図1 VLAN
近年、インターネットが成長するにつれ、求められる資源管理、運営、セキュ リティなどのスケールが大きくなってきた。そのため大規模ネットワークにお けるネットワークの構成や運用は、小規模なネットワークとは異なるところが 多いことが容易に想像できる。 そこで、現状の社会組織のネットワーク構成と運用内容がどのようになってい るのか、また、セキュリティがどのようになっているのかを焦点にあて、調査 した。
本論文では、東京電機大学を対象に、ネットワーク構成について述べる。
IP(Internet Protocol)はパケットをネットワークの間でやりとりするために 作られたプロトコルである。ネットワーク間で個別の識別を行うため、通信を 行うすべての機器にIPアドレスが振られている。IPアドレスはネットワークア ドレスとホストアドレスの組み合わせになっている。ネットワーク毎に唯一の ネットワークアドレスが振られ、ホストアドレスもそのネットワーク内で唯一 のアドレスになっている。
現在インターネットで利用されているのはIPversion4と呼ばれるプロトコルで ある。このプロトコルではIPアドレスは32bitである。 IPアドレスを表すには、この32bitを8bit毎に10進数で表し、ピリオドで区切 る。つまりIPアドレスは0.0.0.0から255.255.255.255まで存在する。
IPアドレスは上位から区切る場所によって区分される、この区分をクラスと呼 んでいる。表1にクラスについてまとめた。またクラスA、B、Cの一定の範囲を プライベートアドレスと言い、ローカルエリアで使用されるアドレスである。 表2にプライベートアドレスをまとめた。そのほかに特殊な意味を持つアドレ スがある。表3に特別なアドレスについてまとめた。
| 形式 | クラス | ネットワークアドレス | ホストアドレス | ホスト数 |
|---|---|---|---|---|
| 上位8bitが1から126 | クラスA | 上位8bit | 下位24bit | 2^24 - 2 |
| 上位8bitが128から191 | クラスB | 上位16bit | 下位16bit | 2^16 - 2 |
| 上位8bitが192から123 | クラスC | 上位24bit | 下位8bit | 2^8 - 2 |
| 上位8bitが224から239 | クラスD | マルチキャストのチャネル | ||
| 上位8bitが240から255 | クラスE | 予約領域(プライベートアドレスとして提案中) | ||
| クラス | アドレス |
|---|---|
| A | 10.0.0.0 |
| B | 172.16.0.0, 172.17.0.0, …, 172.31.0.0 |
| C | 192.168.0.0, 192.168.1.0, …, 192.168.255.0 |
| アドレス | 意味 |
|---|---|
| 0.0.0.0 | インターネット全体 |
| 127.0.0.1 | 自ホストのアドレス |
| 255.255.255.255 | 同一ネットワーク内の全ホスト |
通常、組織はネットワークアドレスを1個だけインターネットの管理機関 から受領できる。このネットワークアドレスをそのまま使用すると、組織内 にネットワークが1つしか存在できなくなってしまう。 そのため。受領したネットワークアドレスを使って、組織内でさらにネットワー クを区分するには、ホストアドレスの一部を組織内のネットワークのアドレ スに割り当てる必要がある。これをサブネットといい、割り当てられたアド レスをサブネットアドレスと言う。
例えば、172.31.0.0が組織に割り当てられたとする。これを複数のネット ワークで使用するとことを考える。 この場合、ホストアドレスは全部で16bitあるが、このうちの上位の数bitをサ ブネットアドレスに割り当てる。このbit数の決定にはさまざまな要因があ るが、通常はホストアドレス16bitのうち、上位8bitをサブネットアドレス に割り当てることが多い。つまり、サブネットアドレスは0から255までで、 ホストアドレスは下位8bitの1から254までを使用する。例えばサブネット番 号2番、ホストアドレス3番のときのアドレスは172.31.2.3となる。
