1 大規模キャンパス無線LANの 構成と機器の要件 大和純一 *1 若山永哉 *1 渡邊義和 *2 後藤英昭 *1 山野悟 *2 曽根秀昭 *1 1: 東北大学、 2: NEC.

Slides:



Advertisements
Similar presentations
ユーザ認証を考慮した 情報コンセントの活用 明治大学 情報システム管理課 服部裕之 ( ) ’ 99私情協 学内 LAN 運用管理講習会.
Advertisements

無線LANを安全に使うには 京都インターネット同好会 長谷川. 超便利な無線LAN パソコンが2台以上 ADSLまたはCATVで常時接 続 別な部屋にパソコンがある この環境の方は無線LANが無いと困る.
インターネットの 仕組みとセキュリティ 高校 1 年「社会と情報」 ⑭. 1.インターネットの仕組み.
セキュリティのプロがつくった無線 LAN IPN-W100APIPN- W100CB セキュリティ専門メーカーだからできた先進のウルトラセキュリティ! 同時に、これまでにないシンプル・ローコストな導入運用を実現! もちろん法人向無線 LAN としての機能も.
1 会社名: 氏名: 日付: 会社名: 氏名: 日付:. 2 内容 企業のセキュリティ対策状況 ユーザー管理の重要性 ユーザー管理製品 市場状況 Active Directory とは Active Directory 利用に最低限必要な準備 ユーザー管理のご提案内容 最初の取り組み:ユーザー情報の統合管理.
アドホックCUG I-3. ユビキタスネットワーク制御・管理技術 (Ubilaプロジェクト) ウ.ネットワークサービス制御技術
校内ネットワーク運用講座 「校内ネットワークの管理と運用」 -校内ネットワーク模擬実習-
join NASS ~つながりあうネットワーク監視システム~
SaaS (Software as a Service)
Ibaraki Univ. Dept of Electrical & Electronic Eng.
鬼生田浩一 WindowsNTの問題点 UNIX主体のネットワークへのNT導入の ポイント 鬼生田浩一
SoftLayerポータルへの不正アクセス防止
IGD Working Committee Update
FREESPOTのご案内&ご提案について
Microsoft® UC&C向けデル導入計画
柔軟な優先度制御が可能な キャンパス間無線LANローミング
インターネット技術の基礎と遠隔コミュニケーション
北海道大学 理学部 地球科学科 惑星宇宙グループ 4年 高橋 康人
インターネット構成法 最終課題 ~ネットワークデザイン~.
神奈川大学大学院工学研究科 電気電子情報工学専攻
無線LANセキュリティの救世主 IEEE802.1xについて
ネットワークの基礎技術.
第5章 情報セキュリティ(前半) [近代科学社刊]
給与奉行連動出面管理システム 日報上手 ご説明資料 株式会社エイブルコンピュータ技研.
2004年6月14日(月) 情報コミュニケーションIII A 第8回 ネットワーク(LAN)構築.
2,100,000 円 (税込、標準価格) 簡単リモートアクセス導入 セキュリティPC&DoMobileサーバセット 1 2 3
超高速LANを擁した情報教育システムの構築と管理・運用
ご提案書 『WiFiサービスソリューション』
簡易型アクセスポイントについて 「新たな公衆無線LANサービスの開始に伴う簡易型アクセスポイント設置のご協力について(依頼)」 に基づいて、ご提供する簡易型APは、NAHA_CITY_FREE_Wi-Fiの環境整備にご協力いただくため必 要となる無線機器です。 簡易型APを設置して頂く事で、空港や国際通り等で那覇市が展開している無料Wi-Fiの提供が可能になります。
ネットワーク機器接続 2SK 情報機器工学.
総合情報処理センター 利用ガイド(2017年度新入生版)
情報コミュニケーション入門 総合実習(1) 基礎知識のポイント(2)
5年 WAPM-1750D 「安定した無線LAN環境」を1台で構築 ICTを活用した授業で欠かせない 学校でのタブレット活用授業に最適
「コンピュータと情報システム」 06章 通信ネットワーク
総合講義B:インターネット社会の安全性 第8回 ネットワークの脆弱性
総務省 防災等に資するWi-Fi環境の整備計画
Wi-Fi 次世代11ac オフィスのネットワークを 次のステージへ! ■11acはギガWi-Fiを実現する次世代規格
システム名・タイトル 概要 仕様・特徴 使用上の注意点 災害用情報通信ネットワーク・アプリケーション調査票 システム開発・構築企業、機関名
Cisco Startシリーズ 製品概要 スイッチ編
CONTEC 無線LAN FXシリーズ 一押し製品ご紹介!
Ibaraki Univ. Dept of Electrical & Electronic Eng.
SaaS アプリとの SSO を使った業務イメージの共有
東京大学における不正アクセス対策 東京大学 情報基盤センター 中山雅哉 2000年4月18日.
DataSpider Cloud Colt閉域網接続サービス
Cisco Router GUI設定 CCPE3.2 紹介 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
7. セキュリティネットワーク (ファイアウォール)
Cisco? 最先端の研究活動を支える オープンかつセキュアな ICT 基盤を構築 Why 課題 ソリューション 結果~今後 ユーザ事例
NetAttest D3なら簡単操作で安定稼働
超高速基幹LANにおける 情報リテラシー教育支援システム
情報通信ネットワークの 仕組み.
情報センターの現在と未来 武蔵大学情報システムセンター 小野成志 2003年5月16日 (C) 小野成志/武蔵大学.
【お知らせ】滋賀学習センターにおけるWi-Fi利用について
システム全体構成図 センター計算機室 附属学校 DMZ 東北大シナジー
Step.12 仮想ネットワーク設計 スケジュール 201x/xx/xx 説明、ネットワーク設計 201x/xx/xx ネットワーク設計
GoNET-MIS のご紹介 2015年04月 アイビーソリューション株式会社 Ver 2.1.
ネットワーク技術II 第10.3課 サブネット化のメカニズム
VPNとホストの実行環境を統合するパーソナルネットワーク
(提案者名を記載) ○○○○ 「公衆無線LAN整備協力事業者」 提案書 (様式2) 提案書雛型
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
Wi-Fi 次世代11ac オフィスのネットワークを 次のステージへ! ■11acはギガWi-Fiを実現する次世代規格
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
マルチホーム事例 ~AS番号をもつ組織のマルチホーム~
情報処理系論 第8回 CNSつあー.
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
P2P & JXTA Memo For Beginners
IPアドレス 平成14年7月9日 峯 肇史 牧之内研究室「UNIX とネットワーク基礎勉強会」Webページ
瞬低/瞬停や停電などの電源障害から“ネットワーク“を守る!
VPNクライアント接続 サーバー保守のための安全な経路+作業者単位のアクセス制御 簡単な図 (網羅性より象徴性)
Presentation transcript:

