第三世代学内LAN（主として天久保地区について）

筑波技術大学 情報処理通信センター部局技術責任者

浅草 肇

要旨：情報セキュリティ対策規程に適合する基盤機器への更新、SINET4への接続変更など、第三世代と称すべき学内ＬＡＮに更新されたので、天久保地区の状況を中心にその概況を報告する。
キーワード：情報セキュリティ，対外接続，SINET4，学内LAN，更新

1．はじめに
　既報[1],[2]に示すように、本学学内LAN（Local Area Network）は、次のように改良・運用されてきた。
【第一世代】平成６（1994）年３月運用開始10BASE5（回線速度：10Mbps）
【第二世代】平成13（2001）年11月運用開始L3及びL2スイッチ使用 基幹1000BASE-SX（回線速度：1Gbps） 末端100BASE-TX（回線速度：100Mbps）
　また、学外接続回線についても、64Kbpsデジタル専用回線で運用が開始され、100Mbpsまで通信速度の向上を図ってきた。
　このような運用状態中、平成17（2005）年７月にネットワーク基盤機器製造会社より、使用中の機器について平成19（2007）年７月から平成22（2010）年3月にかけて順次、故障時に修理対応不可になるとの通知があった。このことに対処するため、情報処理通信センターは、平成18（2006）年１月に更新計画を立案し、次のように関連する更新作業等を完了させた。
（1）LAN基盤機器等更新：平成22（2010）年２月
（2）対外接続回線高速化：平成22（2010）年３月
（3）SINET4 接続変更：平成23（2011）年４月
　学内LANは【第三世代】と称すべき新構成になったので、天久保地区の状況を中心に報告する。

2．学内LAN基盤機器更新
2.1　情報セキュリティ対策規程制定
　平成17（2005）年12月「政府機関の情報セキュリティ対策のための統一技術基準」が決定されたことを受けて、国立情報学研究所等においても、平成19（2007）年10月「高等教育機関の情報セキュリティ対策のためのサンプル規程集」が公表された（平成19年２月一部先行公表）。
　本学においては、平成17（2005）年３月に「筑波技術短期大学セキュリティ基本方針」が制定されていたが、上記の統一基準・基本方針に対応させる改訂作業が、平成19（2007）年３月より正式に開始された。
　この結果、平成20（2008）年２月、「情報システム運用基本方針」、「情報システム運用基本規程」が制定され、平成21（2009）年３月「情報システム運用・管理規程」、「情報ネットワーク接続手順に関する規程」などの実運用に必要なセキュリティ関連規程が制定された。
　また、平成21年度より、これらの規程に基づく「情報セキュリィティ監査」が実施されるようになった。
2.2　L3スイッチ及びL2スイッチ
　情報セキュリティ対策規程に適合するためには、ネットワーク自体がセキュリティ保持機能を有することが必須事項となり、ネットワーク基盤機器にもそのことへの対応が必要となった。一方、通信回線に関しては、【第二世代】時代に敷設された通信ケーブルを継続使用することとし、主要幹線については通信帯域幅の確保及び冗長性の確保を兼ねて、複数の通信回線を同時使用することにした。この結果、スイッチ等主な調達仕様は次のように定められた。
（1）端末単位でネットワーク認証ができること。
（2）冗長性が確立していること。
（3）長期間の保守修理が可能であること。
（4）末端（情報コンセント）において、1Gbpsであること。
（5）幹線においては1Gbps、主要幹線においては、最大1Gbps×4の帯域幅が確保できること。
　学生寄宿舎については、平成17（2005）年１月からネットワーク認証制度が実施されていることと、現行の設備状況が通信ケーブルの性能限界であることから、現行状態を継続することにした。ただし、L3スイッチを介した完全分離型に変更した。
　基盤機器更新時のネットワーク構成の概略を図１に示す。対外接続方法については、この後更新された。
2.3　情報セキュリティ体制
　情報セキュリティを確保するために、天久保地区では、学外者を含む不特定の人が使用する可能性がある、若しくは、機器更新時に３ヶ月間利用実績のない情報コンセントに対して、端末単位で利用者本人の利用資格を確認する個人認証制度を平成22（2010）年３月より導入した。認証には、全学共通情報基盤として平成18（2006）年11月より運用開始したRADIUS認証サービスを使用している。RADIUS認証サービス用サーバは、天久保地区並び春日地区にそれぞれ設置され、かつ、冗長化設定されているため、１地区のサーバが停止した状態であっても、利用者は常時そのサービスを享受できる安定した運用体制にある。
2.4　冗長化と運用体制
　基盤機器の冗長化については、末端では通信ケーブルが一経路しか敷設されていないので、完全自動冗長化は不可能である。したがって、幹線末端に設置するL2スイッチについては、予備機を各地区ごとに１台用意する仕様設計とした。また、幹線中枢のL3スイッチについては、シャーシ以外の全ての構成部品を冗長化する、若しくは、完全に同一機能・性能の予備機を各地区ごとに各１台を設置する仕様設計とした。
　結果的には、L3スイッチも予備機での対応となった。障害発生時には、静態保存予備機に切り替え、短時間で復旧できる。さらに、その際、春日地区に同一機能・性能の予備機が存在するので、障害発生機の修理等に十分な余裕を持って対応できる。運用の安定性と保守費用の低減に著しく貢献する運用体制が確立できた。
2.5　ファイアウォールゲートウェイ
　平成18（2006）年11月に最大通信速度100MbpsのUTM（Unified Threat Management）型ファイアウォールゲートウェイを学内LAN最上位に設置していた。
　今回の機器更新に際して、冗長性確保の観点からとSINET4への接続を予測して、最大通信速度1GbpsのUTM型ゲートウェイに換装し、既設機器を予備機として静態保存することにした。
2.6　学外からの安全な接続（SSL-VPN）
　本学構成員が学外から学内LANに安全に接続し、学内資産をあたかも学内に居るかのごとく使用できる環境を提供するためにSSL-VPN（Secure Sockets Layer Virtual Private Network）装置を設置した。最大通信速度1Gbps、同時接続数50である。
　この装置の利用には、RADIUS認証サービスによる個人認証が必要である。教職員及び学外居住や帰省中の学生利用が確認できている。

