Aruba Mobility System 製造業におけるWLAN活用例 製造業とモバイルシステム 工場 倉庫 (IT) 管理性の向上 • • • 広い工場に設置されているたくさんの APの管理 無線ネットワークの構築 無線ネットワークのセキュリティ • • • • 生産性の向上 (現場) • • VoWLAN • モバイル機器による生産・品質・ 保守・物流管理 • RFID等による工程状況の監視 • ロケーション管理 認証/暗号化/アクセス制御 ネットワークと無線空間の管理 様々なデバイスによる接続性の確保 Newアプリケーションとの連携 NEWアプリケーションの活用 • 場所を問わないアプリケーション の使用 無線化の要求 オフィス モビリティ化によるメリット 作業場での無線PC接続: • • • どこからでも生産ラインのモニタが可能 どこからでも原料の品質や在庫状況等を確認 工場ラインのメンテナンス作業の効率化 生産ラインの無線化: • 生産ラインの変更、移動、追加などによる有線設備の変更作業を 軽減 無線バーコードスキャナの活用: • • ERP(統合業務)パッケージとの連携システムを構築 リアルタイムな入出庫と保管確認による入出庫ミスの排除 802.11 Location: • 802.11 tag による人員/物の位置特定 工場内外部の異常検知: • 無線IP監視カメラの設置 Voice Over WLAN (VoWLAN): • • • 現場作業員との連絡性向上 トランシーバによる同報通話から1対1のコミュニケーションへの効 率化 通信料金の削減 マスターコントローラによるAPの設定・管理 分散型:FAT-AP • 各APが独自に動作し、設定情報・鍵の 管理など管理が困難 • 認証サーバへ各APを登録 • 無線空間の管理ができない • セキュリティ問題 集中型:THIN-AP • 集中管理によりAPの設定作業を軽減 • AP毎の設定 • ESSID毎の設定 • • 無線空間の管理も安心 700台のコントローラをクラスタリング管 理が可能 ローカルコントローラ ローカルコントローラ マスターコントローラ Aruba APの詳細な設定項目 AP単位の設定 動作モード(AM/AP) エージアウト・タイマー ビーコン間隔 チャネル 送信出力 基本レート 通信レート 接続有効時間 PSモード RTSしきい値 ESSID単位の設定 AP-コントローラ間IPSecの利 用 MTU ログ・レベル コントローラ・アドレス 冗長コントローラ・アドレス 仮想AP(最大8/ラジオ) ハートビート失敗回数 SNMPサーバ・アドレス SNMP syscontact SNMP syslocation Telnetの可否 ARM スキャン開始/停止 ARM チャネル/出力変更の可 否 ARM Client-aware ARM 最大送信出力 ARM マルチバンド・スキャン ARM Rogue-aware ARM スキャン間隔 ARM スキャン時間 ARM VOIP-aware CAC関連設定 ESSID VLAN ID 暗号方式 ESSID秘匿 プローブ要求への非応答 ローカル・プローブ応答 STA最大接続数 再送回数 DTIM間隔 WEP鍵 WPA共有鍵 WPA2-Preauth 設定例 データ端末用 音声端末用 ゲストアクセス用 ESSID Data Voice Guest ESSID秘匿 Yes Yes No EAP-TLS/TKIP WEP/MAC認証 オープンシステム/Web認証 10-19 20, 21 99 ローカル・プローブ応答 No Yes No STA最大接続数 30 20 10 Full access SIP, ICMP, 音声サブネットのみ インターネット・アクセスのみ 暗号/認証方式 VLAN Firewall Role オーバーレイコンセプトにより 容易なAPの設置と無線ネットワークの設計 別棟 V6 GREトンネル VLAN 6 192.168.6.0/24 10.20.1.0/24 2階 10/100/1000 Mbps V5 V6 • 既存ネットワークはそのまま 運用 • コントローラとAPはIPリーチャ ビリティだけ必要 • L3超えでもAPの設置は自由 • コントローラ-AP間のGREトン ネルでユーザ・データを転送 • ユーザのIPアドレス、データ はカプセル化 • ユーザのサブネットを自由に 設計 10.10.2.0/24 GR Eト ンネ 10.10.1.0/24 ル VLAN 5 192.168.5.0/24 VLAN 6 1階 データ・センタ 192.168.6.0/24 eth IP GRE 802.11 データ 無線チャネルと出力レベルの自動調整 ARM: Adaptive Radio Management • • • • • • • 実環境に合わせた動的な チャネル・送信出力の変 更 RFプランと実環境のギャ ップを自動調整 導入後も無線空間の変化 に合わせて自動調整 資材・ラインの位置変更 を認識して無線環境を自 動調整 最大出力、最小出力の定 義 クライアント、音声端末と の接続を意識し変更 AP単位で設定 ユーザIDに合わせたFWポリシーの適応 デバイスの役割に応じたアクセス制御が可能 AP • • • • Mobility Controller SIP 開発 認証サーバ 様々なアプリケーション・デバイス・サーバが存在 多種多様なモバイル端末のアクセス制御を実現 VLAN・SSID・ポートベースのレガシーACLでは制御不可能 モバイル端末の管理 • ネットワーク、サーバ、プロトコルのアクセス管理 • ユーザID毎の管理 工程 資材調達 認証とファイアウォール・ポリシー(role)の適用 他社製品との比較 競合無線LAN製品 メール 開発 資材調達 認証 認証 開発 メール 資材調達 Aruba 2400E VLAN・SSID・ポートベースによるACL ユーザ毎のアクセス制御は不可能 Employees