ITpro Special ITpro
社内も社外もシームレス “どこでもオフィス”を手軽に モビリティ・コントローラ[アルバネットワークス]

チュートリアル 「速い,安い,安心」は当たり前 SaaSまで見据えてニーズを先取り

集中処理・管理がAPの可搬性を生む

 端末とコントローラ間のセキュリティを保つために,モビリティ・コントローラは多様な認証方式や暗号化方式をサポートしている(図2)。例えば認証方式では,SIP(session initiation protocol)の登録(レジスタ)による認証,IEEE 802.1X,MAC認証,Web認証などが挙げられる。認証プロトコルも,EAP-TLS(extensible authentication protocol-transport layer security)をはじめ,多様なプロトコルに対応する。暗号化方式ではWEP,TKIP(temporal key integrity protocol),AES(advanced encryption standard)といった具合だ。これらの認証や暗号化/復号処理もコントローラ側で実行する。この点は,無線通信部分だけでデータを暗号化する一般的なアクセス・ポイントを使ったシステムとの大きな違いである。

図2 豊富な認証/暗号化方式を備えるモビリティ・コントローラ 様々な認証方式,暗号化技術に対応することで,音声やデータ通信などの用途に合わせてセキュリティを強化できる。

 モビリティ・コントローラ側で多様な方式に対応することで,ノート・パソコンだけでなく,無線IP電話機やターミナル機器など多様な無線LAN端末の接続に対応できる。モビリティ・コントローラでは,SSIDごとにプロファイルを設定できるようになっていて,ユーザーはSSIDを選ぶだけで手軽に接続できる。ユーザーが設定を施す必要はない。プロファイルとしては,接続してくる端末のタイプや通信環境に合わせて,認証や暗号化方式,QoSの優先度などを設定できる。

 例えば無線IP電話機向けに「voice」というSSIDを設ける場合なら,認証はSIPレジスタ,暗号化はTKIP,VLAN番号は16。ノート・パソコン向けなら,認証は802.1X,暗号化はAES,VLAN番号は10〜15といった具合に設定できる。これらの情報はAPがネットワークにつながった際にモビリティ・コントローラから取得し,一時的にAP内のメモリーに保持する仕組みになっている(図3)。

 このようにAP側での処理を少なくし,APを“シン・クライアント”化することによって,APに可搬性が生まれる。設定自体はほとんどモビリティ・コントローラ側で管理しており,AP側の設定情報は電源を落とせばすべて消える。APが悪意の第三者に渡っても,メモリーを抜き取るには電源を切る必要があるため,社内ネットワークの情報が外部に漏れることはない。こうした仕組みがあるからこそ,リモートAPを実現できる。

図3 サービスごとに最適な値を設定 各AP単位でSSIDや認証方式などの設定を随時変えることができる。企業は業務や場所に合わせたサービスを提供できる。

“トンネル”を社外に延長してセキュアに

 リモートAPを実現できるもう一つの仕組みがトンネル化だ。LANに接続したAPとモビリティ・コントローラの間は,GRE(generic routing encapsulation)というトンネリング・プロトコルを使ってユーザーのデータを転送している。こうすることで,APを移動させても無線LAN端末とモビリティ・コントローラの設定を変えることなく利用できる。

 リモートAPでは,このトンネルを社外にまで伸ばし,社外のAPをモビリティ・コントローラの管理下に加える(図4)。社外のAPの場合,トンネリング・プロトコルはGREではなく,IPsec(IP security protocol)を使う。

図4 KDDI Powered Ethernetの運用体制 オペレーション・マネージャはオペレーション・センターと連携しつつ,ユーザーから直接,運用面に関する声を聞く。

 IPsecのセッションを最初に張るための設定だけは,事前にAP側に持たせる必要があるが,社外のAPがIPsecで社内ネットワークとつながってしまえば,後は社外であっても社内にある場合と同様に動作する。APはモビリティ・コントローラから,接続する端末に応じたSSID,認証や暗号化方式,QoSの条件やVLAN番号といった設定を取得。社外に持ち出したパソコンは,社内と同じセキュリティ・ポリシーで接続できる。もちろんパソコンだけでなく,無線IP電話機を自宅やホテルの部屋で内線電話として使うことができる。

出先のネット環境に合わせた設定ができる

 リモートAPの使い勝手をもっと高める工夫もある。その一つが「スプリットDNS」だ。リモートAPは単に社外を“社内化”するだけでなく,モビリティ・コントローラ側の設定次第で,出先の環境に合わせた柔軟な使い方ができる。リモートAP環境では,FTTH(fiber to the home)やADSLなどの高速なアクセス回線を使ってインターネットに接続しているはずだ。ただ,リモートAP環境では社外のWebサイトを閲覧する際も,社内のネットワークを経由することになる。そこで社外のドメイン名を問い合わせるDNS(domain name system)クエリーに対しては,社内のDNSサーバーでなく,ISP(インターネット接続事業者)が指定するDNSサーバーにフォワードする,といった設定ができる。

 インターネット向けトラフィックをISPに直接フォワードする「スプリット・トンネリング」機能も備える。これにより,インターネット向けの通信の応答性能を高められる。

 社外のWeb認証に対応する設定も可能だ。一般にホテルの部屋からインターネット接続する場合,最初にホテル専用WebサイトのWeb認証を経なければならない。そこで一時的にAPをブリッジとして動作させ,社内接続用とは別のSSIDでパソコンを接続させてWeb認証を受けさせるといった設定ができる。

 いずれもユーザー側でパソコンの設定を変更をする必要はない。管理者側でモビリティ・コントローラの設定を変更・追加するだけで済む。



お問い合わせ先

アルバネットワークス株式会社 営業部
TEL: 03-3265-4900  Email: jinfo@arubanetworks.com
URL: http://www.arubanetworks.co.jp

ITproについて会員登録・メールマガジン購読ITproプレミアム(有料サービス)MyITproについてITpro Researchについて
ITproへのお問い合わせ・ご意見日経BP書店日経BPケータイメニュー広告について
著作権リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用についてサイトマップ
日経BP社Copyright (C) 1995-2010 Nikkei Business Publications, Inc. All rights reserved.
このページに掲載されている記事・写真・図表などの無断転載を禁じます。著作権は日経BP社,またはその情報提供者に帰属します。
掲載している情報は,記事執筆時点のものです。