Embed Size (px)
Citation preview
仮想化基盤を活用した無線LANシステムの刷新Renovation of A Wireless LAN System using A Virtual Computing
Platform
櫻田武嗣 †, 三島和宏 †, 萩原洋一 †Takeshi Sakurada†, Kazuhiro Mishima†, Yoichi Hagiwara†
[email protected], [email protected], [email protected]
東京農工大学総合情報メディアセンター †Information Media Center, Tokyo University of Agriculture and Technology†
概要
本論文は東京農工大学において 2013年 10月末に刷新した仮想化基盤を活用した無線 LANシステ
ムについて述べる.この刷新では,これまで利用していた多数の自律型無線アクセスポイントを廃
止し,コントローラ型のアクセスポイントを再配置すると共に,無線 LANシステムで用いるサーバ
類,ルータ類を仮想化基盤上に構築し,機器の集約と低コスト化を図った.また来訪者用無線 LAN
利用アカウントの自動発行システムやクライアントの位置算出システムも導入し,管理と運用の効
率化を目指している.これらの刷新に関わる設計,構築とその後の運用について述べる.さらにア
クセスポイントの増設位置決定のための簡易的な事前調査方法についても述べる.
キーワード
無線 LANシステム, ソフトウェアルータ, 仮想化基盤の活用
1 はじめに
近年モバイル機器の普及により無線通信の需要が急速
に延びている.学校教育においてもタブレット端末を各
生徒に持たせて授業を行う取り組みもはじまっており,
無線 LANの整備が急務となっている.本学においては
1998年から無線 LAN環境の試験的導入を行い,何度か
機器を入れ換えながら環境整備を行ってきた.しかしな
がら予算的な制約から自律型のアクセスポイントの増
設をしていたため,管理面で問題が生じはじめていた.
また無線 LAN利用のための認証システムも近年普及し
ているスマートフォンやタブレットなどの機器では利用
しづらくなってきており,入れ替えが求められていた.
そこで本学では 2013年に本格的に無線 LANの刷新を
行うこととした.入れ替えではシステムをできる限り仮
想化基盤上に置くことで集約化とハードウェアに起因
する制限を減らすことを目標とした.本論文では,サー
バの仮想化だけでなく無線 LANで使用するネットワー
クのバックボーンも仮想化基盤上で動作させる新無線
LANシステムへの刷新とその運用について述べる.
2 旧無線LANシステムと問題点
2.1 旧無線LANシステムの導入と運用状況
本学でこれまで利用していた無線 LANシステムは,
試験運用から少しずつ台数を拡張していったものであり,
つぎはぎだらけとなってしまっていた.1998年に無線
LANシステムパイロット版として学内から有志を募り,
当時発売されたばかりのNEC Octpower R8100シリー
ズの無線 LANアクセスポイントを利用し,無線 LAN
の特徴の把握や活用方法を探る試みを始めた.この当時
の無線 LANの規格は DS-SS CSMA/CAで 2Mbps の
帯域であった.その後コンシューマ向けに 11Mbpsと
学術情報処理研究 No.18 2014 pp.71−80
- 71 -
広帯域な 802.11bの規格に対応したアクセスポイント
が発表になったため,無線 LAN アクセスポイントを
802.11b対応のものへと変更し,学内全体へ向けて無線
LANサービスを試験運用という形で開始した.2000年
には小金井キャンパス,2002年からは府中キャンパス
にてさらにアクセスポイントを増設する形で運用を行っ
てきた.
試験運用では,当初はコンシューマ向けの Buffalo
WLA-L11 シリーズをアクセスポイントとして利用し
[1],その後 128bitWEPに対応したモデル,802.11gに
対応したモデルに入れ替えとアクセスポイントの増設
を行ってきたが,これらはまとまった予算が取れなかっ
たため,Buffalo製のアクセスポイントのままであった.
設定する台数が増えてくると機器の設定が煩雑になった
ため,Webインタフェースを操作してアクセスポイン
トを設定する Perlスクリプトを作成し,設定の半自動
化を行っていた.また機器の状態把握は定期的に ping
を投げてアクセスポイントの死活監視を行う程度であっ
た.これらのアクセスポイントは家庭用や小規模なオ
フィスで使用されることを前提としており,同時に多
数の接続ができない状態であった.1アクセスポイント
あたり多くても 15台程度の同時接続での利用が限界で
あった.
