奈良教育大学学術リポジトリNEAR
学内LAN情報コンセントの利用と管理のためのシス テム開発と運用
著者 藤原 公昭, 森田 景子
雑誌名 教育実践研究指導センター研究紀要
巻 9
ページ 201‑208
発行年 2000‑03‑31
その他のタイトル System Development for Usage and Management of the LAN Connection Facilities
URL http://hdl.handle.net/10105/4197
藤 原 公 昭
奈良教育大学教育実践研究指導センター 森 田 景 子
奈良教育大学総合文化課程情報数理専修
System Development for Usage and Management of the LAN Connection Facilities
Kimiaki FUJIWARA
(Center for Educational Research and Training, Nara University of Education) Keiko MORITA
(Information and Mathematical Science Major, Nara University of Education)
要旨:講義棟などの情報コンセントを学生の利用に開放し、かっ利用状況の情報を収集するため のサーバーシステムを開発した。
キーワード:学内LAN、情報コンセント、クライアントサーバーモデル
Synopsis : A gate server system is developed, through which the LAN connection facilities are provided to open use for students in classrooms.
Keywords : LAN, Network Connection Facilities, Client Server Model 1.はじめに
平成7年、情報処理センターのインターネット接続から、平成9年、学生課就職情報コーナー でのWindows‑NTによる共同利用パソコン(以下共用PC)の設置を経て、表‑ 1に示すよう
に、学生用の共用PCも128台を数え、学生数に対する共用PCの台数は、他大学と遜色のない 整備状況に達していると言えよう。学生の、 E‑Mailの利用も、日常的となっており、図書館 などの共用PCでは1日あたり、平均19回の利用が記録され、順番を待つ学生も見られる。
情報教育の授業評価の一環としての学生アンケートの回答では、常時利用可能な共用PCを更 に増設することを希望するものが多い。しかし、全学生が随時利用な共用PCを整備することは、
予算と設置場所の確保が困難であり、現時点では、大幅な増設計画はない。むしろ、今後学生が、
個人的な必要性からパソコン(以下PC)を購入することなって行くであろう。それが、ノート 型である場合、学内LAN2 と接続することにより、 E‑MailやWWWの利用、サーバー機器 や学内共用PCとのファイル交換など、ネットワークを利用するアプリケーションが可能となり、
利便性が大いに増すことになる。
藤原 公昭・森田 景子
義‑1 共同利用パソコンの設置台数(1999/12現在)
情 報 処 理 セ ンタ ー 3 F 実 習 室 45
2 F 演 出 室 ll
管 理 棟 情 報 コ ‑ ナ ‑ 12
教 育 実 践 研 究 指 導 セ ンタ ー メ デ ィ アル I ム 8
講 義 棟 202教 室 15
図 書 館 エ ン トラ ン ス 3
新 聞 閲 覧 室 19
学 生 会 館 ボ ラ ンテ ィア室 2
国 際 交 流 宿 舎 北 棟 2
南 棟 蝣3
女 子 寮 学 習 室 2
新 館 3 号 棟 2 F 数 学 計 算 機 室 7
1999/ ユ2 現 在 計 128 2000 / 3 導 入 予定
新 館 3 号 棟 2 F 数 学計 算 機 室 3
新 館 2 号 棟 3 F 教 育 調 査 室 10
技 術 棟 2 F 製 図 室 17
計 158
このようなノートPCの利用が期待される場所として、講義棟、学生会館、学生宿舎が想定さ れる。講義棟においては、全ての教室にLANコンセントが用意されているので3)、ノートPC にLANインターフ‑‑スを備え、適当な長さのケーブルを用意すれば、現在でも学内LANへ の接続が可能である。学生会館、学生宿舎も学内LANが到達しているので、 LANコンセント が用意されれば、同様の利用形態が可能となる。
このとき、学内LANへの接続サービスを提供するシステム側としては、 DHCP4 と呼ばれる 方式を用いる。この方式では、接続するPCのネットワーク設定を、センターで用意したサーバー (DHCPサーバー)が自動的に行う。この方式によって、 PCの設定が大幅に簡単化され∴pcを LANコンセントに接続し、再起動するだけでネットワークに接続することができる。 DHCP方 式によらない場合、IPアドレス、ゲートウェイアドレス、ネットマスク、DNSサ‑バーアドレ
