無線LAN技術を利用したインターネットの構築:4.無線LANによる移動体通信の事例4.1モバイルIPを用いた安全なキャンパスワイド無線LANインフラ構築事例
5
0
0
全文
(2) 特集 無線 LAN 技術を利用したインターネットの構築. ■ホーム IP アドレスの割り当て. SIS システムを本学に導入するにあたり,まず,検討 する必要があったのは,ホーム IP アドレスの割り当て についてである.現在の九州大学の教員,学生,事務 その他を含めた全構成員の数は約 20,000 人である.一 方,モバイル IP を使うメリットの 1 つとして,各利用 者端末に固定的な IP アドレスを割り当てることができ ることがあるので,できれば,グローバル IP アドレス を割り当てたいという希望があった.しかし,九州大学 では,現在すでに保有しているクラス B アドレスのうち 図 -1 SIS システムの基本構成. 70 % 以上を利用しており,残念ながら 20,000 個という アドレスを捻出することは困難であった.また,卒業あ るいは修了する学生が本当に卒業,修了することが確定. 全学的なサービスが目的であったため,メーカサポート. するのは 5 月以降であり,毎年 1 学年分のデータが余計. が期待できる後者を採用することとした.製品としては,. に重複する時期が必ず年度始めにあり,実際はその時期. ルート株式会社から SIS(Secure IP Solution)システム. に 20,000 個以上のアドレスが必要になるため,現在で. を購入し,これを利用することにした.しかし,製品を. は割り当て済みのアドレスを整理したとしてもやはり固. 購入しても,実際に利用するためにはカスタマイズが必. 有の固定グローバルアドレスをホームアドレスに利用す. 要である.また,カスタマイズといっても,それはシス. るのは困難であった.. テムのほとんどの部分を占めるので,結局,システムの. そこで,九州大学では,ホームアドレスとして,プラ. 設計と同じである.本章では,そのシステム設計につい. イベートアドレスを使用することにした.しかし,プラ. て説明する.. イベートアドレスを九州大学の現在のキャンパスネット. ■ SIS システムの基本構成. ワーク上で実現するのにはいくつかの問題があった. 利用者端末,モバイル IP アクセスポイントおよびホー. SIS システムの基本構成を図 -1 に示す.システムの構. ムエージェントは,これらの機器で九州大学キャンパス. 成要素として,サーバ系に「ホームエージェント」,「認. ネットワーク内にプライベートアドレスネットワークを. 証サーバ」 , 「マネージャ」があり,アクセス系としてモ. 構成するため,既設の九州大学のキャンパスネットワー. バイル IP アクセスポイントがある.動作の概要は以下. クとは少なくとも論理的に分離できれば,プライベート. の通りである.. ネットワークとキャンパスネットワークの接点が 1 つに なるので,外部ネットワークとのアクセスに必要になる. (0)利用端末には固有の ホーム IP アドレスが静的に付 与されている.. プライベートアドレスとグローバルアドレスの変化を行 う NAT(Network Address Translate)装置の設置が容. (1)利用端末がモバイル IP アクセスポイントに近付きアソ. 易になるはずであった.しかし,モバイル IP アクセス. シエイトすると,モバイル IP アクセスポイントが管理. ポイントは,全学の各部局の協力によって,大学の各所. する気付アドレスが動的に付与され,通信が可能となる.. に 設 置してあるため,必ずしも, 既 設の セ グメントと. (2)利用端末は認証サーバとやりとりをし,認証に成功 すれば正式にインターネットに接続される. (3)利用者端末から出力されるパケットは,そのままイ ンターネットに送信される. (4)インターネットから届くホーム IP アドレス宛のパ. モバイル IP のセグメントを論理的に分離できる VLAN (Virtual LAN)の利用できるスイッチングハブに接続 できるとは 限らなか っ た. むしろ, ほとんどの ケ ー ス では,モバイル IP アクセスポイントが直接接続されて いるスイッチングハブには VLAN の機能が備わってい. ケットは,ホームエージェントがモバイル IP アクセ. なかった.そのため,モバイル IP アクセスポイントは,. スポイントと経路制御を行い,指定されたホーム IP. キャンパスネットワークに対して九州大学のグローバ. アドレスが付与されている利用者端末に配送される.. ルアドレスで接続し,気付アドレスおよび,ホームアド レスのみプライベートアドレスを使用するという構成を. なお,上記の説明では触れなかったマネージャは,各. とることにした.ちなみに,将来 SIS が IPv6 に対応し,. 利用者端末がどのモバイル IP アクセスポイントに現在. また,九州大学のキャンパス内ネットワークも IPv6 に. 接続されているかといった九州大学キャンパスネット. 対応すれば,いずれは,グローバルな IP アドレスをホー. ワーク内での地理情報やログ情報などの管理をしている.. ムアドレスとして利用したいと考えている.. 822. 45 巻 8 号 情報処理 2004 年 8 月.