1 大規模キャンパス無線LANの 構成と機器の要件 大和純一 *1 若山永哉 *1 渡邊義和 *2 後藤英昭 *1 山野悟 *2 曽根秀昭 *1 1: 東北大学、 2: NEC

2 目次 大規模キャンパス無線 LAN の要件 キャンパス無線 LAN の構成 機器(アクセスポイント)の要件

3 キャンパスのネットワーク 環境 地理的に分散してキャンパスが存在する 部局も複数の建物で構成され、複数キャンパスに分散する 場合もある ネットワークの管理体制 部局単位/学内のセンターで一元管理的/部局とセンター で役割分担 建物内では集中管理、建物ごとに別のネットという場合も ある 無線 LAN の導入 部局毎/建物毎に導入され、全学へ発展 センター主体で全学に段階的に導入 部局管理とセンター管理の混在 ネットワークの形態・管理体制等も色々あり、 各状況に適した運用・管理方法/構成がとら れている

4 ユーザ環境 大勢の学生、教職員が使用する 全体で数万人規模の大学も 毎年千人規模の入学者 サポートをきめ細かくできる規模ではない 全員がPCに慣れているわけではない 共通の情報を全員に展開して漏れない規模で はない SSID や wep のキーを紙で配るなんて非現実的 個別のユーザサポートは困難なので、 サポートコストを極力下げる必要があ る

