資料 2 新ネットワークシステム (ODnet2010) 利用説明会 ~ 生活系ネットワークへの移行 ~ 2010 年 11 月 24 日 26 日情報統括センター
目次 ODnet2010 の概要と現状 新機能を利用した 生活系ネットワーク ネットワーク認証 ロケーションフリー 仮想網 従来の接続方法との相違点 移行計画 スケジュール サブネット管理者 サーバ管理者へのお願いサ 2
ODnet2010の特徴 概要概要 幹線 :10Gbps 2 (20Gbps) 支線 :1Gbps 機器冗長 回線冗長 信頼性の向上 主要機器 配線を 2 重化し ネットワークの信頼性を高めます ネットワーク高速 大容量化 今後のコンテンツの大容量化を見据え高速 大容量ネットワークを実現します 学内情報システムのセキュリティを高め 不正使用や情報漏洩を防止します セキュリティの強化 ロケーションフリー SSL-VPN 利便性の向上 学内外に関係なく ロケーションに依存しない自由なアクセス環境を実現 認証 検疫 仮想網 3
ODnet2010~ 全体ネットワーク物理構成イメージ 遠隔拠点収容スイッチ 三朝キャンパス 津島キャンパス SINET 遠隔拠点収容スイッチ 倉敷キャンパス 検疫サーバ 検疫サーバ 検疫装置 データセンター 業務サーバ 公開サーバ ログサーバ NW 監視サーバ DHCP サーバ Radiusサーバ 鳥取情報 H W 遠隔拠点収容スイッチ 遠隔拠点収容スイッチ 芳賀キャンパス 東山キャンパス データセンタースイッチ OKIX DHCP サーバ Radiusサーバ 鹿田キャンパス 各フロアイメージ VPNシステム 学外接続システム データセンタースイッチ PC ( 無線 LAN) ファイアウォール 既設ファイアウォール バーチャルファイアウォール バーチャルファイアウォール PC ( 有線 LAN) プリンタ 無線 AP コアスイッチ OKIX 接続スイッチ 図書館 POP 遠隔拠点収容ルータ コアスイッチ 建物集線スイッチ 平井キャンパス 凡例 10G : 1G : 建物集線スイッチ 10/100/1000M : コアスイッチ 遠隔拠点収容ルータ フレッツグループ 遠隔拠点収容ルータ 遠隔拠点収容ルータ 牛窓キャンパス 津高キャンパス 4
高速化 大容量化 建物間 20Gbps( 従来は 1Gbps) 津島 ~ 鹿田間も 20Gbps フロア間 2Gbps( 従来は 1Gbps) フロア内 1Gbps( 従来は100Mbps) SINET4: 10Gx2 または 10G(+10G) に増速予定 (H23.2) SINET4 津島キャンパス 各フロアイメージ OKIX 図書館 POP 鹿田キャンパス 建物集線スイッチ 2G 20G 20G 建物集線スイッチ コアスイッチ コアスイッチ OKIX 接続スイッチ コアスイッチ 建物集線スイッチ 凡例 10G : 1G : 10/100/1000M : 5
高信頼化 主要部分の機器冗長および回線冗長 障害に強い基幹ネットワークを実現 SINET4 津島キャンパス SINET4: 10Gx2 または 10G(+10G) に増速予定 (H23.2) OKIX 図書館 POP 鹿田キャンパス 各フロアイメージ PC ( 有線 LAN) 機器故障 1 系 片系障害 2 系回線障害 通信可能! 建物集線スイッチ コアスイッチ コアスイッチ OKIX 接続スイッチ コアスイッチ 機器冗長 機器冗長 ( 装置内完全 2 重化 ) 回線冗長 機器冗長建物集線スイッチコアスイッチ OKIX 接続スイッチ各種サーバ類他 多数 回線冗長津島 - 鹿田キャンパス間建物集線スイッチ - 間各種サーバ データセンタースイッチ間他 多数 6
現状 高速 大容量化と信頼性向上は実現済 物理ネットワークの更新による SSL-VPN( 学外からの接続サービス ) 2010 年 9 月からサービス開始 ネットワーク認証 ロケーションフリー 今回の移行対象 ファイアウォール機能の充実 VFW(Virtual Firewall) を実装 7
ネットワーク認証 学内ネットワーク接続時に ( 情報コンセント ) にて認証を実施 不正アクセスをシャットアウト 認証方式は WEB 認証 MAC 認証 IEEE802.1x 認証 の 3 種類 当面は WEB 認証と MAC 認証 学内ネットワーク 認証成功後 学内ネットワークへアクセス可能に! 不正アクセスはシャットアウト 通信 N.G. HUB 認証 HUB 配下の装置も認証が可能 Web 認証 統合認証基盤の別名 ID/ パスワードを入力して認証 MAC 認証 ユーザ名 / パスワード入力が出来ない機器 ( プリンタ サーバ等 ) はMACアドレス認証 8