(3) 4. 無線 LAN による移動体通信の事例 1. モバイル IP を用いた安全なキャンパスワイド無線 LAN インフラ構築事例. 図 -2 対外接続部の構成. ■対外接続部分の経路制御. 図 -3 屋内用 モバイル IP アクセスポイント. このような構成では,モバイル IP 端末からのソース アドレスとして各利用者のホーム IP アドレスがついたパ ケットと,ソースアドレスとして九州大学の IP アドレ スがついたパケットがキャンパスネットワークのネット ワーク層で混在するようになった.つまり,既設のキャ ンパスネットワーク内において,モバイル IP のホーム IP アドレスであるプライベートアドレスの経路制御を行う ことにした.九州大学で現在対外接続で用いているルー タ装置には NAT の機能はないので,プライベートアドレ スを用いているモバイル IP 端末が,九州大学外部と通信 するためには別途アドレス変換が必要となった.しかも, その装置は図 -2 のように対外接続ルータに外づけのよう に接続させる必要があった.つまり,対外接続ルータは,. 図 -4 屋外用 モバイル IP アクセスポイント. ソースルーティングを行い,ソースアドレスがモバイル. IP のホームアドレスであれば,アドレス変換装置に経路. ることは,本学のセキュリティ上好ましくないため,大. 制御を行い,アドレス変換装置にてソースアドレスをそ. 雑把な紹介にとどめる.事務局,食堂,課外活動共同施. のアドレス変換装置のグローバルアドレスに置き換えて. 設,いくつかの講義室,図書館,など従来キャンパスネッ. インターネットへパケットを送出するようにした.. トワークの利用が困難であった個所を中心にモバイル IP. このようなシステム構成で,九州大学内で安全な無線. アクセスポイントを設置している.特に食堂への設置は,. LAN によるモバイル IP の利用が可能になった.. まだ,特定の研究室に所属しない学部学生,文系の学生. モバイル IP システムの導入. を タ ー ゲ ッ トにしている. しかし, 基 本 的には 設 置す る部局の協力ならびに要望に基づいて設置しているので, 従来,まったく,学内ネットワークがなかった個所への. 本章では,実際にシステムを導入し,運用を始めて発. 設置は行っていない.基本的に,近郊に既設の有線の学. 生したさまざまな問題点を挙げ,それらについて考察する.. 内ネットワークの機器があり,そこからケーブルが伸ば. ■キャンパスへのモバイル IP アクセスポイント の設置 モバイル IP アクセスポイントは九州大学全体で,現在 約 240 台設置されている.九州大学は,箱崎キャンパス. せる範囲でモバイル IP アクセスポイントを設置している. 屋内に設置できるものは図 -3 のようなタイプの機器を設 置し,また,屋外に設置したものは図 -4 のような,雨など を防げるハウジングで覆われたタイプのものを設置した.. を中心に,病院キャンパス,筑紫キャンパス,六本松キャ. ■ ID 管理. ンパス,大橋キャンパスというサテライトキャンパスで. SIS シ ス テ ムの 特 徴の 1 つである, 認 証のためには,. 構成されているが,それぞれのキャンパスでモバイル IP. 利用者 の ID 管理を行う必要がある.ID 管理で特に重要. の利用が可能になっている.詳細な設置情報を紹介す. なのは,ID の利用者への配布である.いわゆる商用サー IPSJ Magazine Vol.45 No.8 Aug. 2004. 823.
