802.11b LAN b LAN Buffalo WLA-L11 [1] 128bitWEP g Buffalo Web Perl ping 1 15 Buffalo a 2010 Buffalo BN-ADT Buffalo 100 Wi-

(1)

仮想化基盤を活用した無線

LAN

システムの刷新

Renovation of A Wireless LAN System using A Virtual Computing

Platform

櫻田武嗣

†, 三島和宏 †, 萩原洋一 †

Takeshi Sakurada†, Kazuhiro Mishima†, Yoichi Hagiwara† [email protected], [email protected], [email protected]

東京農工大学総合情報メディアセンター†

Information Media Center, Tokyo University of Agriculture and Technology†

概要本論文は東京農工大学において 2013 年 10 月末に刷新した仮想化基盤を活用した無線 LAN システムについて述べる．この刷新では，これまで利用していた多数の自律型無線アクセスポイントを廃止し，コントローラ型のアクセスポイントを再配置すると共に，無線 LAN システムで用いるサーバ類，ルータ類を仮想化基盤上に構築し，機器の集約と低コスト化を図った．また来訪者用無線 LAN 利用アカウントの自動発行システムやクライアントの位置算出システムも導入し，管理と運用の効率化を目指している．これらの刷新に関わる設計，構築とその後の運用について述べる．さらにアクセスポイントの増設位置決定のための簡易的な事前調査方法についても述べる．キーワード無線 LAN システム, ソフトウェアルータ, 仮想化基盤の活用

1 はじめに

近年モバイル機器の普及により無線通信の需要が急速に延びている．学校教育においてもタブレット端末を各生徒に持たせて授業を行う取り組みもはじまっており，無線 LAN の整備が急務となっている．本学においては 1998年から無線 LAN 環境の試験的導入を行い，何度か機器を入れ換えながら環境整備を行ってきた．しかしながら予算的な制約から自律型のアクセスポイントの増設をしていたため，管理面で問題が生じはじめていた．また無線 LAN 利用のための認証システムも近年普及しているスマートフォンやタブレットなどの機器では利用しづらくなってきており，入れ替えが求められていた．そこで本学では 2013 年に本格的に無線 LAN の刷新を行うこととした．入れ替えではシステムをできる限り仮想化基盤上に置くことで集約化とハードウェアに起因する制限を減らすことを目標とした．本論文では，サーバの仮想化だけでなく無線 LAN で使用するネットワークのバックボーンも仮想化基盤上で動作させる新無線 LANシステムへの刷新とその運用について述べる．

2 旧無線

LAN

システムと問題点

2.1 旧無線 LAN システムの導入と運用状況

本学でこれまで利用していた無線 LAN システムは，試験運用から少しずつ台数を拡張していったものであり，つぎはぎだらけとなってしまっていた．1998 年に無線 LANシステムパイロット版として学内から有志を募り，当時発売されたばかりの NEC Octpower R8100 シリーズの無線 LAN アクセスポイントを利用し，無線 LAN の特徴の把握や活用方法を探る試みを始めた．この当時の無線 LAN の規格は DS-SS CSMA/CA で 2Mbps の帯域であった．その後コンシューマ向けに 11Mbps と学術情報処理研究 No.18 2014 pp.71−80

(2)

