上限は128,000です。1台がIPv4/IPv6合わせて10個のtableを消費すると想定した場合、約10,000台程度の端末は収容可能です。
3. 昨今の一般的なL3スイッチは64Byteショートパケットでワイヤレートのスイッチング性能がありますが、PAシリーズはそこまでのスイッチ性能はありません。万が一、トラフィックが多くなりPAシリーズのデータプレーンの負荷が高騰する場合には、Application Override機能にて、PAのデータプレーン負荷を軽減する措置が可能です。
4. 物理設計にて、例えばPA-5220の場合、フロントパネルには100/GbE/10G-T ポートが4個、SFP/SFP+対応ポートが16個、40GbEポートが4個あります。しかし、インターネットやフロアスイッチなどへの接続する物理ポート数が不足する場合には、L2スイッチを別途ご検討ください。

　次世代ファイアウォールであるPAシリーズをインターネットゲートウェイとしてではなく、大学のキャンパスネットワークのL3コアスイッチとして活用し、シンプルでセキュアな大学ネットワークを検討してみてはいかがでしょうか？