複数のSSID を用いた無線LAN システムの構築
- eduroam への参加 -

東北大学加齢医学研究所 佐藤和則
東北大学加齢医学研究所 小森和樹
東北大学加齢医学研究所 安達恭子
東北大学加齢医学研究所 佐竹正延
(株)理経 小菅直樹


 加齢医学研究所(以下,加齢研といいます)では,2007 年より,会議室を中心とした研究所の共通スペースで無線LAN サービスを開始しました。この無線LAN は,加齢研のスタッフはもちろんのこと,学生講義や外部からのゲストの一時的な利用まで幅広い人々を対象としたサービスで,海外からのゲストの利用を想定したeduroam にも対応しています。以下に概要をご紹介します。無線LAN 環境構築のご参考になれば幸いです。

1 はじめに

 「会議室で無線LAN を使えないか?」こういう問い合わせが加齢研のネットワーク運用を担当している情報ネットワーク室に寄せられることが多くなりました。セミナーの講師の先生や製品のデモを行う業者の方がインターネットにアクセスする必要があったり,授業で学生にweb を使わせるという需要が多くなってきたためです。また所内の人にとっても,会議室で無線LAN が利用できるとなにかと便利です。
 しかし一方では,外部から加齢研に来ている人( 以下,ゲストといいます)のPC を,一時的とはいえ,加齢研の内部ネットワークに直接接続させることには抵抗があります。たとえば自宅でコンピュータウイルスに感染したPC を持ち込んで接続されてしまうと,内部ネットワークに被害が広がる危険性が高くなります。そこで,ゲスト用のネットワークと,所内のスタッフ・学生用のネットワークを別々に供給する無線LAN の構築を考えました。無線LAN アクセスポイント(以下,AP といいます)の製品で複数のSSID とVLAN に対応したものが手軽に利用できるようになってきたので,これを用いて複数のネットワークによるサービスを始めることにしました。
 この計画を進めようとしていたちょうどその ( ころ ) ,TAINS ニュースにeduroam 関連の紹介記事[1] が掲載されました。eduroam は,education roaming の略で,外部の人に対して無線LAN 利用の便をはかるための,教育研究機関同士の世界的な協力体制です。加齢研は海外からの短期滞在ゲストも多く,また加齢研のスタッフが海外の研究機関や学会に行く機会も多いので,こういった世界的な規模のローミングシステムが使えるようになれば利用者にとっては便利だと考えられます。そこでさっそくeduroam に対応することにしました。また,東北大学内のローミングシステム「どこでもTAINS」[2, 3] も,この機会に導入することにしました。

2 構築

 今回構築した無線LAN システムは,AP,VLAN スイッチ,ファイアウォール装置,認証ゲートウェイ装置,ルータ,VPN サーバ,RADIUS サーバで構成されています。システムの全体像を図1 に示します。以下,詳細について述べます。


図1: 無線LAN システムの全体像

2.1 APと設置場所

 加齢研の共通会議室(大会議室,中会議室,小会議室,セミナー室)と,星陵プロジェクト総合研究棟のエントランスホールにAP を設置しました。大会議室,中会議室,セミナー室及びエントランスホールは同時接続数が多くなる可能性があるので,Wi-Fi array と呼ばれる製品(XS-3500, Xirrus Inc.) を採用しました。これは1 つの 筐体 ( きょうたい ) にAP のアンテナが4 台分内蔵されているもので,無線帯域216 Mbps,最大同時接続数は200(推奨利用者数は20)あり,数十人規模の利用に対応可能です。一方,小会議室は収容人数が少なく,同時接続数も限られているため,1 台分のAP(AT-TQ2403, アライドテレシス(株))でまかなっています。図2 に設置したAP の概観を示します。
 今回設置したAP は,eduroam への参加をにらんで,IEEE 802.1X 対応のものを選択しました。また,複数のサービスを提供するため,複数のSSID とVLAN を扱える機種としました。

2.2 ネットワーク構成

 複数のSSID を利用して,サービス内容の異なる次の4 つのネットワークを供給しています。

ゲスト向けネットワーク:
外部からの短期滞在者や,ネットワークを使う授業に参加する学生に利用させることを目的としたネットワークです。利便性を考えて認証を簡単にする代わりに,通信プロトコルをweb やmail のみに制限しています。
所内利用者向けネットワーク:
このネットワークは所内LAN の下につながっており,所内のすべてのサービスを利用できます。認証と暗号化を行っています。