サブネットアドレスのbit数はネットワークアドレスとホストアドレスの取り 決めのように自明ではない。そのため、ネットワークアドレスとサブネット (つまりネットワークを区別する部分)を表すbitに対応する位置を1に、ホス トアドレスのbitを0としたアドレス表記を用いてサブネットの位置を表す。こ れをサブネットマスクと言う。上記の例ではクラスBのネットワークアドレス がサブネットアドレスでは8bitなので255.255.255.0 となる。IPアドレスと /(スラッシュ)で区切って表記することもあり、172.31.2.3/255.255.255.0な どと表記する。なお、サブネットアドレスは必ずしも連続している必要は無い が、通常は必ず連続させている。そのため、サブネットマスクの情報はbit数 だけであれば良い。そこで、bit数のみで表現することがある。上記の例だと 172.31.2.3/24となる。
IPでは異なるネットワークはルータにより接続されている。ルータは異な るネットワーク宛のパケットを他のネットワークやルータに転送する。 転送先を決定するのに。ホップバイポップルーティングという手法を用いる。 これは書くルータがそれぞれにパケットの転送先を決定するという手法である。
ルータは転送先を決定するのにルーティングテーブルを使用する。これは宛先 ネットワークアドレス、サブネットマス、転送先の書かれている表である。ルー ディングテーブルを作成するのに、手動で設定する方法と、ルータ同士がプロ トコルを利用して計算して作る方法がある。前者をスタティックルーティング、 後者をダイナミックルーティングと言う。ダイナミックルーティングを行うプ ロトコルのうち、ネットワークアドレスを取り扱うものをEGP (Exterior Gateway Protocol)と言い、サブネットを扱うものを IGP(Interior Gateway Protocol)と言う。EGPとして世界的に統一的に使わ れているのがBGP4である。一方、IGPは組織内で何を使用すればいいか独自に 決定可能である。 IETFが策定して標準化されたプロトコルにはOSPFがある。この他、古くから用 いられているRIPや、ルータメーカCISCO社が作成した独自プロトコルである IGRPやEIGRPがある。
ASとは大規模なTCP/IPネットワークにおいて、各組織が保有・運用する自 律したネットワーク。インターネットはマクロに見るとASを相互に接続した 形態となっている。
ASは単一の経路制御ポリシーを共有するネットワークで、個々のインターネッ トサービスプロバイダ(ISP)や企業などが保有・運用するネットワークがこれ にあたる。内部がどんなに大規模で複雑でも、外部から見ると一つのネットワー クとして見える。ASは各国のNIC(ネットワークインフォメーションセンター: 日本ではJPNIC)などが発行するAS番号によって識別される。
OSPFはIGP、リンクステート、クラスレスルーティングといった特徴を持つルー ティングプロトコルである。主に中規模から大規模までのネットワークに使わ れている。ネットワーク規模の増大に対処するためOSPFルータのネットワーク を2段の階層ルーティングを行うことが可能である。エリア分割することでフ ラッディングや経路計算をエリアごとに効率よく実現できる。
OSPFがルーティングテーブルに経路情報を学習するステップは、まずHelloパ ケットを各ルータ間でやり取りし、ルータ間の関係がどのようになっているか を確立する。その後LSA(link-state advertisement)を収集し、トポロジーテー ブルという同じネットワーク共通のデータベースをつくる。最後にトポロジー テーブルの情報にもとづいてネットワーク全体の地図を作成し、SPF(Shortest Path First)アルゴリズムによって自分を起点にあて先までの最短パスツリー を計算して、ルーティングテーブルを作成する。起動時は重くなるが、その後 の更新はHelloプロトコルのLSAなどの利用により更新が速く、ネットワークの 負荷が軽くなる。またあて先までのパスツリーを計算するのでホップ数の制限 が事実上無く、ホップ数=メトリックではないので回線速度に応じたメトリッ クを指定できる。
VLAN(virtualLAN)とは、LANスイッチでブロードキャスト・ドメインの範囲を自在に操ることで、VLANを利用することで、物理的にはすべてのパソコンとサーバが LANスイッチで構成する一つのLANにつながっていながら、論理的には別々に切り離されたLANを実現できる。
