2002/03/15 未来工学研究所 ネットワーク管理部会

1. 東海大学のネットワークと
運用管理事例
東海大学 電子計算センター
横田 秀和
hide@cc.u-tokai.ac.jp

2. 2
東海大学のネットワークと
運用管理事例
• 東海大学の紹介
• 東海大学のネットワークについて
• 管理体制
• トラブル事例
• 運用管理上の問題点
• 今後の課題

3. 3
東海大学
• http://www.u-tokai.ac.jp/
• 5つの校舎(湘南,伊勢原,代々木,清水,沼
津)
• 13学部68学科･専攻･課程
• 12研究科44専攻
• 学生数：31,481名
• 専任教員数：1,461名
（2002年3月現在）

4. 4
東海大学電子計算センター
湘南計算機室
• http://www.cc.u-tokai.ac.jp/
• 研究教育用コンピュータ･ネットワークの
管理・運用・開発
• 人員：専任スタッフ16人+派遣スタッフ５人
• コンピュータ室：学内8ヶ所に38教室
• コンピュータ数：約2,000台
• 登録ユーザ数：約30,000人

5. 5
東海大学のネットワークと
運用管理事例
• 東海大学の紹介
• 東海大学のネットワークについて
• 管理体制
• トラブル事例
• 運用管理上の問題点
• 今後の課題

6. 6
ネットワークの歴史
(対外接続)
• 1990/2 JUNETに接続
• 1992/4 湘南校舎からTRAIN(東大)へ64Kbpsで接続
• 1995/11 代々木校舎からTRAIN(東大)へ512Kbpsで接続
• 1997/4 TRAINへの接続を1.5Mbpsに増強
• 1998/10 湘南校舎からTTCNへ1.5Mbpsで接続
(Default RouteはTRAIN,TTCNはProxy)
• 1999/3 TRAINの運用が終了
東大との接続はそのままSINETに移行
• 1999/9 TTCNへの接続を6Mbpsに増強
(default routeをTTCNに変更)
• 2001/8 湘南校舎からSINET(宇宙研)と100Mbpsで接続
TTCN(proxy)との接続は3Mbpsに変更
(Default RouteはSINET,TTCNはProxy)

7. 7
ネットワークの歴史
(校舎間接続)
• 1991-1992 校舎間ネットワーク(各校舎UUCP:9600bps)
• 1994/7 校舎間ネットワーク専用線開通(各校舎:64Kbps)
• 1995/11 校舎間ネットワーク増強
(湘-代:512K,湘-伊:192K,湘-清:192K,湘-沼:192M)
• 1997/3 校舎間ネットワーク増強(湘南-代々木:1M)
• 2001/4 校舎間ネットワーク増強(代々木は減)
(湘-代:768K,湘-伊:1M,湘-清:1M,湘-沼:1M)
• 2002/4 校舎間ネットワーク増強(各校舎:10Mbps)

8. 8
ネットワークの歴史
(湘南校舎)
• 1994/4 構内LAN(FDDI)完成
• 1995/12 ダイヤルアップIP接続サービス開始(16回線)
• 1996/1 電子計算センターにおける遵守事項の制定
• 1996/12 ダイヤルアップIP接続回線を増強(62回線)
• 1997/9 コンピュータ室C/S環境のバックボーンに
ATM(155M)を採用
• 1998/4 ダイヤルアップIP接続回線を増強 (92回線)
• 1998/6 PIAFS接続サービス開始(8回線，合計100回線)
• 2000/3 コンピュータ室LANのバックボーンにGbEを採用

9. 9
ネットワーク構成
(ISP・校舎間)
湘南校舎
清水校舎 沼津校舎 伊勢原校舎 代々木校舎
1Mbps 768Kbps1Mbps 1Mbps
100Mbps
3Mbps
(Proxyによる接続)
現POWEREDCOM
宇宙科学研究所
(神奈川県相模原市)

10. 10
bldg1-ip45
campus-gw
bldg4-ip45
bldg11-ip45
bldg3-bd
bldg8-ip45
bldg15-ip45
bldg13-ip45
bldg10-ip45
bldg7-ip45
bldg12-bd
bldg5c-ip45
bldg5b-ip45
bldg5d-ip45bldg5a-ip45
bldg17-bd
１号館
８号館
１５号館
１０号館
１３号館
７号館 １７号館
１２号館
３号館
１１号館
４号館
ATOMIS5
bldg16-smt
１６号館
bldg1-ss8000
bldg12a-ip45
bldg12b-ip45
bldg5-bd
ttcn-gw
Cache Server
５号館
代々木校舎
伊勢原校舎
清水校舎
伊勢原校舎
sinet-gw
１４号館
９号館
６号館
ネットワーク構成
(湘南校舎)