図2: アクセスポイント,セミナー室Xirrus 3500 (上段,液晶プロジェクタの手前に見える円盤状の機器),小会議室AT-TQ2403(下段)
どこでもTAINS 用ネットワーク:
認証なしにAP に接続できますが,学内向けのVPN (PPTP) のみを許可しています。実際に利用するためには,所属部局のVPN サーバを経由する必要があり,認証もこの段階で担保されます。
eduroam 用ネットワーク:
まずAP に接続するために802.1X による認証が必要です。AP につながった後も,通信はVPN のみを許可しており,利用者の所属元のVPN サーバを経由してネットワークにアクセスする利用形態です。VPN はインターネット全体に対して可能になっています。

2.3 認証ゲートウェイ

 ネットワークの利用者を認証するため,ゲスト向けネットワークと所内利用者向けネットワークにおいて,認証ゲートウェイ(FEREC520, (株)ネットスプリング)を導入しています(図1)。利用者は,該当する無線ネットワーク(SSID) を選択した後,web ブラウザを起動して任意のURL にアクセスすることで,認証画面を表示します。この認証画面の例を図3 に示します。ここでユーザ名とパスワードを入力し,認証が通れば,ゲストはこのネットワークを利用できるようになります。
 この装置は,利用者ごとにアクセス制御をかけることが可能です。ゲスト向けネットワークでは,ゲスト用アカウントと授業用アカウントの2 つを運用しています。前者は外部からのゲストに一時的にネットワークを利用させるためのアカウントで,DNS, Web, MAIL が利用可能となっています。後者は授業や実習で受講者にWeb を利用させる場合のアカウントで,DNS, Web のみが利用できます。また,所内利用者向けネットワークでは,アカウントは利用者個人に対して発行され,すべてのプロトコルが利用可能となっています。



図3: 認証ゲートウェイの認証画面

2.4 どこでもTAINS とVPN サーバ

 前述の「どこでもTAINS 用ネットワーク」は,他部局の人が加齢研に来たときに自分の所属元のVPN サーバにアクセスするための環境を提供しています。一方,加齢研の人が学内他部局の「どこでもTAINS AP」でネットワークを利用できるようにするため,今回,VPN サーバを設置しました(図1)。VPN サーバに接続すれば,そこからインターネットへ出ることができます。また,加齢研の所内ネットワークに対しても一部の通信が許可されており,所内限定のweb ページを閲覧したり,加齢研のメールサーバにアクセスすることが可能です。加齢研のスタッフ,学生は,申請により,VPN の利用者アカウントを取得することができます。

2.5 eduroam への参加

 今回加齢研ではRADIUS サーバを設置し(図1),東北大学のRADIUS proxy サーバと相互接続することでeduroam の認証ツリーの中に入りました。加齢研のeduroam 用ネットワークをこのRADIUS ツリーに組み込むことで,加齢研に来たゲストがeduroam の体系の中でネットワークを利用することが可能となりました。
 一方では,加齢研の人が国内外の大学や研究機関に行ったときに現地のeduroam 対応ネットワークを利用できるよう,加齢研のRADIUS サーバにおいてeduroam 利用者アカウントを管理する体制を整えました。加齢研のスタッフ,学生は,申請により,VPN の利用者アカウントを取得することができます。
 eduroam 対応AP との間で802.1X 認証を利用するためには,クライアントPC 側もそれに対応したソフトウエア( サプリカントと呼ばれる)が必要です。Windows XP の利用者は,フリーソフトウエアのSecureW2 が利用できます。Mac OS X は標準で用意されている「インターネット接続」というソフトウエアがサプリカントとしての機能を持っており,そのまま利用できます。図4 に「インターネット接続」の画面を示します。Mac OS X の「インターネット接続」は,802.1X の他にもVPN クライアントとしての機能もあり,これひとつでeduroam もVPN 接続も設定・管理できるので便利です。



図4: サプリカントの画面(Mac OS X)

 eduroam をサービスしているサイトを訪問して接続したときに,どの通信プロトコルが利用できるかはサイトのポリシーによってさまざまですが,最近はVPN のみを許可する傾向が強いようです。通信をVPN のみに制限した場合,クライアントの通信はかならず所属元を経由するので,無線LAN を提供する側にとって管理がしやすいためと思われます。加齢研のeduroam 用ネットワークもVPN 以外を許可しない設定にしています。こういった状況を考えると,われわれが国内外のサイトでeduroam を利用する場合も,加齢研に対してVPN を張らなければならない機会は多いと考えられますが,この用途には,前述した「どこでもTAINS」用に立てたVPN サーバがそのまま利用できます。