この後 Buffaloから法人向けをうたった機器が登場し
たたため,少しずつこの法人向けモデルへ入れ替えて
いった.入れ替えの目的の中には,802.11aへの対応も
含んでいた.引き続きアクセスポイントの初期設定と死
活監視に関しては本学で作成したスクリプトで行って
いたが,細かなアクセスポイントの制御はできていな
かった.2010年末に Buffalo純正の管理ソフトウェア
BN-ADTが発売され,Buffalo製アクセスポイントを一
元管理できるとのことであったが,本学で導入したとこ
ろ,アクセスポイントを 100台登録したあたりからこ
の管理ソフトウェア上で正常に機器が認識できない状
態が発生するようになった.またこのソフトウェアを使
用することにより隣接する無線チャネルの競合を自動
的に解消するはずであったが,競合を検出すると競合を
検出した互いのアクセスポイントがほぼ同時に空いて
いるチャネルに変更されてしまい,再度競合が起きる事
象が発生していた.したがってアクセスポイントのチャ
ネルを手動で設定せざるを得なかった.コンシューマー
向けアクセスポイントが安くなってきたこともあり研究
室で独自にアクセスポイントを設置したり,個人が可搬
型のWi-Fiアクセスポイントを持ち込んだり,スマー
トフォンでのテザリングをしたりすることによる干渉
が特に 2.4GHz帯で多くなっていた.これらによりチャ
ネルの競合を起こしてしまうことがあり,競合が起き続
けた場合には手動で再度チャネル変更をする必要があっ
た.またWAPM-APG300N[2]などではアクセスポイン
ト付近の電波環境を定期的に測定できる機能があった
が,簡易なものである上,測定中は電波の送出を止めて
しまう挙動が見られた.そのため端末によってはアクセ
スポイントへの接続,切断を繰り返し,通信が安定しな
いことがあった.
一方で無線 LANを利用するための認証は,SSIDと
WEPキーだけから,セキュリティ強化のため佐賀大学
が開発したOpengate[3][4]システムによるWebブラウ
ザでの認証とMACアドレス認証をあわせて使う形に変
更して運用を行ってきた.認証を導入した当初はノート
パソコン等が主流であったためWebブラウザによる認
証でも問題なかったが,最近ではタブレットやスマート
フォンの利用が中心となってきたため問題が出て来た.
最近のタブレットやスマートフォンでは,アプリケー
ションを起動するとアプリケーションが直接インター
ネットに接続してデータの送受信を始めることが多い.
このためネットワークに接続するためには,アプリケー
ションを起動する前に Web ブラウザを起動して無線
LAN利用認証を行う必要があり,手間がかかることが
問題となってきた.また当時利用していたOpengateで
は Javaや Javascriptなどを利用して無線 LAN利用許
可を与え続ける形をとっていたため,ブラウザを閉じて
しまうとシステムからログアウトとなり無線 LANが利
用できなかった.タブレット等を利用している場合,最
初にWebブラウザで認証しても別のアプリケーション
を使用するためにWebブラウザのアプリケーションを
閉じてしまうことが多く,この認証方式は利用しづらい
ものとなってしまっていた.
2.2 旧無線LANシステムでの問題点
前述の問題を含め,旧無線 LANシステムで行ってい
た試験サービスでの問題点をまとめると次のようになる.
• 機器に起因する問題
– アクセスポイントが電波環境を自動測定して
いる間に電波の送出が止まることがあった
– 利用電波の自動チャネル変更が頻繁に発生し
ており,それに伴って電波の送出が途切れる
– 電波の送出が弱く,多くの場合アクセスポイ
ントが目視できる場所でなければ通信が安定
しない
– 同じアクセスポイントに接続する利用者が多
い場合に通信できないことがあった
– 機器の故障が多かった
– アクセスポイントの台数が多くなりメーカ純
正ソフトウェアで管理できなくなった
- 72 -
• 無線 LAN利用時の問題
– 2.4GHz帯の混信が多く,接続できない,通信
が遅い
– タブレットやスマートフォンでの利用が煩雑
– 学部生が利用しやすい場所での設置が少なか
った
– 来訪者用の無線 LAN利用のための手続きが
煩雑 (自動化されていなかった)
• 管理面での問題
– アクセスポイントを増設する際にアクセスポ
イントが接続されたエッジスイッチのポート
まで使用する VLAN をすべて通す必要があ
り,設定が煩雑
– 低予算で運用する必要がある
3 新システムの設計方針と構築
3.1 事前検証
前述の課題を解決するために新たな無線 LANシステ
ムの構築が必要となっていた.そこで 2011年 12月に
小金井地区に完成した 140周年記念会館エリプスの無
線 LANシステムを別のシステムで構築してテストを行
うこととした.これまでは自律型であったため,今回は
コントローラ型のCisco社のAironetシリーズを利用し
た.アクセスポイントにはCisco Aironet 3500,コント
ローラには Cisco 5508を利用した.建物で認証が異な
ると利用者が混乱してしまう可能性があるため,利用者
の認証は旧来のシステムのものをそのまま利用した.こ
のアクセスポイントが持つ「端末が 2.4GHz帯と 5GHz
の両方に対応している場合,5GHz帯で優先して接続す
る機能」の確認や,無線 LANアクセスポイント側から
の計測によるクライアントの位置推測や電波環境測定
などの確認を行った.この結果アクセスポイント側の機
能は十分に機能したため,認証等を含め本格的にシステ
ムの刷新を行うこととした.