ポートVLANという方式がある。こちらは、スイッチのポートごとに「どのVLANに所属するか」を設定できるもので、構成の自由度が大幅に向上する。
タグVLANはEthernetフレームのヘッダに追加され、フレームがどのVLANに属するかを識別するためのID情報を含んでいる。このIDを手掛かりに、各スイッ チはフレームを適当なポートに送ることができる。VLANがスイッチ内部で完結せず、複数のスイッチをまたぐ場合にも、複数のスイッチ間で共通のIDが使 われていれば、どのVLANに属するフレームなのかという情報が伝達されることになるので、VLANはスイッチの境界を越えて任意に拡大できる。タグには IEEE802.1pがありIEEEによって標準化されており、異なるベンダー間のVLANでもタグの受け渡しを行うことが可能。
ループ(円環)状に形成されたネットワーク内で、データが永遠に循環するのを防止するための制御手法の一つ。IEEE 802.1dとして標準化されている。ブリッジ間 でBPDU(Bridge Protocol Data Unit)と呼ばれる制御情報をやり取りして、与えられた優先順位を元に普段使う経路を一つ設定し、それ以外の経路は障害時の迂回経路として設定する。こ れによって、物理的にルー プを形成しているネットワークであっても、データがループの中を巡り続ける事態を防ぐことができる。この機能によりブリッジ間を複数の経路で結ぶなどの冗 長構成がとれる。
トランキングとは、ハブを接続する際に、複数のポートを仮想的に1つのポートとして束ねることによって、接続速度を向上させる方法のことである。 ポートトランキングでは、複数の回線の接続速度を加算した速度で通信できることになり、その分だけ転送速度を上げることができる。低コストで高速化が実現 可能で、かつ、1つのポートに異常が起きても他の回線を用いて通信を存続できるといったメリットがある。現在ではトランキングの標準(IEEE 802.3ad)も登場してきている。
LAN内のユーザ認証の方式を定めた規格。仕様自体は有線LANにも対応している。認証されていないクライアントからの通信を(認証要求を除い て)すべて遮断し、認証されたユーザにのみ通信を許可する。また、他のユーザによる通信ポートの乗っ取りを防止するため、定期的に再度認証を行わせること もできる。ユーザ認証に使用するサーバはRADIUSなどで、ダイヤルアップ接続などと同じサーバが認証処理を行える。
レイヤ3スイッチは、IPアドレスによる経路制御、ルーティング機能(RIP、OSPF、BGPなど)を使用して、パケットを目的のIPアドレス に対応する出力ポートに転送する。同じくネットワーク層レベルで処理を行う多数のプロトコルをサポートしているものがある。また、プロトコル別にルーティ ング制御を行なうことができる機器もあり、1つのレイヤ3スイッチで複数のネットワークを形成することができる。
レイヤ3スイッチはハードウェアレベルでルーティング処理を行っているため、ルーティング速度は接続している回線のスピードと同等となり、ルータと比べて桁違いに高いスループットが得られる。
レイヤ3スイッチという名称はOSI参照モデルによる分類を根拠としているが、詳細な機能は製品によって大きく異なる。高機能なレイヤ3スイッチ では、ルータと同等のフィルタリング機能(トランスポート層以上の層に関しても処理する)などを有するものもある。また、カットスルールーティング(ネッ トワーク層レベルの中継処理をATM・Ethernetのスイッチング動作に置き換えること)のみを行なう機器もある。トランスポート以上の処理をするも のでレイヤ4スイッチがある。レイヤ4スイッチはOSI参照モデルのネットワーク層の (第3層)以上のデータを認識し、そのデータを元にパケットの行き先を制御するルーティング装置である。主に企業の基幹ネットワークなど、高度な経路選択 が必要とされる大規模ネットワークで用いられている。
サーバとしてのロードバランサーの機能は外部ネットワークからの要求を一元的に管理し、同等の機能を持つ複数のサーバに要求を転送する装置。なるべく多くのサーバに要求を分散して送信することを目的としている。