3 運用経験

 クライアントとしてWindows XP とMac OS X (10.4) ですべてのサービスについて試験を行いました。Mac OS X では,Xirrus XS-3500 の所内利用者向けネットワークに接続できない問題があり,これは現在も解決していません。そのため,Mac OS X ユーザには,どこでもTAINS 用ネットワークを利用してもらっています。これ以外は問題なく動作しています。小会議室のAP (AT-TQ2403) では,Mac OS X ユーザも所内利用者向けネットワークに接続できます。
 加齢研は,情報シナジーセンターに続き東北大学で2 番目のeduroam AP となりました。残念なことに,いまのところはeduroam による接続は試験のみで,実際の利用経験はありません。今後活用されることを期待しています。
 個人的に,eduroam がつながったときにまず頭に浮かんだことは,「共同研究でときどき訪問する海外の大学では,eduroam が使えるのかな?」ということでした。期待をこめてeduroam Web site [4] で調べてみましたが,3 箇所の共同研究先(Duesseldorf 大学,Juelich 研究所,McGill 大学)はいずれも対応していませんでした。大学によっては数百から数千のAP を誇るところもありますが,大きなキャンパスに数箇所というケースもあります。eduroam への取り組みは,大学や研究機関によってまだまだ温度差があるようです。けっきょく自分の用務先の「建物」にAP がなければeduroam のご利益はありません。今後の発展に期待したいところです。
 VPN サーバは,公開後,利用が少しずつですが増えています。本来はどこでもTAINS とeduroam の利用を目的として導入したものですが,自宅や出張先でプロバイダからインターネットに接続している人の利用が多いようです。VPN を張って加齢研の所内限定ページにアクセスしたり,加齢研のメールサーバを利用するような使い方です。また,東北大学人事部が運用している職員電話番号検索システムは,学外のネットワークからはアクセスできないようになっていますが,VPN 接続を用いれば,それは加齢研( 学内)のネットワークからのアクセスになるので,物理的に所外にいても利用できるようになります。出張先で急に学内の人に電話をする必要が生じた際など,たいへん便利に使っています。
 一方では,VPN は,一般の利用者にとって,設定や接続が難しいという現実があります。運良くコネクションが張れればよいのですが,プロバイダ内部のネットワーク設定や機器の制限でVPN を張ることができなかったり,接続してもタイムアウトしたりといった問題がしばしば起きます。初心者では何が問題なのかわからず,苦労することが多いようです。eduroam は接続までのステップが多い分,なお一層難しいと思われます。誰もが簡単に使えるようになって欲しいものですが,現在のところは,利用者向けのマニュアルを整備して,普及活動に努めるしかないようです。

4 おわりに

 最初は,会議室に無線LAN を立てる,という単純な話としてスタートしましたが,結果として,VPN,eduroam, どこでもTAINS 等さまざまなサービスを一度に構築することができました。AP のSSID を使って目的別のネットワークを複数立てる技術が安価に利用できるようになったおかげで,より手厚いサービスを利用者に提供できるようになったと思います。
 TAINS ニュースに掲載された記事[1] にあった次の一節が印象に残っています。
eduroam は既に国際的なデファクトスタンダードの地位を確立しており,国際的な教育研究環境 においては無視できないと考えられます。国内の研究者が海外でeduroam のインフラを利用でき ることのメリットはもちろん,諸外国から日本へのビジターに対して「もてなしの心」をもって ネットワークアクセス手段を提供することも大変重要なことでしょう。
 本学の研究者が海外を,また海外の研究者が本学を,相互に訪れる機会が今後ますます多くなってゆくことでしょう。東北大学は,井上プラン2007 [5] において,「国際的研究拠点としての研究の連携」を謳っています。研究支援基盤としてのTAINS の役割の中で,この「もてなしの心」が,今後いっそう重要になってゆくものと思います。

謝辞

 eduroam とRADIUS の接続,設定にあたっては,後藤英昭氏(東北大学情報シナジーセンター)にご教示をいただきました。どこでもTAINS の接続試験にあたっては,齋藤信氏(東北大学農学研究科)にご協力いただきました。梶原泰則氏(東北大学加齢医学研究所用度係主任,当時)には,加齢研の無線LAN システム構築事業全体を,手続きと施設管理の両面から強力にサポートしていただきました。ここに,心より感謝の意を表します。

参考文献

[1]後藤英昭, 今井哲郎, 曽根秀昭, “eduroam とキャンパスユビキタスネットワーク,” TAINS ニュース,No.34, pp.5-8, 2007. (http://www.tains.tohoku.ac.jp/news/news-34/0508.html)
[2]今野将, “TAINS/G における無線LAN ローミング「どこでもTAINS」について,” TAINS ニュース, No.33,pp.3-9, 2005. (http://www.tains.tohoku.ac.jp/news/news-33/0309.html)
[3]「どこでもTAINS」アクセスポイント一覧: (http://www.rd.isc.tohoku.ac.jp/tains-ap/local/sitelist.html)
[4]eduroam Web site: (http://www.eduroam.org/)
[5]井上プラン2007: (http://www.bureau.tohoku.ac.jp/president/open/plan/)