3.2 システムの設計
新システムではできる限りハードウェアやソフトウェ
アを集約しつつ管理コストを下げることを目標とした.
仮想化基盤へ集約をすることでハードウェアにかかる費
用削減も狙う.また無線 LANを利用する際の利用者側
の手間をできるだけ減らすようにする.
3.2.1 利用者の認証
これまでの運用で行っていたWebブラウザを利用し
た認証は前述のように特にタブレットやスマートフォン
を利用する場合には煩雑である.近年のタブレットやス
マートフォンの多くは 802.1x認証に対応しているため,
新しいシステムでは学内利用者はWebブラウザに頼ら
ない 802.1x認証を使用する. 802.1x認証を使用した場
合,多くのスマートフォンの標準設定では初回の接続の
設定は手間であるが,2回目以降はアクセスポイント配
下に入った場合には自動的に認証し接続が行われるため
手間をかけずにネットワークに接続できる.
学外からの来訪者用のゲストネットワークでは,
802.1x認証の初回設定が煩雑である点,その都度アカ
ウントを発行するため機器にアカウントが記憶される
と接続の手間がさらにかかってしまう点が問題となる
ため,Webブラウザを利用した認証とする.ただし来
訪者で eduroamを使用する者に関しては,eduroamが
802.1x認証を推奨しているため 802.1x認証とする.
3.2.2 アクセスポイントとコントローラ
アクセスポイントは同時に多数のクライアントの接
続を受け付けられることが望ましく,電波が弱いクライ
アントに対しては電波を集中させ電波強度を強める仕
組みがあると良い.また実際に運用する環境に置いた場
合,アクセスポイント 1台あたりのクライアントの同時
接続数がカタログ値よりも極端に少ない製品があるが,
事前検証で試した機器に関しては問題なかったため,こ
のシリーズの製品を使用する.またアクセスポイントは
自律型を束ねて管理する方式では,複数のネットワーク
を同一アクセスポイントから提供しようとした際に各
アクセスポイントまで VLAN等を張らなくてはならな
いことがある.コントローラ型を採用することにより,
アクセスポイントから提供されるネットワークはコント
ローラとアクセスポイント間でカプセル化できるため,
アクセスポイントに対して IPが到達できれば良く,足
回りのネットワークの設定が簡素となる.ただしこの方
式は,コントローラ側にすべてのトラフィックが集中す
るため,それに耐えられるコントローラとネットワーク
が必要となってしまう.現時点で本学が導入しようとし
ている規模ではコントローラ側のインタフェースを強化
することで構築が可能であると判断し,事前検証と同様
の仕組みを用いることとした.
3.2.3 ネットワーク
無線 LAN環境は学内利用者,ゲスト,eduroam利用
者にそれぞれ提供するため,ネットワークセグメントを
- 73 -
分けてそれぞれに対応した上流のネットワークに接続す
る必要がある.本学のサーバの多くは未だにネットワー
クセグメントによってサービスを提供するかしないかを
判断しているため,このように学内利用者向けのセグメ
ントは分けておく必要がある.また,アクセスポイント
の性能が向上し使用するネットワーク帯域も増えたた
め,バックボーン側のルータの性能も引き上げる必要が
ある.また複数の上流の異なるネットワークセグメント
を用意するために複数のルータ等が必要である.
