大規模キャンパス無線LANの 構成と機器の要件 大和純一*1 若山永哉*1 渡邊義和*2 後藤英昭*1 山野悟*2 曽根秀昭*1 1:東北大学、2:NEC 1 目次 大規模キャンパス無線LANの要件 キャンパス無線LANの構成 機器(アクセスポイント)の要件 2 キャンパスのネットワーク 環境 ネットワークの管理体制 部局単位/学内のセンターで一元管理的/部局とセンターで役 割分担 建物内では集中管理、建物ごとに別のネットという場合もある 無線LANの導入 地理的に分散してキャンパスが存在する 部局も複数の建物で構成され、複数キャンパスに分散する場合 もある 部局毎/建物毎に導入され、全学へ発展 センター主体で全学に段階的に導入 部局管理とセンター管理の混在 ネットワークの形態・管理体制等も色々あり、各 状況に適した運用・管理方法/構成がとられて いる 3 ユーザ環境 大勢の学生、教職員が使用する サポートをきめ細かくできる規模ではない 全員がPCに慣れているわけではない 共通の情報を全員に展開して漏れない規模では ない 全体で数万人規模の大学も 毎年千人規模の入学者 SSIDやwepのキーを紙で配るなんて非現実的 個別のユーザサポートは困難なので、サ ポートコストを極力下げる必要がある 4 東北大学でのネットワーク施策 学内 アクセスポイント接続時に認証 「どこでもTAINS」(VPN認証)と「eduroam」 (802.1x)を 並行して展開 部局ごとに独自の認証方式(ウェブ認証等)も使われ ている 大学間(eduroam) ローミングで利用者が所属機関のアカウントだけで他 機関の無線LANインフラを利用可能に 訪問者にはVPNと一部のサービスのみを提供 5 課題 複数の認証方式の並存 方式にそれぞれ特徴がある VPN認証: スケーラビリティが問題 802.1x: 導入コストの高さ、管理の難しさ、利便性の悪さ 部局単位でネットワークがあり、セキュリティの考え方 等も異なる 複数のサービスが並存 学内でも部局ごとに提供するサービスや提供情報の 公開範囲は異なる 他学ユーザへのネットワーク提供も行う 学内のアクセスポイントで商用に提供されている無線 LANのサービスを提供することも検討されている 6 キャンパス無線LANの要件 使い方 複数のネットワーク並存環境で簡単に接続先を選択 ユーザごとに適切なネットワークに接続 PCに慣れていないユーザでも容易に使用可能 環境・管理体制 地理的に分散し複数の建物からなるキャンパスへの 対応 部局管理、センター管理等の混在、異なるネットワー ク管理・運用方針への対応 管理部門の装置・管理コスト低減 機器のメーカーや機種混在 7 典型的な構成(部局単位で導入) サービス エリア 建物 AP 実現方法 認証 サーバ 部局のNW センター メリット 簡単に始められる 課題 インターネット アクセスポイント(AP)と認 証サーバを設置 APへの接続をサーバで認 証 学内に独自仕様の無線 LANが乱立、相互利用不 可 8 典型例(センター一元導入) サービス エリア サービス エリア 建物 実現方法 AP AP センター メリット 認証 サーバ 学内NW 学内の無線LANを一元管 理できる どこででも同じように無線 LANが使える 課題 インターネット キャンパス内にAPを設置 認証サーバをセンターに設 置 無線AP用LANを形成し、セ ンターから外部に接続 全てのAPをセンターで面 倒見られるのか? 9 センター管理と部局管理の混在 サービス エリア 建物 AP AP 認証 サーバ 部局のNW センター 実現方法 メリット 認証 サーバ 学内NW インターネット サービスエリア内に管理主 体毎のAP ユーザは使用するNWに対 応したAPに接続 AP・収容先NW間の経路を, 物理的に分離できる 課題 無線LANサービスエリアに 複数のAPと接続回線が必 要 10 他のサービスも提供 サービス エリア 建物 AP AP AP AP 認証 サーバ 部局のNW センター 実現方法 メリット 認証 サーバ 認証 サーバ 大学間 roaming インターネット 商用 サービス AP・収容先NW間の経路を, 物理的に分離できる 課題 学内NW サービスエリア内に管理主 体毎のAP ユーザは使用するNWに対 応したAPに接続 無線LANサービスエリアに 複数のAPと接続回線が必 要 認証 サーバ 11 アクセスポイント共有 アクセスルーターで接続先を分ける サービス エリア 建物 認証 サーバ AP 実現方法 AR 部局のNW センター メリット 認証 サーバ 学内NW 大学間 roaming インターネット 商用 サービス 認証 サーバ 無線LANサービスエリアのAP 減少→装置コスト低減 認証したネットワークに接続さ れる 課題 認証 サーバ サービスエリア内のAPをマル チSSID対応APで集約 アクセスルータ(AR)で適切な ネットワークにルーティング AP,AR間はtagged VLAN ユーザは使用するネットに対 