スの各設定情報をシステム管理者からの指示に従って、正確に設定する必要があり、特に初心者 には高い技術的、心理的な負担となっている。一方で、 DHCP方式を採用した場合には、簡便に接続できることの反面として、利用者・利 用状況の把盤に注意を払わなくてはならない。例えば、故障または不適切な使用によって、持ち 込まれたノートPCがネットワークに障害を与えた場合、そのPCと使用者を特定できなければ ならない。あるいは、システム装置や他組織の器機への違法侵入(Cracking)行為に対処する ためにも、利用者情報は確実に記録・管理されなければならない。
DHCP方式では、特に設定しなければ、不特定のノートPCへのサービスを提供することにな るが、特定のネットワークインターフェース(LANカード)に対してのみサービスを提供する
ことも可能である。この場合は、ノートPCの所有者があらかじめLANカードの固有番号であ る、 MACアドレス(Ethernetアドレス) 5)を届け出、それをシステム側でDHCPサーバーに 許可設定する、という手順が必要となる。これは、ノートPCの利用が全学的になった場合には、
センター側に相当な負担となるおそれがある。
そこで、今回は、ノートPCの利用者からの届け出を必要としない方式でありながら、利用者 と利用の状況とを把握し、管理できるためのサーバーシステム(GATEサーバー)方式を研究・
開発し、本学講義棟において、実験運用を行った。
平成12年3月に予定されている、講義棟改修の完了を待ち、本システムの運用評価を開始する。
これによって、学生が個人所有のノートPCを活用し、個人情報と学習研究情報を統合した情報 環境を持ち運ぶことが可能となり、その条件を前提とした授業も構想できるようになろう。また、
講義棟で開催されるシンポジウム・学会等において、一定の規約の下に、学外の参加者に情報コ ンセントを開放することが可能となり、参加者の情報収集・情報交換に大いに役立っことになる と期待される。
2.講義棟ネットワークと学内LANの構成
図‑1講義棟ネットワークと学内LANの構成
講義棟の各教室に設置されたLANコンセント(RJ45モジュラーコネクター)からの接続は、
ハブで集約され、今回開発したGATEサーバーを介して、学内LANの基幹ルーターに接続さ れる(図‑De
3. GATEサーバー
講義棟LANコンセントからの接続(IPパケット)は、図‑1に示すように、全てGATEサー バーを経由し学内LANに接続される。従って、このGATEサーバー上で、 IPパケットの通過 許可・禁止を制御できることになる。このことを利用して、 GATEサーバーにおいてノートPC 利用者へのサービスと管理機能を実現する。なお、 GATEサーバーはPC/AT機(100MHz Pentium、主メモリ24MByte、 HDD容量1.2GByte)に2枚の100BASE‑TX‑LANインターフェー スカードを装着したハードウェア(DEC社製)であり、 OSはFreeBSD3.2である。
GATEサーバーは、ソフトウェア的に、 1. DHCPサーバ機能、 2. WWWサーバー機能、
藤原 公昭・森田 景子
3. DNSサーバー機能、 4. IPFW (IPパケット転送制御)機能、 5.利用者認証機能、
6. Syslog (システム記録)機能、 7.切り離し監視機能、を実現している。
3.1. DHCPサーバー機能
接続しようとするノートPCに対して、 1. IPアドレス、 2.ネットマスク、 3.ディフォー ルト(default) ゲートウェイ、 4. DNSサーバーアドレス、 5.ドメイン、および、 6.リー ス期限の設定を行う。この設定は、 LANコンセントに接続したノートPCの起動時に、自動的 に行われる。
DHCPソフトウェアはWide‑dhcp‑1.4,0を利用した。
3.1.1. IPアドレス
192.168.21.128‑254の範囲でIPアドレスのリースを行う 202教室の共用デスクトップPCや プリンターサーバーに対しては、 192.168.21.127以下の固定IPアドレスを割り当てている。
GATEサーバー自体の講義棟側のインタ‑フェースには192.168.21.1が割り当てられており、 3.1.3 で示すように、講義棟でのノートPCのディフォールト・ゲートウェイとなっているQ
固定IPアドレスとして確保されている192.168.21.127以下のIPアドレスが「抜け道」となる 可能性があるが、 2000/3以降、講義棟・情報処理センター間の光ファイバーを増設することで、
講義棟内での共用PCと情報コンセントとは、ネットワークを完全に分離する予定である。
3.1.2.ネットマスク
いわゆるクラスC相当のOxffffffOO (/24)とする。同時に接続するノートPCの台数が200 程度までは、このマスク値で十分であろう。
3.1.3.ディフォールト・ゲートウェイ
講義棟で情報コンセントに接続するノートPCのディフォールト・ゲートウェイにはGATE サーバーの講義横側インターフェースである、 192.168.21.1を設定する.