これまでの構築や運用ではハードウェアルータを利用
してきたが,今回は複数の高スループットのルータ等が
必要となる点と予算面から仮想化基盤上にバックボー
ンネットワークを構築する.これまでの多くの仮想化基
盤上のネットワークは,仮想化基盤上のサーバ向けに
ネットワークを提供するために使用されており,主にス
ループットや信頼性の不安から一般の利用者が使うネッ
トワークのバックボーンへ適用して運用している例がほ
とんどなかった.
仮想化基盤とキャンパスコアネットワークを広帯域に
結ぶ環境やメモリを多く積んだ仮想化基板用サーバを
用意できそうな点から,今回はできる限りネットワーク
機器を仮想化基盤に展開して構築・運用を行う.
3.2.4 各種サーバ
今回はネットワークが複数セグメントあるため,
802.1x認証のための radiusサーバなどは複数用意する
のが構築上簡単である.しかしながらハードウェアアプ
ライアンスで用意するとコスト増となってしまうため,
今回は radiusサーバも含め,その他のサーバも仮想化
基盤上へ配置する.
3.2.5 アクセスポイントの再配置
無線 LAN提供エリアは,これまでは試験運用の参加
者が利用しそうなエリアに集中してアクセスポイント
を配置していたが,新システムでは学部学生に広く利用
してもらうため講義室が多くあるエリアにアクセスポ
イントの台数を振り向けることとした.その中でも学生
が授業期間中に集中して滞在しているであろうエリア
から先に配置していくこととした.
3.2.6 ゲストアカウントの管理
ゲストアカウント発行はこれまで手作業で登録発行し
ていたが,これを自動化することとした.Cisco社から
ISE(Identity Services Engine)が発売されたのでこれを
用いることとした.運用上,教職員だけがゲストアカ
ウントを即時発行できるようにする必要があったため,
認証用に radiusプロキシサーバを仮想化基盤上に 1台
用意し,教職員の属性をチェックすることとした.
3.3 システムの構築
前述の設計方針を元にシステムの構築を行った.シス
テム構成図を図- 1に示す.サーバ,ルータ系全てを仮
想化基盤上に構築する予定であったが,コントローラ
(Cisco WLC: Cisco Wireless LAN Controller)と位置演
算エンジンである Cisco MSE(Cisco Mobility Services
Engine)のハードウェアは既に手元にあり,アップグレー
ドの方がコストがかからなかったため仮想化ではなく
ハードウェアアプライアンスを利用することとした.コ
ントローラはファームウェアとライセンスの追加だけ
であったが,MSEは筐体ごとのアップグレードとなっ
た.キャンパスネットワークには図- 1内の既存のキャ
ンパスネットワークコアスイッチ (AX6708)経由で接続
している.仮想化するサーバ,ルータは CiscoUCS B
シリーズシャーシ内の B200-M2ブレード (Intel Xeon
5600(8 coes) x 2/ Memory 48GB)1台の上に Vmware
ESXi 5.5をインストールして仮想化基盤を構築し,そ
の上に配置した.Bシリーズシャーシはキャンパスネッ
トワークと 20Gbpsで接続している.アクセスポイント
はすべて Cisco Aironet 2600を利用し,合計 180台設
置した.既存のAironet 3500はAironet 2600に置き換
え,イベント等で臨時に増設が必要な際に使用すること
とした.
アクセスポイントとWLCの間は CAPWAPによる
トンネリングで結ぶ.これによりアクセスポイントと
WLCが IPで通信できれば良く,VLANを ESSID別
に末端まで延ばす必要がなくなり,エッジスイッチの設
定が簡単になる.一方でクライアントからのパケットは
一度すべてWLCまで到達し,トンネリングを解除し
てWLCから出て行くことになり,WLCでの折り返し
が発生してしまう.このためWLCのインタフェースの
ボトルネックが問題となる可能性がある.このため今
回は 1Gbpsを 8本束ねて 8GbpsとしWLCとキャンパ
スネットワークコアスイッチとを接続した.無線 LAN
の通信はWLCでの折り返しとなるため単純計算では
8Gbpsの半分の 4Gbpsの通信ができることとなる.
仮想化基盤上に構築したサーバ,ルータとその用途を
次に示す.