また、一連のトランザクションを行なうために1つのサーバと複数回通信する必要がある場合は、同じクライアントからの通信を常に同じサーバに転送 するという機能も必要となる。サーバに専用のアプリケーションを導入することで、そのサーバを負荷分散装置として使用することもできる。
他にもネットワークとしてのロードバランサーであるPacketShaperはWAN アプリケーション・パフォーマンスを最適化する唯一のオールインワンのソリューションである。WAN全体のパフォーマンスを最大にし、一般的なトラフィッ クVoIP、CRM、ウェブ、P2P や負荷が集中するDoS攻撃などをパケットを読むことで識別、制御する。WAN 容量と真の QoS 機能を供給し効果的に重要な IPT プロトコルを管理しIP電話をサポートする。パフォーマンス、識別、マーキング・アプリケーション・トラフィック評価を実現する。帯域幅管理により、ハー ドな ROI を実現しトラフィックなど全て攻撃を識別し、WAN 容量を増大させアプリケーション・パフォーマンスを高速化するのに役立つ。トラフィックなど全て攻撃を識別し、WAN 容量を増大させアプリケーション・パフォーマンスを高速化するのに役立つ。
キャンパス内の通信はコア・ディストリビューション・フロアスイッチの3層構造的設定に分かれており光ファイバーである1000Base-SXで スター型に接続されている。Catalyst6506(Core)は接続の中でもレイヤ2.3.4のスイッチを担当しキャンパス間接続のルーティングも 行っており、その下のCatalyst 3750G(Dist)に光ケーブルでつながっている。Catalyst3750GはSTPを使うことでDist?Core間の経路を多重化している。ま たここのスイッチでVLANが行われ、研究室や教室などのネットワークのふりわけがされる。その下のスイッチであるCatalyst2960 (Floor)はFloor-Dist間は光ケーブルを使っており、そこから各端末へは1000Base-Tを使っている。具体的なキャンパス内ネット ワークは、それぞれの接続について使用帯域のモニターを行っていて使用量一定以上大きくなったときトランキングという技術により2本使うことで1本1G だったものを2Gbpsとして使うことができる。
図3の上域の銀色の装置がCatalyst3750G(Dist)スイッチである。これに接続されているものはすべて光ケーブルを使っている。こ れが各部屋へのFloorとCoreスイッチにつながっている。図下域がスイッチがCatalyst2960(Floor)スイッチであり、左端に光ス イッチがつながっておりそのほかは1000Base-Tにつながっているのがわかる。
図4、5は神田キャンパス内のCatalyst6506(Cora)スイッチである。このスイッチが神田キャンパス内のルーティングを処理してお り、またキャンパス間の接続に対しても重要となるスイッチである。このスイッチにOSPFが設定されている。また学内接続では片方に障害がおきても平気な ように2重化され、パケットがループしないようにSTPも使われている。光ケーブルが接続されている上部1列目が1000Base-Tのポートとなってお り、その下が1000Base-SXのポートとなっている。その下の1つケーブルが接続されているのがルータ部その下の左右に網が見えるのが電源である。
図5はCatalyst6506の下部で電源装置になっており、2重化されている。
図6は鳩山キャンパスの物理的接続図になっている。鳩山キャンパスでは1つ550m以上はなれた施設があり、1000Base-SXでは届かないので1000Base-LXが使用されている場所がある。
図8は神田キャンパスの物理接続図である。このキャンパスでは他のキャンパスと違い、御茶ノ水アネックスや15号館との接続の間でレーザーを利用するために図の中央にCatalyst3750Gが入っており、レーザーを管理するための装置もついている。
図9は神田キャンパス5号館の屋上にありお茶の水アネックスへのレーザー通信を行っている装置のうちの1つである。
図8は神田キャンパスの物理接続図である。このキャンパスでは他のキャンパスと違い、御茶ノ水アネックスや15号館との接続の間でレーザーを利用するために図の中央にCatalyst3750Gが入っており、レーザーを管理するための装置もついている。
