Comments
Description
Transcript
キャンパス LAN におけるソフトウェアルータ Vyatta の導入
キャンパス LAN におけるソフトウェアルータ Vyatta の導入 安東 孝二 (株) mokha 代表取締役 鍛治 秀紀 学校法人根津育英会情報システム部 概要:武蔵大学では、キャンパス LAN のコアルーターとして、ソフトウェアルータ Vyatta を導入しました。導入時の構 築の状況や運用について述べる。 キーワード:キャンパス LAN、ソフトウェアルータ、仮想化 1. キャンパス LAN 再構築 2000 年に MIT メディアラボの創始者でも あるニコラス・ネグロポンテが、ネグロポン テスイッチという仮説を提唱したのを覚えて いる方も多いと思う。それまで有線で固定網 で使われていた電話やインターネットはどん どん無線化し、それまで無線を使っていたテ レビなどは光ファイバーを使った固定網へと シフトしていくだろう、という仮説をネグロ ポンテスイッチと呼ぶ。 仮説が提唱されてから 10 年以上経つが、 たしかにネグロポンテスイッチは進んでいる ように見える。昨今、モバイル用にノートパ ソコンを買うと有線 LAN のポートがなかっ たりする。それ以前にユーザは PC から離れ、 Pad、スレート PC、スマートフォンがネッ ト端末の主流である。決して研究者ではない 通常のユーザが集う大学には、安定して使い やすい無線ネットワークサービスが必要なの は自明なのだ。使いやすさとセキュリティを 両立させる為に、無線 LAN の電波はシング ルチャネルにして、IEEE802.1X を導入した。 インフラとして使うネットワークに毎回 captive portal 認証するほど馬鹿らしいこと はない。 そして、今回の導入のもう一つの柱が、ソ フトウェアルータ Vyatta の導入である。 学校法人根津育英会は、武蔵大学と武蔵高 校/中学を擁する学校法人である。武蔵大学 はキャンパスが比較的都心に近い、学生数で 言えば 5,000 名ほどの小規模な私立文系大学 である。今回、その江古田キャンパス内の基 幹ネットワークの再構築を行った。かねてよ り既存のネットワーク設備と配線自体の老朽 化が問題となっており、グランドデザインか ら考え直す機会に恵まれた。小規模ではある が特色のあるネットワーク構築が出来たので ご報告したい。 2. 設計ビジョン 日進月歩の計算機/ネットワーク技術の中 で、数年、いや十年に一度しか更改されない システムの設計の責任は重大である。多くの 場合、「導入が楽な」ネットワークを構築し てしまいがちだが、運用が楽でなければ意味 がないし、時代の流れに追従していけるネッ トワークでないと、あっと言う間にツギハギ だらけのネットワークになってしまう。私立 文系小規模大学に潤沢な数のネットワーク技 術者がいることはあり得ないので、構築時に スタートダッシュを効かせて先回りして考え ておくことが肝要になる。 とはいえ、インフラとしての安定性を持ち ユーザの信頼を得ることは必須の条件である。 3. Vyattaとは Vyatta(ヴィヤッタ)は OSS を出自とす る Vyatta 社が開発するソフトウェアルータ である。簡単に言ってしまうとこれまでの OSS のノウハウを元に、IP ネットワークに 関連する機能をいろいろ詰め込んで整理して みたソフトである。ベースは Linux(Debian) であり、その上に Quagga や iptables, Snort など様々な OSS がうまく統合されている。 今回のネットワーク構築では特徴的な 2 つ のポイントが挙げられる。 ●無線 LAN の積極構築 Vyatta の導入 ●ソフトウェアルータ 56 昨今、この Vyatta が仮想化やクラウドを 強く意識した展開を見せており SDN のトレ ンドとして注目されている。(まさに CAUA の研究会の直前に Vyatta 社は Brocade 社に 買収された) 武蔵大学のネットワークにはハードウェア ルータが一台もない。Cisco 社の仮想化基盤 である UCS の上で Vyatta が一台稼働して いるだけである。そのメリットは何だろうか? うとともに、キャンパス全域をカバーするイ ンフラとなり得る無線ネットワークの構築を することが今回のネットワーク更新の目的 だった。 5.2 更新前の武蔵大学の キャンパスネットワークの状態 更新前の武蔵大学のネットワークは 2005 年に導入したもので、コアスイッチが配置さ れた建屋を中心に、各建屋をスター型に接続 したネットワーク構成だった。