Role 適用 Session Access List: Basic Source Destination Service Action any any svc-dns permit Supervisor Role 適用 any any svc-http permit Session Access List: Basic any any svc-https permit Source Destination Service Action Session Access List: Mail any any svc-dnsanypermit any svc-pop3 permit any any svc-httpany permit any svc-smtp permit any any svc-https permit Session Access List: 開発 Session Access List: Mail any 10.1.1.100 any deny any any svc-pop3 permit any any svc-smtp permit Session Access List: 開発 any 10.1.1.100 any permit 透過的なセキュア・ローミング ユーザの役割に応じたアクセスポリシー モバイルIPのサポート ユーザのポリシーと状態は、ネットワーク内で 保障され、移動するユーザに影響を与えない ユーザ名 AP間、サブネット間、コントローラ間 パスワード xxxx LOCATION 工場 IP yamamoto 倉庫管理者 ポリシー パスワード xxxx LOCATION 事務棟 ユーザ名 A.B.C.D パスワード xxxx 倉庫管理者 LOCATION 屋外 IP 認証 ポリシー Web, Mailのみ IP 認証 ポリシー 事務棟 工場 A.B.C.D 認証 ユーザ名 yamamoto yamamoto A.B.C.D 倉庫管理者 Web, Mailのみ 屋外 Web, Mailのみ ユーザ名 yamamoto パスワード xxxx LOCATION 倉庫 IP 認証 ポリシー A.B.C.D 倉庫管理者 Web, Mailのみ 倉庫 音声端末へのセキュリティの適応 Air MonitorでRF管理/監視 • 暗号はクライアント、モビリティ・コントローラ間 • 認証に外部サーバを利用(通信の暗号化可能) • Roleは、Session Access Listのグループ • Priority, Bandwidth, Time, Blacklistなども設定可能 暗号 認証(MAC, WPA, 802.1x) Role適用 認証要求 許可、Role情報 Phone Role Session Access List: SIP-access Source Destination Service Action any 10.1.2.0/24 svc-sip permit any 10.1.2.2 svc-icmp permit any any svc-dhcp permit 認証サーバ 暗号化可能 SIPのステートを参照し、RTPを通す QoS 音声データは、全てファイア・ウォール経由 QoS 不正アクセス防止 Radius VoWLAN向けCAC (Call Admission Control) • 限られたRFリソースを最大限有効 • SIPなどの通話数をカウントし制御 • 通話数に応じ、無通話のVoIP端末 を他のAPに分散帰属させる • 通話しながらローミングするユーザ には、別途帯域を確保 • 発呼要求をブロックし、既存の通話 品質を保護することも可能 • 通話が開始されるとスキャニングを 停止 APで利用可な帯域 音声以外向け High Capacity Threshold ローミング端末向け 新たなアソシエーションを受け付け ない。 Handover Threshold AP配下の端末向け 通話していないVoIP端末を他の APへ分散。通話中VoIP端末はそ のまま。 新たにアソシエーションする全ての VoIP端末が分散対象となるが、ロ ーミングは受け付ける。 設置例 オフィス データセンター/本社 802.1x 認証サーバ データ暗号+802.1X認証 +ユーザ個別FW Aruba2400 Localコントローラ AP70 Aruba5000/6000 Masterコントローラデータ暗号+802.1X認証 データ暗号+802.1X認証 +ユーザ個別FW +ユーザ個別FW Aruba2400 Localコントローラ AP70 AP80 工場 倉庫 Aruba2400 Localコントローラ AP70 AP80 無線空間を含んだネットワーク管理の重要性 • 管理していないAPは企業ネットワークへの入り口になる危険性が高い • • • 大規模な構内ネットほど発見が困難 インターネットの入り口に設置してある既存のFirewallでは防御不可能 無線空間のセキュリティと管理は早急に対応する必要あり! • • • • • • 情報漏えい 情報改ざん・削除 不正プログラムインストール インターネット不正使用 アタック・ウィルスの危険性 Air Monitorで不正APを排除 侵入 WEP 工場 Summary:モビリティ化により生産性を向上 生産性向上のために • 強固なセキュリティ • • • • • • • • 無線IDS 強固な暗号化方式 さまざまな認証方式のサポート ユーザ毎のアクセスコントロール さまざまなデバイス・アプリケーションでの活用 ローミングしても不変のセキュリティー 容易な導入設置 • オーバーレイコンセプト • 無線出力・チャネル自動調整 システムと無線空間の管理 • Air MonitorによるRF管理 • マスターコントローラによる容易なAP管理 • APIによる他のシステムとの容易な連携 Advantage Aruba!
© Copyright 2024 ExpyDoc