図10は東京電機大学の物理的構成図である。各キャンパスのネットワークは全体を把握しやすくするために1つとして書いてある。各キャンパスは広 域EtherとCatalyast 3560Gによって2台のスイッチの下に単純なLayer2ネットワークで構成されている。ルーティングを行っている主要なスイッチへの接続を2重化する ことでシステムごとの冗長性を上げている。各キャンパス、データセンタはOSPFでルーティングが行われている。またルーティングはそれぞれのVLAN毎 に行うので物理的な接続と論理的な接続が異なっている。よって、神田キャンパスから鳩山キャンパスに通信する際、どちらのコアで通信が行われるかがわから なくなっている。広域イーサネットの周りはキャンパス間ネットワーク部となっている。各キャンパスごとに分かれていたデータセンタなどの管理をしやすくす るため、データセンタとして1箇所に統合(メール、DNSなど)し、管理の方法を物理的なものからVmware社 Esxサーバによる仮想計算機などの仮 想サーバによって仮想的なものへと変更した。ユーザのネットワークとサーバ群の間にサーバロードバランサーを入れることによってネットワークのアクセスと ハードウェアを分離している。このような方法をとったのは通信の大部分、特に帯域を多く使用する通信は神田なら神田に通信が送られるなどシステム内で閉じ ていたほうが関係ない通信が通過したりすることがなくなり、管理も容易になるからである。
各キャンパス間は論理的にキャンパス内全てのサブネットが1つのVLANとしてCatalyast 6506に接続されていて図11のようなバスでつながっている。
各キャンパス内はサブネット化し、Coreスイッチの両方に接続される。但し、設定はSTPにより一方が選ばれる。2台のスイッチにバスで接続さ れているCore スイッチ同士はOSPFで経路選択をする。各キャンパスのCore スイッチの他にデータセンタスイッチと対外接続スイッチがある。但しwebキャッシュなどの利用のためレイヤ4でルーティングされる。
大学でユーザ所有端末を接続するための設備は、使用にユーザ認証が必要という方法になっている。接続するためのエージェントをインストールさせる方法は接続するためのOSが限定されるので避ける必要がある。
東京電機大学ではカットスルー、802.1x、VPNという認証方法がある。Plx525と呼ばれるFirewallによるカットスルー認証が学 内で一般的に使われている方法である。IDとパスワードを使用し、ログインしたときにIPアドレスを割り振られる。しかしタップされると何の通信をしてい るかや、ID、パスワードがばれてしまう。これの対策のためにまだリリースされていないがVPN装置がありそれを使えば通信を見られたとしても、暗号化さ れているので何をやっているかをばれないようにできる。PPTPなどで接続するようになっている。最後に802.1x認証は、対応していないスイッチや登 録されていないパソコンからの認証が困難なため、一部教室で使用されている。
図13の上部はVPN装置、中段はPacketShaper10000で、通信の内容をパケットを除くことで判断するのでアプリケーションごとに 帯域を絞るなどが可能になる。下部はBlueCoatと言う装置で、Webアクセス制御、使用頻度の高いページをキャッシュするなどの機能がある。
サーバは12台のサーバマシンで行われている。構成図が図14で、写真が図16になっている。Vmware社のEsxサーバと呼ばれる仮想化装置 で仮想環境にすることで動いている。その仮想サーバかラ学内メールシステムなどが仮想的に提供されている。これによりハードウェアの更新時にサービスを他 のサーバに移すことによりサービスをとめることなくアップデートを行うなどのシステムの変更が容易に行うことができる。また、仮想化することで新しくサー ビスを入れるときやハードウェアのバージョンアップなどが容易なので導入した。実際動かしたときの管理も非常に楽になっている。
なぜ1つの計算機に処理をまとめたのかと言うと、今までのサーバの負荷を見るとそれほど高くはないが、1つのサーバで異なるサービスはできるだけ 避けたいので、その結果計算機資源の仮想化になった。CSM(Content Switching Module)による計算機資源の仮想化はVmware社Esxサーバを使い1つの計算機で複数のOSを動かす方法で計算機を仮想化や計算機資源の節約に 成功した。図14は実際のサーバの接続図だが実際は図15のようにキャッシュからスイッチに2つずつCatalyst6506に接続され、そこからさらに 各サーバに接続されるという3段構造になっている。またサーバ同士の接続も複数接続されており冗長性を重視したつくりになっている。
