校内ネットワークの設計 (大規模)
生徒数が750人程度(1クラス30名、計25クラス)、職員数が80人程度、
端末の台数が910台程度(端末の台数が生徒1人につき1台、職員1人につき2台)を想定した
校内ネットワーク(大規模)をヤマハネットワーク機器で構成した場合の例を以下に示します。
お客様の想定利用環境 ネットワークに対するお客様の要件 ネットワーク構成と設計のポイント ネットワーク機器のコンフィグ 関連情報
お客様の想定利用環境
- 校舎は1Fから6Fで、生徒数は750名程度(1クラス30名、計25クラス)、職員数は80名程度
- 端末の台数は、生徒1人につき1台、職員1人につき2台(有線端末1台、無線端末1台)程度
- 校舎には、普通教室の他に、特別教室、体育館、職員室、会議室、サーバールームを完備
- 職員が使用する複合機が4台
- 校務用のサーバーが4台、学習用のサーバーが4台
- IP電話が52台(別途IP-PBXあり)
- 監視用のIPカメラが10台
ネットワークに対するお客様の要件
- 安定した無線LAN環境のもとで、ストレスなくタブレットを使用した授業ができるようにしたい
- 単一障害点(SPOF)を除去して安定したネットワーク環境を構築したい
- 不正な端末のネットワークへの侵入を防止したい
- 不要な時間帯に無線LAN APを停止することで電力消費を削減したい
- 校務系ネットワークと学習系ネットワークを分離して安全を確保したい
- 災害時の公衆無線LANサービスを提供したい
- ネットワーク管理者の保守・運用業務を軽減したい
ネットワーク構成と設計のポイント
ネットワーク構成図 (全体)
ネットワーク構成図 (2F~6F)
ネットワーク機器一覧
レイヤー |
種類 |
機種 |
台数 |
機能 |
|---|---|---|---|---|
| 拠点ルーター | GbERTX1300 | 2 |
VRRPによるインターネット回線の冗長化 IPフィルター / DNSサーバー インターネット接続 |
|
|
GbERTX1220 |
1 |
LAGによる経路の冗長化 閉域網への接続 |
||
| コア | コアスイッチ | GbESWX3220-16TMs | 2 |
スタックによる冗長化 / LAGによる経路の冗長化 VLAN間ルーティング / DHCPサーバー PBR / ACL / QoS LANマップによるLANの見える化 RADIUSサーバー |
| ディストリビューション | フロアスイッチ (PoE) |
GbESWX2322P-16MT |
2 |
LAGによる経路の冗長化 VLANによるセグメント分割 無線LAN AP、IP電話、IPカメラへのPoE給電 DHCPスヌーピング IEEE 802.1X認証、MAC認証を使用したユーザー/デバイス認証 |
|
GbESWX2220P-26NT |
5 |
LAGによる経路の冗長化 VLANによるセグメント分割 無線LAN AP、IP電話へのPoE給電 DHCPスヌーピング ループ発生時のループ防止 IEEE 802.1X認証を使用したユーザー認証 |
||
| アクセス | サーバースイッチ |
GbESWX2320-16MT |
1 |
LAGによる経路の冗長化 VLANによるセグメント分割 DHCPスヌーピング 管理用端末、校務用/学習用サーバーの収容 MAC認証を使用したデバイス認証 |
| アクセススイッチ |
GbESWX2220-26NT |
4 |
VLANによるセグメント分割 DHCPスヌーピング ループ発生時のループ防止 |
|
| アクセススイッチ (PoE) |
GbESWX2220P-26NT |
2 |
VLANによるセグメント分割 DHCPスヌーピング IP電話、IPカメラへのPoE給電 ループ発生時のループ防止 |
|
| 無線LAN AP |
Wi-Fi 6WLX413 |
2 |
SSID毎にVLANを設定 プライバシーセパレーターによる災害時利用者間の通信遮断 RADIUSクライアントによるユーザー認証 |
|
|
Wi-Fi 6EWLX323 |
2 |
SSID毎にVLANを設定 プライバシーセパレーターによる災害時利用者間の通信遮断 RADIUSクライアントによるユーザー認証 |
||
|
Wi-Fi 6WLX322 |
36 |
SSID毎にVLANを設定 プライバシーセパレーターによる災害時利用者間の通信遮断 RADIUSクライアントによるユーザー認証 |
||
| オブション | SFP+モジュール | YSFP-10G-SR | 12 |
マルチモード光ファイバーケーブルを使用時、 最大300mの接続が可能 |
| ダイレクトアタッチケーブル | YDAC-10G-1M | 2 |
SFP+スロットに装着して使用するダイレクトアタッチケーブル スタック構成時にスイッチ同士を接続 |
ネットワーク設計のポイント
- インターネット接続と閉域網 (教育委員会向け) の接続は、拠点ルーターで実現し、LAN内のレイヤー3機能、IPアドレスの配布は、L3コアスイッチで実現
- インターネット10G回線を2本と閉域網の1G回線を使用する
- Webアプリケーションサービスを多数の生徒が一斉に利用しても、ストレスなく快適な通信環境を実現
- NATセッション数が250,000に対応した10ギガアクセスVPNルーター (RTX1300) を2台採用する