私立文系小規 模という属性の示す通り、ネットワークトラ フィックは少なく、多少古い設備でも問題に ならなかったが、 4. 柔らかいネットワーク 従来のハードウェアルータで構成したネッ トワークは、頑丈で固く構成を変えるには ボードの抜き差しが必要になることも多かっ た。しかしながら、サーバ機が仮想化してき た昨今、サービスが必要とするネットワーク はフレキシブルで柔らかくなければならない。 仮想化してしまったサーバにちゃんと追従す るには、ルータやスイッチも仮想化せざるを 得ないのだ。 ハードウェアのサーバより仮想化された サーバが増えて来たら、もうソフトウェアルー タのほうが使い勝手が良い。 さらに言えば、昨今のクラウドを有効利用 するにはソフトウェアルータが必須である。 かつてサーバハウジングが VPS やクラウド サービスに取って代わられたように、ルーター ハウジングも VPS やクラウド上で可能になっ ているのだ。 多くの大学で、様々なサービスのアウト ソースが試みられているが、オンプレミスで のサービスをシームレスにクラウド化するに はソフトウェアルータが最も役に立つ。クラ ウドにソフトウェアルータを稼働させること で multi-IaaS 化が簡単に出来るようになる。 Vyatta をはじめとするソフトウェアルー タは最新のサービスシステム形態への窓口と なっている。 ・度重なる教室・事務室の配置変更によっ て、配線の問題で適正な VLAN 割り当 てができていないエリアが存在する。 ・事務と教育のネットワークが明確に分か れていない。 など、管理運用が難しい状況だった。 また、無線 LAN は学生の集まるエリアに スポットで配置されているだけで、認証も キャプティブポータルで学内へのアクセスも 限定的であるなど使い勝手のよいものではな かった。 5.3 ネットワーク更新の基本方針 5. 武蔵大学キャンパスネットワークでの 実践 このようなネットワークの現状を考えると BGP、OSPF といった機能の必要性は低いと いえるため、何でもできる高価なルータでは なく、適切な性能をもち、状況に合わせたス ケールアップや、今後行うであろう、サービ スのアウトソーシング、外部 iDC、SaaS の 利用といった変化に対応できる製品の採用が 求められていた。そこでコアルータに前述の Vyatta を採用し、Cisco 社の UCS を用いた 仮想化環境上に、キャンパスネットワークの コアとなるシステムを構築することとした。 5.1 ネットワーク更新の概要 6. 構築と運用 既存ネットワークの設備、配線の老朽化か ら、武蔵大学では平成 24 年 4 月末にキャン パスネットワークの更新を行いました。コア ルータ、コアスイッチおよび、キャンパス内 の各建屋のディストリビューションスイッチ と、それらを結ぶ光ファイバの入れ替えを行 6.1 ネットワークおよび仮想化環境の 機器構成 今回のネットワーク更新では、コアスイッ チとして Cisco Catalyst WS-C3750X-24S-S 2 台と Cisco Catalyst WS-C3750X-48T-S 1 台 57 でスタックを構成したものを配置し、各建屋 のディストリビューションスイッチとして Cisco Catalyst WS-C2960S-48TS-S を配置し ている。 仮想化環境は、2 台の UCS260M2 による 冗長構成とし、ストレージとして NetApp FAS2240 を 使 用 し て い る。UCS お よ び FAS2240 のスペックは以下の通り。 Vyatta は 2 台の UCS 上で常に動作し VRRP 機能によって必要に応じて経路が切り替えら れる。これにより VMware HA では数分か かることもある移行までの時間を数秒で済ま せることができる。 Cisco UCS260M2 CPU:Xeon E7-2860 2.26 GHz, 10 core × 2 Memory:200G Network:10G SFP+ Optic × 2 HDD:147G 15000rpm SAS × 2 RAID1 2012 年 5 月に運用開始された武蔵大学キャ ンパスネットワークは、2012 年 11 月まで、 特に大きな問題は起こっていない。図 1 は武 蔵大学の一般的な一週間の Vyatta を経由し たネットワークの通信量を表している。昼間 の 学 生 が い る 時 間 で も 平 均 し て 3Mbps 〜 4Mbps、 夜 間 の バ ッ ク ア ッ プ 実 行 時 で も 10Mbps を超えない程度となっている。