ロケーションフリー ダイナミックVLANモードに設定された情報コンセント 認証結果に応じて異なるVLAN( サブネット ) が割り当てられる 異なるVLANに所属する機器が混在可 どこに接続しても常に同じ VLAN が使える 情報コンセントを中心に見た場合 ユーザを中心に見た場合 VLAN 10 VLAN 20 VLAN 10 情報コンセント ( 建物 X) ( 建物 Y) HUB( 部局設置 ) 教員 A 教員 B 9
津島 鹿田キャンパス ロケーションフリーの範囲 両キャンパス全域でロケーションフリー その他のキャンパス キャンパス内でロケーションフリー 倉敷 芳賀キャンパス 片方向ロケーションフリー ( 倉敷 芳賀 津島 鹿田 ) ロケーションフリーでないキャンパスでのネットワーク利用 ゲスト用ネットワークの利用あるいは既設ネットワークの利用を想定 キャンパスを跨る学際的研究用ネットワークの導入を検討 ( 来年度以降 ) 10
論理ネットワークの分割 ( 仮想網 ) 利用目的や利用者 機器の特性 要求されるセキュリティレベル等に応じたネットワークの論理的な分割 従来は単一の論理ネットワーク 仮想網間のアクセス制御 仮想網間は基本的に完全分離 必要な仮想網間のみアクセス設定 インシデントの局所化などを容易に実現可能 例 ) 学生用仮想網で発生したインシデントを教職員用仮想網に波及させない 仮想網は複数の VLAN( サブネット ) で構成 VLANのグループ化 仮想網 1 コアスイッチ 仮想網間は完全分離 1 認証 2 仮想網 2 仮想網加入時に認証を実施 ユーザ 1 ユーザ 2 プリンタ 1 11
ODnet2010の仮想網 センター管理の 生活系 ネットワーク 教職員用ネットワーク 学生用ネットワーク 学内共通ネットワーク ゲスト用ネットワーク 既設ネットワーク研究系教育系事務系 研究用ネットワーク 1 研究用ネットワーク 2 研究用ネットワーク 3 事務用ネットワーク 教育用ネットワーク 教職員用ネットワーク 学生用ネットワーク DC 用ネットワーク DMZ 用ネットワーク 学内共通ネットワーク 既設 研究 1 研究 2 研究 3 事務 教育 物理ネットワーク 教職員 学生 VFW VFW DC DMZ 共通 インターネット認証前監視管理ファシゲスト インターネット接続ネットワーク 認証前ネットワーク 監視用ネットワーク 管理用ネットワーク ファシリティ用ネットワーク ゲスト用ネットワーク 12
教職員用ネットワーク WEB 認証 生活系ネットワーク ユーザが直接操作するパソコンが対象 プライベートIPアドレス DHCP による IP アドレス自動 ( 動的 ) 配布 学外へのアクセスはNAT 経由 所属 ( 専攻単位 ) に基づいた VLAN( サブネット ) 割当 当面は研究科単位で割当 学生用ネットワーク 仕様は教職員用ネットワークとほぼ同じ 専攻あるいは学科単位での VLAN 割当 仮想網の出口に仮想ファイアウォールを設置 - 不正な通信の監視 遮断 13
学内共通ネットワーク MAC 認証 生活系ネットワーク ( 続き ) プリンタやサーバなど WEB 認証できない機器が対象 プライベート IP アドレス DHCPによる固定 IPアドレス配布 IPアドレスはセンターが割当 学内専用 ( 学外へのアクセスは不可 ) 学外公開用のサーバ - DMZ 用ネットワークに移設するか 既設研究系ネットワークに残すクに残す - この機会に 当センターのホスティングサービスをご検討下さい 建物単位のVLAN( サブネット ) 割当 教職員用ネットワーク 学生用ネットワークとは異なるサブネットクとは異なるサブネット ゲスト用ネットワーク 仕様は教職員用ネットワークとほぼ同じ アクセス可能な範囲を大幅に制限 仮想網の出口に仮想ファイアウォールを設置 - 不正な通信の監視 遮断 14
生活系ネットワーク移行のメリット セキュリティ プライベート IP アドレス 外部からの直接攻撃を排除 ロケーションフリー どこでも同じ使い勝手 メールや Web が使えれば十分な方 生活系ネットワークへ 既設ネットワーク 学外の攻撃者 教職員用ネットワーク 学生用ネットワーク プリンタサーバ 学内共通ネットワーク 15