5 東北大学でのネットワーク施策 学内 アクセスポイント接続時に認証 「どこでも TAINS 」 (VPN 認証 ) と「 eduroam 」 (802.1x) を並行して展開 部局ごとに独自の認証方式(ウェブ認証等)も使 われている 大学間( eduroam ) ローミングで利用者が所属機関のアカウントだけ で他機関の無線 LAN インフラを利用可能に 訪問者には VPN と一部のサービスのみを提供

6 課題 複数の認証方式の並存 方式にそれぞれ特徴がある VPN 認証: スケーラビリティが問題 802.1x : 導入コストの高さ、管理の難しさ、利便性の悪 さ 部局単位でネットワークがあり、セキュリティの 考え方等も異なる 複数のサービスが並存 学内でも部局ごとに提供するサービスや提供情報 の公開範囲は異なる 他学ユーザへのネットワーク提供も行う 学内のアクセスポイントで商用に提供されている 無線 LAN のサービスを提供することも検討されて いる

7 キャンパス無線 LAN の要件 使い方 複数のネットワーク並存環境で簡単に接続先を選 択 ユーザごとに適切なネットワークに接続 PC に慣れていないユーザでも容易に使用可能 環境・管理体制 地理的に分散し複数の建物からなるキャンパスへ の対応 部局管理、センター管理等の混在、異なるネット ワーク管理・運用方針への対応 管理部門の装置・管理コスト低減 機器のメーカーや機種混在

8 建物 サービス エリア インターネット 典型的な構成(部局単位で導入) 実現方法 アクセスポイント (AP) と 認証サーバを設置 AP への接続をサーバで認 証 メリット 簡単に始められる 課題 学内に独自仕様の無線 LAN が乱立、相互利用不 可 AP センター 認証 サーバ 部局の NW

9 インターネット 建物 サービス エリア 典型例(センター一元導入) 実現方法 キャンパス内に AP を設置 認証サーバをセンターに 設置 無線 AP 用 LAN を形成し、 センターから外部に接続 メリット 学内の無線 LAN を一元管 理できる どこででも同じように無 線 LAN が使える 課題 全ての AP をセンターで面 倒見られるのか? センター AP サービス エリア AP 認証 サーバ 学内 NW

10 建物 サービス エリア センター管理と部局管理の混在 実現方法 サービスエリア内に管理 主体毎の AP ユーザは使用する NW に 対応した AP に接続 メリット AP ・収容先 NW 間の経路 を,物理的に分離できる 課題 無線 LAN サービスエリア に複数の AP と接続回線が 必要 センター インターネット AP 認証 サーバ 学内 NW AP 認証 サーバ 部局の NW

11 建物 サービス エリア 他のサービスも提供 実現方法 サービスエリア内に管理 主体毎の AP ユーザは使用する NW に 対応した AP に接続 メリット AP ・収容先 NW 間の経路 を,物理的に分離できる 課題 無線 LAN サービスエリア に複数の AP と接続回線が 必要 センター インターネット AP 認証 サーバ AP 学内 NW 大学間 roaming 商用 サービス 認証 サーバ 認証 サーバ AP 認証 サーバ 部局の NW

12 建物 サービス エリア アクセスポイント共有 アクセスルーターで接続先を分ける 実現方法 サービスエリア内の AP をマ ルチ SSID 対応 AP で集約 アクセスルータ (AR) で適切 なネットワークにルーティ ング AP,AR 間は tagged VLAN ユーザは使用するネットに 対応した SSID を選び認証し 接続 メリット 無線 LAN サービスエリアの AP 減少 → 装置コスト低減 認証したネットワークに接 続される 課題 AR をサービスエリア / 建物ご とに設置 管理・装置コスト 増加 → 管理・装置コスト 増加 センター インターネット 認証 サーバ 認証 サーバ 部局の NW 学内 NW 大学間 roaming 商用 サービス 認証 サーバ 認証 サーバ AP AR tagged VLAN

