Comments
Description
Transcript
福井高専のギガビットネットワークについて
福井高専のギガビットネットワークについて 米田知晃、酒井信治、村中貴幸、青山義弘、高久有一、辻子裕二、吉村忠與志 福井工業高等専門学校 総合情報処理センター 概 要 福井高専のネットワークをギガビットネットワークに更新すると共に新しい学内ネットワ ークシステムを構築した。新しいネットワークシステムの構成、導入したセキュリティシ ステム、無線 LAN、ウイルス対策システム、VOD システムについて報告する。特に、学 内ネットワークのセキュリティ確保のために導入したセキュリティシステムでは、ファイア ウォールの強化と二重化による信頼性の向上、学外向けサーバの負荷分散システム の構築を行った。また、近年、急速な被害の増加が生じているコンピュータ・ウイルス への対策として、全学的なウイルス対策システムを構築した。 1. はじめに 福井高専ののキャンパス情報ネットワークシステム は平成 8 年 3 月から運用している ATM ネットワーク システムを中心に構成され運用してきた。しかし、構 築から5年を経過し、昨今のIT技術の伸展、特に高 速大容量の伝送を必要としているマルチメディア情 報に対応していないことから教育・研究計画に支障を 及ぼす状況となってきている。このことから、校内にお ける高速大容量の伝送を可能とするネットワークの再 構築に対して、「学校情報化促進対策」としてギガビ ットネットワークシステムの補正予算が認められた。 な環境を実現している。また、離散棟へのネットワー ク接続を可能とするための無線 LAN を導入した。ネッ トワークセキュリティ管理システムとして、信頼性の高 いファイアウォール、学外向けサーバの負荷分散シ ステム、ネットワーク機器動作状況の管理及び負荷 状況監視を行うネットワーク管理システムの導入、ウ イルス対策システムの構築によりセキュリティ管理を 強化しています。また、高速・大容量のネットワークシ ステムにおいて、VOD(Video On Demand)サーバを 用いて動画像コンテンツによる IT 教育に活用するこ とを可能とした。 なお、今回のネットワークシステムにおいて、ネット ワークセキュリティ管理システムの導入と既存 ATM ネ 2. ネットワークの基本構成 ットワークシステムの有効活用を行った。ATM ネットワ 本校で使用しているギガビットネットワークシステム ークシステムはギガビットネットワークシステムと併設 では、以下の仕様によりネットワークの信頼性を確保 して運用を行い、基幹部としての LAN をギガビットネ し、ノンストップ運転を目指している。 ットワークシステムへ移行した。 (1) 本校の基幹ネットワークをギガビットネットワーク 本システムは、センター内のスイッチと各学内施設 システムにより運用し、ATM ネットワークシステム にあるスイッチの間を光ケーブルにより接続し、高速 は基幹ネットワークの補完システムとして運用す Layer2 Edge-SW FW VOD Layer3 Front-SW IP 100Base-T 1ポート によりF-SW(IP)と接続 LR-450 IP 学寮 Layer3 Front-SW M LR-440 M ハブ Layer2 Edge-SW Center -SW LR-440 E Layer2 Edge-SW Layer2 Edge-SW Layer3 Front-SW E Layer2 Edge-SW Layer3 Front-SW B Layer2 Edge-SW Layer3 Front-SW C Layer2 Edge-SW Layer3 Front-SW EI Layer2 Edge-SW ATM−SW 無線LAN 24ポート(管理棟) Layer2 Edge-SW ・情報処理センター 24ポート ・一般棟 28ポート Layer2 Edge-SW 10BASE-5 LR-440 B 10BASE-5 LR-440 C 12ポート(学寮) 24ポート(情報処理センター教育) SW-HUB 庶務課 24ポート(本館: 物理、化学、教官) 24ポート 2台 Layer2 Edge-SW 実習工場 SW-HUB 会計課 SW-HUB 学科事務室 SW-HUB 本館(1、2F) 24ポート 2台 24ポート 1台 28ポート 1台 ・C棟 ・C新棟 ・先進技術教育センター棟 ・図書館棟 各24ポート ハブ LR-440 EI 無線LAN 24ポート 2台 24ポート PC Layer3 Front-SW AE LR-460 AE Layer2 Edge-SW SW-HUB 4階 光ケーブル(マルチタイプ, 600MHz) 光ケーブル(マルチタイプ, 1000MHz) 1000BASE-T 100BASE-TX 100BASE-FX 10BASE-T,10BASE-5 図 1 ギガビットネットワークシステム構成図 る。 ブルを敷設し、1Gbos×2 で 2Gbps の転送能力を確 (2) 基幹ネットワークの光ファイバー幹線網ケーブル 保してている。学科等のスイッチでは、VLAN(Virtual の二重化と電源及び制御機構の二重化構造を Local Area Network)機能を有するスイッチを用いて 持つギガビットスイッチの使用による障害に対す いる。VLAN により学科等で 1 台で二つのセグメント る信頼性の高いシステムの構築。 (教官用と学生用)を使用することが出来る。 (3) 学外向け Web サーバ、Mail 中継、学外・学内向 けの DNS 処理にあたる負荷分散型 Web、Mail、 DNS サーバシステムの導入とネットワーク機器動 作状況の管理及び負荷状況監視を行うネットワ ーク管理システムの導入による堅牢なネットワー クシステムの構築。 (4) ネットワークのセキュリティ強化のため、対外セグ メントと内部セグメント間に非武装地帯(DMZ)の 設置、ファイアウォールの強化と2重化などによる 高信頼性の確保。 3. ネットワークセキュリティ管理システム ファイアウォールシステムにおいては、学外インター ネット環境と学外ネットワークの中継を行うとともに DMZ を設けることにより、学外からのクラッキングなど の被害から守ることが出来る。ファイアウォールを同 一機種、同一装置構成の 2 セットで構成し、信頼性を 確保している。 負荷分散型 Web、Mail、DNS サーバシステムは、学 外向け Web サーバ、Mail 中継、学外・学内向けの 以上の仕様に従い、学内ネットワークではギガビット DNS 処理にあたる。また、学科の Web サーバを学外 スイッチから学科等スイッチまでは二重化した光ケー に公開するための中継処理機能と学外への Web Proxy 中継機能も持たせている。このサーバは、処理 5. ウイルス対策システム の分散およびハードウェアの故障時のバックアップ対 策として 3 セットで構成されている。 本校において構築したウイルス対策システムには、 電子メール除去サーバとして Interscan Virus Wall を 4. 無線 LAN の導入 導入し、学内で使用する全ての端末に対して Norton AntiVirus Corporate Edition を新たに導入しました。 学内の離散施設(体育館等)及びグラウンド等の場 学外から学内への電子メールについては、学外サ 所でのネットワーク接続を可能にするために無線 ーバにおいて電子メールを受信し、電子メールウイ LAN の導入を行いました。 セキュリティ確保のため、登録された無線 LAN カー ルス除去サーバに転送する。ウイルスチェック後、受 ドからの認証のみを受け付けるようにサーバ側で設 け取った電子メールを学内メールサーバーに転送す 定している。 る。クライアントは学内メールサーバより、安全な電子 今後は、グラウンドや体育館でのネットワーク利用 メールをダウンロードする。 に加え、測量等の屋外実習でのネットワーク利用の 学内から学内/学外への電子メールについてもク 実施を予定している。 ライアントは smtp サーバとしてウイルス除去サーバに 攻撃 攻撃 ルータ クラッカ攻撃 ウィルス侵入 Dos攻撃 SMTP, DNS, NTP, HTTP, HTTPS, SSH ハブ FW Gate.ip POPS, IMAPS Mailウィルス SMTP以外は制限を加えない なお、SMTPはMailウィルスからのみ 透過転送する. ハブ FW 送 y転 ox Pr Web, Mail, ネットワーク DNS, NTP 管理・監視 発 送 電 子 校 メー 外 向 ルは けM M ailは ailウ FW ィル 各 を透 スサ サ ー 過し ーバ バ へ 直接 に全 転 送 配送 て転 する し 送 。 、校 し、チ 内 向 ェッ けは ク 後 azalea2.ip Mail daisy.ip Mail, Web ハブ PC 既設機器を 表す 校内の全PCにウィルス検査・駆除ソフトを導入し,安 全性を確保するとともに、そのパターンファイルを保持 するウィルスサーバを設置する。 図 2 ネットワークセキュリティシステムおよびサーバーシステム構成図 電子メールを送信し、ウイルスチェック後、学内への て、情報処理センター内の端末より学生が自由にビ 電子メールについては電子メール除去サーバより学 デオコンテンツを利用することが出来る。 現在は、VOD コンテンツを登録していないために 内メールサーバへ転送され、学外への電子メールに 利用できない状況である。今後、教官の講義ビデオ ついては学外の送信先メールサーバへ転送する。 等の作成により、学生が利用できる環境を整えていく 端末におけるウイルス対策ソフトとして、全学的に 予定である。 Norton AntiVirus Corporate Edition を導入し、学内 で使用する全ての端末に対してインストールを行った。 このウイルス対策ソフトは、学内に設置したウイルス情 報サーバから最新のパターンファイルを更新すること が出来る。また、各端末で発見されたウイルス情報が ウイルス情報サーバに知らされるため、迅速な対応を 可能にする。 7. おわりに ここでは、福井高専に導入したギガビットネットワー クおよび付随するネットワークシステムについて述べ た。 現在、ギガビットネットワークについて、いくつかの ウイルス対策ソフトの全学的な導入直後は、潜在的 なウイルス(フロッピーディスク、CD-ROM 等のメディ アに保存されているファイル等に潜んでいるウイル ス)の検知が盛んに行われたが、導入後約 1 月でほ ぼ潜在的なウイルスを駆逐できたものと思われる。 小さな不具合が発生したが大きな問題は生じていな い。しかし、講義・実習等への影響を考慮して、まだ 既存の ATM ネットワークからギガビットネットワークへ 完全に移行していない学科等が複数見られる。これ らのネットワークの移行に関して、長期休暇中にテス ト及び移行を行う予定である。 6. VOD システム 最後に、ネットワークの構築及び新しいシステムの 見たい人が、 見たい時に、見たいビデオ映像を 更新でお世話になった関係各位に感謝致します。 見ることができるシステムである VOD システムを総合 情報処理センターに導入した。学内に設置した VOD サーバー上にビデオコンテンツを作成することによっ 送信 ウイルスチェック クライアント 二重化 インターネット 受信 電子メールウイル ス除去サーバ 学内mailサーバ 学外サーバ クライアント 図 3 電子メールウイルス除去システムの構成図