広帯域な 802.11b の規格に対応したアクセスポイントが発表になったため，無線 LAN アクセスポイントを 802.11b対応のものへと変更し，学内全体へ向けて無線 LANサービスを試験運用という形で開始した．2000 年には小金井キャンパス，2002 年からは府中キャンパスにてさらにアクセスポイントを増設する形で運用を行ってきた．試験運用では，当初はコンシューマ向けの Buffalo WLA-L11シリーズをアクセスポイントとして利用し [1]，その後 128bitWEP に対応したモデル，802.11g に対応したモデルに入れ替えとアクセスポイントの増設を行ってきたが，これらはまとまった予算が取れなかったため，Buffalo 製のアクセスポイントのままであった．設定する台数が増えてくると機器の設定が煩雑になったため，Web インタフェースを操作してアクセスポイントを設定する Perl スクリプトを作成し，設定の半自動化を行っていた．また機器の状態把握は定期的に ping を投げてアクセスポイントの死活監視を行う程度であった．これらのアクセスポイントは家庭用や小規模なオフィスで使用されることを前提としており，同時に多数の接続ができない状態であった．1 アクセスポイントあたり多くても 15 台程度の同時接続での利用が限界であった．この後 Buffalo から法人向けをうたった機器が登場したたため，少しずつこの法人向けモデルへ入れ替えていった．入れ替えの目的の中には，802.11a への対応も含んでいた．引き続きアクセスポイントの初期設定と死活監視に関しては本学で作成したスクリプトで行っていたが，細かなアクセスポイントの制御はできていなかった．2010 年末に Buffalo 純正の管理ソフトウェア BN-ADTが発売され，Buffalo 製アクセスポイントを一元管理できるとのことであったが，本学で導入したところ，アクセスポイントを 100 台登録したあたりからこの管理ソフトウェア上で正常に機器が認識できない状態が発生するようになった．またこのソフトウェアを使用することにより隣接する無線チャネルの競合を自動的に解消するはずであったが，競合を検出すると競合を検出した互いのアクセスポイントがほぼ同時に空いているチャネルに変更されてしまい，再度競合が起きる事象が発生していた．したがってアクセスポイントのチャネルを手動で設定せざるを得なかった．コンシューマー向けアクセスポイントが安くなってきたこともあり研究室で独自にアクセスポイントを設置したり，個人が可搬型の Wi-Fi アクセスポイントを持ち込んだり，スマートフォンでのテザリングをしたりすることによる干渉が特に 2.4GHz 帯で多くなっていた．これらによりチャネルの競合を起こしてしまうことがあり，競合が起き続けた場合には手動で再度チャネル変更をする必要があった．また WAPM-APG300N[2] などではアクセスポイント付近の電波環境を定期的に測定できる機能があったが，簡易なものである上，測定中は電波の送出を止めてしまう挙動が見られた．そのため端末によってはアクセスポイントへの接続，切断を繰り返し，通信が安定しないことがあった．一方で無線 LAN を利用するための認証は，SSID と WEPキーだけから，セキュリティ強化のため佐賀大学が開発した Opengate[3][4] システムによる Web ブラウザでの認証と MAC アドレス認証をあわせて使う形に変更して運用を行ってきた．認証を導入した当初はノートパソコン等が主流であったため Web ブラウザによる認証でも問題なかったが，最近ではタブレットやスマートフォンの利用が中心となってきたため問題が出て来た．最近のタブレットやスマートフォンでは，アプリケーションを起動するとアプリケーションが直接インターネットに接続してデータの送受信を始めることが多い．このためネットワークに接続するためには，アプリケーションを起動する前に Web ブラウザを起動して無線 LAN利用認証を行う必要があり，手間がかかることが問題となってきた．また当時利用していた Opengate では Java や Javascript などを利用して無線 LAN 利用許可を与え続ける形をとっていたため，ブラウザを閉じてしまうとシステムからログアウトとなり無線 LAN が利用できなかった．タブレット等を利用している場合，最初に Web ブラウザで認証しても別のアプリケーションを使用するために Web ブラウザのアプリケーションを閉じてしまうことが多く，この認証方式は利用しづらいものとなってしまっていた．

2.2 旧無線 LAN システムでの問題点

前述の問題を含め，旧無線 LAN システムで行っていた試験サービスでの問題点をまとめると次のようになる． • 機器に起因する問題 – アクセスポイントが電波環境を自動測定している間に電波の送出が止まることがあった – 利用電波の自動チャネル変更が頻繁に発生しており，それに伴って電波の送出が途切れる – 電波の送出が弱く，多くの場合アクセスポイントが目視できる場所でなければ通信が安定しない – 同じアクセスポイントに接続する利用者が多い場合に通信できないことがあった – 機器の故障が多かった – アクセスポイントの台数が多くなりメーカ純正ソフトウェアで管理できなくなった

(3)

• 無線 LAN 利用時の問題 – 2.4GHz帯の混信が多く，接続できない，通信が遅い – タブレットやスマートフォンでの利用が煩雑 – 学部生が利用しやすい場所での設置が少なかった – 来訪者用の無線 LAN 利用のための手続きが煩雑 (自動化されていなかった) • 管理面での問題 – アクセスポイントを増設する際にアクセスポイントが接続されたエッジスイッチのポートまで使用する VLAN をすべて通す必要があり，設定が煩雑 – 低予算で運用する必要がある