- VRRP機能を利用してルーターおよびインターネット回線の冗長化を実現
- インターネット10G回線を2本使用することで、2つのゲートウェイで運用する
- ネットワークの負荷分散はコアスイッチ(SWX3220-16TMs)の「等コストマルチパス」を使用する
- ロードバランスのルールとして「送信元IPアドレスと送信先IPアドレス」を使用する
- 単一障害点(SPOF)を除去して安定したネットワーク環境を実現
- コアスイッチはスタックを採用し、下位スイッチとはリンクアグリゲーションで接続してSPOFを除去する
- より多くの端末に高速で安定した無線LAN環境を提供
- 無線LAN APとして、Wi-Fi 6E 対応モデル (WLX323) とWi-Fi 6 対応モデル (WLX413/WLX322) を採用する
- WLX323/WLX322に搭載されている「適応型ローミングアシスト機能」を使用することで、電波強度に応じて最適な無線APへの切り替えを促し、移動しても快適な通信を実現する
- PoE給電用フロアスイッチとして、2.5ギガビット/10ギガビット対応モデル (SWX2220P-26NT) を採用する
- スイッチのRADIUSサーバーを利用した認証機能により不正なデバイスからの侵入を防御
- 有線端末はIEEE 802.1X認証方式 (EAP-TLS) 、無線端末はWPA2エンタープライズ (WPA2-EAP) 認証方式で接続端末を認証する
- スイッチのスケジュール機能と連携することで、PoE受電機器への給電を制御
- 学校の平日の開校時間のみ無線LAN APへPoE給電することで、開校時間外の電力消費を削減し、無線LANの不正使用を未然に防ぐ
- 校務用、学習用ネットワークの分割はVLANで実現
- VLAN定義は以下の通り
- VLAN1 (172.16.0.0/24) : 管理用
- VLAN10 (172.21.0.0/24) : 校務用
- VLAN20 (172.22.0.0/22) : 学習用
- VLAN30 (172.23.0.0/24) : IP電話用
- VLAN40 (172.24.0.0/24) : IPカメラ用
- VLAN50 (172.25.0.0/22) : 災害時モード用
- APの災害時モード切り替え機能を使用し、災害時統一SSIDを利用した公衆無線LANサービス「00000JAPAN (ファイブゼロジャパン) 」を提供
- LANマップを活用して日頃の保守・運用業務の軽減を図る
- GIGAスクールの要件であるSNMPによる管理機能にも対応
- シンプルな無線LAN管理を実現
- WLX413/WLX323/WLX322に搭載されている「Radio Optimization機能」を有効にすることで、設定を無線環境に合わせて動的に変更し最適化する
- ヤマハ無線LANアクセスポイントと連携する「LLDP自動設定機能」を使用することで、接続されたWLX413/WLX323/WLX322を自動的に認識し、LLDPによる死活監視を開始する
ネットワーク機器のコンフィグ
本構成のサンプルコンフィグを
こちら
から取得できます。
取得したファイルを解凍すると、以下の構成で、構成機器のコンフィグが格納されています。
ご活用下さい。
- school-large-scale-config-ver1
- rtx1300
- rtx1300_(1)_config.txt
- rtx1300_(2)_config.txt
- rtx1220
- rtx1220_config.txt
- swx3220
- core_swx3220-16tms_stack_config.txt
- swx2320
- swx2320-16mt_(server-sw)_config.txt
- swx2322p
- swx2320p-16mt_(staff-room)_config.txt
- swx2322p-16mt_(gym)_config.txt
- swx2220
- swx2220-26nt_01_(staff-room)_config.txt
- swx2220-26nt_02_(staff-room)_config.txt
- swx2220-26nt_03_(staff-room)_config.txt
- swx2220-26nt_04_(staff-room)_config.txt
- swx2220p
- swx2220p-26nt_01_(staff-room)_config.txt
- swx2220p-26nt_02_(staff-room)_config.txt
- swx2220p-26nt_(2f-class-room)_config.txt
- swx2220p-26nt_(3f-class-room)_config.txt
- swx2220p-26nt_(4f-class-room)_config.txt
- swx2220p-26nt_(5f-class-room)_config.txt
- swx2220p-26nt_(6f-class-room)_config.txt
- wlx413
- wlx413_cluster_config.txt
- wlx323
- wlx323_cluster_config.txt
- wlx322
- wlx322_cluster_config.txt
- rtx1300
本コンフィグは、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。