11. 11
ネットワークの負荷(ISP)
• 湘南校舎⇔ SINET
• 湘南校舎⇔ TTCN
2002/3/?2001/12/?
2002/3/?2001/12/?
3200K
9.6M

12. 12
ネットワークの負荷(校舎間)
• 代々木校舎
• 伊勢原校舎
• 清水校舎
• 沼津校舎
1040K
480K 1040K
1000K
2001/12/? 2001/12/?
2001/12/? 2001/12/?

13. 13
東海大学のネットワークと
運用管理事例
• 東海大学の紹介
• 東海大学のネットワークについて
• 管理体制
• トラブル事例
• 運用管理上の問題点
• 今後の課題

14. 14
管理体制
その１
• 研究教育用ネットワーク(インターネット接続)
– 設備管理 → 電子計算センター
– IPアドレス管理
• コンピュータ室 → 電子計算センター
• 学部・学科等研究室 → 電子計算センターまたは各学部・学科
– 利用者管理
• コンピュータ室 → 電子計算センター
• 学部・学科等研究室 → 担当教員
• イントラネット(学籍・成績情報 etc.)
– 事務部門が管理

15. 15
管理体制
その２
• ネットワーク到達性の常時監視
• daemonの動作確認プログラム

16. 16
管理体制
その３
• ネットワーク構成資料のメンテナンス

17. 17
東海大学のネットワークと
運用管理事例
• 東海大学の紹介
• 東海大学のネットワークについて
• 管理体制
• トラブル事例
• 運用管理上の問題点
• 今後の課題

18. 18
ネットワークトラブル事例
その１
• Layer1(物理層)
– ハブのカスケードポートにPCを接続
– NIC故障が原因でコリジョン多発
– 不良UTPケーブルの使用でコリジョン多発
→パーティション機能が搭載された
スイッチングハブの導入

19. 19
ネットワークトラブル事例
その２
• Layer1(物理層)
– トランシーバの故障
– イエローケーブルのターミネータの緩み
– 光ケーブルの破損でFDDIが使用不可
– GBICの故障
→物理的な接続ポイント数の減少
→光(ファイバ)の特性を知る

20. 20
ネットワークトラブル事例
その３
• Layer2(データリンク層)
– ルータで大きいサイズのパケットが転送エラー
• Layer3(ネットワーク層)
– 静的ルートに設定した経路のアナウンスミス
→機器の故障に打つ手はなし・・・
→ネットワーク構成の把握
→不必要に静的ルートを設定しない

21. 21
TTCN 他校舎 SINET
ネットワークアタック事例
ネットワークを目標にされたDoS
• 現象 研究室からインターネット接続できない
• 調査 FDDIループのルータが全滅
• ルータのコンソールメッセージ proccess overflow
• 原因 FDDIループのブロードキャストアドレスに対するDoS
• 対策 ACLを設定(X.X.X.0，X.X.X.255へのアクセスを拒否)

22. 22
TTCN
HUB
他校舎 SINET
ネットワークアタック事例
ホストを目標にされたDoS
• 現象 インターネットに全く接続できない
• 調査 ISP接続の帯域が全て使われている
• ルータのI/Oを追跡
• 原因 特定ホストへのDoS
• 対策1 対象ホストを切り離し
• 対策2 TTCN接続ルータに
アクセス拒否のACLを定義
• 対策3 TTCN内にダミーホストを定義

23. 23
東海大学のネットワークと
運用管理事例
• 東海大学の紹介
• 東海大学のネットワークについて
• 管理体制
• トラブル事例
• 運用管理上の問題点
• 今後の課題

24. 24
運用管理上の問題点
セキュリティの確保(対外接続)
• Firewall導入の是非
– 現状はISP接続ルータのACLで対応
– 学籍・成績情報はイントラネット内に配置
– 学科・研究室単位でFirewall導入?
– 全学的な導入にはポリシーの統一が必要
– インターネット接続に対する意識の甘さ
– 管理コストと自由？とのバランス

