国立大学法人 神戸大学

バーチャル化した組織に対応可能な柔軟な環境整備を実現
Tunneled Nodeによる高度な制御により有線・無線の融合を推進

 2009年に導入したキャンパスネットワーク「KHAN」を刷新し、場所に依存しない論理的なネットワークづくりを推進。分散したL3スイッチの統合によって、バーチャル化した組織体制にも柔軟に対応できるL2ネットワーク中心の環境整備を実現。有線および無線環境を統合することでネットワークの可視化を実現しながら、APIを活用した仕組みづくりを通じて運用負担軽減に向けた環境構築を目指す。

バーチャル化した組織に対応できる、場所に依存しないネットワーク環境へ刷新

研究機材や特殊な機材に有線は残るものの、一般使いの機器はどんどん無線化していく流れは止められない。そこでどう利便性を追求していくのかが問われることに

 1902年に高等教育機関として設置された神戸高等商業学校を創立の起点とし、「先端研究・文理融合研究で輝く卓越研究大学へ」をビジョンに掲げる国立大学法人神戸大学。10の学部と15の大学院、そして専門職大学院や附属病院、教育研究に携わるセンター群などで構成されており、普遍的価値を有する「知」を創造しながら人間性豊かな指導的人材育成に力を注いでいる。大学院を含めた学生数は16,000名を超える規模を誇る総合大学として、文理分野の融合を意識した横断的な研究開発、人材育成を行っている。

 そんな同大学において、情報ネットワークをはじめ、教育研究用計算機システム、事務情報システムにわたる情報基盤の整備・推進・高度化に取り組んでいるのが、2010年に3つの組織を改組して設立された情報基盤センターだ。

 同センターでは、時代に求められるICT教育に適した環境づくりを積極的に行っており、教育研究用計算機システム「KAISER」や学修支援システム「BEEF」や統合ユーザ管理システム「KUMA」などを構築し運用している。そのなかで新たに刷新が計画されたのが、キャンパスネットワーク「KHAN」だ。以前KHANを更改した2009年には、L3スイッチを各部局に設置してグローバルIPアドレスを用いたルーティングネットワークを構築した。しかし、昨今急増するセキュリティインシデントへの対策を強化するべく、分散したルータを統合することで、キャンパスネットワークのL2化を推進することを決断する。

 また、これまでは工学部であれば工学部棟といった、場所にネットワーク環境が紐づいていたが、今では同じ空間にさまざまな部門の人材が集まることも多く、組織がバーチャル化する傾向にある。そこで、ネットワーク自体も論理的な構造に対応できるような環境づくりが求められていたのだ。「本学が神戸・ポートアイランド地区に設置した統合研究拠点では、全学のさまざまな研究プロジェクトが行われており、1つのプロジェクトに所属が異なるメンバーが参画することも多い。当然ですが、権限やセキュリティレベルが異なっているメンバーが、同一空間からネットワーク接続することになります。その場合、個別にブロードバンドルータを複数用意していると性能や使い勝手に課題が出てきますし、1つのアクセスポイント(以下、AP)で数多くのSSIDを用意するには限界も出てきます。場所やポートに依存した環境から脱却できるネットワークづくりが求められていました」と神戸大学の情報基盤センター ネットワーク基盤研究部門 鳩野 逸生 教授は当時の状況を分析する。

コアスイッチからAPまで、エンドツーエンドの環境をArubaで統合できる

 そこで新たに目指したのが、分散していた基幹ルータを集中化させることでのL2ネットワークへの移行と、柔軟なネットワーク構成が可能となるネットワークの仮想化だった。特に柔軟な組織に対して快適なネットワーク環境を提供するには、拠点ごとのルーティングでは限界があるため、コアスイッチへの統合を目指していくことに。そこで必要になったのが、多くのIPアドレスが収容できる基幹スイッチの存在だ。実際に提案から構築までを手掛けている株式会社NTTPCコミュニケーションズ サービスクリエーション本部の村岡 賢二氏は「プライベートIPも含めて3,500ほどのIPサブネットを運用することになるため、L3スイッチにてその数のIPを柔軟にルーティングできるものがまずは必要でした。いくつかスイッチベンダに声をかけ、要件に最適なものとして考えたのがAruba 8400だったのです」と村岡氏は語る。Aruba 8400自体は新製品として日本初の導入となったが、同学としても新たな製品の採用には前向きな事情があった。「ネットワーク基盤に対する予算確保は容易ではなく、一度導入したら長く利用したいという思いもあります。教育研究のための基盤という側面もそうですが、できるだけ長く使えるものを前提に、新しいものを導入したいという思いは常にあったのです」と鳩野教授。

