校内ネットワークの設計 (小・中規模)

生徒数が360人程度(1クラス30名、計12クラス)、職員数が40人程度、
端末の台数が440台程度(端末の台数が生徒1人につき1台、職員1人につき2台)を想定した
校内ネットワーク(小・中規模)をヤマハネットワーク機器で構成した場合の例を以下に示します。

School Small and Medium Scale Image 01 School Small and Medium Scale Image 02
お客様の想定利用環境 ネットワークに対するお客様の要件 ネットワーク構成と設計のポイント ネットワーク機器のコンフィグ 関連情報

お客様の想定利用環境

  1. 校舎は1Fから3Fで、生徒数は360名程度(1クラス30名、計12クラス)、職員数は40名程度
  2. 端末の台数は、生徒1人につき1台、職員1人につき2台(有線端末1台、無線端末1台)程度
  3. 校舎には、普通教室の他に、特別教室、体育館、職員室、サーバールームを完備
    • 職員が使用する複合機が2台
    • 校務用のサーバーが2台、学習用のサーバーが2台
    • IP電話が23台(別途IP-PBXあり)
    • 監視用のIPカメラが6台

ネットワークに対するお客様の要件

  1. 安定した無線LAN環境のもとで、ストレスなくタブレットを使用した授業ができるようにしたい
  2. 不正な端末のネットワークへの侵入を防止したい
  3. 不要な時間帯に無線LAN APを停止することで電力消費を削減したい
  4. 校務系ネットワークと学習系ネットワークを分離して安全を確保したい
  5. 災害時の公衆無線LANサービスを提供したい
  6. ネットワーク管理者の保守・運用業務を軽減したい

ネットワーク構成と設計のポイント

ネットワーク構成図 (全体)

network-school-small-middle-scale-01

ネットワーク構成図 (2F)

network-school-small-middle-scale-02

ネットワーク構成図 (3F)

network-school-small-middle-scale-03

ネットワーク機器一覧

レイヤー
種類
機種
台数
機能
拠点ルーター GbERTX1300
1
 IPフィルター / DNSサーバー
インターネット接続、閉域網への接続
コア コアスイッチ GbESWX3220-16MT
1
 VLAN間ルーティング / DHCPサーバー
ACL / QoS
LANマップによるLANの見える化
RADIUSサーバー
ディストリビューション フロアスイッチ GbESWX2220-10NT
2
 VLANによるセグメント分割
ループ発生時のループ防止
IEEE 802.1X認証を使用したユーザー認証
フロアスイッチ (PoE) GbESWX2322P-16MT
2
 VLANによるセグメント分割
無線LAN APへのPoE給電
IEEE 802.1X認証、MAC認証を使用したユーザー/デバイス認証
GbESWX2221P-10NT
2
 VLANによるセグメント分割
無線LAN APへのPoE給電
ループ発生時のループ防止
アクセス サーバースイッチ GbESWX2320-16MT
1
 VLANによるセグメント分割
管理用端末、校務用/学習用サーバーの収容
MAC認証を使用したデバイス認証
アクセススイッチ GbESWX2210-24G
2
 VLANによるセグメント分割
ループ発生時のループ防止
アクセススイッチ (PoE) GbESWX2210P-28G
1
 VLANによるセグメント分割
IP電話、IPカメラへのPoE給電
ループ発生時のループ防止
無線LAN AP Wi-Fi 6WLX413
4
 SSID毎にVLANを設定
プライバシーセパレーターによる災害時利用者間の通信遮断
RADIUSクライアントによるユーザー認証
Wi-Fi 6WLX222
15
 SSID毎にVLANを設定
プライバシーセパレーターによる災害時利用者間の通信遮断
RADIUSクライアントによるユーザー認証
オブション SFP+モジュール YSFP-10G-SR
2
 マルチモード光ファイバーケーブルを使用時、
最大300mの接続が可能

ネットワーク設計のポイント

  1. インターネット接続と閉域網 (教育委員会向け) の接続は、拠点ルーターで実現し、LAN内のレイヤー3機能、IPアドレスの配布は、L3コアスイッチで実現
    • インターネット10G回線と閉域網の1G回線を使用する

  2. Webアプリケーションサービスを多数の生徒が一斉に利用しても、ストレスなく快適な通信環境を実現
    • NATセッション数が250,000に対応した10ギガアクセスVPNルーター (RTX1300) を採用する

  3. より多くの端末に高速で安定した無線LAN環境を提供
    • 無線LAN APとして、Wi-Fi 6 対応モデル (WLX413/WLX222) を採用する
    • PoE給電用フロアスイッチとして、2.5ギガビット/10ギガビット対応モデル (SWX2221P-10NT) を採用する

  4. スイッチのRADIUSサーバーを利用した認証機能により不正なデバイスからの侵入を防御
    • 有線端末はIEEE 802.1X認証方式 (EAP-TLS) 、無線端末はWPA2エンタープライズ (EAP-TLS) 認証方式で接続端末を認証する

  5. スイッチのスケジュール機能と連携することで、PoE受電機器への給電を制御
    • 学校の平日の開校時間のみ無線LAN APへPoE給電することで、開校時間外の電力消費を削減し、無線LANの不正使用を未然に防ぐ

