1 大規模キャンパス無線LANの 構成と機器の要件 大和純一 *1 若山永哉 *1 渡邊義和 *2 後藤英昭 *1 山野悟 *2 曽根秀昭 *1 1: 東北大学、 2: NEC
2 目次 大規模キャンパス無線 LAN の要件 キャンパス無線 LAN の構成 機器(アクセスポイント)の要件
3 キャンパスのネットワーク 環境 地理的に分散してキャンパスが存在する 部局も複数の建物で構成され、複数キャンパスに分散する 場合もある ネットワークの管理体制 部局単位/学内のセンターで一元管理的/部局とセンター で役割分担 建物内では集中管理、建物ごとに別のネットという場合も ある 無線 LAN の導入 部局毎/建物毎に導入され、全学へ発展 センター主体で全学に段階的に導入 部局管理とセンター管理の混在 ネットワークの形態・管理体制等も色々あり、 各状況に適した運用・管理方法/構成がとら れている
4 ユーザ環境 大勢の学生、教職員が使用する 全体で数万人規模の大学も 毎年千人規模の入学者 サポートをきめ細かくできる規模ではない 全員がPCに慣れているわけではない 共通の情報を全員に展開して漏れない規模で はない SSID や wep のキーを紙で配るなんて非現実的 個別のユーザサポートは困難なので、 サポートコストを極力下げる必要があ る
5 東北大学でのネットワーク施策 学内 アクセスポイント接続時に認証 「どこでも TAINS 」 (VPN 認証 ) と「 eduroam 」 (802.1x) を並行して展開 部局ごとに独自の認証方式(ウェブ認証等)も使 われている 大学間( eduroam ) ローミングで利用者が所属機関のアカウントだけ で他機関の無線 LAN インフラを利用可能に 訪問者には VPN と一部のサービスのみを提供
6 課題 複数の認証方式の並存 方式にそれぞれ特徴がある VPN 認証: スケーラビリティが問題 802.1x : 導入コストの高さ、管理の難しさ、利便性の悪 さ 部局単位でネットワークがあり、セキュリティの 考え方等も異なる 複数のサービスが並存 学内でも部局ごとに提供するサービスや提供情報 の公開範囲は異なる 他学ユーザへのネットワーク提供も行う 学内のアクセスポイントで商用に提供されている 無線 LAN のサービスを提供することも検討されて いる
7 キャンパス無線 LAN の要件 使い方 複数のネットワーク並存環境で簡単に接続先を選 択 ユーザごとに適切なネットワークに接続 PC に慣れていないユーザでも容易に使用可能 環境・管理体制 地理的に分散し複数の建物からなるキャンパスへ の対応 部局管理、センター管理等の混在、異なるネット ワーク管理・運用方針への対応 管理部門の装置・管理コスト低減 機器のメーカーや機種混在
8 建物 サービス エリア インターネット 典型的な構成(部局単位で導入) 実現方法 アクセスポイント (AP) と 認証サーバを設置 AP への接続をサーバで認 証 メリット 簡単に始められる 課題 学内に独自仕様の無線 LAN が乱立、相互利用不 可 AP センター 認証 サーバ 部局の NW
9 インターネット 建物 サービス エリア 典型例(センター一元導入) 実現方法 キャンパス内に AP を設置 認証サーバをセンターに 設置 無線 AP 用 LAN を形成し、 センターから外部に接続 メリット 学内の無線 LAN を一元管 理できる どこででも同じように無 線 LAN が使える 課題 全ての AP をセンターで面 倒見られるのか? センター AP サービス エリア AP 認証 サーバ 学内 NW
10 建物 サービス エリア センター管理と部局管理の混在 実現方法 サービスエリア内に管理 主体毎の AP ユーザは使用する NW に 対応した AP に接続 メリット AP ・収容先 NW 間の経路 を,物理的に分離できる 課題 無線 LAN サービスエリア に複数の AP と接続回線が 必要 センター インターネット AP 認証 サーバ 学内 NW AP 認証 サーバ 部局の NW
11 建物 サービス エリア 他のサービスも提供 実現方法 サービスエリア内に管理 主体毎の AP ユーザは使用する NW に 対応した AP に接続 メリット AP ・収容先 NW 間の経路 を,物理的に分離できる 課題 無線 LAN サービスエリア に複数の AP と接続回線が 必要 センター インターネット AP 認証 サーバ AP 学内 NW 大学間 roaming 商用 サービス 認証 サーバ 認証 サーバ AP 認証 サーバ 部局の NW