3.1.4. DNSサーバー
GATEサーバー自身がDNSサーバーとしても機能しているので(3.3参照)、 3.1.3ディフォー ルト・ゲートウェイと同じ、 192.168.21.1を設定する。
3.1.5.ドメイン
講義棟内も学内LANの一部であるので、 NARA‑EDU.AC.JPがドメインとなる。
3.1.6.リース期限
講義棟内の教室におけるノートPCの利用形態を考えた場合、 IPアドレスのリ‑ス期限は2 時間程度、最長リース期限も12時間で十分と考えられる。
3.2. WWWサーバー梼能
ノートPCをLANコンセントに接続し、起動あるいは再起動するとも)、 3.1のDHCP機能に
よって、 IPアドレスなどのネットワーク設定が自動的に行われ、 GATEサーバーと通信できる 状態になる。しかし、後述(3.4)するIPFW (IPパケット転送制御機能)により、当該ノート PCから、 GATEサーバーを通過し、学内LANや学外のインターネットには接続できない様に 設定されている。
この状態から、当該ノートPCがGATEサーバーを通過し、通信できる状態に遷移させるた めの関門として、利用者の認証を行うwwwページを用意する(図‑2)。利用者(学生)は、
ノートPCの起動後、ブラウザーによってこのペ‑ジhttp://gate.nara‑edu.ac.jp/にアクセスし、
利用者IDとパスワードを入力することになる。
図‑2 利用者認証ページの画面
利用者IDとパスワードの照合は、 CGI機能によって行い、全学生のアカウントが登録されて いるstudent機のパスワードと一致した場合、当該のノートPCのIPアドレスに対するIPパケッ ト通過許可の設定がIPFW機能(3.4)によって行われる。このことによって、当該ノートPC は学内外との通信が可能となる。
同時に、利用者ID、当該ノートPCのMACアドレス、リ‑スされたIPアドレスが、 3.6の Syslog機能によってGATEサーバーのディスクに記録される。
なお、 wwwサーバーソフトウェア(httpd)はApachel.3.1を用いた.
3.3. DNSサーバー機能
GATEサーバーの通過許可を得る以前の状態で、前述(3.2)の利用者認証ページhttp://gate.
nara‑edu.ac.jp/のホスト名を解決するためには、 GATEサーバー自体にDNSサーバー機能を持 たせる必要があり、 3.1に記したようにDHCPによって当該ノ‑トPCのDNSサ‑バーとして、
192.168.21.1が設定されるようになっている。このことによって、認証以前・以後を問わずDNS によるホスト名の名前解決が可能である。
DNSサーバー機能は、 FreeBSD3.2に標準として装備されているBIND8によっている。その設 定は、ローカルホスト(GATEサーバー自身)以外の名前解決を、学内の正規のDNSサーバー 202.236.176.37に託する様になされている(Forward Onlyの設定)。
3.4. IPFW (IPパケット転送制御)権能
利用者認証を通過できたノートPCに対して、 GATEサーバーを通過し学内外と通信を行うこ とができるようにするためには、 GATEサーバーにおいて当該ノートPCのIPアドレスを始点・
終点とするIPパケットの通過を許可する様にすればよい。
藤原 公昭・森田 景子
この機能は、 FreeBSD3.2に標準でインスト‑ルされているIPFW (IP‑Firewall制御)コマン ドのAllow/Pass (通過許可設定)によって実現する。このIPFWコマンドでは、特定のIPア ドレスを始点・終点とするIPパケットの通過の許可(Allow/Pass) 不許可(Deny)を自由 に設定することができる。
なお、 GATEサーバーの起動後の初期状態では、対象IPアドレス192.168.21.128‑254を始点 あるいは終点IPアドレスとするIPパケットは、全て通過不許可(Deny)と設定されている。
3.5.利用者認証機能
前述(3.2)した様に、全学生の利用者lDはstudentサーバー(student,nara‑edu.ac.jp)に メールアカウントとして登録されている。ノートPCの利用者の認証を行うCGI7 プログラム は、 studentサーバーに対して、 POP3プロトコルのUSERコマンドとPASSコマンドを用いて、
当該利用者(学生)の利用者IDとパスワードの認証を行う。
これを実現するCGIプログラムは、 perl言語とTelnetライブラリを用いて書かれた。
3.6. Syslog (記録)機能
UNIXシステムで標準的に提供されるIogging (記録)機能、 Syslogを用いて、認証された利 用者IDと接続開始時刻、当該ノートPCのMACアドレス(LANインターフェースの一意番号) およびリースされたIPアドレスを記録する.当該ノートPCが、情報コンセントから外される か、あるいは電源を切断した場合、後述(3.7)の切り離し監視機能が、切り離しを検出した時 刻、当該IPアドレスなどを記録する。
3.7.切り離し監視槻能
ノートPC利用者は、随時、情報コンセントからケーブルを外したり、 PCの電源を切断する ことがあり得る。学内LANからの切り離しに、何らかの手続きが必要であったとしても、それ が遵守される保証はないし、利用者にとっても煩墳なことである。従って、このシステムでは、
ノートPCの学内LANからの切り離しを自動検出し、記録する機能が必要であると判断した。
このために、 UNIXが標準的に提供するARP8 テーブルの自動消去機能を利用する。 GATE サーバーにおけるARPテーブルには、その時点で接続されているノートPCのIPアドレスと MACアドレスの対応が記録され、 15分ごとに更新されている。ノートPCが切り離された場合、
最長15分以内に、 ARPテーブルから当該ノートPCの記録が消去されることになる.