応したSSIDを選び認証し接続 ARをサービスエリア/建物ごと に設置 →管理・装置コスト増加 12 アクセスルーターをセンターに設置 サービス エリア 建物 認証 サーバ AP 部局のNW 実現方法 メリット センター アクセスルータ 認証 サーバ AR ARの設定コスト減少 ARの集約も可能 →装置コスト減少 課題 学内NW アクセスルータをセンター に移動 AP・AR間が同じサブネット でなければならない → 大規模・分散したキャ 認証 サーバ 大学間 roaming インターネット 商用 サービス 認証 サーバ ンパスでは実現が困 難 13 AP・センタ間をEthernet over IPで接続 サービス エリア 建物 認証 サーバ tagged AP VLAN 実現方法 部局のNW AR センター アクセスルータ 認証 サーバ AR 学内NW 認証 サーバ 大学間 roaming インターネット メリット AR間のネットワーク の接続形状を問わな い 課題 商用 サービス 認証 サーバ AP近傍にルータ設置 AP近傍ARは設置時のセン ターARとのEthernet over IP設定 センター内ARで各サービス へのルーティングを行う AP近傍にアクセスルータが 必要 → 装置コスト増加、設置時 管理コスト増加 14 構成のまとめ サービスエリアではアクセスポイントを集約 適切なサービスへの接続 マルチSSIDに対応しSSID毎にtagged VLANを分離できるアクセ スポイントを使用、サービス毎にSSIDを分ける 使用するサービスに対応した認証サーバで認証 アクセスルータで使用するサービスにルーティング 分散したキャンパスでの管理の集中化 建物 tagged VLAN 認証 サーバ AP 部局のNW AR et rn he IP Et ver o 適切なサービスにルーティングするアクセス ルータはセンターに集約 アクセスポイントとセンター内アクセスルー タ間をEthernet over IPで接続し、アクセス ポイントとセンター間のネットワークの形態 の影響を隠ぺい サービス エリア センター アクセスルータ 認証 サーバ AR 学内NW 認証 サーバ 大学間 roaming インターネット 商用 サービス 認証 サーバ 15 アクセスポイントの要件 マルチSSID対応 全てのSSIDでビーコンが出せる SSID個々に柔軟に暗号の有無/暗号化方式/認証方 式が設定できる tagged VLAN対応 SSIDに対応したtagがつけられる サービス エリア 建物 tagged VLAN 認証 サーバ AP 部局のNW AR その他 PoE (Power over Ethernet)による給 電対応 Etherケーブルの敷設だけで設置したい et rn he IP Et ver o センター アクセスルータ 認証 サーバ AR 学内NW 認証 サーバ 大学間 roaming インターネット 商用 サービス 認証 サーバ 16 マルチSSID対応アクセスポイントの比較 全SSIDでビーコン が出せる1 SSIDごとの暗号 化方式の柔軟性2 A社 B社 C社 ○ ×3 ○ ○ ×4 ○ 1 ビーコンが出ていないと繋げられない場合もある。接続先の一覧に接続 先が出ていないとユーザは使いにくい 2 接続するサービスによって認証方式や無線での暗号化の方式が異なる 3 一つ目のSSIDのみビーコンを出す/出さないが設定が可能、他のSSID はビーコン出せない 4 AES/TKIPが選択できなかった(eduroam)。暗号化なしで使えないことが VPN認証、web認証で問題となった。商用サービス乗ってきた場合に商 用サービスが求める暗号化に対応できないと困る 17 アクセスポイントに望まれる機能 サービスエリア サービスエリア Ethernet over IP対応 アクセス ポイント アクセス ポイント Ethernet over IP 部局のNW 認証・暗号化の柔軟性 センター アクセスルータ アクセスルータを使わずに センターにアクセスルータ の集約を実現したい SSIDごとに認証サーバ/認 証方式・暗号化方式を柔軟 に変更可能 学内NW 大学間 roaming インターネット 商用 サービス 18 まとめ キャンパス無線LANの要件 キャンパス無線LANの実現方法 複数のネットワーク/サービス・認証方式が並存できる PCに慣れていない多数のユーザが容易に使用できる 管理コストを極力下げられる 機器のメーカー・機種が混在しても動作する マルチSSID対応アクセスポイントを使用し、アクセスルータで適 切なサービスにルーティング Ethernet over IPを用いて、サービスエリアとセンターを接続し、 サービスへのルーティングをセンターで行う キャンパス無線LAN機器に今後望まれる機能 マルチSSID対応アクセスポイントのEthernet over IP対応、認 証・暗号化の柔軟性 19
© Copyright 2024 ExpyDoc