• RadiusRd1
学内利用者認証用の Radius サーバ.Linux 上に
FreeRadiusで構築.プロキシとして利用し,学内
認証サーバに問い合わせる.• RadiusRd2
eduroam利用認証用のRadiusサーバ.Linux上に
- 74 -
図- 1: システム構成図
FreeRadiusで構築.本学以外の eduroamアカウン
トは eduroam JPのサーバに問い合わせる.• RadiusRd3
ゲストアカウント発行用サイトログイン用 Radius
サーバ.Lnux上に FreeRadiusで構築.教職員の
IDだけを通過させるようにフィルタを設定し,学
内認証サーバへ問い合わせる• VyattaR1
学内利用者のログイン後のネットワークと学内LAN
のルーティング用ソフトウェアルータ.Vyatta Core
6.6使用.iptablesによるファイアウォールも設定.
IPv4はNAPT(Network Address and Port Trans-
lation) 処理も行う.• VyattaR2
eduroam利用者用のネットワークのルーティング用
ソフトウェアルータ.Vyatta Core 6.6使用.ipta-
blesによるファイアウォールも設定.IPv4はNAPT
処理も行う.• RouterR3
ゲスト利用者用のネットワークのルーティング用
サーバ.Linux上で iptablesによる NAPT設定.• DNS1
無線 LAN のサーバの名前解決用学内向け DNS.
Linux上に BINDで構築.アクセスポイントの電
源投入時に cisco-capwap-controller を名前解決し
WLCに接続するためにも利用.• DNS2
ゲスト利用者に対して認証画面を出すための名前
解決用 DNS.Linux上に BINDで構築.• dhcpd1
無線 LANアクセスポイントに対して IPアドレス
を配布.DNSは上記 DNS1を指定して配布.
• Cisco ISE
学内の教職員向けにWebインタフェースでゲスト利
用者アカウントを発行する.ゲスト利用者に対して
無線LAN利用のための認証を行う.Cisco Identity
Services Engineを利用.• Cisco NCS(PI)
WLCとMSEの管理とアクセスポイントの動作状況
の取得とクライアントの位置の可視化を行う.Cisco
Prime Network Control System(Cisco Prime In-
frastructure)を利用.
またアクセスポイントは事前検証で得たアクセスポ
イント 1台あたりの提供可能エリアを参考におおよそ
の設置場所を地図上で決めた後,実際に簡易的なサイト
サーベイを業者に行ってもらい最終的な台数と設置場所
を決定した.
入札であったたため,2014年 7月下旬の開札後速や
かに落札業者と打ち合わせを行い,8月からは旧アクセ
スポイントの撤去とともに新しいアクセスポイントの
設置,サーバ側の準備を並行して行った.最終的な調整
を行い 10月 22日に本運用をスタートした.利用のた
めの設定は表- 1のようにした.利用者は 802.1x認証
の設定にまだ慣れていないため,各OSごと (Windows
7/8,MacOS,Android,iOS)に簡単な利用マニュアル
を用意した.図- 2にその一部を示す.また利用者がど
こで使えるか分かりやすいように,無線 LANが使用で
きる部屋の入り口近辺に図- 3のステッカーを貼ること
とした.
ゲスト利用者のアカウント発行は Cisco ISEのスポ
ンサーポータル機能を有効にして構築した.教職員はス
ポンサーポータルサイトに各自の学内ネットワーク利用
アカウントでログインし,有効期間を設定したゲストア
- 75 -
カウントを発行する.発行したアカウントのステータス
は発行者が一覧で確認できるようになっている (図- 4).
図- 2: 簡易接続マニュアル
図- 3: 無線 LAN利用可能と表示のステッカー
図- 4: ゲストアカウント発行用画面
3.4 構築での問題点
当初アクセスポイントへの IPアドレス配布はWLC
で行う予定であったが,その場合WLCに付けるメイン
の IPアドレスのセグメントとアクセスポイントのセグ
メントが同一でなければならないため,DHCPサーバ
を別途用意することとなった.
Cisco NCSは起動までに 10分以上要するため,最初
ハングアップしたかと勘違いし,強制的に何度か再起動
させてしまった.また NCSは推奨値に合わせてディス
クを確保したにも関わらず,ディスクフルが近いとの警
告を出したため最初は 60GBで確保していたディスク
にさらに 80GBを追加した.しかししばらくするとま
た警告を出したため,現在はさらに 80GBを追加した
60GB+80GB+80GBの構成となっている.ディスクを
追加した後にコマンドで既存の領域にマージすること
になるが,このコマンドの動作を確認してみたところ,
追加の 80GBはあらかじめ決められた割合で各領域に
割り振られてマージされることが分かった.このため足
りなくなるワーク領域とログ領域にはディスクを追加し
ても十分に割り当てが行われないことが分かった.