3 新システムの設計方針と構築

3.1 事前検証

前述の課題を解決するために新たな無線 LAN システムの構築が必要となっていた．そこで 2011 年 12 月に小金井地区に完成した 140 周年記念会館エリプスの無線 LAN システムを別のシステムで構築してテストを行うこととした．これまでは自律型であったため，今回はコントローラ型の Cisco 社の Aironet シリーズを利用した．アクセスポイントには Cisco Aironet 3500，コントローラには Cisco 5508 を利用した．建物で認証が異なると利用者が混乱してしまう可能性があるため，利用者の認証は旧来のシステムのものをそのまま利用した．このアクセスポイントが持つ「端末が 2.4GHz 帯と 5GHz の両方に対応している場合，5GHz 帯で優先して接続する機能」の確認や，無線 LAN アクセスポイント側からの計測によるクライアントの位置推測や電波環境測定などの確認を行った．この結果アクセスポイント側の機能は十分に機能したため，認証等を含め本格的にシステムの刷新を行うこととした．

3.2 システムの設計

新システムではできる限りハードウェアやソフトウェアを集約しつつ管理コストを下げることを目標とした．仮想化基盤へ集約をすることでハードウェアにかかる費用削減も狙う．また無線 LAN を利用する際の利用者側の手間をできるだけ減らすようにする． 3.2.1 利用者の認証これまでの運用で行っていた Web ブラウザを利用した認証は前述のように特にタブレットやスマートフォンを利用する場合には煩雑である．近年のタブレットやスマートフォンの多くは 802.1x 認証に対応しているため，新しいシステムでは学内利用者は Web ブラウザに頼らない 802.1x 認証を使用する. 802.1x 認証を使用した場合，多くのスマートフォンの標準設定では初回の接続の設定は手間であるが，2 回目以降はアクセスポイント配下に入った場合には自動的に認証し接続が行われるため手間をかけずにネットワークに接続できる．学外からの来訪者用のゲストネットワークでは， 802.1x認証の初回設定が煩雑である点，その都度アカウントを発行するため機器にアカウントが記憶されると接続の手間がさらにかかってしまう点が問題となるため，Web ブラウザを利用した認証とする．ただし来訪者で eduroam を使用する者に関しては，eduroam が 802.1x認証を推奨しているため 802.1x 認証とする． 3.2.2 アクセスポイントとコントローラアクセスポイントは同時に多数のクライアントの接続を受け付けられることが望ましく，電波が弱いクライアントに対しては電波を集中させ電波強度を強める仕組みがあると良い．また実際に運用する環境に置いた場合，アクセスポイント 1 台あたりのクライアントの同時接続数がカタログ値よりも極端に少ない製品があるが，事前検証で試した機器に関しては問題なかったため，このシリーズの製品を使用する．またアクセスポイントは自律型を束ねて管理する方式では，複数のネットワークを同一アクセスポイントから提供しようとした際に各アクセスポイントまで VLAN 等を張らなくてはならないことがある．コントローラ型を採用することにより，アクセスポイントから提供されるネットワークはコントローラとアクセスポイント間でカプセル化できるため，アクセスポイントに対して IP が到達できれば良く，足回りのネットワークの設定が簡素となる．ただしこの方式は，コントローラ側にすべてのトラフィックが集中するため，それに耐えられるコントローラとネットワークが必要となってしまう．現時点で本学が導入しようとしている規模ではコントローラ側のインタフェースを強化することで構築が可能であると判断し，事前検証と同様の仕組みを用いることとした． 3.2.3 ネットワーク無線 LAN 環境は学内利用者，ゲスト，eduroam 利用者にそれぞれ提供するため，ネットワークセグメントを

(4)

