校内ネットワークの設計 (小・中規模)
生徒数が360人程度(1クラス30名、計12クラス)、職員数が40人程度、
端末の台数が440台程度(端末の台数が生徒1人につき1台、職員1人につき2台)を想定した
校内ネットワーク(小・中規模)をヤマハネットワーク機器で構成した場合の例を以下に示します。
お客様の想定利用環境 ネットワークに対するお客様の要件 ネットワーク構成と設計のポイント ネットワーク機器のコンフィグ 関連情報
お客様の想定利用環境
- 校舎は1Fから3Fで、生徒数は360名程度(1クラス30名、計12クラス)、職員数は40名程度
- 端末の台数は、生徒1人につき1台、職員1人につき2台(有線端末1台、無線端末1台)程度
- 校舎には、普通教室の他に、特別教室、体育館、職員室、サーバールームを完備
- 職員が使用する複合機が2台
- 校務用のサーバーが2台、学習用のサーバーが2台
- IP電話が23台(別途IP-PBXあり)
- 監視用のIPカメラが6台
ネットワークに対するお客様の要件
- 安定した無線LAN環境のもとで、ストレスなくタブレットを使用した授業ができるようにしたい
- 不正な端末のネットワークへの侵入を防止したい
- 不要な時間帯に無線LAN APを停止することで電力消費を削減したい
- 校務系ネットワークと学習系ネットワークを分離して安全を確保したい
- 災害時の公衆無線LANサービスを提供したい
- ネットワーク管理者の保守・運用業務を軽減したい
ネットワーク構成と設計のポイント
ネットワーク構成図 (全体)
ネットワーク構成図 (2F)
ネットワーク構成図 (3F)
ネットワーク機器一覧
レイヤー |
種類 |
機種 |
台数 |
機能 |
---|---|---|---|---|
拠点ルーター | GbERTX1300 | 1 |
IPフィルター / DNSサーバー インターネット接続、閉域網への接続 |
|
コア | コアスイッチ | GbESWX3220-16MT | 1 |
VLAN間ルーティング / DHCPサーバー ACL / QoS LANマップによるLANの見える化 RADIUSサーバー |
ディストリビューション | フロアスイッチ |
GbESWX2220-10NT |
2 |
VLANによるセグメント分割 ループ発生時のループ防止 IEEE 802.1X認証を使用したユーザー認証 |
フロアスイッチ (PoE) |
GbESWX2322P-16MT |
2 |
VLANによるセグメント分割 無線LAN APへのPoE給電 IEEE 802.1X認証、MAC認証を使用したユーザー/デバイス認証 |
|
GbESWX2221P-10NT |
2 |
VLANによるセグメント分割 無線LAN APへのPoE給電 ループ発生時のループ防止 |
||
アクセス | サーバースイッチ |
GbESWX2320-16MT |
1 |
VLANによるセグメント分割 管理用端末、校務用/学習用サーバーの収容 MAC認証を使用したデバイス認証 |
アクセススイッチ |
GbESWX2210-24G |
2 |
VLANによるセグメント分割 ループ発生時のループ防止 |
|
アクセススイッチ (PoE) |
GbESWX2210P-28G |
1 |
VLANによるセグメント分割 IP電話、IPカメラへのPoE給電 ループ発生時のループ防止 |
|
無線LAN AP |
Wi-Fi 6WLX413 |
4 |
SSID毎にVLANを設定 プライバシーセパレーターによる災害時利用者間の通信遮断 RADIUSクライアントによるユーザー認証 |
|
Wi-Fi 6WLX222 |
15 |
SSID毎にVLANを設定 プライバシーセパレーターによる災害時利用者間の通信遮断 RADIUSクライアントによるユーザー認証 |
||
オブション | SFP+モジュール | YSFP-10G-SR | 2 |
マルチモード光ファイバーケーブルを使用時、 最大300mの接続が可能 |
ネットワーク設計のポイント
- インターネット接続と閉域網 (教育委員会向け) の接続は、拠点ルーターで実現し、LAN内のレイヤー3機能、IPアドレスの配布は、L3コアスイッチで実現
- インターネット10G回線と閉域網の1G回線を使用する
- Webアプリケーションサービスを多数の生徒が一斉に利用しても、ストレスなく快適な通信環境を実現
- NATセッション数が250,000に対応した10ギガアクセスVPNルーター (RTX1300) を採用する
- より多くの端末に高速で安定した無線LAN環境を提供
- 無線LAN APとして、Wi-Fi 6 対応モデル (WLX413/WLX222) を採用する
- PoE給電用フロアスイッチとして、2.5ギガビット/10ギガビット対応モデル (SWX2221P-10NT) を採用する
- スイッチのRADIUSサーバーを利用した認証機能により不正なデバイスからの侵入を防御
- 有線端末はIEEE 802.1X認証方式 (EAP-TLS) 、無線端末はWPA2エンタープライズ (EAP-TLS) 認証方式で接続端末を認証する
- スイッチのスケジュール機能と連携することで、PoE受電機器への給電を制御
- 学校の平日の開校時間のみ無線LAN APへPoE給電することで、開校時間外の電力消費を削減し、無線LANの不正使用を未然に防ぐ
- 校務用、学習用ネットワークの分割はVLANで実現
- VLAN定義は以下の通り
- VLAN1 (172.16.0.0/24) : 管理用
- VLAN10 (172.21.0.0/24) : 校務用
- VLAN20 (172.22.0.0/23) : 学習用
- VLAN30 (172.23.0.0/24) : IP電話用
- VLAN40 (172.24.0.0/24) : IPカメラ用
- VLAN50 (172.25.0.0/22) : 災害時モード用
