名古屋工業大学様の共通基盤系ソリューション導入事例

2010年10月29日 掲載

• 
• 
• 

導入サービス：共通基盤系ソリューション

学内ユビキタスと高度なセキュリティー環境を両立したキャンパスネットワークを目指して

大規模な認証ネットワークシステムの構築

お客さまの声

7年前に構築され､本学の情報基盤システムを支えてきたMAINS(Meikoudai Advanced lnformation Network System)の特徴は､国内最大級のMACアドレスベースダイナミックVLANの巨大なレイヤー2ネットワークでした｡
新MAINSはMAINSの特徴であるダイナミックVLANを引継ぎつつ､10年後を見越した2万台規模に耐えうる落ちないネットワークとしました｡さらに､利便性とセキュリティーの確保を両立した画期的なシステム構成となっています｡
今回のシステム導入につきまして､NTT西日本には､基幹ネットワークを2日間で切替えるなど､止めることのできないネットワークの更改に､全面的な協力をいただきました｡今後も更なるシステムの発展のためにサポートをお願いしたいと思います｡

新MAINSでは､利便性・可用性・セキュリティーの向上により先進的なネットワークを実現しました｡
特に､今回大きく更新したセキュリティーの強化では､新たなUTMの導入により､仮想ネットワークごとに異なるポリシーの設定を行いました｡また､P2P対策や侵入検知機能も導入しました｡これにより､クラッキングや踏み台によるほかのサイトへの攻撃などの危険性を排除することができました｡
日本を代表する国立の工科系単科大学として､学内外からの期待に応えうる新MAINSの導入は､非常に価値があるものとなりました｡
NTT西日本には､設計から構築に至るまでさまざまな要望に対して､満足のいく対応をしていただいたことに感謝しております｡

旧MAINSでは､ケーブルの誤接続によるループが頻発し､学内ネットワークすべてがダウンするという大きな問題を抱えていました｡ヒューマンエラーはどうしても避けることができないため､その影響を最小限にすることが､新MAINSでの重要な課題でした｡
本年度から新MAINSの本格運用を開始しましたが､L2ループによる学内ネットワーク全体のダウンがなくなり､最小限の影響へと極小化できるようになりました｡また､発生個所も容易に特定できる構成となっており､管理者・利用者双方にとってとても有意義なシステムとして評価されています｡
NTT西日本には､構築に向けた定期的な打ち合わせや運用後のサポートなどきめ細やかな対応をしていただき感謝しております｡

システム概要

システムの導入背景と概要

名古屋工業大学キャンパス情報ネットワークシステム(MAINS:Meikoudai Advanced lnformation Network System)は､学内から自分の研究室のネットワークを利用できる仕組みになっており､教育研究システムのみならず､事務シンクライアントシステムやポータルシステムなど､多くのシステムを支える通信インフラとなっています｡
7年前に構築されたキャンパス情報ネットワーク機器の保守終了が間近となり､学内ユビキタスと高度なセキュリティー環境の両立を目指し､新ネットワークの要件を以下のように定めシステムの検討を開始しました｡

• 接続される端末台数の増大を想定したダイナミックVLAN環境の拡張
• 教育研究や事務の重要なサービスを高セキュリティーかつ安定して提供
• 学内ユビキタス環境実現に向けた無線LANネットワークの充実
• 将来のトラフィック増に備えたネットワークの高速化

システム導入への取り組み

名古屋工業大学様では､学外公開用Webサーバーおよびメールサーバーなど停止できないサービスがありました。そのため､プロジェクト内で事前検証や異常発生時の対応検討を十分に行い切り替え手順を確立しました｡その結果､大規模なネットワークの切り替えでしたが､短時間かつ大きなトラブルなしに基幹ネットワークの切り替えを行い予定通りに新ネットワークの運用を開始しました｡

システムの特長

(1)利便性の追求

全学の学生と教職員(約7,000人)が保有する計算機20,000台が同時に認証可能となる大規模なダイナミックVLAN環境を実現しました。これにより､約1,000種類のVLANの中から認証成功と同時に､学内ネットワークのどこからでも自分の所属するVLANを利用することができます｡
また､約400台の無線LAN基地局を設定し､学内ほとんど全ての場所でIEEE802.11a,b,g,nなど多種の無線LAN規格によりインターネットにアクセス可能な学内ユビキタス環境を実現しました｡

(2)安定性の確保

旧システムで課題となっていたL2ループ､ブロードキャストストームへの対策や､侵入検知機能の導入を行うことにより高い安定性を確保しました｡

(3)セキュリティーの強化

ユーザー認証や端末認証などの各認証シーンに対応できるトリプル認証機能を採用し､セキュリティーと利便性の両立を実現しました。

(4)ネットワークの高速化

基幹装置を10Gbps化するとともに､各研究室からデータの高速な転送を可能とする全ポート1Gbpsのエッジスイッチを導入しました。

導入システムの紹介

全学でのダイナミックVLAN環境

各エッジスイッチに､トリプル認証によるダイナミックVLAN機能を動作させています｡セキュアに学内ほとんど全ての場所で自分の所属するVLANが利用可能な構成を実現しました。

L2ループ・ブロードキャストストーム対策

ネットワークケーブルの人為的接続ミスによるL2ループ・ブロードキャストストームを各エッジスイッチで検知し該当ポートを遮断します｡これにより､ネットワークへの影響を局所化できる構成を実現しました｡

仮想化ネットワークシステム

ネットワークパーティション横能^※1を持つ中央スイッチと複数の仮想ファイアウォールとして利用できるUTMを採用することで､省スペース化・省電力化を実現しています。

• ※1 ネットワークを仮想的に分割し､分割した各部分間のセキュリティーや独立性を保ちながら､ネットワークの設備を効率化する機能。

一括集中管理型の無線システム

約400台の無線LAN基地局を、コントローラーから集中管理することにより、機器管理や設定変更管理などの運用管理稼動を削減しました。

HTTPアクセスログ管理

HTTPアクセスログ管理にパケットキャプチャー方式を採用することで､プロキシサーバーによるボトルネックを解消し､Web閲覧速度の高速化を実現しました｡また､クライアントにプロキシ設定を必要としない構成となり運用コストを削減しました。

MACアドレス管理システム

教育・研究・事務などで利用する端末を管理するシステムとしてNTT西日本で開発したMACアドレス管理システムを導入しています｡固定IPアドレスの取得申請等各種処理や長期間未使用端末の削除などが自動化され､システム管理者の負担を軽減しました。

統合脅威管理

従来サブネット毎であったアクセスコントロールを､計算機1台毎に､GUlベースで簡単に設定変更できる環境を構築しました｡これによって､学外に公開するIPアドレスを必要最小限にしました｡また､外部からの攻撃や､学内からのP2Pファイル交換を自動的に遮断するシステムを導入しました｡

システム構成図

導入サービス

共通基盤系ソリューション

大学で導入されるさまざまなシステムを、快適でセキュリティーの高い環境で利用するための共通基盤を提供