分けてそれぞれに対応した上流のネットワークに接続する必要がある．本学のサーバの多くは未だにネットワークセグメントによってサービスを提供するかしないかを判断しているため，このように学内利用者向けのセグメントは分けておく必要がある．また，アクセスポイントの性能が向上し使用するネットワーク帯域も増えたため，バックボーン側のルータの性能も引き上げる必要がある．また複数の上流の異なるネットワークセグメントを用意するために複数のルータ等が必要である．これまでの構築や運用ではハードウェアルータを利用してきたが，今回は複数の高スループットのルータ等が必要となる点と予算面から仮想化基盤上にバックボーンネットワークを構築する．これまでの多くの仮想化基盤上のネットワークは，仮想化基盤上のサーバ向けにネットワークを提供するために使用されており，主にスループットや信頼性の不安から一般の利用者が使うネットワークのバックボーンへ適用して運用している例がほとんどなかった．仮想化基盤とキャンパスコアネットワークを広帯域に結ぶ環境やメモリを多く積んだ仮想化基板用サーバを用意できそうな点から，今回はできる限りネットワーク機器を仮想化基盤に展開して構築・運用を行う． 3.2.4 各種サーバ今回はネットワークが複数セグメントあるため， 802.1x認証のための radius サーバなどは複数用意するのが構築上簡単である．しかしながらハードウェアアプライアンスで用意するとコスト増となってしまうため，今回は radius サーバも含め，その他のサーバも仮想化基盤上へ配置する． 3.2.5 アクセスポイントの再配置無線 LAN 提供エリアは，これまでは試験運用の参加者が利用しそうなエリアに集中してアクセスポイントを配置していたが，新システムでは学部学生に広く利用してもらうため講義室が多くあるエリアにアクセスポイントの台数を振り向けることとした．その中でも学生が授業期間中に集中して滞在しているであろうエリアから先に配置していくこととした． 3.2.6 ゲストアカウントの管理ゲストアカウント発行はこれまで手作業で登録発行していたが，これを自動化することとした．Cisco 社から ISE(Identity Services Engine)が発売されたのでこれを用いることとした．運用上，教職員だけがゲストアカウントを即時発行できるようにする必要があったため，認証用に radius プロキシサーバを仮想化基盤上に 1 台用意し，教職員の属性をチェックすることとした．

3.3 システムの構築

前述の設計方針を元にシステムの構築を行った．システム構成図を図- 1 に示す．サーバ，ルータ系全てを仮想化基盤上に構築する予定であったが，コントローラ (Cisco WLC: Cisco Wireless LAN Controller)と位置演算エンジンである Cisco MSE(Cisco Mobility Services Engine)のハードウェアは既に手元にあり，アップグレードの方がコストがかからなかったため仮想化ではなくハードウェアアプライアンスを利用することとした．コントローラはファームウェアとライセンスの追加だけであったが，MSE は筐体ごとのアップグレードとなった．キャンパスネットワークには図- 1 内の既存のキャンパスネットワークコアスイッチ (AX6708) 経由で接続している．仮想化するサーバ，ルータは CiscoUCS B シリーズシャーシ内の B200-M2 ブレード (Intel Xeon 5600(8 coes) x 2/ Memory 48GB)1台の上に Vmware ESXi 5.5をインストールして仮想化基盤を構築し，その上に配置した．B シリーズシャーシはキャンパスネットワークと 20Gbps で接続している．アクセスポイントはすべて Cisco Aironet 2600 を利用し，合計 180 台設置した．既存の Aironet 3500 は Aironet 2600 に置き換え，イベント等で臨時に増設が必要な際に使用することとした．アクセスポイントと WLC の間は CAPWAP によるトンネリングで結ぶ．これによりアクセスポイントと WLCが IP で通信できれば良く，VLAN を ESSID 別に末端まで延ばす必要がなくなり，エッジスイッチの設定が簡単になる．一方でクライアントからのパケットは一度すべて WLC まで到達し，トンネリングを解除して WLC から出て行くことになり，ＷＬＣでの折り返しが発生してしまう．このため WLC のインタフェースのボトルネックが問題となる可能性がある．このため今回は 1Gbps を 8 本束ねて 8Gbps とし WLC とキャンパスネットワークコアスイッチとを接続した．無線 LAN の通信は WLC での折り返しとなるため単純計算では 8Gbpsの半分の 4Gbps の通信ができることとなる．仮想化基盤上に構築したサーバ，ルータとその用途を次に示す． • RadiusRd1 学内利用者認証用の Radius サーバ．Linux 上に FreeRadiusで構築．プロキシとして利用し，学内認証サーバに問い合わせる． • RadiusRd2

