2015年6月23日
NTTアドバンステクノロジ株式会社
グローバルプロダクツ事業本部
ALAXALA × 4ipnet で実現する
連携ソリューションのご紹介
目次
1. 無線ネットワークの多様性と懸念点
2. ALAXALA×4ipnet連携ソリューションのご紹介
3. 具体的なソリューション
4. その他の主な特長
5. まとめ
付録
1. NTT-AT独自ソリューション
無線ネットワークの多様性
小・中規模システム
研究室
出先オフィス
オフィスビル など
道路・鉄道
総合大学
商業施設 など
大規模システム
お客様の導入規模に応じた無線ネットワークの提案が必要
増え続ける無線端末による不正アクセスや情報漏え
いを防止したい (なりすまし、盗聴、不正APなど)
無線LAN構築による新たな認証システムの構築・導
入は大変、どうせなら有線端末と一緒の認証システ
ムを利用したい
レイアウトやポリシー変更により発生するVLANなどの
変更作業が大変
無線ネットワークの懸念点
セキュリティ
利便性
運用・管理
2. ALAXALA × 4ipnet
連携ソリューションのご紹介
3. 具体的なソリューション
有線・無線
認証統合
動的設定
セキュリティ強化
ALAXALA×4ipnet 連携ソリューション
有線(ALAXALA)と無線(4ipnet)を組み合わせることで
ユーザー様の課題を解決するソリューションを提供!
連携ソリューションの主な特長
セキュリティ強化
不正アクセス/不正AP設置を防御
端末+ユーザを組合せた強固な認証
複数に分かれた既存の認証系を統合
有線・無線の認証システムを一元的に管理
動的設定
最適なトラフィック制御がダイナミックで実現
一つのSSIDで複数のVLANに分割
有線・無線
認証統合
セキュリティ強化ソリューション
~なりすまし対策~
【ソリューションのポイント】
① MAC認証による不正APの排除
② マルチステップ認証による端末+ユーザ情報の組合せ認証(スタック時も)
MAC認証
Web認証
マルチステップ認証
スマートデバイス
PC
プリンタ、電話
無線AP
(ブリッジ)
ハブ
802.1X認証
不
正
スタック認証スイッチ
(AX2530S)
PoE認証スイッチ
(AX2230S)
ポイント①
ポイント②
Webブラウザ
User ID
Password
MACアドレス
AA-BB-CC-DD-EE-FF
認証統合ソリューション
~認証ポイント統合~
【ソリューションのポイント】
① 既存システムの認証系を統合
② 有線・無線端末の認証を一元管理
A社
スイッチ
B社
C社
A社AP
B社AP
C社AP
認証サーバ
WLANコンローラー
A社
認証スイッチ
B社
C社
WLANコンローラー
認証サーバ
認証ポイント
認証ポイント
認証ポイント
認証ポイント
無線APは自身で認証情報をWLANコ
ントローラーへ聞く必要がある、、
認証はスイッチが一元的に実施!
コアスイッチ
(仮想ルータ機能)
インターネット
学術情報ネット
構内ネットA
構内ネットB
スマートフォン
セキュアWLANコントローラ
(無線APの管理)
認証サーバ
(有線/無線端末の認証
VLAN割当管理)
フロアスイッチ
(PoE給電・ダイナミックVLAN機能)
構内ネットX
有線端末
VRF n VRF 1 VRF 2【ソリューションのポイント】
① 既存システムの認証系を統合
② 有線・無線端末の認証を一元管理
ゲスト端末
ユーザは有線/無線端末を意識せず、同一ID/Passで認証可能!
認証統合ソリューション
~ユーザー利便性向上対策~
動的設定ソリューション
~設定稼働削減対策~
【ソリューションのポイント】
① ダイナミックVLANでVLAN変更作業不要!ついでにACL+QoSも不要
② 無線AP配下は1つのSSIDでネットワーク分離
認証後 (VLAN50)機密サーバ
(VLAN100)
一般サーバ
(VLAN200)
ACL 内容 A VLAN100/200の両方を通信許可 B VLAN200のみ通信許可 認証前 (VLAN30)A、a
教員
教師
一つのポート配下でユーザごとにVLANを
変更できる
→
レイアウト変更などでも設定変更の
必要がない!!