3．対外接続回線の改良
3.1　100Mbps接続回線
　平成18（2006）年２月に、100Mbps専用回線を用い、図２に示すような、SINET3筑波大学ノード設置の本学所有L3スイッチを介し、天久保・春日地区相互間及びSINET3へ接続する方式とした。しかし、後年、この構成に次の問題が発生した。
（1）L3スイッチの通常のCPU負荷最大限度は50～60%であるとの製造会社の推奨値に対して、常時90%以上の高負荷を示し、その結果、スイッチの遠隔操作に支障を来す状態となった。
（2）平成21（2009）年８月以降に天久保・春日地区において、それぞれ少なくとも３回、最大帯域幅の100Mbps（５分平均値）の通信量が計測された。特に、天久保地区においては、業務時間内に発生した。
　いずれも、直接原因は通信量の増大に基づくが、特に（1） については、事務局を含めた天久保・春日間通信数の著しい増大が原因ではないかと推測された。
　これらのことから、対外接続回線の容量拡大を図るとともに、天久保・春日間通信方法については、基本設計から改めることとした。
3.2　改良接続回線網
　平成22（2010）年３月に図３に示すように1Gbps専用回線を用いたスター型L2接続専用回線網に変更された。この回線網の特徴は、これまで本学が設置していたSINET3ノード設置のL3スイッチ機能が通信事業者により提供されたこと。また、L2回線網なので、天久保・春日間通信が直通となったことである。さらに、通信事業者が、専用回線終端装置であるメディアコンバータとしてL2スイッチを天久保地区、春日地区にそれぞれ設置したことである。このL2スイッチの設置により、天久保・春日間には独立した複数の直通VLANを設定することが可能となった。この直通VLANにより事務局天久保・春日間通信は革新的に変化した。
3.3　事務局天久保・春日間接続
　従来、事務局天久保・春日間通信は、学内LANのデータと混合して同一経路を流れていること、さらに、学外のSINETノードを経由しているために、セキュリティ確保の観点から暗号化が必要であった。これらのことから、天久保及び春日事務局ネットワークと学内LAN接続地点には、それぞれUTM型のゲートウェイを設置し事務局ネットワークを学内LANから隔離していた。次に、この両ゲートウェイ間をVPN（Virtual Private Network）により接続し、事務局間通信のセキュリティを確保していた。
　このことが、図１に示すように事務局間通信手順・経路が複雑化することの原因であった。さらに、事務局天久保・春日間通信が途絶すると事務局業務に支障が生じる。この業務支障を防ぐためには学内LANを停止させてはならない。このことが、学内LAN管理・運用の立場に立脚すると、非常な重圧となっていた。
　図３の改良回線網では、天久保事務局からの回線を直ちに専用回線終端装置：L2スイッチに接続し、天久保・春日間直通事務専用VLANを経由して春日事務局に直結した。この直通VLANにおけるセキュリティは、電気通信事業法の定めるところによる電気通信事業者の責任において確保することとし、VPN通信を廃止した。また、学内LANとの結合も天久保地区１地点のみとした単純・安全なネットワーク構成となった。
　この接続方法改良により、データの転送時間がほぼ半減したとの報告を受けている。また、不要となったUTMを予備機として静態保存し、冗長性を向上させた。さらに、学内LANに障害が発生しても、事務局天久保・春日間通信は影響を受けず、安定性が大きく向上し、学内LAN運用の重圧も解消した。