IPFW機能(3.4)によって、通過許可の設定がされているIPアドレスであり、かつ、 ARP チ‑ブルに存在しない(あるいは不定なstatusと認識されている) IPアドレスに対応するノー
トPCは、すでに切り離されたものと見なし、 IPFW機能によって、通過不許可(Deny)に設 定すると共に、 3.6のsyslog機能によって、時刻と当該IPアドレスの記録を行う。
この切り離し監視機能は、 C言語で書かれた監視ソフトウェアをcron機能によって、 5分ご とに起動することで実現している。
4.講義棟でのノートPCの設定と利用について
講義棟において、ノートPCを情報コンセントに接続し、 E‑MailやWWWの利用など、イン
ターネットサービスを利用しようとする場合、利用者は各自のノートPCを以下のように設定し、
利用者認証を受ける必要がある。
4.1. TCP/IPの設定
TCP/IPのプロパティにおいて「DHCPサーバーを利用する」設定とする。 Macintoshの場 合は、 DNSサーバーとして192.168.21.1をも指定する。
4.2.ブラウザーの設定
「プロキシサーバーを利用する」設定とし、全てのプロトコルに対して、サーバ一名「squid」、
ポート番号「8080」を指定する。また、 Netscapeでは「nara‑edu.ac.jp」に対して、 Internet Explorerでは「*.nara‑edu.ac.jp」に対して「プロキシを使用しない」とする0
4.3.接続の手順
上記4.1、 4.2の設定で起動し、ブラウザーからhttp://gate.nara‑edu.ac.jp/をアクセスする。
図12の様な画面が表示されるので、 IDに利用者ID、 PASSにパスワード(studentサーバー のパスワ‑ド)を入力し、 [OK]をクリックする。パスワードが正しければ、その旨表示され、
GATEサ‑バーの通過が許可され、学内外へのアクセスが可能となる。
4.4.利用の終了
特別な手順は必要がない。ノートPCをLANコンセントからはずすと、 GATEサーバーの切 り離し監視機能(3.7)がそれを検出し、初期状態に戻す。
5.運用と評価
本システムの開発は1999/12までに行われ、ソフトウェア、フォーム、データなどがGATE サーバーに実装され、機能テストを終了している1999/12以降、講義棟での運用テストと評価 を行う予定であったが、講義棟の改修工事が急速行われ、運用実験は次年度以降とせざるをえな
くなった。
平成12年度の新学期から、学生への周知を図り、運用実験を開始するo ノートPCの購入を検 討している学生にとって、そして、学内LANの運用管理にとって有効なシステムであることを 期待している。
付記
本システムのソフトウェアは、森田によって開発された。詳細は、平成11年度総合文化科学課 程科学情報コース情報数理専修森田景子、卒業論文「クライアントサーバ‑システムの研究〜ネッ
トワーク利用の管理についての調査および講義棟等LAN利用管理システムの開発について〜」
1999/3参照 註
1) 2000/4より株式会社富士通関西システムズ所属
藤原 公昭・森田 景子
2 ) Local Area Network
3) 2000/3より101、 102教室の全席に情報コンセントと電源コンセントが用意される。
4 ) Dynamical Host Configuration Protocol
5) MAC (MediaAccessController)アドレスは、 LANカードのROMなどに焼き付けられ ており、変更できない。また、 3バイトの製造会社コードと3バイトの付加番号からなって おり、カード毎にユニークである。通常はカードにシールなどで表示されるが、不明の場合 はWinipcfgコマンド(Windowsの場合)で調べることができる。
6) Windowsの場合、 Winipcfgコマンドの「更新」あるいは「書き換え」によっても再設定す ることができる。
7 ) Common Gateway Interface 8 ) Address Resolution Protocol
