ソリューション

マクニカネットワークスが取り扱う製品で、皆様の課題を解決します

解剖!Remote Access Pointで実現するVBN(Virtual Branch Networking)ソリューション

マクニカラボ便り

「マクニカラボ便り」は、ちょっとやってみたい検証や、このテクノロジー、こう使ってみたらどうなる?など、マクニカネットワークスのエンジニアが気になった製品や技術について、ディープな検証や評価を行い、面白かったら皆さんにも公開しようという、ちょっと気まぐれなコーナーです。

エンタープライズ向け無線LANスイッチ・ベンダーAruba Networksが昨今Virtual Branch Networking(以降、略称VBN)という新たなソリューションを提唱している。VPN(Virtual Private Network)に対してVBNというキーワードで新しいマーケットを創造しようとしていますが、この新たな三文字略語がどんなものなのか、実際に製品を試してみながらその実態に迫ります。
By 木村 俊郎
Macnica Networks Corp.

【今回のチャレンジ】
VBNソリューションを実現するのは、Remote Access Point(以下略称RAP)ファミリー製品。今回は、「RAP-2WG」と「RAP-5WN」のRAPファミリー2製品を使いながら、実際の設定画面や接続までの手順、インターネットに接続したときのレスポンスなど、VBNが一体どんなものなのかを詳しく解剖していきたいと思います。

今回使用する製品

  • RAP-2WG
  • RAP-5/RAP-5WN
  • Aruba 3200 Mobility Controller
    • - Aruba OS 5.0.0.1 (最新メジャーバージョン5.0系)
    • - APライセンス(Access Pointライセンス)
    • - PEF-NGライセンス(Firewallライセンス)

「RAP-2WG」、「RAP-5/RAP-5WN」について


まずは、「RAP-2WG」。箱を開けると下記の通り収納されています。シングル・ラジオ802.11b/gをサポートした9.5cm x 7cm x 2.8cmとコンパクトなポータブル・タイプで、強いて具体例を挙げると携帯電話よりも少し大きなサイズです。

次に、「RAP-5/RAP-5WN」。こちらは、シングル・ラジオIEEE 802.11a/b/g/n、3×3 MIMO(Multi in-Multi out)をサポートした高ゲイン無指向性アンテナ内蔵の縦置きのモデム・タイプです。

前述の「RAP-2WG」との大きな違いとしては、昨年規格化が完了して脚光を浴びている理論上の最大伝送速度300Mbpsの無線LAN規格IEEE 802.11nをサポートしている点や、筐体に実装されたUSBコネクタへEVDO/HSDPAに対応したデータ通信カードを挿入することで第3世代移動通信システム(3G網)を利用することができる点などが挙げられます。

また、「RAP-5」ファミリーにはEthernetのみのモデルも存在します。参考までに、「RAP-2WG」と並べて大きさも比較しておきましょう。

検証準備

無線LAN環境を構築する場合、Access Point(以降、AP)とMobility Controller(以降、Controller)は必ずセットになりますが、RAPを利用する場合も例外でなくControllerが必要です。話は若干逸れますが、Aruba製品の他社との優位性として、基本APとControllerとの間はGREでトンネリングされるため、非常にセキュアとなっています。さらにトンネリングモードは、tunnel/Split tunnel/bridgeから選択でき、用途に応じて自在に変更することも可。RAPを利用した場合は、RAPとControllerとの間はIP Secでトンネリングされます。

今回の検証では、センター側のControllerとして中規模企業向け最大128AP/2048User同時接続可能な「Aruba 3200 Controller」を利用し、ソフトウェア・バージョン(Aruba OS)は最新メジャー版5.0.0.1(+PEF-NGライセンス)としています。

図3. Aruba 3200 Controller外観

前述の両RAP製品でVBN環境を構築するには、事前にController側に少々設定が必要です。 初期設定状態のRAP-2WGを社内LANへ接続すると、RAP-2WGはDHCPで自身のIPアドレスを取得し、さらにADP(Aruba Discovery Protocol)と呼ばれるブロード・キャストを流して同一ドメイン上のControllerと接続を開始します。 ここで初めて、Controller側でRAP-2WGのプロビジョニング(事前設定)と可能になりますが、通常のAP同様にセキュリティに関連したAAAプロファイル、SSIDプロファイル、IP SecトンネリングのためのIKE PSK等の設定を行います。これらはGUIより、Wizardを用いて比較的容易に設定を行うことが可能です。プロビジョニングを行ったら、”RAP White List“で接続させるRAPを制限させることも忘れないようにしましょう。

図4. Provision設定画面

図5. RAP White List設定画面

RAP-5WNについても同様ですが、こちらはController側に3Gデータ通信カード設定が必要になります。今回はE-MobileのUSBタイプ 3Gデータ通信カード「D12HW」を利用し、設定は以下の通りにしました。Initialization String、Device Identifier…等はキャリアによって異なるため、他のカードを利用する場合は確認する必要があります。また、すべての3Gデータ通信カードを動作保証しているものでもないため、事前の実績・動作確認はしておきたいところでしょう。

図6. USB settings設定画面

基本的には、これだけで事前設定は完了です。接続構成は下記の通りで、社外のリモート環境で、社内デモ環境で使用しているSSID(Web認証)と通常業務で使用しているSSID(WAP2-AES+802.1x認証)をIP Secトンネルでブリッジ接続するイメージです。各SSIDには、Roleでアクセス先のVLAN情報をマッピングしています。全体イメージを深めてもらうため、念のため一般的な構成も並べてみました(図10)。著者は、早速その利便性を試すべく、インターネット接続が可能な都内の某レンタル・オフィスへと足を運ぶことに。