13 建物 サービス エリア アクセスルーターをセンターに設置 実現方法 アクセスルータをセン ターに移動 メリット AR の設定コスト減少 AR の集約も可能 → 装置コスト減少 課題 AP ・ AR 間が同じサブ ネットでなければならな い → 大規模・分散した キャンパスでは実現 が困難 アクセスルータ センター インターネット 認証 サーバ 認証 サーバ 部局の NW 学内 NW 大学間 roaming 商用 サービス 認証 サーバ 認証 サーバ AP AR tagged VLAN

14 建物 サービス エリア AP ・センタ間を Ethernet over IP で接 続 実現方法 AP 近傍にルータ設置 AP 近傍 AR は設置時のセ ンター AR との Ethernet over IP 設定 センター内 AR で各サービ スへのルーティングを行 う メリット AR 間のネットワーク の接続形状を問わな い 課題 AP 近傍にアクセスルータ が必要 → 装置コスト増加、設置 時管理コスト増加 アクセスルータ センター インターネット 認証 サーバ 認証 サーバ 部局の NW 学内 NW 大学間 roaming 商用 サービス 認証 サーバ 認証 サーバ AP AR Ethernet over IP AR tagged VLAN

15 構成のまとめ サービスエリアではアクセスポイントを集約 マルチ SSID に対応し SSID 毎に tagged VLAN を分離できるア クセスポイントを使用、サービス毎に SSID を分ける 適切なサービスへの接続 使用するサービスに対応した認証サーバで認証 アクセスルータで使用するサービスにルーティング 分散したキャンパスでの管理の集中 化 適切なサービスにルーティングするアク セスルータはセンターに集約 アクセスポイントとセンター内アクセス ルータ間を Ethernet over IP で接続し、ア クセスポイントとセンター間のネット ワークの形態の影響を隠ぺい

16 アクセスポイントの要件 その他 PoE (Power over Ethernet) による 給電対応 Ether ケーブルの敷設だけで設置した い マルチ SSID 対応 全ての SSID でビーコンが出せる SSID 個々に柔軟に暗号の有無 / 暗号化方式 / 認証方 式が設定できる tagged VLAN 対応 SSID に対応した tag がつけられる

17 マルチ SSID 対応アクセスポイントの比較 A社A社 B社B社 C社C社 全 SSID でビーコ ンが出せる 1 ○ ×3×3 ○ SSID ごとの暗号 化方式の柔軟性 2 ○ ×4×4 ○ 1 ビーコンが出ていないと繋げられない場合もある。接続先の一覧 に接続先が出ていないとユーザは使いにくい 2 接続するサービスによって認証方式や無線での暗号化の方式が異 なる 3 一つ目の SSID のみビーコンを出す / 出さないが設定が可能、他の SSID はビーコン出せない 4 AES/TKIP が選択できなかった (eduroam) 。暗号化なしで使えないこ とが VPN 認証、 web 認証で問題となった。商用サービス乗ってきた 場合に商用サービスが求める暗号化に対応できないと困る

18 インターネット センター サービスエリア アクセスポイントに望まれる機能 Ethernet over IP 対応 アクセスルータを使わず にセンターにアクセス ルータの集約を実現した い 認証・暗号化の柔軟性 SSID ごとに認証サーバ / 認証方式・暗号化方式を 柔軟に変更可能 アクセス ポイント アクセスルータ Ethernet over IP アクセス ポイント 学内 NW 部局の NW 大学間 roaming 商用 サービス

19 まとめ キャンパス無線 LAN の要件 複数のネットワーク / サービス・認証方式が並存できる PC に慣れていない多数のユーザが容易に使用できる 管理コストを極力下げられる 機器のメーカー・機種が混在しても動作する キャンパス無線 LAN の実現方法 マルチ SSID 対応アクセスポイントを使用し、アクセスルー タで適切なサービスにルーティング Ethernet over IP を用いて、サービスエリアとセンターを接 続し、サービスへのルーティングをセンターで行う キャンパス無線 LAN 機器に今後望まれる機能 マルチ SSID 対応アクセスポイントの Ethernet over IP 対応、 認証・暗号化の柔軟性