図１　情報ネットワーク構成の概要（基盤機器更新時）
図２　対外接続概略図１ 平成18（2006）年２月
図３　対外接続概略図２ 平成22（2010）年３月
図４　対外接続概略図３ 平成23（2011）年４月

4．SINET4への接続変更
　平成23（2011）年４月よりSINET4での運用が開始された。SINET3との主な相違点は次のようである。
（1）SINETへの接続拠点が民間の筑波データセンタに変更されたこと。
（2）接続通信速度が1Gbps以上に限定されたこと。
　SINET4への接続変更に際しては、図４に示すように各地区ごとに直結する形態をSINETより指定された。この接続形態変更により、各地区ごとに1Gbpsの帯域幅が確保できた。また、学内LAN用：最大1Gbps、事務局用：最大100Mbpsの天久保・春日間直通VLANを設定した。これにより、図３のスター型L2接続専用回線網と同一機能となった。
5．無線LANアクセスポイントの更新
　平成15（2003）年３月より無線LANアクセスポイント（AP）の設置を開始し平成20（2008）年５月に天久保地区公共空間（研究室、実験室などを除く不特定の人間が利用できる空間）全域に対して、約20基のAPでIEEE 802.11g規格による接続サービス体制が完成した[2]。
　しかし、同規格で使用できる無線周波数のチャンネル数（13）以上のAPの存在よる電波障害発生が確認されたこと。また、新規格802.11nが実用に供される状態になったこと。などの状況から常時、無線周波数並びに出力を中央にて統合的に制御する方式の機器に更新した。
　新制御方式機器の導入により、複数のSSID（Service Set Identifier）の使用と、それぞれに異なるサブネットワークを割り当てること、並びに、異なる認証方式を設定することが可能となった。これにより、eduroam[3]の導入が可能となった。

6．おわりに
　学内LANは第三世代に更新されたことにより、情報コンセント（研究室等）からSINETに至るまで、1Gbpsの帯域幅が確保された。また、全基盤機器について予備機器が静態保存されているので、異常時にも素早く対応できる安定した運用体制が確立できた。
　ネットワーク基盤機器の仕様は、全学情報システム運用委員会部局技術責任者により構成された仕様策定委員会（委員長：浅草 肇）が「情報ネットワークシステム仕様書（平成21年７月）」として定めた。回線並びに無線LAN APの仕様は情報処理通信センターにて定めた。

参考文献
[1] 浅草 肇，西岡 知之，内野 權次，清水 豊：聴覚部における新高速ネットワークシステム．筑波技術短期大学テクノレポート９(2)：31-36，2002.
[2] 浅草 肇，西岡 知之，北川 博：天久保地区における学内ネットワークの安全性・安定性の向上，筑波技術大学テクノレポートVol.14：119-122，Mar 2007
[3] 例えば，http://www.eduroam.jp/docs.html

The Third-Generation Campus Network in Amakubo

ASAKUSA Hajime

Information Processing and Networking Center, Tsukuba University of Technology

Abstract: This report introduces the following third-generation improvements to the network system of the Amakubo campus: (1) Information equipment is upgraded to a new secure system that is compliant with information security rules. (2) Communication lines connect the campus to the outside world the campus through the SINET4.
Keywords: Information security, Outside communication line, SINET4, upgrade