図16はサーバ群で、手前に突き出ているPCで操作し、奥にあるものは全てサーバである。左にあるケーブルはサーバを2重化しているものでデータセンタのコアスイッチである。データセンタの物理的接続を変更するときはここを変更することになる。
通常企業のネットワークではセンターがポリシーを決め一般社員はそれにしたがうが、大学のネットワークではできるだけセンターでネットワークの設 定は厳しく行わず、限りなく自由な設定になっており、自分の端末は自分で守ることになっている。各PCがエージェントをインストールしていないと使えない のではなく、対処すれば使うことができたり、各研究室に異なるポリシーがあるほうが、各研究室が行う研究を阻害されない。しかし1つのユーザによってネッ トワークがとまってしまうのは望ましくないので問題発生時に若干の性能の低下をすることでとまらないようなネットワークにする必要がある。また過去の状態 を見るとDoS的通信が原因によるサービス劣化が頻発する傾向にあり、それを防ぐのはIDSだがIDSのパターンに乗っていないケースが多いのでパターン によらない検出が必要である。よって通常と異なるから異常だと考え、Tcpdumpの結果を目で追い通常と異常状態を検出すれば対策可能だと考え CISCI Anomaly Detector/Guardで通信の変化を見ている。
ネットワークの内側はファイアーウォール機能だが基本的に何でも通るようになっている。これはポリシーがほとんど通すがウイルスなど危険そうなも のだけ通さないようにする、というものだからである。また通信は自由だが帯域を多く使うものを制御する必要がある。そこで PacketShaper10000による帯域制御を行う、これはパケットの中身を見てその通信がどんなものであるかを判断することができるので特定の通 信だけ帯域を絞ったりすることができる。また上であげたファイアーウォールやPacketShaperなどを1つのスイッチに集約することでVLANなど の制御を1つのスイッチの中でソフトウェア的に制御できるようになっている。
計算機やルータ、スイッチなど 設定場所に管理者がいるとは限らないので設置場所に依存しない管理の方法をとりたい。またリモートからマネージメントすることでできれば移動時間の節約に なり、止まっている時間を短くすることができる。その結果サービスレベルを上げることができる。コンソールをリモートから掌握するためにParagonと いう機械を使い、また電源・リセットスイッチを掌握するためのものが入っている。
障害発生時迅速な対応を重視しているため、ネットワークデバイス・サーバデバイスを管理するための専用ネットワークが設置されており、リモートで 全権限を掌握するためにマネージメントネットワーク専用のVPN装置を使っている。機器の物理的障害検知はPNDDAを使用している。一方IP層などの監 視にはオープンソースであるNNSやSPAN、tcpdumpなどを使っている。
WIDEプロジェクトは、慶応義塾大学の村井純教授らが中心になって1988年に設立された、インターネットに関する研究プロジェクトであり、日 本におけるインターネットの先駆け的存在の一つとなったことで知られている。元々は慶応大学と東京大学、東京工業大学の3大学を結ぶデータ網を構築したこ とがきっかけで誕生した「WIDE研究会」(1985年発足)が母体であり、JUNET(Japan University Network)とも密接な関わりを持っているが、運営そのものはJUNETとは別組織として行われている(JUNETは1994年10月に停止)。
東京電機大学は1991年というかなり早い時期でのWIDEへの接続を行っている。図17をみると89-95年では数kbpsだが95-99年は Mbpsになり、99-04年は約10Mbps、04からは数100Mbpsとなっている。約5年ごとに通信速度が上がっている。
また接続はシリアル接続、ATM接続、広域Ethernetと移り変わってきている。特にATM通信は1本の回線を複数の論理回線(チャネル)に 分割して同時に通信を行なう多重化方式の一つで、アプリケーションごとにばらばらに構築されていたネットワークを統合し、効率的で拡張性の高いネットワー クの実現を目指して開発された。現在も電話などに使われている。