 実はエッジのスイッチについては、長期間利用したいという大学側の希望に沿う形で、当初からLifetime Warrantyのサポートに対応するHPEスイッチを提案する計画だったという。コアスイッチについては、3,500を越えるIPサブネットのルーティングに対応することはもちろん、海外の製品担当責任者しか持っていない情報を積極的に提供するなど、前向きな姿勢を評価した村岡氏。「大学様が求める要望を次第に吸収していただいた点は評価できるポイントです。また、内蔵されているNetwork Analytics Engineによってセキュリティの状況がスイッチ単体で解析できる点は、セキュリティ強化を希望する大学様にとっては大きなポイントでした」。セキュリティについては、無線LANコントローラが持つファイアウォール機能をL2スイッチと連動させて活用できるTunneled Nodeに着目していたという。「GREトンネルによるTunneled Node機能によって、無線と有線を融合・統合させた仕組みづくりが可能になります。将来的には、次世代ファイアウォールなどと連携することで、有線無線問わずネットワークでのセキュリティ強化に役立つはず」と村岡氏。

 無線LANに関しては、2009年の更改時には会議や学会などの時にパブリックスペースにて提供する目的に導入されており、研究室のネットワークには個別にアクセスできない環境だった。しかし、近年無線アクセス可能なデバイスの種類や数が増えており、すでにイーサネットが接続できない端末も一般化しつつあるなかで、バーチャルな組織にも対応できる柔軟なネットワーク環境が求められていた。「無線にアクセスすれば、複雑な手続きなく自分の研究室ネットワークにもセキュアな形でアクセスできるよう、ダイナミックコンフィグレーションしていくような仕様に環境整備することを計画したのです」と同センター ネットワーク基盤研究部門 伴 好弘 准教授は語る。

 日々の運用保守を手掛けている同センター 技術専門職員 北内 一行氏は、運用面でのポイントについて指摘する。「VLANの設定変更などは、これまで保守業者に費用を支払ってお願いしていましたが、自分たちでも負担なく変更できる仕組みが理想です。APIを使ってプログラムを組むことで、さほど詳しくない私にも負担なく設定変更できるという環境は大いに期待していました」と語る。人的リソースが限られているなかで、最小限の運用コストで安定稼働につながる環境づくりは北内氏が求めた要件だった。

 結果として、大学側が求める、運用管理やセキュリティを考慮しながら論理的な組織にも対応できる柔軟なネットワークづくりを要件に挙げたうえでNTTPCが提案したHPE Arubaを使ったキャンパスネットワークの仕組みが採用されることになる。

有線・無線の融合を実現する環境実現に向けた第一歩を踏み出す

 現在は六甲台地区に設置されたL3コアスイッチ Aruba8400を中心に、楠地区とは40Gbps、深江、名谷の各地区とは10Gbpsのダークファイバでつながれたネットワークが構成されており、各部局のL2アグリゲーションスイッチにはHPE 5940やAruba 3810Mなど、フロアスイッチにはAruba 2930Fや2540などが各種配置されており、現場には新たにAP-335が340台ほど導入され、以前活用していたAP-225も一部継続して活用されている。Aruba 7220も無線コントローラとして冗長化構成として六甲台地区に設置され、可視化のためのAirWaveやロールによるアクセス制御を行うClearPassも導入し、附属の小学校や中等教育学校にもこれまで使っていた無線コントローラAruba 7010が配置されている状況だ。基本的には、従来の環境でも利用できるものは残していく方針でネットワークが設計されており、有線・無線を統合的に運用管理可能な基盤の整備が行われたことになる。