ゲストだけは 802.1x認証ではなく Cisco ISEを使っ
たWeb認証であるが,初回ログイン時に画面上に注意
画面を出す際にマニュアルではHTMLによる表示がで
きるとあったが,実際にはできずプレーンテキストによ
る表示だけである.この点に関してはメーカーにフィー
ドバックしているが,未だ修正はできていないようで
ある.
大雨の影響で屋内に設置したアクセスポイントが構
築中に,建物の雨漏りにより大量の水をかぶり故障する
ということがあった.このため同様な影響が出そうな場
所をさけるため,当初予定の位置よりもすこしずらして
設置する箇所もあった.
4 新無線 LANシステムの運用と増
設計画
4.1 運用状況
本システムへ刷新してからこれまでに停電が 2日あっ
たが,それ以外は全体として安定して動作している状況
である.アクセスポイントは初期不良と思われるものが
1台あっただけで,それ以降は故障は発生していない.
無線 LANに接続しているクライアント数は一日の中で
変動はあるが,平日で講義がある場合,接続が多い時間
帯で 1100デバイスが 802.1x認証して接続している (未
認証も含めると 1145デバイス程度).図- 5は,2014年
6月 2日 13:00頃~6月 3日 13:00頃までの 1日の変化
を示したものである.講義開始の 8時 45分前頃から無
線 LAN接続数が急上昇しているのが分かる.一度無線
LAN接続の設定をしているスマートフォンは無線 LAN
エリア内に入ると自動的に接続するため,大学への登校
と一致して利用者が増えているのが分かる.接続してい
るプロトコルは 802.11nの 2.4GHzが 51%,802.11nの
5GHzが 48%であり,残りが 802.11aと 802.11gであっ
た.802.11bでの接続はほとんどなかった.クライアン
トあたりのスループットは 2014年 6月中旬の時点でダ
ウンストリームで 18Mbps前後,アップストリームは
5Mbps程度であった.ゲストアカウントの利用は 2013
年 10月 22日の運用開始から 2014年 5月 31日までに
のべ 1186回であった.また,電波のクリーン度を示す
指標の Cisco CleanAirの指標では 99%程度の水準を維
- 76 -
表- 1: 接続設定
設定項目 学内者 学外者 学外者
ESSID tuatnet eduroam guestnet
無線種類 802.11a/b/g/n (2.4G/5GHz)
セキュリティの
種類
802.1x(WPA2-Enterprise) 無し
暗号化の種類 AES 無し
認証方式 PEAP/MSCHAPv2 Web認証
利用のための
ID/PW
学内 LAN(有線) 利用と同
じ
eduroam アカウント 会議等の主催者 (スポン
サー)が発行
IPアドレス等 IPv4(NAT)/IPv6(Global)
学内アドレス
IPv4(NAT)/IPv6(Global)
学外アドレス
IPv4(NAT) 学外アドレス
接続制限 学内 LANに準拠 eduroam の方針に準拠 ポート制限有
サーバ証明書 使用しない (プライベート証明書でも問題ないが,教育上の観点から正式な証明書を利用)
ユーザ (端末)証
明書
使用しない
DNS 学内を使用 Google Public DNS キャッシュサーバ利用
利用申請方法 学籍番号,職員番号を基に
したアカウントで利用可能.
事前申請不要.
eduroam(国際無線 LAN
ローミング基盤) の ID に
て利用可能.本学在籍の
場合は学認用 ID取得後に
eduroam 仮名アカウント
を取得する.
本学の教職員がスポンサー
サイト (Webシステム)か
ら発行.
持しており,この指標によれば電波干渉をある程度抑え
ることができていると言える.
仮想化基盤上で動かしているサーバやルータのパ
フォーマンスは,仮想化基盤全体で CPU 利用率は平
均 10.9%,最大 35.4%,ネットワーク使用量は平均約
968Mbps,最大 2552Mbpsであった.このネットワー
ク使用量の大部分は学内利用者の無線 LANトラフィッ
クであった.Cisco NCSと Cisco ISEが定期的に CPU
の使用率を一瞬上昇させているため,何かプロセスを定
期的に実行しているものと考えられるが詳細は確認で
きていない.その他のサーバやソフトウェアルータはほ
ぼ一定のリソース使用率で推移しており利用者の増減
にはほぼ影響を受けていない.したがって仮想化基盤上
でソフトウェアルータを動作させて利用しても本構築の
規模であればパフォーマンス上問題ないということが確
認できた.