(5)

図- 1: システム構成図 FreeRadiusで構築．本学以外の eduroam アカウントは eduroam JP のサーバに問い合わせる． • RadiusRd3 ゲストアカウント発行用サイトログイン用 Radius サーバ．Lnux 上に FreeRadius で構築．教職員の IDだけを通過させるようにフィルタを設定し，学内認証サーバへ問い合わせる • VyattaR1 学内利用者のログイン後のネットワークと学内 LAN のルーティング用ソフトウェアルータ．Vyatta Core 6.6使用．iptables によるファイアウォールも設定． IPv4は NAPT(Network Address and Port Trans-lation)処理も行う．

• VyattaR2

eduroam利用者用のネットワークのルーティング用ソフトウェアルータ．Vyatta Core 6.6 使用．ipta-blesによるファイアウォールも設定．IPv4 は NAPT 処理も行う．

• RouterR3

ゲスト利用者用のネットワークのルーティング用サーバ．Linux 上で iptables による NAPT 設定．

• DNS1 無線 LAN のサーバの名前解決用学内向け DNS． Linux上に BIND で構築．アクセスポイントの電源投入時に cisco-capwap-controller を名前解決し WLCに接続するためにも利用． • DNS2 ゲスト利用者に対して認証画面を出すための名前解決用 DNS．Linux 上に BIND で構築． • dhcpd1 無線 LAN アクセスポイントに対して IP アドレスを配布．DNS は上記 DNS1 を指定して配布． • Cisco ISE 学内の教職員向けに Web インタフェースでゲスト利用者アカウントを発行する．ゲスト利用者に対して無線 LAN 利用のための認証を行う．Cisco Identity Services Engineを利用．

• Cisco NCS(PI)

WLCと MSE の管理とアクセスポイントの動作状況の取得とクライアントの位置の可視化を行う．Cisco Prime Network Control System(Cisco Prime In-frastructure)を利用．またアクセスポイントは事前検証で得たアクセスポイント 1 台あたりの提供可能エリアを参考におおよその設置場所を地図上で決めた後，実際に簡易的なサイトサーベイを業者に行ってもらい最終的な台数と設置場所を決定した．入札であったたため，2014 年 7 月下旬の開札後速やかに落札業者と打ち合わせを行い，8 月からは旧アクセスポイントの撤去とともに新しいアクセスポイントの設置，サーバ側の準備を並行して行った．最終的な調整を行い 10 月 22 日に本運用をスタートした．利用のための設定は表- 1 のようにした．利用者は 802.1x 認証の設定にまだ慣れていないため，各 OS ごと (Windows 7/8，MacOS，Android，iOS) に簡単な利用マニュアルを用意した．図- 2 にその一部を示す．また利用者がどこで使えるか分かりやすいように，無線 LAN が使用できる部屋の入り口近辺に図- 3 のステッカーを貼ることとした．ゲスト利用者のアカウント発行は Cisco ISE のスポンサーポータル機能を有効にして構築した．教職員はスポンサーポータルサイトに各自の学内ネットワーク利用アカウントでログインし，有効期間を設定したゲストア

(6)

カウントを発行する．発行したアカウントのステータスは発行者が一覧で確認できるようになっている (図- 4)．図- 2: 簡易接続マニュアル図- 3: 無線 LAN 利用可能と表示のステッカー図- 4: ゲストアカウント発行用画面