図7. 接続構成イメージ

図8. 一般的な接続イメージ

簡単IPsec接続でセキュアな無線LAN環境を実現「RAP-2WG」検証

レンタル・オフィスに据付られているLANケーブルを「RAP-2WG」のE0ポートへ接続。すると2~3分程度でWLAN(Wireless LAN)ランプが点灯、これで準備完了。VBN環境のできあがりです。事前にControllerにてプロビジョンニングは必要ですが、後はRAPをインターネット環境へ接続するだけ、しかもIP Secトンネルの接続も早い状況です。

図9. VBN環境(RAP-2WG)

クライアントPCで無線電波をシークすると、SSIDプロファイルで設定した2つのSSIDが出現しました。802.11gで接続し、社内ラボ環境へアクセスします。任意のサイトを開くとWeb認証が走り、Captive Portalページへリダリレクト。予め設定したユーザIDでログインすると、数秒後に元々閲覧しようとしていたサイトが表示されます。一度Web認証に成功すると、以降はLogoutするまで認証画面は表示されません。

  • 図10. Captive Portal画面

  • 図11. ログイン直後

ControllerのWAN側にL3スイッチを挟んでSPANポートを設けてパケット・キャプチャを行った結果は、以下の通り。ISAKMPプロトコルで認証・鍵交換が行われた後、IP Sec NATトラバーサルで動作して以降はUDP:4500番ポートのみのESPパケットで暗号化通信が行われていることがわかります。

図12. IP Secパケット・キャプチャ

今回はあくまで検証ということもあり、AAAプロファイル上のRoleはすべてのプロトコルをAllowにしておきましたが、社内にいるのとまったく同様にメールやその他社内ネットワーク資源が利用することができました。従来のリモートアクセス手法では、何かと接続の手順が煩わしかったり、特定のアプリケーションしか動かなかったり、VPNドライバが悪さをして…等々の印象で何かを我慢している感じがしていたものが、VBNではこれらとは無縁といえます。会社でPCを使う時とまったく同じ感覚です。

技術的には社内のAPが、そのまま目の前までIP Secで伸びてきているので、当たり前と言えば当たり前ですが驚きです。もちろん社内のAPと同様のイメージで、リモート拠点の複数クライアントがRAP-2WGへワイアレス接続して、同時に社内リソースを利用することが出来ます。

Aruba社製Controllerには、通常のL3スイッチ等で実装されているLayer4以下でSrc/Dstを限定するACL firewall機能に加えて、さらに上位Layerで特定アプリケーションを限定するStateful Firewall機能が実装されています。 実際の運用になったら、MAC認証等を組み合わせ接続するクライアント端末を限定したり、Firewall Policyを駆使したりすれば堅牢でセキュアなリモート環境が提供できます。

図13. Stateful Firewall設定画面

3G網を経由して素早く社内にセキュアアクセス「RAP-5/RAP-5WN」検証

次に据え置きタイプの「RAP-5/RAP-5WN」も試してみましょう。事前に設定しておいた3Gデータ通信カード(E-Mobile D12HW)をUSBコネクタに接続。1-2分程で先程と同様に簡単にVBN環境ができあがりました。3G網を利用しているため、インターネットへの口や場所の制約もありません。 上り/下りの通信速度はデータ通信カードに大きく依存してしまうものの、Webサイト閲覧やメール閲覧等は特に支障なく利用をすることができました。

図14. VBN環境(「RAP-5/RAP-5WN」

但し、今回の検証では3G網経由で社内デモ環境へ接続した際にRTT(往復遅延時間)が100msec程度常時発生していました。弊社検証環境への伝送距離や装置間遅延等もあるかもしれませんが、調べてみると一般的に有線ブロードバンドサービスに比べ、3Gは少々網内遅延が大きいようです。また通信事業者によっては長時間常時接続をしていると自動切断を行うケースもあるため、3G網を利用する場合は運用形態に耐え得るか事前に十分な検証が必要となるでしょう。

図15. 3G利用時のping測定

まとめ

昨年規格化が完了したMIMO技術を利用して最大伝送速度300Mbpsを実現する802.11nが注目されている昨今、Aruba Networksは今回紹介したVBNソリューションという新たな境地で無線LAN業界を牽引しています。

また、そのソリューションはリモート・オフィス環境のネットワーク機器及び維持費低減はもとより、ディザスタ・リカバリ等での即時的なオフィス・ネットワーク環境の提供、レンタル・オフィス等の社外ファシリティの活用など様々な可能性を秘めています。今回紹介しましたRAP製品と同等機能をクライアントPCへ提供するソフトウェア版(Virtual Intranet Agent:略称VIA)も近々サポートされる予定もあります。今後のVBNソリューションの動向には、是非期待したいところです。

なお、今回紹介したRAPファミリーの他にも、AP(AP105、AP125等)にも暗号Chip搭載によるパフォーマンスの違い、Radio数の違い、802.11nサポート有無など用途に応じていくつか種類があったり、また構成に至ってはtunnel、split tunnel、bridgeなどいくつか種類があったり、とお話したいことは山程ありますが、残念ながら紙面の都合上そろそろお別れしなくてはなりません。 著者含め技術部隊は日々無線LANに関する知識・技術を深めています。ご興味のある方は、是非弊社へご相談いただければと思います。




木村 俊郎
マクニカネットワークス 技術統括部 Aruba担当エンジニア。WAN帯域制御装置、WAN高速化装置などの技術サポートや提案構築で経験を積み、ネットワーク製品に精通。現在はイーサネット・スイッチ、無線LANソリューションなどを手掛けている。

いつか見た景色 from Staff's Albums