(4) 特集 無線 LAN 技術を利用したインターネットの構築. ビスと異なり,大学でのサービスは,利用者が必要であ. セスポイントにはそのアクセスポイントを設置する部局. るという意思表示に無関係に全構成員の ID の作成なら. からアドレスを割り当ててもらいそのアドレスを用いて. びに配布する準備をする必要がある.これに対して,学. キャンパスネットワークと接続している.そのため,そ. 生は,4 月入学だけではなく 9 月入学などもあるし,教. のモバイル IP アクセスポイントに,アソシエイトした. 員ならびに職員は毎月任意に人事異動があるので,九州. 利用者端末にはその部局のセグメントの IP アドレスが. 大学の最新の構成員情報とモバイル IP の ID 情報を常に. ついてしまうと 誤 解されがちであ っ た. 部 局の ネ ッ ト. 同期させることは非常に困難である.. ワーク担当者の立場からすれば,たとえ,九州大学の構. また,現在,九州大学には全構成員に対する汎用的な. 成員であってもその部局のポリシーを知らない利用者に. ID 管理システムは存在しないので,学生の ID は,情報. よるネットワーク上のトラブルが自分の部局のアドレス. 基盤センターの教育用システムの ID と連動,教員,職. で起こされるのはたまらない,という意見であり,それ. 員は,部局単位に ID 管理係を決めて,部局単位でとり. はもっともである.しかし,実際は,先述した通り,ど. まとめの 協 力をお 願いしている. 将来的には九 州 大 学. このモバイル IP アクセスポイントにアソシエイトして. にも,全学的な ID 管理システムのようなものができあ. も,利用者の端末から発せられるパケットのソースアド. がる 予 定にな っ ているので, それと 連 携できれば, 教. レスは,その利用者端末固有のホーム IP アドレスとなる.. 員,職員の ID 管理のオーバーヘッドも減ることが期待. また,そのパケットが学外に出ている時は,そのソース. できる.なお,教育用システムの ID との連動について. アドレスは,情報基盤センターに設置されたアドレス変. は,頻繁に変更されることが期待されている教育用シス. 換装置のグローバルアドレスに置き換えられるが,その. テムパスワードの性質と,あくまで利用者の認証のため. アドレスは情報基盤センターで管理されているものなの. の目的であるモバイル IP システムのパスワードの性質. で,もしも,モバイル IP 利用者がインターネット上で. は異なるので,教育用システムの ID そのものをモバイ. トラブルを起こしたとしても,そのコンタクトは情報基. ル IP で利用しているわけではない.. 盤センターになる.なお,学内の機器にアクセスする. 導入時あるいは導入後に発生した問題と それに対する考察. 場合は,アドレス変換装置を経由しないので,ソースア ドレスは,各利用者に割り当てられたホーム IP アドレ スのままとなる.そのため,利用者が学内のどこからア クセスしようと,ホーム IP アドレスからその利用者を. 本システムは,情報基盤センターが中心になって導入. 特定できる反面,ソースアドレスがプライベートアドレ. を進めてきたが,実際の運用を開始する時は,全学的な. スであるので,九州大学のクラス B アドレスでアクセス. 意見を聞く機会があった.運用をする側としては,安全. 制限を行っている Web サービスのアクセスが拒否され. で便利なインフラが整備されるので,あまり否定的な意. るといった問題が発生した.いずれにしてもこの問題は,. 見がでることは予想していなかったが,それでも次のよ. 本質的にはホーム IP アドレスとして,九州大学の持つ. うな意見が学内から出てきた.ただし,中にはシステム. グローバルIPアドレスが利用できなかったところにある.. の構成の誤解からくるものもあった.. ■モバイル IP アクセスポイントの設置と部局の ポリシー. ■いつでもどこでも イ ン タ ー ネ ッ トが 使える ことは… 無線 LAN で,モバイル IP を全学的に利用可能にする. モバイル IP アクセスポイントの学内キャンパスネッ. ことによって,九州大学の各キャンパスでいつでもイン. トワーク側のインタフェースには,どうしても,そのア. ターネットの利用が可能になった.