3.4 構築での問題点

当初アクセスポイントへの IP アドレス配布は WLC で行う予定であったが，その場合 WLC に付けるメインの IP アドレスのセグメントとアクセスポイントのセグメントが同一でなければならないため，DHCP サーバを別途用意することとなった． Cisco NCSは起動までに 10 分以上要するため，最初ハングアップしたかと勘違いし，強制的に何度か再起動させてしまった．また NCS は推奨値に合わせてディスクを確保したにも関わらず，ディスクフルが近いとの警告を出したため最初は 60GB で確保していたディスクにさらに 80GB を追加した．しかししばらくするとまた警告を出したため，現在はさらに 80GB を追加した 60GB+80GB+80GBの構成となっている．ディスクを追加した後にコマンドで既存の領域にマージすることになるが，このコマンドの動作を確認してみたところ，追加の 80GB はあらかじめ決められた割合で各領域に割り振られてマージされることが分かった．このため足りなくなるワーク領域とログ領域にはディスクを追加しても十分に割り当てが行われないことが分かった．ゲストだけは 802.1x 認証ではなく Cisco ISE を使った Web 認証であるが，初回ログイン時に画面上に注意画面を出す際にマニュアルでは HTML による表示ができるとあったが，実際にはできずプレーンテキストによる表示だけである．この点に関してはメーカーにフィードバックしているが，未だ修正はできていないようである．大雨の影響で屋内に設置したアクセスポイントが構築中に，建物の雨漏りにより大量の水をかぶり故障するということがあった．このため同様な影響が出そうな場所をさけるため，当初予定の位置よりもすこしずらして設置する箇所もあった．

4 新無線

LAN

システムの運用と増

設計画

4.1 運用状況

本システムへ刷新してからこれまでに停電が 2 日あったが，それ以外は全体として安定して動作している状況である．アクセスポイントは初期不良と思われるものが１台あっただけで，それ以降は故障は発生していない．無線 LAN に接続しているクライアント数は一日の中で変動はあるが，平日で講義がある場合，接続が多い時間帯で 1100 デバイスが 802.1x 認証して接続している (未認証も含めると 1145 デバイス程度)．図- 5 は，2014 年 6月 2 日 13:00 頃∼6 月 3 日 13:00 頃までの 1 日の変化を示したものである．講義開始の 8 時 45 分前頃から無線 LAN 接続数が急上昇しているのが分かる．一度無線 LAN接続の設定をしているスマートフォンは無線 LAN エリア内に入ると自動的に接続するため，大学への登校と一致して利用者が増えているのが分かる．接続しているプロトコルは 802.11n の 2.4GHz が 51%，802.11n の 5GHzが 48%であり，残りが 802.11a と 802.11g であった．802.11b での接続はほとんどなかった．クライアントあたりのスループットは 2014 年 6 月中旬の時点でダウンストリームで 18Mbps 前後，アップストリームは 5Mbps程度であった．ゲストアカウントの利用は 2013 年 10 月 22 日の運用開始から 2014 年 5 月 31 日までにのべ 1186 回であった．また，電波のクリーン度を示す指標の Cisco CleanAir の指標では 99%程度の水準を維

(7)

表- 1: 接続設定

設定項目学内者学外者学外者 ESSID tuatnet eduroam guestnet 無線種類 802.11a/b/g/n (2.4G/5GHz) セキュリティの種類 802.1x(WPA2-Enterprise) 無し暗号化の種類 AES 無し認証方式 PEAP/MSCHAPv2 Web認証利用のための ID/PW 学内 LAN(有線) 利用と同じ eduroam アカウント会議等の主催者 (スポンサー) が発行 IPアドレス等 IPv4(NAT)/IPv6(Global) 学内アドレス IPv4(NAT)/IPv6(Global) 学外アドレス IPv4(NAT)学外アドレス接続制限学内 LAN に準拠 eduroam の方針に準拠ポート制限有サーバ証明書使用しない (プライベート証明書でも問題ないが，教育上の観点から正式な証明書を利用) ユーザ (端末) 証明書使用しない DNS 学内を使用 Google Public DNS キャッシュサーバ利用利用申請方法学籍番号，職員番号を基にしたアカウントで利用可能．事前申請不要． eduroam(国際無線 LAN ローミング基盤) の ID にて利用可能．本学在籍の場合は学認用 ID 取得後に eduroam 仮名アカウントを取得する．本学の教職員がスポンサーサイト (Web システム) から発行．持しており，この指標によれば電波干渉をある程度抑えることができていると言える．仮想化基盤上で動かしているサーバやルータのパフォーマンスは，仮想化基盤全体で CPU 利用率は平均 10.9%，最大 35.4%，ネットワーク使用量は平均約 968Mbps，最大 2552Mbps であった．このネットワーク使用量の大部分は学内利用者の無線 LAN トラフィックであった．Cisco NCS と Cisco ISE が定期的に CPU の使用率を一瞬上昇させているため，何かプロセスを定期的に実行しているものと考えられるが詳細は確認できていない．その他のサーバやソフトウェアルータはほぼ一定のリソース使用率で推移しており利用者の増減にはほぼ影響を受けていない．したがって仮想化基盤上でソフトウェアルータを動作させて利用しても本構築の規模であればパフォーマンス上問題ないということが確認できた．

