社内ネットワーク大改革! オフィス全面フリーアドレスまでの道のり

はじめまして、インフラチームの内田です。主に社内ネットワークを担当しています。
ウィルゲートは2017年5月にオフィスを移転し、スペースの有効活用とコミュニケーションの活性化を目的に「フリーアドレス」を導入しました。
この時に行った大幅な社内ネットワークの変更事例についてご紹介します。
同じ事例などでお困りの際、少しでも参考になれば幸いです。

 

移転前のネットワーク状況

プロバイダ数最大6つ!

移転前にはプロバイダを最大で6つ契約しており、このうち2つが固定IP用、残りの4つが社員や来客者用の回線として利用していました。
帯域を考慮して部署ごとに回線を分けてインターネットへ接続を行っていたため回線契約がこんなに多くなってしまい、
なかにはマンションタイプなどの業務用途ではない物もあったために通信速度にも差がありました。

そして組織変更や異動等に合わせて社内の席替えを行う時、机や人の配置状況によっては床下の配線をたびたび直すことがあるので、
席替えにあわせて床のカーペットやブロックを剥がしてLANケーブルの配線をやり直すなど、作業的には結構な負担になっていたのを覚えています。

有線LANと無線LAN

社内ではファイルサーバやプリンタ等の共有物も含め、もともとは全て有線LANでネットワークに接続されていました。
そこに「来客者もインターネット接続できる環境が欲しい」という要望があがり、ゲスト用の無線LANが後から追加されることに。

その際に来客者セグメントを分割し、来客者が社内ファイルサーバ等にアクセスできないように制限するなど、セキュリティを担保しつつ、
認証方式もWPA2-PSKという一般的なID/Password認証を採用し、定期的にパスワードを変更する運用を行っていました。

しかし社内にノートPCの利用者が増えてきて無線LANのニーズが高まり、いつしか「普段は無線LAN、ファイルサーバなどに用がある時は有線LANに接続」のような使われ方が普及し始めていました。

 

オフィス移転に向けて

移転後のネットワーク要件

大きく分けて3つの要件が挙がりました。

  • フリーアドレスを導入、全面的に無線化。
  • 通信速度は移転前と同じ程度の速度を維持、業務に支障のないように。
  • ファイルサーバ等へのアクセスは社員のみ可、ゲストはインターネットのみ利用可。

フリーアドレス、通信速度に関しては要件に応えられるアクセスポイントや回線を用意すれば良い話なのでそれほど難しい話ではありません。
ですが、3つ目のアクセス制限は有線LANと無線LANで用途を分けていたから容易に実現できていたものの、無線LANのみの場合オフィスビルの外にも電波が飛ぶため物理的な制限は出来ません。
どのようにして社員と社員以外を区分するのか考える必要がありました。

 

フリーアドレスに向けて思ったこと

正直なところ、全面的にネットワークを目視できない物に変えていくのは恐怖でした。
今までネットワークの不具合が起きた時にどこが悪いのか物理的に確認できて分かりやすかったのですが、無線ではそうは行きません。

しかし床下配線などの作業から解放されるとともに、何よりも自分の手で社内ネットワークを再構築出来るという所にモチベーションが上がりました。
またオフィス移転自体が滅多にあることではないのでいい機会と捉え、さらにプロバイダの見直しやネットワーク上の問題点を解消させたいと考えました。

 

社内NW構成変更

1. プロバイダ見直し

とりあえず6回線もあるプロバイダを見直すところからはじめました。
基本的には今までと同じように社員用・ゲスト用の2回線に限定し、それ以外は廃止。
加えて社員用の回線は可能な限り広い帯域の物を用意し、通信速度の低下を避けるため2GBの回線を用意しました。

また移転後は全面的に無線化されるため、オフィス内外の電波干渉についても考慮しました。
ネットワークが不安定になることを回避するため、社員用は5Ghz、ゲスト用は2.4Ghzと棲み分けさせます。

2. マルチSSIDとVLANで社員用・ゲスト用を分割

移転後は社員用・ゲスト用ともに無線LANとなるため、何らかの形で明確に分けておく必要がありました。
しかし社員用・ゲスト用毎にアクセスポイントを用意すると台数が2倍になり、管理コストが跳ね上がります。

そこで1つのアクセスポイントに2つのSSIDを割り当てるマルチSSIDを採用し、VLANによって仮想的にセグメントを分割。
さらにL3スイッチとルータで、VLAN毎に利用する回線を分けるように設定しました。

3. PoEを活用、アクセスポイントを天井に

移転前はコンセントから電源を確保してアクセスポイントを窓際等に設置していましたが、知らないうちにLANケーブルやコンセントを抜かれていた事もありました。
そこで移転後はアクセスポイントを天井に設置、オフィス内全体に無線が行き届くような場所に設置。
電源についてはLANケーブルを通じて給電できるPoE対応のアクセスポイントとハブを用意することで解決しました。

 

f:id:uchida-yuya:20180221161011j:plain

このように(人の手の届かない)天井に設置しています。
アクセスポイントには天井裏から伸びているLANケーブルが1本だけ繋がっており、PoEで電力を供給しています。

4. ルータ・PoEハブ・アクセスポイントのメーカーを統一

もともとルータはYAMAHA製品を使用しており、アクセスポイントには当初はBUFFALO製品を検討していました。
しかし機器の選定を続けていくうちに、ルータ・PoEハブ・アクセスポイントを同じYAMAHA製品で統一するとGUI上でアクセスポイントの設定や管理を行えることが分かりました。
かなり使えそうな手応えがあったため統一します。
実際使ってみた感想としてはかなり便利で、視覚的に社内ネットワークを管理出来るようになっています。