ここからは対外のシステム構成やトラフィックを主に述べていく。対外ネットワークトポロジを図18に示す。また、点線枠内は東京電機大学のASで ある。AS番号については、東京電機大学17943、WIDE Internet 2500、IIJ 2497、SINET 2907となっている。 インターネット接続ではWIDE、SINET、IIJへのマルチホーム接続をしている。接続については、神田キャンパスのルータとWIDE Internet(大手町)の接続にPOWEREDCOM Ethernet専用線が繋がって、IIJ(大手町)にはNTT東日本 メトロイーサが繋がっている。さらに、SINET(本郷)の接続にはPOWEREDCOM Ethernet専用線が繋がっている。また、このルータはWIDE、IIJ、SINETから外部ネットワークの経路をフルルートを取得し、ルーティング にはBGP4で経路制御してマルチホーム接続となっている。FWSMによるファイアーウォール機能がある、ウイルスや不可解なパケットなどの本格的に危険 なものを通さないように設定されている。さらにPacketShaper10000という帯域制御をするものを使っている。PacketShaperはパ ケットの中身を見てそこから何の通信が行われているかを判断することができるので、一定のパケットの接続を止めるのではなく帯域を絞るなどの制御が可能で ある。大学内では図19のようにFWやPacketShaperなどは1つのスイッチにつながっており、その中でソフトウェア的に構成の変更が可能になっ ている。学内からWIDE、IIJ、SINETへ流れていくトラフィックについては次の項で述べる。
図20は対外接続線でありここからWIDE、IIJ、SINETにつながっている。
各対外接続先の利用度をMRTGにより視覚化したのが図21,22,23である。図21は東京電機大学−IIJ間の1年間のグラフである。図22 は東京電機大学−SINET間、図23は東京電機大学−WIDE間を表している。3年前のIIJ、SINET、WIDEを図24、25、26に示す。グラ フの縦軸は1日あたりに通過した情報量であり、濃く塗られた所は学外から学内に入ってきた情報量である。また、折れ線は学内から学外に出て行った情報量で ある。左の線は1月1日の午前0時をあらわしている。横軸は月を示し右側が今の月である。
3年前と現在のトラフィックを見比べると倍ほどトラフィックが増えているのがわかる。またどちらもIIJのトラフィックが多いことがわかる。これはIIJから取得する経路数が多いことやトラフィックを多く使うサイトがIIJに含まれるからだと思われる。
大学のトラフィックの特徴として日曜にアクセスが減るのでしばしば溝ができることである。また夏休みである8月にアクセスが減へることや、期末に近づくと徐々にアクセスが増えるという特徴がある。
かなり完成しているので大きな部分の変更ではなく内部QoSのポリシーの作成やユーザーへのよりよい情報開示、物理的管理を簡単に、サーバの構成をよりよくするなどがあげられる。
本大学のネットワークシステムは最先端のシステムを領しており、単純かつ高 度に構成されていることがわかる。小山の研究[5]と比較すると次の点で機能 が拡張されていた。
この研究を通して感じたことは東京電機大学はネットワーク初期から力をいれ、 VMwareなどを導入するなど、新しいものにも積極的なことがわかっ た。また負荷分散、VLAN、冗長構成などこれからの技術には欠かせないものが たくさん使われていると感じた。神田キャンパスのデータセンタでは多くの スイッチやそのほかのネットワーク機器があり、配線の多さや機器の値段など 新しいことずくめだった。またそのネットワーク機器もスター型になってお り、重要な部分は冗長構造になっていてすごいと感じた。電機大学のネットワー クについて教えてくれた橋本明人技師はOSPFとVLANがすごければ食べていける と いっていたが、話の聞く前の事前勉強でもVLAN、OSPFは難しく、かなり苦労し た。最初は右も左もわからなかったが、この1年でネットワークについて かなり詳しくなることができたと思った。
キャンパスネットワークシステムの調査にご協力いただいた東京電機大学総合メディアセンターの橋本明人技師に感謝します。