  6. 校務用、学習用ネットワークの分割はVLANで実現
    • VLAN定義は以下の通り
      • VLAN1 (172.16.0.0/24) : 管理用
      • VLAN10 (172.21.0.0/24) : 校務用
      • VLAN20 (172.22.0.0/23) : 学習用
      • VLAN30 (172.23.0.0/24) : IP電話用
      • VLAN40 (172.24.0.0/24) : IPカメラ用
      • VLAN50 (172.25.0.0/22) : 災害時モード用

  7. APの災害時モード切り替え機能を使用し、災害時統一SSIDを利用した公衆無線LANサービス「00000JAPAN (ファイブゼロジャパン) 」を提供
  8. LANマップを活用して日頃の保守・運用業務の軽減を図る
  9. GIGAスクールの要件であるSNMPによる管理機能にも対応
  10. シンプルな無線LAN管理を実現
    • WLX413/WLX222に搭載されている「Radio Optimization機能」を有効にすることで、設定を無線環境に合わせて動的に変更し最適化する
    • ヤマハ無線LANアクセスポイントと連携する「LLDP自動設定機能」を使用することで、接続されたWLX413/WLX222を自動的に認識し、LLDPによる死活監視を開始する

ネットワーク機器のコンフィグ

本構成のサンプルコンフィグを こちら から取得できます。
取得したファイルを解凍すると、以下の構成で、構成機器のコンフィグが格納されています。
ご活用下さい。

  • school-small-middle-scale-config-ver1
    • rtx1300
      • rtx1300_config.txt
    • swx3220
      • swx3220-16mt_config.txt
    • swx2320
      • swx2320-16mt_1f_server-room_config.txt
    • swx2322p
      • swx2322p-16mt_1f_staff-room_config.txt
      • swx2322p-16mt_1f_gym_config.txt
    • swx2220
      • swx2220-10nt_2f_config.txt
      • swx2220-10nt_3f_config.txt
    • swx2221p
      • swx2221p-10nt_2f_config.txt
      • swx2221p-10nt_3f_config.txt
    • swx2210
      • swx2210-24g_1f_staff-room_01_config.txt
      • swx2210-24g_1f_staff-room_02_config.txt
    • swx2210p
      • swx2210p-28g_1f_staff-room_config.txt
    • wlx413
      • wlx413_cluster_config.txt
    • wlx222
      • wlx222_cluster_config.txt
本コンフィグは、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

【拠点ルーターRTX1300の設定について】
  • 閉域網はフレッツ光ネクストを利用した閉域VPNサービス「フレッツ・VPNワイド」を使用しています。
  • 以下の通りフレキシブルLAN/WANポート設定しています。
    • 「lan1=ポート2-8,10、lan2=ポート9、lan3=ポート1」
  • lan2にpp2(PPPoE接続)設定して、インターネットへ接続します。(10G回線)
  • lan3にpp1(PPPoE接続)設定して、フレッツ・VPNワイド (端末型払い出し) + IPsecを利用した閉域VPN接続します。(1G回線)
    • 校内ネットワークからは校務用のVLAN10(172.21.0.0/24)のみ、閉域VPN接続先のローカルアドレス(192.168.1.0/24)に接続可能です。
    • 閉域VPN接続先からは、校務用のVLAN10(172.21.0.0/24)のみ接続可能です。
【RADIUSクライアント (NAS) の設定について】
  • コアスイッチ SWX3220-16MTにて、以下コマンドでRADIUSクライアント (NAS) の設定をしてください。
    ( 本コマンドで設定したRADIUSクライアント (NAS) 情報は、コンフィグには表示されません。設定内容は、"#show radius-server local nas" コマンドで確認きます。)
    IPアドレス 172.16.0.0/24、共有パスワード※ "(RADIUSシークレット)" のRADIUSクライアント (NAS) を追加する。
    SWX3220>enable
SWX3220#configure terminal
SWX3220(config)#radius-server local-profile
SWX3220(config-radius)#nas 172.16.0.0/24 key (RADIUSシークレット)
※ 共有パスワードは、128文字以内、\ [ ] " ? スペースを除く半角英数字・半角記号を使用してください。
【RADIUSサーバーのユーザーの管理について】
  • 802.1X認証 (EAP-TLS) につきまして、各ユーザー毎にダイナミックVLANを設定してください。校務用でしたらVLAN10、学習用でしたらVLAN20となります。
    認証が通りましたら、設定したダイナミックVLANでアクセスが可能となります。
  • 無線での802.1X認証 (EAP-TLS) につきましては、各ユーザー毎 (校務用/学習用) に接続先 SSIDを設定してくだい。
  • 1F職員室のフロアスイッチ (SWX2322P-16MT) の認証ポートに接続されているアクセススイッチ (SWX2210-24G x2台) につきましてMAC認証にてユーザー登録をしてください。
    当該アクセススイッチがユーザー未登録の場合は、LANマップからGUI参照できなくなります。
  • 1F職員室のフロアスイッチ (SWX2322P-16MT) の認証ポートに接続する校務用複合機と、サーバールームスイッチ (SWX2320-16MT) の認証ポートに接続する校務用/学習用サーバーにつきましてMAC認証にてユーザー登録をしてください。
【WLX413/WLX222のサンプルコンフィグについて】
  • 構成例ではWLX413 x4台、WLX222 x15台を使用しておりますが、クラスター構成で設定内容が共通となるため、各機種につき1個のサンプルコンフィグを掲載しています。

関連情報

トップへ