5. 無線の認証方式・WPA2-EAPでActiveDirectoryと連携

移転前は無線LANの認証方式にはWPA2-PSKを利用していました。
しかしそれはゲスト用の回線だったからこその運用なので、社員用のネットワークが無線となるとパスワード漏れの危険性が上がります。
退職者が出たらその都度パスワードの変更が必要となる等、管理上の問題が多数見つかったのでWPA2-PSKは廃止。

それでは何を認証情報に使おうかと考えた末に、社員のアカウントや端末を全て管理しているActiveDirectoryを利用出来ないかと考え、
アカウント情報と証明書のセットで認証を行うWPA2-EAPという方式を採用しました。

まずActiveDirectoryに認証サーバ(RADIUS)の役割を追加し、グループポリシーによって証明書を各端末に配布するように設定しました。
これによって、管理下の端末及びアカウントには配布された証明書を使用して認証を行い、社員用の無線LANに接続出来る状態が実現できます。
逆に、社内で管理されていない端末には証明書が配布されないので社員用の無線LANに接続が出来ません。
また退職者などActiveDirectory上にアカウントが無い場合も認証が通らず、社員用の無線LANに接続出来ないようになりました。
無線LANでもかなり強固なセキュリティ体制をつくる事が出来ました。

6. SPOFの解消、L3スイッチの冗長化

移転前はルータとL3スイッチは共に1台ずつしかなく、このどちらかが壊れた時点で社内のネットワークが停止する状態となっていました。
いわゆるSPOF(単一障害点)です。

このリスクを避けるため、まずはL3スイッチの冗長化から行うことにしました。
L3スイッチを2台新たに用意してVRRP設定によって冗長化を実現、1台が壊れたとしてもネットワークが停止する事態は発生しなくなります。

f:id:uchida-yuya:20180221161007p:plain

現在のネットワーク構成を簡単に図解したものがこちらになります。

L3スイッチについては冗長化出来ましたが、残念ながら時間の都合上ルータの冗長化は後日に見送られることになりました。

 

いざオフィス移転

移転完了、想定通りの挙動 と思いきや・・・

オフィス移転そのものは問題なく完了しました。
今回始めて導入したマルチSSID及びVLANも想定通りに稼働、社員用とゲスト用でネットワーク及び回線も分かれていました。
WPA2-EAPも順調で、社員は社員用ネットワークに接続できており、ゲストは社員用ネットワークに接続できていない状態でした。
想定していたとおりに動いてくれたので、とりあえず一安心したのを覚えています。

一安心していたのですが、直後に通信速度が極端に遅いという問題が発生しました。
しかし調査開始とともにすぐさま原因は判明、アクセスポイントのファームウェアが最新の物ではありませんでした。
ルータ等のファームウェアは更新しておいたのですがアクセスポイントだけすっかり忘れていました・・・更新したら無事直りました。

今度は瞬断が頻発

通信速度は改善されたのですが、今度はネットワークから瞬断されるクライアントが多数発生。
ログをチェックすると「PMKcacheの有効期限が300秒で切れました」というメッセージが頻発しており、アクセスポイントとクライアント間の接続が5分間隔程度で切断されていることが確認できました。
PMKcacheとは一度認証に成功したことをアクセスポイントにキャッシュとして持たせておき、有効期限内の再接続時に認証を省略させる機能です。
アクセスポイントの設定ではキャッシュの有効期限を12時間としているのですが一向に反映されません。

ひとまずメーカーに問い合わせしたものの、有効な回答を得られませんでした。
そこで認証サーバでキャッシュの有効期限をデフォルトから12時間に修正したところ、アクセスポイントにも設定が反映されて瞬断が起きることはなくなりました。

なお、後日メーカーからファームウェアに存在していたバグだったと回答を頂き、後に解消されたファームウェアが配布されていました。

またも瞬断が頻発、今度は何が悪いのか

5分間隔で瞬断される事象は解消されたにも関わらず、場所によっては変わらず瞬断されてネットが途切れるという人が発生していました。
もう一度ログを良く見てみるとDFSという単語が頻出しており、その直後にチャネルが強制変更されていることが分かりました。
DFSとは気象レーダーなどの電波と干渉してしまった際にチャネルを強制的に変更する機能です。
どうやら5GhzのW53,W56帯域は気象レーダーと競合してしまう帯域らしく、そこでチャネルが変わり切断されていたことが分かりました。

5Ghzの無線LANは通信速度の低下を避けるために5GhzはW52・W53・W56の帯域を利用して広いチャネル幅を確保していましたが、これが返って仇になったようです。
W53,W56帯域はチャネルが変更の度に瞬断されてしまうので、アクセスポイントの帯域をW52の中だけに変更。
かつオフィス内でチャネルの競合が起きないようにW52内でうまく再設定した所、瞬断騒動は収まりました。

現在は落ち着いて稼働中、ようやく一段落

色々と問題は起きてしまいましたが、現在では安定して稼働しています。
やはり有線LANから無線LANへと移行する上で原因追求の難易度や慣れてない作業などが多数ありましたが、それでも色々勉強になりました。
特に無線に関する技術や知識を多く学べました。

またフリーアドレスのおかげでオフィス内の配線はほぼなくなり、回線の数だけあったONUの数を減らすこともできたりオフィス内のどこに行ってもネットワークに接続できるようになったりと、いい感じに構築できたかなと実感しております。
まだルータの冗長化が残ってるので、準備ができ次第取り掛かりたいと思います。