- APの災害時モード切り替え機能を使用し、災害時統一SSIDを利用した公衆無線LANサービス「00000JAPAN (ファイブゼロジャパン) 」を提供
- LANマップを活用して日頃の保守・運用業務の軽減を図る
- GIGAスクールの要件であるSNMPによる管理機能にも対応
- シンプルな無線LAN管理を実現
- WLX413/WLX222に搭載されている「Radio Optimization機能」を有効にすることで、設定を無線環境に合わせて動的に変更し最適化する
- ヤマハ無線LANアクセスポイントと連携する「LLDP自動設定機能」を使用することで、接続されたWLX413/WLX222を自動的に認識し、LLDPによる死活監視を開始する
ネットワーク機器のコンフィグ
本構成のサンプルコンフィグを
こちら
から取得できます。
取得したファイルを解凍すると、以下の構成で、構成機器のコンフィグが格納されています。
ご活用下さい。
- school-small-middle-scale-config-ver1
- rtx1300
- rtx1300_config.txt
- swx3220
- swx3220-16mt_config.txt
- swx2320
- swx2320-16mt_1f_server-room_config.txt
- swx2322p
- swx2322p-16mt_1f_staff-room_config.txt
- swx2322p-16mt_1f_gym_config.txt
- swx2220
- swx2220-10nt_2f_config.txt
- swx2220-10nt_3f_config.txt
- swx2221p
- swx2221p-10nt_2f_config.txt
- swx2221p-10nt_3f_config.txt
- swx2210
- swx2210-24g_1f_staff-room_01_config.txt
- swx2210-24g_1f_staff-room_02_config.txt
- swx2210p
- swx2210p-28g_1f_staff-room_config.txt
- wlx413
- wlx413_cluster_config.txt
- wlx222
- wlx222_cluster_config.txt
- rtx1300
本コンフィグは、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。
【拠点ルーターRTX1300の設定について】
ご利用いただく際には、十分に評価・検証を実施してください。
【拠点ルーターRTX1300の設定について】
- 閉域網はフレッツ光ネクストを利用した閉域VPNサービス「フレッツ・VPNワイド」を使用しています。
- 以下の通りフレキシブルLAN/WANポート設定しています。
- 「lan1=ポート2-8,10、lan2=ポート9、lan3=ポート1」
- lan2にpp2(PPPoE接続)設定して、インターネットへ接続します。(10G回線)
- lan3にpp1(PPPoE接続)設定して、フレッツ・VPNワイド (端末型払い出し) + IPsecを利用した閉域VPN接続します。(1G回線)
- 校内ネットワークからは校務用のVLAN10(172.21.0.0/24)のみ、閉域VPN接続先のローカルアドレス(192.168.1.0/24)に接続可能です。
- 閉域VPN接続先からは、校務用のVLAN10(172.21.0.0/24)のみ接続可能です。
- コアスイッチ SWX3220-16MTにて、以下コマンドでRADIUSクライアント (NAS) の設定をしてください。
( 本コマンドで設定したRADIUSクライアント (NAS) 情報は、コンフィグには表示されません。設定内容は、"#show radius-server local nas" コマンドで確認きます。)
IPアドレス 172.16.0.0/24、共有パスワード※ "(RADIUSシークレット)" のRADIUSクライアント (NAS) を追加する。
SWX3220>enable SWX3220#configure terminal SWX3220(config)#radius-server local-profile SWX3220(config-radius)#nas 172.16.0.0/24 key (RADIUSシークレット) ※ 共有パスワードは、128文字以内、\ [ ] " ? スペースを除く半角英数字・半角記号を使用してください。
- 802.1X認証 (EAP-TLS) につきまして、各ユーザー毎にダイナミックVLANを設定してください。校務用でしたらVLAN10、学習用でしたらVLAN20となります。
認証が通りましたら、設定したダイナミックVLANでアクセスが可能となります。 - 無線での802.1X認証 (EAP-TLS) につきましては、各ユーザー毎 (校務用/学習用) に接続先 SSIDを設定してくだい。
- 1F職員室のフロアスイッチ (SWX2322P-16MT) の認証ポートに接続されているアクセススイッチ (SWX2210-24G x2台) につきましてMAC認証にてユーザー登録をしてください。
当該アクセススイッチがユーザー未登録の場合は、LANマップからGUI参照できなくなります。 - 1F職員室のフロアスイッチ (SWX2322P-16MT) の認証ポートに接続する校務用複合機と、サーバールームスイッチ (SWX2320-16MT) の認証ポートに接続する校務用/学習用サーバーにつきましてMAC認証にてユーザー登録をしてください。
- 構成例ではWLX413 x4台、WLX222 x15台を使用しておりますが、クラスター構成で設定内容が共通となるため、各機種につき1個のサンプルコンフィグを掲載しています。