25. 25
運用管理上の問題点
セキュリティの確保(学内)
• 利用者を特定できる環境の整備
– コンピュータ室(Windowsログオン認証)
– ダイヤルアップIP接続(PPP認証)
– Ethernet/無線LANを用いた
持ち込みPCのインターネット接続(Radius認
証)
– 学科・研究室は独自管理

26. 26
運用管理上の問題点
利用者の意識
• 悪戯しても分からない・・・と思っている
• メールの不正中継，サーバ乗っ取り，Nimda etc.
– 起動しているサービスを知らない
– 教員が学生のやっていることを知らない
• 小耳にはさんだ話
– 大学にはFirewallがあるから安全？
– ネットワークを流れる情報は全て監視されている？
• 電子計算センター利用における遵守事項
• 利用登録証配布時に倫理教育

27. 27
運用管理上の問題点
トラフィックの増加
• 研究室で各種サーバを運用
– WWWサーバ/メールサーバ
– ファイルサーバ/プリントサーバ
• 地理的に離れた同じ組織のトラフィック
• 対策
– ネットワークの高速化
– VLANの導入

28. 28
運用管理上の問題点
IPアドレスの重複対策
• IPアドレスの割当方法
– 教職員に固定で割当，DHCPで割当(学部・学科独自管理)
• 重複を検出した場合
– ARPテーブル，メールサーバのログ等から検索
• 取りうる対策
– DHCPの導入
• サーバが必要，MACアドレスと利用者とのマッピング
– スイッチのポートにMACアドレスを静的設定
• 対応機器が必要，管理コスト大

29. 29
東海大学のネットワークと
運用管理事例
• 東海大学の紹介
• 東海大学のネットワークについて
• 管理体制
• トラブル事例
• 運用管理上の問題点
• 今後の課題

30. 30
今後の課題
• ISP接続の冗長化
– インターネット接続はライフライン
• 校舎間ネットワークの高速化
– 校舎の壁を越えて → 履修申告，ユーザ認証
• IP電話・TV会議システムの導入と運用
– 通信費，交通費の削減
• IPv6への移行
– 世間並みに・・・

31. 31
東海大学のネットワークと
運用管理事例
• おまけ

32. 32
ネットワークの歴史
(1990-1995)
• 1990/2 JUNETに接続
• 1991-1992 校舎間ネットワーク(各校舎UUCP:9600bps)
• 1992/4 湘南校舎からTRAIN(東大)へ64Kbpsで接続
• 1994/4 構内LAN(FDDI)完成
• 1994/7 校舎間ネットワーク専用線開通(各校舎:64Kbps)
• 1995/11 校舎間ネットワーク増強
(湘-代:512K,湘-伊:192K,湘-清:192K,湘-沼:192M)
• 1995/11 代々木校舎からTRAIN(東大)へ512Kbpsで接続
• 1995/12 ダイヤルアップIP接続サービス開始(16回線)
※TRAIN (Tokyo Regional Academic Inter-Network)
・・・東京地域アカデミックネットワーク

33. 33
ネットワークの歴史
(1996-1998)
• 1996/1 電子計算センターにおける遵守事項の制定
• 1996/12 ダイヤルアップIP接続回線を増強(62回線)
• 1997/3 校舎間ネットワーク増強(湘南-代々木:1M)
• 1997/4 TRAINへの接続を1.5Mbpsに増強
• 1997/9 コンピュータ室C/S環境のバックボーンに
ATMを採用
• 1998/4 ダイヤルアップIP接続回線を増強 (92回線)
• 1998/6 PIAFS接続サービス開始(8回線，合計100回線)
• 1998/10 湘南校舎からTTCNへ1.5Mbpsで接続
(Default RouteはTRAIN,TTCNはProxy)
※TTCN(現POWEREDCOM)
・・・TT-Net法人向けデータ通信サービス

34. 34
ネットワークの歴史
(1998-2002)
• 1999/3 TRAINの運用が終了
東大との接続はそのままSINETに移行
• 1999/9 TTCNへの接続を6Mbpsに増強
(default routeをTTCNに変更)
• 2000/3 コンピュータ室LANのバックボーンにGbEを採用
• 2001/4 校舎間ネットワーク増強(代々木は減)
(湘-代:768K,湘-伊:1M,湘-清:1M,湘-沼:1M)
• 2001/8 湘南校舎からSINET(宇宙研)と100Mbpsで接続
TTCN(proxy)との接続は3Mbpsに変更
(Default RouteはSINET,TTCNはProxy)
※SINET (Science Information NETwork)
・・・学術情報ネットワーク