4.2 増設計画

当初の導入では予算的な面から十分な台数を導入できなかったため，アクセスポイントの増設の要望がでていた．しかしながら予算の確保は難しいため，今回の増設ではアクセスポイントの増設を必要とする部局，学科からアクセスポイント本体と PoE インジェクターの費用，設置施工費を出してもらうこととした．WLC や MSE にはアクセスポイント数に応じたライセンスが必要であるが今回に限り我々の部署で負担することとした．無線 LAN を使用したい場所は提示できてもアクセスポイントが何台必要か見積もりができないことが多い．本システム調達時に行ったサイトサーベイは本来の設置箇所と将来的に設置希望が出そうなところを行っていたため，ここにマッチしたところに関しては，その情報を提供した．そうでないところが何カ所かあったが，そこについては我々で簡易的な調査を行い情報提供を行った．サーベイを行っていなかった場所での調査は，アクセスポイントのファームウェアを集中管理型 (Lightweight モード) から自律型 (Autonomous モード) に変更したものを 1 台用意し，無線 LAN の簡単なヒートマップを作成した．アクセスポイントの仮設置場所は何カ所か変えながら行い，利用希望場所に提供できそうなアクセスポイントの設置場所を選定した．これには PC 用のソフトウェア Ekahau Heatmapper の無料版を使用した．図- 6 にその様子を示す．この場所では梯子にアクセスポイントを取り付けて仮設置した．自律型にした場合アクセスポイントが起動し本体 LED が点灯してから数分経過し

(8)

図- 5: 24 時間のデバイス接続数の推移ないと電波を送出しないことが分かったため，PoE インジェクタからアクセスポイントまでの LAN ケーブルを長めに用意し，電源をできるだけ切断せずにポイントを移動してヒートマップを作成できるようにした．使用する PC によって内蔵アンテナの感度が違うが，今回は多くの学生が入学時に購入している Panasonic Let’s Note大学生協モデルを使用した．ヒートマップの例を図- 7 に示す．図- 6: ヒートマップ作成風景図- 7: ヒートマップの例当初の各部局や学科からの希望では使用したいエリアが広すぎ，提示された予算をオーバーしてしまうため，利用したい場所の優先度を付けてもらい，各部局や学部の予算に合わせてアクセスポイントの購入台数を決めてもらった．その結果現在アクセスポイント 20 台の設置を準備中である．

5 まとめ

本論文では無線 LAN システムの刷新について述べた．旧無線 LAN システムでの問題が解決できたかについてまとめる．アクセスポイントは適切なものを選定し，コントローラ型で構築できたため安定して動作している．また今のところ故障も少ない状態である．またビームフォーミングにより，接続されたクライアントに対して電波強度を強めることができている．新システムのアクセスポイントには周りの電波環境測定の機能が送出機能とは別で実行できるようになっているため，電波の送出が途切れることも無い．またアクセスポイント 1 台あたりのクライアント接続数もログと通信量を見る限り 30 台以上のクライアントが接続できているようである．これらの点から旧システムでの機器に起因する問題は解決できたと言える．クライアントに対して 5GHz 帯を優先的に接続させるアクセスポイント側の機能が有効に働いており，多くのクライアントが 5GHz で接続して利用している．ログインしている利用者も学生の比率がほとんどで，スマートフォンでの接続がほとんどであり，無線 LAN エリア内に入った時に自動接続されているようである．来訪者用のゲストアカウントも学会等で利用するための発行が多く行われており自動的に処理できている．2.4GHz 帯の本システム以外のアクセスポイントからの混信は完全には避けられないが，その他の旧無線 LAN システム利用時の問題は本システムで解決できた．管理面ではコントローラ型にしたこと，CAPWAP によるアクセスポイントとコントローラ間をカプセル化したことによりアクセスポイント自体の管理やエッジスイッチの設定がほとんど無くなったため管理が簡単になった．

(9)