【拠点ルーターRTX1300の設定について】
ご利用いただく際には、十分に評価・検証を実施してください。
【拠点ルーターRTX1300の設定について】
- 以下の通りフレキシブルLAN/WANポート設定しています。
- 「lan1=ポート1-8,10、lan2=ポート9」
- VRRP機能を利用してルーターおよび、WAN回線を冗長化する構成を設定しています。
ご参考 : 設定例 「2つのゲートウェイで運用する」
- 閉域網はフレッツ光ネクストを利用した閉域VPNサービス「フレッツ・VPNワイド」を使用しています。
ご参考 : 設定例 「フレッツサービス フレッツ・VPNワイド(端末型払い出し)」- 校内ネットワークからは校務用のVLAN10(172.21.0.0/24)のみ、閉域VPN接続先のローカルアドレス(192.168.1.0/24)に接続可能です。
- 閉域VPN接続先からは、校務用のVLAN10(172.21.0.0/24)のみ接続可能です。
- コアスイッチ SWX3220-16TMsにて、以下コマンドでRADIUSクライアント (NAS) の設定をしてください。
( 本コマンドで設定したRADIUSクライアント (NAS) 情報は、コンフィグには表示されません。設定内容は、"#show radius-server local nas" コマンドで確認きます。)
IPアドレス 172.16.0.0/24、共有パスワード※ "(RADIUSシークレット)" のRADIUSクライアント (NAS) を追加する。-
SWX3220>enable SWX3220#configure terminal SWX3220(config)#radius-server local-profile SWX3220(config-radius)#nas 172.16.0.0/24 key (RADIUSシークレット) ※ 共有パスワードは、128文字以内、\ [ ] " ? スペースを除く半角英数字・半角記号を使用してください。
-
- 802.1X認証 (EAP-TLS) につきまして、各ユーザー毎にダイナミックVLANを設定してください。校務用でしたらVLAN10、学習用でしたらVLAN20となります。
認証が通りましたら、設定したダイナミックVLANでアクセスが可能となります。 - 無線での802.1X認証 (EAP-TLS) につきましては、各ユーザー毎 (校務用/学習用) に接続先 SSIDを設定してくだい。
- 1F職員室のフロアスイッチ (SWX2322P-16MT) の認証ポートに接続されているアクセススイッチ (SWX2200-26NT x4台) につきましてMAC認証にてユーザー登録をしてください。
当該アクセススイッチがユーザー未登録の場合は、LANマップからGUI参照できなくなります。 - 1F職員室のアクセススイッチ (SWX2200-26NT) に接続する校務用複合機、1Fサーバールームスイッチ (SWX2320-16MT) の認証ポートに接続する校務用サーバー、学習用サーバーにつきましてMAC認証にてユーザー登録をしてください。
- WLX413、WLX323とWLX322のファームウェアRev.22.00.07、Rev.25.01.02とRev.25.00.02では、Radio Optimization機能を使用する場合、VAPの認証方式に以下の制限事項があります。
- 6GHzを使用しない設定であるにもかかわらず、仮想コントローラーのWeb GUIの[基本無線設定]ページで[Radio Optimization機能]を「使用する」に設定してあると、[SSID 管理]ページで[認証方式]として「WPA2-EAP」を選択できない。
- ただし、以下の技術資料の「3. 注意事項」に記載の設定手順でこの制限を回避できます。
WLX323技術資料「Radio Optimization機能」
なお、この制限事項は次期ファームウェア(2025年3月頃)にて改善する予定です。
- ただし、以下の技術資料の「3. 注意事項」に記載の設定手順でこの制限を回避できます。
- 6GHzを使用しない設定であるにもかかわらず、仮想コントローラーのWeb GUIの[基本無線設定]ページで[Radio Optimization機能]を「使用する」に設定してあると、[SSID 管理]ページで[認証方式]として「WPA2-EAP」を選択できない。
- IP電話に接続しているPoEアクセススイッチ (SWX2220P-26NT) の各接続ポート、及びIP-PBXに接続しているサーバースイッチ (SWX2320-16MT) の接続ポートにつきまして、トラストモードを「DSCP値を使用して送信キューを決定する」にして、リマーキング値を「40」(送信キューID [#5] )に設定しています。
- スタック機能有効時、スタックの制御パケットが送信キュー#7, #6を使用しているため、リマーキング値を「47」以下(送信キューIDが [#6,#7] 以上にならないよう)に設定してください。
- 構成例ではWLX413 x2台、WLX323 x2台、WLX322 x36台を使用しておりますが、クラスター構成で設定内容が共通となるため、各機種につき1個のサンプルコンフィグを掲載しています。
関連情報
校内ネットワークの設計 (大規模) 全体
校内ネットワークの設計 (大規模) 2F~6F