また,キャンパスに. クセスポイントが設置される部局のグローバルアドレス. よっては従来インターネットの利用できない講義室で. を 付 与する 必 要がある. これは 前 述したように, キ ャ. もインターネットアクセスが常時可能となった.しかし,. ンパスネットワークの末端のスイッチは VLAN に対応. この状況に対して,ある講義担当の先生からは, 「講義. していないものが多いため,避けることはできなかった.. 中に学生がコンピュータでインターネットを閲覧できる. もちろん,同一データリンクセグメントに複数の異なる. のは学生が講義に集中できなくなるので困る」という意. ネットワークを利用することは可能であるので,キャン. 見をいただいてしまった.「正規の講義中はモバイル IP. パスネットワークのルータにもプライベートアドレスを. の利用を停止してもらえないか」というものである.ま. 付与すれば,モバイル IP アクセスポイントのすべてイ. た,ある部局からは,「モバイル IP アクセスポイントの. ンタフェースにプライベートアドレスを付与して運用す. 電波が届けば,パソコンが使えてしまうので,夜中など. ることは可能である.しかし,これはさすがに運用管理. 建物のまわりでパソコンを使う学生が増えてしまいそう. のオーバーヘッドが大き過ぎるので,モバイル IP アク. なので,夜中はモバイル IP の運用を停止して欲しい」と. 824. 45 巻 8 号 情報処理 2004 年 8 月.
(5) 4. 無線 LAN による移動体通信の事例 1. モバイル IP を用いた安全なキャンパスワイド無線 LAN インフラ構築事例. いう意見をいただいた.いずれの意見に対しても,モバ. であるが,この気付アドレスの管理の問題は承知しても. イル IP システムは,キャンパスネットワークと同様に. らう必要がある.. 九州大学の全学的なネットワークインフラなので,間欠 的なサービスはしたくないと情報基盤センターからは回. 今後の展開. 答したが,モバイル IP アクセスポイントの設置は各部局 内にしているので,もしも,部局の方で,電源などを抜. 本稿で紹介したようなシステムで,九州大学では現. いたり,ブレーカーを落としたりされるとこちらは,モ. 在,モバイル IP を用いた無線 LAN インフラが全学的に. バイル IP アクセスポイントの停止は検知できるものの,. 提供されている.本システムの稼働は 2003 年に始まっ. その復旧までは困難である.なお,SIS システムではシ. たばかりで,稼働実績はまだ 1 年未満であるため,利用. ステムスケジュールで,特定のモバイル IP アクセスポイ. 者サービスの観点からの定量的な評価はまだ行っていな. ント群のサービス提供の時間的なスケジューリングは可. い.現在はシステムの全学的な整備が完了したばかりな. 能なので,このような部局からの要望に対応することは. ので,そのような評価をゆっくりと行える状態ではない. 可能であった.しかし,情報基盤センターのモバイル IP. というのが実情であるが,今後は利用者数の把握や時間. 運用のポリシーとして現状では,常時サービスを提供す. 帯をキーにしたさまざまな解析を行っていく予定である.. ることにして,このようなネットワークインフラの整備. ただ,IP アドレスから利用者が特定できてしまうので,. と倫理面から見たパソコン利用の制限とのトレードオフ. その辺りは情報に適宜匿名性を持たせるなど注意する必. はより高いレイヤで解決を図ることとした.しかし,逆. 要がある.それから,現在ホーム IP アドレスとしてプ. に,情報基盤センターによる整備が不十分であった部局. ライベートアドレスを利用しているため,出口のところ. からは自前でモバイル IP アクセスポイントを購入して. で,モバイル IP 端末からのパケットのみをアドレス変. 整備したいという申し入れもあり,それによってモバイ. 