サーバ類の仮想化は既に他でも行っているため特に問題とはならなかった．今回のシステム構築の特徴の１つとして仮想化基盤上に無線 LAN のバックボーンネットワークを構築したことが挙げられるが，運用状況で示した通り iptables を利用しても 2Gbps を超えるスループットで動作しており仮想化基盤上で無線 LAN ネットワークのバックボーンを構築してもパフォーマンス的に問題無いことが分かった．

6 今後の課題

今回刷新したシステム内の Cisco MSE では図- 8 のようにクライアント端末の位置を算出可能し，Cisco NCS 上のマップに表示可能である．しかしながらこれはリアルタイムに更新されるだけで時系列変化を見ることができない．現在は昼休みになるとクライアント端末が大学生協などに多く移動し，昼休みが終わる頃には講義棟に戻っていく様子をリアルタイムにシステム上で確認できるだけである．今後はこれらの情報を保存し，時系列でクライアント端末の移動を可視化できるようにしていく必要がある．これを行うことで学生の行動状況が視覚化できるため，キャンパスファシリティの改善等に役立てることができると考えられる．図- 8: クライアントの位置算出

また Cisco ISE と Cisco NCS を組み合わせることで， MACアドレス等からクライアントの種別を識別可能であるためスマートフォンの機種別割合やノート PC の利用率などを調べ，情報機器の活用状況なども調査し，教育環境の改善等に生かすことを考えている．今回増設を行ってもアクセスポイントは全キャンパスをカバーしきれてはいないため，耐震工事などが行われる建物に関しては，無線 LAN アクセスポイントの購入と設置を計画するようお願いをしている．また今後は現在ハードウェアアプライアンスとなっている WLC や MSE を時期をみて仮想化し，冗長化を含めたフレキシブルな運用を行っていきたいと考えている．

7 おわりに

本論文では仮想化基盤を積極的に活用したキャンパス無線 LAN 基盤の刷新について述べた．本システムは無線 LAN システムの構成に必要なサーバだけでなく，ネットワークルータも仮想化基盤上に配置することで，ハードウェアの調達，保守コストを下げることができた．設計時には仮想化基盤上で無線 LAN ネットワークのバックボーンを構築した際のソフトウェアルータの性能が出るかが不安な点であったが，本論文で示したように仮想化基盤側の性能が十分であったため，全く問題なく動作している．ハードウェアで用意するよりもインタフェースの追加や削除も簡単に行えるため，ネットワークの構成変更なども比較的簡単に行えるので便利である．その他の仮想化したサーバについても 2013 年 10 月の運用開始から本論文執筆時 (2014 年 6 月現在) において問題は無く動作し，無線 LAN 環境を提供できている．現在は保守の外部委託を考え，ネットワーク毎にルータを用意する構成をとっているが，将来は Openflow を用いてこれを集約化していきたいと考えている．構築中に Openflow でのテストは行っていたが，キャンパスネットワーク側で Openflow の対応が無ければ管理が煩雑となるだけであるため，本システムの設計では事前実験は行ったが採用を見送った経緯がある．将来外部ネットワークが Openflow に対応してきたところで見直しを行いたい．今後はクライアント位置情報をより活用するための仕組みを構築し，キャンパスファシリティの改善に役立てられるようにしたいと考えている．

参考文献

[1] 篠宮俊輔, 萩原洋一: ”大学キャンパス無線アクセスシステムの構築,” 情報処理学会研究報告, DSM [分散システム/インターネット運用技術], 情報処理学会 Vol.50, pp.7-12 (2001). [2] 株式会社バッファロー WAPM-APG300N 製品情報 (2014 現在): http://buﬀalo.jp/products/catalog/network/wapm-apg300n/

(10)

[3] 渡辺義明, 渡辺健次, 江藤博文, 只木進一 : ”利用と管理が容易で適用範囲が広い利用者認証ゲートウェイシステムの開発,” 情報処理学会論文誌, Vol.42, No.12, pp.2802-2809 (2001) . [4] 野村武志, 當房新一, 渡辺義明, 渡辺健次, 江藤博文, 只木進一: ”Java Servlet を用いたネットワーク利用者認証システムの開発,” 学術情報処理研究, No.9, pp.85-89 (2005).