 今回は最新OSとなるArubaOS8.0を導入しているが、その理由の1つに挙げられるのがTunneled Nodeによる環境整備だ。「従来はクライアント環境にVPNプラグインを導入して学生が教室で利用できるよう認証を行っていましたが、トラブルの原因となるケースもありました。Tunneled Nodeであれば、コントローラとフロアスイッチの間はGREトンネルによって通信でき、IEEE802.1X認証が可能になるだけでなく、場合によってはWeb認証によって通信させることもできます。ユーザの負担軽減になると考えています」と鳩野教授は語る。また、導入した環境を長く利用することを考えると、できる限り最新のOSを導入しておきたいという思いもあったという。機能的には、これまで無線環境の最適化に向けた自動調整機能「ARM」から、新たにAP間同士も含めて全体最適化を実現する「AirMatch」による最適化にも期待を寄せているという。

 新たなキャンパスネットワークの大きな目玉となるのが、教員、学生を含めて40,000台ほどのデバイスが接続する全学環境で行うClaerPassによるダイナミックなコンフィグレーションの実現だ。「VLAN-IDとUser-IDなどの情報が含まれたDBサーバを大学側で準備し、このDBサーバをClearPassの認証フローのなかに組み込んで活用しています。まずLDAPサーバへ認証要求をかけて認証が通ったユーザアカウントは、DBサーバに格納されている情報とマッチング処理を行い、VLAN情報を抽出して割り当てています。」と鳩野教授。この一連の処理により、SSIDにアクセスしたユーザは学内のどの環境にいても自分の専用VLANに割り当てることが可能になった。「有線LANと同じ論理ネットワーク環境が無線LANでも使えるようになっています。この環境づくりが実現できたのはClearPassのおかげ」と鳩野教授。LDAPに格納されていない情報を外部サーバにて補うことができたと評価する。

 稼働し始めたばかりで定量的な効果はこれからだが、「L3からL2化したことで従来よりも詳細なデータが取得できるようになり、利用状況の把握や運用管理、セキュリティの調査などに利用できるようになる」と鳩野教授。またすでに次世代ファイアウォールなどでのセキュリティ監視が行われているが、エッジ側でも統計情報を取得したうえで、Aruba 8400内のNetwork Analytics Engineにて分析していくような環境づくりも進めていき、障害などの予測を含め、得られた情報を研究材料として生かしていきたいという。「APIでの連携も含め、外部とつながる環境を意識しているという世界観はとても評価できます。Aruba 8400のスイッチ内でAPIを使ってプログラムが書けるという驚きもあり、運用が安定してきたらぜひ試してみたい」と鳩野教授は期待を寄せている。

 また、現状は最大で200Gbpsのバックボーンネットワークが整備されているが、IEEE802.11ac Wave2対応のデバイスを含めたアクセス数が増加するにしたがって、エッジ側でボトルネックが発生する可能性が考えられるという。「有線がボトルネックになるという逆転現象が起こりつつあります。何らかの対処をする上でも、まずは利用状況をきちんと把握できるようにしていきたい」と伴准教授。なお運用については、APIを使ったアプリケーションによってこれまでVLANの設定変更など外部にお願いしていた作業が学内で行えるようになり、負担の軽減につながっていくはずだという。「予算が厳しい部局では、自分たちでローカルに処理してしまうケースも。今後は我々のほうで対処できるようになり、しっかりとしたガバナンスを効かせることでリスク軽減にもつながるはず」と北内氏も期待しているという。

教育の高度化をさらに進めながら、価値ある情報発信を積極的に行っていく

 今後については、研究機材など特殊なものを除き、多くのデバイスが無線化していく流れは避けられない状況にあるとみている。「予算の確保は大前提ではあるものの、教育活動の活性化を図るために何ができるのかを常に問いながら、情報基盤センターとしてのミッションでもある、ネットワークを通じた教育研究の高度化をさらに進めていきたい」と伴准教授。

 すでに学生が持ち込むデバイスを授業などに使うBYOD化についても検討していくことが計画されており、どんな利用方法でどの程度のAP増強が必要なのかも含め、検証を進めていく予定となっている。「教育研究に重きを置いた大学という組織ですので、単に業務利用というだけでなく、価値ある情報の発信ということも意識する必要があります。ネットワークの可視化や仮想化も含めて新たなことに挑戦していきながら、環境変化にもすぐに解決策が提示できるよう環境づくりを進めていきたい」と鳩野教授に今後について語っていただいた。