換装置を経由させるために対外接続ルータでソースルー. ル IP アクセスポイントの数が増えた部局もあった.. ティングを行っているが,この処理が実はかなり対外接. ■モバイル IP アドレスとしてグローバルアドレ スを利用する. 続の負荷をあげる要因となっている.その辺りの具体的 なトラフィックも定量的に測定して,ソースルーティン グのオーバーヘッドの見積りなども吟味する必要がある.. 筆者のユーザとしての個人的な感想は,筆者の職場. 現在,情報基盤センターに対する利用に関する問合せ. である情報基盤センターにはモバイル IP アクセスポイ. はかなり多い方であるので,すでに多くのユーザが利用. ントが潤沢に設置されていることもあり,職場で利用す. されていることが予想される.九州大学が採用した SIS シ. る分には満足している.しかし,残念ながら筆者がよく. ステムは,利用者の端末に SIS システム専用のソフトウェ. でかけるキャンパス内のある建物にはモバイル IP アク. アをインストールする必要があるのと,本来このソフト. セスポイントはまったく設置されていないので,実はそ. ウェアは特定の無線ネットワークカードには依存しない. の恩恵をあまり得ていない.モバイル IP アクセスポイ. 設計であるにもかかわらず,一部動作が安定しない端末. ントの設置については部局に依存するので,その辺り難. があり,ドライバの継続的なバージョンアップが必要で. しいところである.なお,情報基盤センターの利用者の. ある.また,現時点では,利用端末としてマイクロソフ. ホーム IP アドレスは,プライベートアドレスではなく,. ト社製の Windows 版しか対応できていないが,九州大学. 情報基盤センターの管理下のグローバルアドレスを用い. では医学部,農学部では Mac ユーザが多く,近々完了す. ている.そのため,気付アドレスもグローバルアドレス. る予定であると聞いている Mac への対応に期待している.. を用いているが,モバイル IP アクセスポイントに対し. 九州大学でのモバイル IP による安全な無線 LAN のイ. て,ネットワークセグメントの数が少ない,言い替えれ. ンフラは整ったばかりである.今後このインフラを用い. ば,1 つのネットワークセグメントに多数のモバイル IP. た有益なアプリケーションが学内からたくさん出てくる. アクセスポイントが接続されているので,気付アドレス. ことに期待する.また,そのようなアプリケーションを. としてグローバルアドレスを多数割り当てる必要が生じ,. また報告できる機会があれば,と考えている.. 全体的にアドレスの効率的な利用ができていないという 問題がある.たとえば,ある会議室に設置されているモ. 謝辞 九州大学におけるモバイル IP システムは,情. バイル IP アクセスポイントに割り当てられる気付アド. 報基盤センターのスタッフならびにモバイル IP アクセ. レスは数個なので,同時に 10 名程度の人数で会議を始. ス ポ イ ン トを設 置させていただいている部 局の 協力に. めると,気付アドレスが不足するという事態に陥る.そ. よって運用されてている.モバイル IP システムの運用. のため,もし,部局からホームアドレスとして,グロー. にかかわっているすべての方に感謝いたします.. バルアドレスの利用の申請があった場合その対応は可能. (平成 16 年 7 月 1 日受付). IPSJ Magazine Vol.45 No.8 Aug. 2004. 825.
(6)
関連したドキュメント
(2) カタログ類に記載の利用事例、アプリケーション事例はご参考用で
DVI-D シングルリンク信号エクステンダー DVIDEX-UTPPSV は、安価な CAT5e 以上の UTP LAN ケ ーブルを使用して、DVI-D
方針
そして,我が国の通説は,租税回避を上記 のとおり定義した上で,租税回避がなされた
補助 83 号線、補助 85 号線の整備を進めるとともに、沿道建築物の不燃化を促進
・条例手続に係る相談は、御用意いただいた書類 等に基づき、事業予定地の現況や計画内容等を
平成 27
5Gサービスを実現するRANの構成と,無 線アクセスネットワーク技術としてLTE-NR Dual Connectivity *7 ,Beam Management
