2007年秋の注目製品/サービス【第4回】
チュートリアル
設定情報をコントローラに集約
APをつなぐだけでオフィスと同じネット環境を実現
http://itpro.nikkeibp.co.jp/as/NCC500/mc/index.shtml
場所が変わっても,設定を変えることなく即座にネットワークを使える。しかも,内線電話まで含めてオフィスにいるのと同じ感覚で作業を進められる ──。無線LAN機器ベンダーのアルバネットワークスは,そんな“ユーザー・セントリック”な仕組みを目指して製品の開発・強化を進めている。テレワークなど,多くの企業が模索を始めている新しいワークスタイルも実現しやすくなる。
象徴とも言える仕組みが,同社の無線 LAN製品を利用して実現する「リモートAP」である。エンドユーザーが無線LANアクセス・ポイント(AP)を携帯し,自宅やホテルの部屋でAPをブロードバンド・ルーターやケーブル・モデムに物理的に接続する。これだけの作業で,自動的に会社へのVPN(仮想閉域網)を確立できる。自宅やホテルの部屋が,社内と同じセキュリティ・レベルと使い勝手を持つオフィスに早変わりし,会社の無線LANで使っているパソコンを,設定変更なしでそのまま自宅やホテルで使えるわけだ。それもユーザーの手を煩わせることはない。
リモートAPを実現するためには,ユーザーの手でAPの設定を変えることなく社内に接続する仕組みと,セキュリティを確保するための認証やアクセス制御が欠かせない。その中核となるのは,無線LANコントローラ製品の「モビリティ・コントローラ」だ(図1)。
図1 アクセス・ポイント(AP)を管理・制御する「モビリティ・コントローラ」の特徴 セキュリティに関する機能とモビリティに関する機能に特徴がある。
モビリティ・コントローラに機能を集中
そもそも無線LANコントローラは複数のAPのアップリンクを収容し,バックボーン・ネットワークに接続するための機器。APのバックエンドに設置し, AP-バックボーン間,AP間の通信を中継するほか,APの一元管理や無線LANの通信を制御する機能を持つ。例えばAPの負荷分散やチャネルの自動調整機能である。無線LANコントローラでユーザーの認証情報を保持してユーザーが移動した際のハンドオーバーを高速化する機能や,QoS(quality of service)制御機能もある。企業はこれらの機能を使って,無線LAN経由での安定した音声通信(無線VoIP:voice over IP)を実現できる。
加えてアルバのモビリティ・コントローラは,データの暗号化やユーザー認証,SSIDごとのプロファイル管理といった機能を持つ。これらの機能を組み合わせたのがリモートAPである。無線LAN経由で社内・社外のどこから接続した場合でもモビリティ・コントローラでユーザー認証し,アクセス制御を実現。各APの設定情報まで一元管理し,APを設置したときに自動的に設定情報を配布する。
モビリティ・コントローラは,LANのポート数や管理できるAP数などが異なる5モデルがあるが,前述の機能はどのモデルでも利用できる(表1)。以下では,どうやってリモートAPを実現しているのか見てみよう。
表1 KDDI Powered Ethernetのサービス・メニュー
集中処理・管理がAPの可搬性を生む
端末とコントローラ間のセキュリティを保つために,モビリティ・コントローラは多様な認証方式や暗号化方式をサポートしている(図2)。例えば認証方式では,SIP(session initiation protocol)の登録(レジスタ)による認証,IEEE 802.1X,MAC認証,Web認証などが挙げられる。認証プロトコルも,EAP-TLS(extensible authentication protocol-transport layer security)をはじめ,多様なプロトコルに対応する。暗号化方式ではWEP,TKIP(temporal key integrity protocol),AES(advanced encryption standard)といった具合だ。これらの認証や暗号化/復号処理もコントローラ側で実行する。この点は,無線通信部分だけでデータを暗号化する一般的なアクセス・ポイントを使ったシステムとの大きな違いである。
図2 豊富な認証/暗号化方式を備えるモビリティ・コントローラ 様々な認証方式,暗号化技術に対応することで,音声やデータ通信などの用途に合わせてセキュリティを強化できる。