従来のネットワーク接続方法との相違点 WEB 認証の場合 ( パソコン ) 1 PCを起動 ネットワークに接続 2 ブラウザを起動して任意のサイトにアクセス 自動的にWEB 認証画面が表示 3 別名 ID パスワードを入力 認証に成功すればネットワークが利用可能に ユーザ名 @VLAN 番号 による VLAN 選択も可能 - 複数の VLAN 番号を持つユーザ 認証が完了するまでネットワーク利用不可 サーバ等への自動接続機能が失敗する可能性 MAC 認証の場合 ( プリンタ サーバ等 ) パケットに含まれる MAC アドレスを照合するので 使い勝手は従来と同じ 16
従来のネットワーク接続方法との相違点 ( 続き ) ユーザに必要な事前準備 WEB 認証の場合 ( パソコン ) 機器の事前登録 (MAC アドレス等 ) は不要 機器の IP アドレス設定を変更する必要あり - DHCP による自動取得へ MAC 認証の場合 ( プリンタ サーバ等 ) 機器の MAC アドレス事前登録が必要 機器の IP アドレス設定を変更する必要あり - IP アドレスはセンターが払い出し - IP アドレスを手動登録するか あるいは DHCP 取得に設定 17
移行計画 ステップ 1( 今年度 ) 共通的エリアの生活系ネットワークへの移行 センター主導 講義室 会議室 学内無線 LAN など 既設研究系ネットワークから生活系ネットワークへの移行 利用者主導 ( 希望者のみ ) 情報コンセント単位で ( ダイナミック VLAN に ) 移行可能 既設研究系ネットワークに戻ることも可能 ステップ 2( 来年度 ) 多段認証 (MAC 認証とWEB 認証の併用 ) の導入 既設研究系ネットワークから新研究用ネットワークへの移行 既設事務系ネットワーク 移行対象外 既設教育系ネットワーク 教育研究システム更新に伴い消滅 ( 新教育用ネットワークに移行 ) 18
既設ネットワーク ( 研究系 ) と 生活系ネットワーク間の接続について 暫定措置として相互接続を許可 来年度上半期頃まで ( 予定 ) 部分的な移行が可能 生活系ネットワークに移行した PC から 既設ネットに残したプリンタ / サーバにアクセス可能 新研究用ネットワークへの移行後 ( 来年度 ) 新研究用ネットワークと生活系ネットワークは基本クは基本的には遮断 VLAN 切替による使い分けで対応 19
移行の判断基準 ( 例 ) 今回の移行に向いていない機器の例 サーバとしても利用されているユーザ端末 WEB 認証を行う機器が固定 IP アドレスを要する場合 24 時間常時接続が必要なユーザ端末 WEB 認証のログイン有効期間 - 有効期間は 1 日を想定 有効期間を過ぎると接続断が発生 - 再認証が必要 20
スケジュール ( 今年度 ) 移行要望調査 基本的には年度末まで随時受け付け 1 次締切 : 12 月中旬を予定 1 次締切までの申込みを優先的に処理 移行開始 12 月初旬 ~ 21
サブネット管理者様へのお願い サブネット内の移行要望取りまとめ 必要な様式等を後日送付 MAC 認証が必要な機器のリスト等 情報コンセント単位で移行可能 使われていない情報コンセントの積極的な移行 - 講義室 会議室など 様式例 (MAC 認証用 MAC アドレスリスト ) 設置場所 MACアドレス 管理者岡大 ID 建物名 階数 室名 室番号 ケーブルタグ番号 22
サーバ管理者様へのお願い 学内限定コンテンツへのアクセス制御設定 生活系ネットワーク プライベート IP アドレス ( プライベートサブネット ) を活用 - 学内とみなしてもよいプライベートサブネットが増える一方 学内とみなしてはならないプライベートサブネットも出現» 教職員用 学生用ネットワーク 学内» ゲスト用ネットワーク 学外 プライベートサブネット情報は 今後センター Web サイトなどを利用して公開 23
おわりに より安全な生活系ネットワークへの移行をご検 討下さい ユーザの皆様へ 生活系ネットワークへの移行を希望される場合はクへの移行を希望される場合は サブネット管理者または当センターにご相談下さい 問合せ先 情報統括センター利用者相談チーム 津島内線 7232 7236 7108 E-Mail: ask@citm.okayama-u.ac.jp uacjp 24