フィルタリングだけでなくマーキングも可能
【ポイント①】
下記の両方式で
利用可能!!
・固定VLAN
・ダイナミックVLAN
認証サーバ
ユーザ認証後は、
ACLに従って通信を制御
ユーザ ACLクラス QoSクラス 教師 A a 生徒 B b 認証完了【ポイント②】
全ての認証方式に対応!!
・トリプル認証
(Web/MAC/802.1X)
・マルチステップ認証
認証実施
QoS 内容 a 総務部のみ最優先制御 b 業務部社員はベストエフォートB、b
ダイナミックVLANの例
学生
動的設定ソリューション
~管理SSID削減対策~
【ソリューションのポイント】
① ダイナミックVLANでVLAN変更作業不要!ついでにACL+QoSも不要
② 無線AP配下は1つのSSIDでネットワーク分離
共用型AP
(※)で
SSIDごとにAP不要
ネットワーク
Aネットワーク
Bネットワーク
Cネットワーク
トランクポートも
802.1X OK!!
SSID VLAN A 100 B 200 C 300複数SSIDでネットワーク分離する場合
A B Cなので
複数のSSIDを
管理する必要なし!
ネットワーク
Aネットワーク
Bネットワーク
Cネットワーク
ダイナミックに
VLAN変更
SSID VLAN D 100 200 300ダイナミックVLANではSSID一つでOK!!
なので
D
【その他のポイント】
① 強固な認証基盤を支える冗長性と信頼性
② 早い認証処理速度と多い同時認証端末数
トリプル認証
正規ユーザ/端末のみ
接続を許可
MAC, Linux,
スマートデバイスなど
Windowsなど
IP電話、プリンタなど
MAC認証
802.1X認証
Web認証
あらゆる端末・OSを認証可能
L2スタック
不正ユーザ/端末は
シャットアウト
多ポートが必要な環境でも
認証機能が使えます!!
さらに、ループ検知も
利用可能です!!
スタック構成時にも強固な認証機能、ループ検知機能を提供可能!!
MAC認証 + Web認証
さらに
などの組み合わせ(マルチステップ認証)もOK!!
冗長性・信頼性と高い認証性能
SSL2048bitは高い処理性能が必要!!
今後、Web認証はSSL2048bitがスタンダードに
SSL2048bitの性能
Web認証 スピード 最大同時 認証端末数 AX2530S8台/秒
256
A社
A社
サクっと
認証
デバイスが多くて
もバッチリ
速い
多い
AX2530S
最大同時認証端末数
Web認証スピード
1秒あたりの認証処理性能 同時に接続要求があった場合 失敗しないで認証できる端末数 ※AX2530Sと同等のA社装置を、AlaxalA社内にて測定した結果です。 したがって,全ての条件下で結果を保証するものではありません。冗長性・信頼性と高い認証性能
【その他のポイント】
① 強固な認証基盤を支える冗長性と信頼性
② 早い認証処理速度と多い同時認証端末数
セキュリティ強化
有線・無線
認証統合
動的設定
冗長性・信頼性
と認証性能
①
不正AP、不正端末によるなりすましの徹底排除
②
マルチステップ認証により端末+ユーザの組み合わせ認証
①
既存システムの認証系を統合可能
②
有線・無線端末の認証を一元管理
③
ユーザに利用端末を意識させない認証環境を提供可能
①
レイアウト・配置換えはダイナミックにVLAN/ACL/QoSを変更
②
無線端末は1つのSSIDでネットワーク分離可能
①
スタック攻勢時においても上記認証機能+ループ検知可能
②
高い認証処理能力の機器により認証系を強化可能
まとめ
NTT-AT独自ソリューション
NTT-ATはアラクサラネットワークス社 の正規販売パートナーです。