モビリティ・コントローラ側で多様な方式に対応することで,ノート・パソコンだけでなく,無線IP電話機やターミナル機器など多様な無線LAN端末の接続に対応できる。モビリティ・コントローラでは,SSIDごとにプロファイルを設定できるようになっていて,ユーザーはSSIDを選ぶだけで手軽に接続できる。ユーザーが設定を施す必要はない。プロファイルとしては,接続してくる端末のタイプや通信環境に合わせて,認証や暗号化方式,QoSの優先度などを設定できる。
例えば無線IP電話機向けに「voice」というSSIDを設ける場合なら,認証はSIPレジスタ,暗号化はTKIP,VLAN番号は16。ノート・パソコン向けなら,認証は802.1X,暗号化はAES,VLAN番号は10~15といった具合に設定できる。これらの情報はAPがネットワークにつながった際にモビリティ・コントローラから取得し,一時的にAP内のメモリーに保持する仕組みになっている(図3)。
このようにAP側での処理を少なくし,APを“シン・クライアント”化することによって,APに可搬性が生まれる。設定自体はほとんどモビリティ・コントローラ側で管理しており,AP側の設定情報は電源を落とせばすべて消える。APが悪意の第三者に渡っても,メモリーを抜き取るには電源を切る必要があるため,社内ネットワークの情報が外部に漏れることはない。こうした仕組みがあるからこそ,リモートAPを実現できる。
図3 サービスごとに最適な値を設定 各AP単位でSSIDや認証方式などの設定を随時変えることができる。企業は業務や場所に合わせたサービスを提供できる。
“トンネル”を社外に延長してセキュアに
リモートAPを実現できるもう一つの仕組みがトンネル化だ。LANに接続したAPとモビリティ・コントローラの間は,GRE(generic routing encapsulation)というトンネリング・プロトコルを使ってユーザーのデータを転送している。こうすることで,APを移動させても無線LAN端末とモビリティ・コントローラの設定を変えることなく利用できる。
リモートAPでは,このトンネルを社外にまで伸ばし,社外のAPをモビリティ・コントローラの管理下に加える(図4)。社外のAPの場合,トンネリング・プロトコルはGREではなく,IPsec(IP security protocol)を使う。
図4 KDDI Powered Ethernetの運用体制 オペレーション・マネージャはオペレーション・センターと連携しつつ,ユーザーから直接,運用面に関する声を聞く。
IPsecのセッションを最初に張るための設定だけは,事前にAP側に持たせる必要があるが,社外のAPがIPsecで社内ネットワークとつながってしまえば,後は社外であっても社内にある場合と同様に動作する。APはモビリティ・コントローラから,接続する端末に応じたSSID,認証や暗号化方式,QoSの条件やVLAN番号といった設定を取得。社外に持ち出したパソコンは,社内と同じセキュリティ・ポリシーで接続できる。もちろんパソコンだけでなく,無線IP電話機を自宅やホテルの部屋で内線電話として使うことができる。
出先のネット環境に合わせた設定ができる
リモートAPの使い勝手をもっと高める工夫もある。その一つが「スプリットDNS」だ。リモートAPは単に社外を“社内化”するだけでなく,モビリティ・コントローラ側の設定次第で,出先の環境に合わせた柔軟な使い方ができる。リモートAP環境では,FTTH(fiber to the home)やADSLなどの高速なアクセス回線を使ってインターネットに接続しているはずだ。ただ,リモートAP環境では社外のWebサイトを閲覧する際も,社内のネットワークを経由することになる。そこで社外のドメイン名を問い合わせるDNS(domain name system)クエリーに対しては,社内のDNSサーバーでなく,ISP(インターネット接続事業者)が指定するDNSサーバーにフォワードする,といった設定ができる。
インターネット向けトラフィックをISPに直接フォワードする「スプリット・トンネリング」機能も備える。これにより,インターネット向けの通信の応答性能を高められる。
社外のWeb認証に対応する設定も可能だ。一般にホテルの部屋からインターネット接続する場合,最初にホテル専用WebサイトのWeb認証を経なければならない。そこで一時的にAPをブリッジとして動作させ,社内接続用とは別のSSIDでパソコンを接続させてWeb認証を受けさせるといった設定ができる。
いずれもユーザー側でパソコンの設定を変更をする必要はない。管理者側でモビリティ・コントローラの設定を変更・追加するだけで済む。