12 建物 サービス エリア アクセスポイント共有 アクセスルーターで接続先を分ける 実現方法 サービスエリア内の AP をマ ルチ SSID 対応 AP で集約 アクセスルータ (AR) で適切 なネットワークにルーティ ング AP,AR 間は tagged VLAN ユーザは使用するネットに 対応した SSID を選び認証し 接続 メリット 無線 LAN サービスエリアの AP 減少 → 装置コスト低減 認証したネットワークに接 続される 課題 AR をサービスエリア / 建物ご とに設置 管理・装置コスト 増加 → 管理・装置コスト 増加 センター インターネット 認証 サーバ 認証 サーバ 部局の NW 学内 NW 大学間 roaming 商用 サービス 認証 サーバ 認証 サーバ AP AR tagged VLAN
13 建物 サービス エリア アクセスルーターをセンターに設置 実現方法 アクセスルータをセン ターに移動 メリット AR の設定コスト減少 AR の集約も可能 → 装置コスト減少 課題 AP ・ AR 間が同じサブ ネットでなければならな い → 大規模・分散した キャンパスでは実現 が困難 アクセスルータ センター インターネット 認証 サーバ 認証 サーバ 部局の NW 学内 NW 大学間 roaming 商用 サービス 認証 サーバ 認証 サーバ AP AR tagged VLAN
14 建物 サービス エリア AP ・センタ間を Ethernet over IP で接 続 実現方法 AP 近傍にルータ設置 AP 近傍 AR は設置時のセ ンター AR との Ethernet over IP 設定 センター内 AR で各サービ スへのルーティングを行 う メリット AR 間のネットワーク の接続形状を問わな い 課題 AP 近傍にアクセスルータ が必要 → 装置コスト増加、設置 時管理コスト増加 アクセスルータ センター インターネット 認証 サーバ 認証 サーバ 部局の NW 学内 NW 大学間 roaming 商用 サービス 認証 サーバ 認証 サーバ AP AR Ethernet over IP AR tagged VLAN
15 構成のまとめ サービスエリアではアクセスポイントを集約 マルチ SSID に対応し SSID 毎に tagged VLAN を分離できるア クセスポイントを使用、サービス毎に SSID を分ける 適切なサービスへの接続 使用するサービスに対応した認証サーバで認証 アクセスルータで使用するサービスにルーティング 分散したキャンパスでの管理の集中 化 適切なサービスにルーティングするアク セスルータはセンターに集約 アクセスポイントとセンター内アクセス ルータ間を Ethernet over IP で接続し、ア クセスポイントとセンター間のネット ワークの形態の影響を隠ぺい
16 アクセスポイントの要件 その他 PoE (Power over Ethernet) による 給電対応 Ether ケーブルの敷設だけで設置した い マルチ SSID 対応 全ての SSID でビーコンが出せる SSID 個々に柔軟に暗号の有無 / 暗号化方式 / 認証方 式が設定できる tagged VLAN 対応 SSID に対応した tag がつけられる
17 マルチ SSID 対応アクセスポイントの比較 A社A社 B社B社 C社C社 全 SSID でビーコ ンが出せる 1 ○ ×3×3 ○ SSID ごとの暗号 化方式の柔軟性 2 ○ ×4×4 ○ 1 ビーコンが出ていないと繋げられない場合もある。接続先の一覧 に接続先が出ていないとユーザは使いにくい 2 接続するサービスによって認証方式や無線での暗号化の方式が異 なる 3 一つ目の SSID のみビーコンを出す / 出さないが設定が可能、他の SSID はビーコン出せない 4 AES/TKIP が選択できなかった (eduroam) 。暗号化なしで使えないこ とが VPN 認証、 web 認証で問題となった。商用サービス乗ってきた 場合に商用サービスが求める暗号化に対応できないと困る
18 インターネット センター サービスエリア アクセスポイントに望まれる機能 Ethernet over IP 対応 アクセスルータを使わず にセンターにアクセス ルータの集約を実現した い 認証・暗号化の柔軟性 SSID ごとに認証サーバ / 認証方式・暗号化方式を 柔軟に変更可能 アクセス ポイント アクセスルータ Ethernet over IP アクセス ポイント 学内 NW 部局の NW 大学間 roaming 商用 サービス
19 まとめ キャンパス無線 LAN の要件 複数のネットワーク / サービス・認証方式が並存できる PC に慣れていない多数のユーザが容易に使用できる 管理コストを極力下げられる 機器のメーカー・機種が混在しても動作する キャンパス無線 LAN の実現方法 マルチ SSID 対応アクセスポイントを使用し、アクセスルー タで適切なサービスにルーティング Ethernet over IP を用いて、サービスエリアとセンターを接 続し、サービスへのルーティングをセンターで行う キャンパス無線 LAN 機器に今後望まれる機能 マルチ SSID 対応アクセスポイントの Ethernet over IP 対応、 認証・暗号化の柔軟性