4.2 増設計画
当初の導入では予算的な面から十分な台数を導入でき
なかったため,アクセスポイントの増設の要望がでてい
た.しかしながら予算の確保は難しいため,今回の増設
ではアクセスポイントの増設を必要とする部局,学科か
らアクセスポイント本体と PoEインジェクターの費用,
設置施工費を出してもらうこととした.WLCやMSE
にはアクセスポイント数に応じたライセンスが必要で
あるが今回に限り我々の部署で負担することとした.
無線 LANを使用したい場所は提示できてもアクセス
ポイントが何台必要か見積もりができないことが多い.
本システム調達時に行ったサイトサーベイは本来の設
置箇所と将来的に設置希望が出そうなところを行って
いたため,ここにマッチしたところに関しては,その情
報を提供した.そうでないところが何カ所かあったが,
そこについては我々で簡易的な調査を行い情報提供を
行った.
サーベイを行っていなかった場所での調査は,アクセ
スポイントのファームウェアを集中管理型 (Lightweight
モード)から自律型 (Autonomousモード)に変更したも
のを 1台用意し,無線 LANの簡単なヒートマップを作
成した.アクセスポイントの仮設置場所は何カ所か変え
ながら行い,利用希望場所に提供できそうなアクセスポ
イントの設置場所を選定した.これにはPC用のソフト
ウェアEkahau Heatmapperの無料版を使用した.図- 6
にその様子を示す.この場所では梯子にアクセスポイン
トを取り付けて仮設置した.自律型にした場合アクセス
ポイントが起動し本体 LEDが点灯してから数分経過し
- 77 -
図- 5: 24時間のデバイス接続数の推移
ないと電波を送出しないことが分かったため,PoEイ
ンジェクタからアクセスポイントまでの LANケーブル
を長めに用意し,電源をできるだけ切断せずにポイン
トを移動してヒートマップを作成できるようにした.使
用する PCによって内蔵アンテナの感度が違うが,今回
は多くの学生が入学時に購入している Panasonic Let’s
Note大学生協モデルを使用した.ヒートマップの例を
図- 7に示す.
図- 6: ヒートマップ作成風景
図- 7: ヒートマップの例
当初の各部局や学科からの希望では使用したいエリ
アが広すぎ,提示された予算をオーバーしてしまうた
め,利用したい場所の優先度を付けてもらい,各部局や
学部の予算に合わせてアクセスポイントの購入台数を
決めてもらった.その結果現在アクセスポイント 20台
の設置を準備中である.
5 まとめ
本論文では無線LANシステムの刷新について述べた.
旧無線 LANシステムでの問題が解決できたかについて
まとめる.
アクセスポイントは適切なものを選定し,コントロー
ラ型で構築できたため安定して動作している.また今の
ところ故障も少ない状態である.またビームフォーミン
グにより,接続されたクライアントに対して電波強度を
強めることができている.新システムのアクセスポイン
トには周りの電波環境測定の機能が送出機能とは別で
実行できるようになっているため,電波の送出が途切れ
ることも無い.またアクセスポイント 1台あたりのク
ライアント接続数もログと通信量を見る限り 30台以上
のクライアントが接続できているようである.これらの
点から旧システムでの機器に起因する問題は解決でき
たと言える.
クライアントに対して 5GHz帯を優先的に接続させ
るアクセスポイント側の機能が有効に働いており,多く
のクライアントが 5GHzで接続して利用している.ログ
インしている利用者も学生の比率がほとんどで,スマー
トフォンでの接続がほとんどであり,無線 LANエリア
内に入った時に自動接続されているようである.来訪者
用のゲストアカウントも学会等で利用するための発行
が多く行われており自動的に処理できている.2.4GHz
帯の本システム以外のアクセスポイントからの混信は
完全には避けられないが,その他の旧無線 LANシステ
ム利用時の問題は本システムで解決できた.
管理面ではコントローラ型にしたこと,CAPWAPに
よるアクセスポイントとコントローラ間をカプセル化
したことによりアクセスポイント自体の管理やエッジ
スイッチの設定がほとんど無くなったため管理が簡単に
なった.