図 2 は同じ期間の CPU 使用率で、ほぼ通信量に 比例して使用率が上下している様子が見られ る。10 〜 20%程度を推移しており現在のリ ソースで、しばらくは問題ないと推測される。 6.3 武蔵大学コアルータとして Vyatta の 負荷状況 NetApp FAS2240A-2 HDD:560G 15000rpm SAS × 20 UCS と FAS は FC で、各 UCS はコアスイッ チと 10G で接続されている。 6.2 UCS 上の仮想サーバ UCS 上では VMware の ESXi5.0 が導入さ れており、そこに Vyatta をはじめいくつか の サ ー バ を 配 置 し た。 デ プ ロ イ さ れ た Vyatta に は CPU:4 コ ア、Memory:4GB のリソースを割り当てられ、経路情報はすべ て Static に記述。設定の大半は利用者に応 じたアクセス制御を実現するためのファイア ウォール情報となっている。 UCS 上では Vyatta の他に以下のサーバが 動作している。 ●DNS サーバ サーバ ●Meru Identity Manager ●無線認証用 認証局 兼 Radius サーバ ●SMTP サーバ(システム通知用) ●Zabbix サーバ(システム監視) ●Syslog サーバ 図 1 武蔵大学キャンパスネットワーク Vyatta のトラフィック (2012/10/22-2012/10/28) ●DHCP Meru Identity Manager は、学内者の持ち 込んだ無線クライアントに対して WebGUI を通して 802.1X 用の証明書を配付するとと もに、ゲストアカウントの発行管理も行う Meru 社のアプライアンス製品である。これ も仮想アプライアンス版を選択した。 ホ ス ト 障 害 時 に は UCS 上 に 存 在 す る Vyatta を除くサーバは VMware の HA 機能 により待機系に移行される設定となっている。 58 おこる。これは Vyatta の ARP テーブル があふれてしまったことが原因で、図書館 での学生用端末の運用開始による学内 PC の増加や、卒業論文作成のためにネット ワークへの接続の増加がきっかけだった。 Vyatta のベースとなっている Linux のカー ネル設定にある ARP テーブルのサイズ設 定を、初期値のまま運用していたため接続 数の増加に対応できなくなりこのような現 象が発生した。現在はサイズ設定を大きく することで解消している。 7. おわりに 図 2 武蔵大学キャンパスネットワーク Vyatta の CPU 使用率 (2012/10/22-2012/10/28) 本稿ではキャンパスネットワークでのソフ トウェアルータ Vyatta の有効性と、実ネッ トワークへの導入、運用について、武蔵大学 キャンパスネットワークを例にして紹介した。 これまでの運用によって、現在の武蔵大学の ようにアクティビティのあまり高くないネッ トワークであれば Vyatta をコアスイッチと して十分にその役割を果たすことが確認され た。現在はルータとしての機能のみを利用し ているが、今後は外部データセンターとの VPN による接続なども試していきたい。 6.4 運用開始後の問題点とネットワーク障害 ここでは運用開始後に問題になった幾つか の点と、11 月末に起こったネットワーク障 害について紹介する。 (1)システム遮断の煩雑さ ルータまで仮想化したことにより、ネッ トワーク経由でのシステム遮断が難しく なってしまった。ゲストとしての Vyatta を落とすと、セグメントをまたいだ通信は できなくなり、今回のネットワーク構成で は UCS、NetApp 本体をシャットダウン するために物理サーバの前で作業をする必 要がある。 (2)ブロードキャストルーティング Vyatta 運用開始後に、教育用のクライ アント PC への環境配布のため Wake on LAN を使いクライアントを起動して配布 す る こ と を 計 画 し た が、Vyatta に は DHCP 以外のブロードキャストをルーティ ングする機能がないため、VLAN をまた いで Wake on LAN を実行することができ なかった。 (3)ネットワーク障害 運 用 開始後に発生したトラブルだが、 2012 年 11 月終わりに毎週火曜日になると ネットワーク内の様々な宛先に到達できな い現象が発生。発生後 5 分程度で復旧する が 30 分もすると再度発生し、接続できな い宛先も毎回変わるという不安定な状態が 59