- 78 -
サーバ類の仮想化は既に他でも行っているため特に
問題とはならなかった.今回のシステム構築の特徴の1
つとして仮想化基盤上に無線 LANのバックボーンネッ
トワークを構築したことが挙げられるが,運用状況で示
した通り iptablesを利用しても 2Gbpsを超えるスルー
プットで動作しており仮想化基盤上で無線 LANネット
ワークのバックボーンを構築してもパフォーマンス的に
問題無いことが分かった.
6 今後の課題
今回刷新したシステム内のCisco MSEでは図- 8のよ
うにクライアント端末の位置を算出可能し,Cisco NCS
上のマップに表示可能である.しかしながらこれはリア
ルタイムに更新されるだけで時系列変化を見ることが
できない.現在は昼休みになるとクライアント端末が
大学生協などに多く移動し,昼休みが終わる頃には講
義棟に戻っていく様子をリアルタイムにシステム上で
確認できるだけである.今後はこれらの情報を保存し,
時系列でクライアント端末の移動を可視化できるよう
にしていく必要がある.これを行うことで学生の行動状
況が視覚化できるため,キャンパスファシリティの改善
等に役立てることができると考えられる.
図- 8: クライアントの位置算出
またCisco ISEとCisco NCSを組み合わせることで,
MACアドレス等からクライアントの種別を識別可能で
あるためスマートフォンの機種別割合やノート PCの
利用率などを調べ,情報機器の活用状況なども調査し,
教育環境の改善等に生かすことを考えている.
今回増設を行ってもアクセスポイントは全キャンパス
をカバーしきれてはいないため,耐震工事などが行わ
れる建物に関しては,無線 LANアクセスポイントの購
入と設置を計画するようお願いをしている.また今後
は現在ハードウェアアプライアンスとなっているWLC
やMSEを時期をみて仮想化し,冗長化を含めたフレキ
シブルな運用を行っていきたいと考えている.
7 おわりに
本論文では仮想化基盤を積極的に活用したキャンパ
ス無線 LAN基盤の刷新について述べた.本システムは
無線 LANシステムの構成に必要なサーバだけでなく,
ネットワークルータも仮想化基盤上に配置することで,
ハードウェアの調達,保守コストを下げることができ
た.設計時には仮想化基盤上で無線 LANネットワーク
のバックボーンを構築した際のソフトウェアルータの性
能が出るかが不安な点であったが,本論文で示したよう
に仮想化基盤側の性能が十分であったため,全く問題な
く動作している.ハードウェアで用意するよりもインタ
フェースの追加や削除も簡単に行えるため,ネットワー
クの構成変更なども比較的簡単に行えるので便利であ
る.その他の仮想化したサーバについても 2013年 10月
の運用開始から本論文執筆時 (2014年 6月現在)におい
て問題は無く動作し,無線 LAN環境を提供できている.
現在は保守の外部委託を考え,ネットワーク毎にルー
タを用意する構成をとっているが,将来はOpenflowを
用いてこれを集約化していきたいと考えている.構築
中にOpenflowでのテストは行っていたが,キャンパス
ネットワーク側でOpenflowの対応が無ければ管理が煩
雑となるだけであるため,本システムの設計では事前実
験は行ったが採用を見送った経緯がある.将来外部ネッ
トワークがOpenflowに対応してきたところで見直しを
行いたい.
今後はクライアント位置情報をより活用するための
仕組みを構築し,キャンパスファシリティの改善に役立
てられるようにしたいと考えている.
参考文献
[1] 篠宮俊輔, 萩原洋一: ”大学キャンパス無線アクセス
システムの構築,” 情報処理学会研究報告, DSM [分
散システム/インターネット運用技術], 情報処理学
会 Vol.50, pp.7-12 (2001).
[2] 株式会社バッファロー WAPM-APG300N 製品情
報 (2014現在):
http://buffalo.jp/products/catalog/network/wapm-
apg300n/
- 79 -
[3] 渡辺義明, 渡辺健次, 江藤博文, 只木進一 : ”利用と
管理が容易で適用範囲が広い利用者認証ゲートウェ
イシステムの開発,” 情報処理学会論文誌, Vol.42,
No.12, pp.2802-2809 (2001) .
[4] 野村武志, 當房新一, 渡辺義明, 渡辺健次, 江藤博文,
只木進一: ”Java Servletを用いたネットワーク利用
者認証システムの開発,” 学術情報処理研究, No.9,
pp.85-89 (2005).
- 80 -
