エンジニアのYoshinobuと申します。

弊社は昨年の11月にオフィスを移転したのですが、このオフィス移転にあたり、社内のネットワークを再編する必要がありました。私自身はネットワークエンジニアではないのですが、専門のネットワークエンジニアもいないため、試行錯誤をしつつ社内ネットワークの構築を行いました。調べてみると、思ったよりこの手の具体的な情報は少なく、実際の事例もそれほど見当たらないようです。そこで、本記事ではそのネットワーク構築の概要を紹介したいと思います。

新オフィスネットワークの要件

新オフィスのネットワークを設計するうえでの主な要件を以下にまとめました。

最大で150クライアントくらいが接続しても支障のないネットワークの構築

弊社のオフィスでは、現在、正社員+アルバイト・インターンを合わせると、90名近くのメンバーが働いています。基本的に1人1台PCを持っていることに加えて、弊社ではスマートフォン向けのアプリポータルサイトであるApplivを運営しているため、モバイル端末の接続も相当数あります。さらに社外からいらっしゃったお客様や、社内で開催するセミナー等に来社された方が利用することも考えると、150クライアント程度が接続しても十分なネットワークであることが求められます。

全社どこでも快適に使用できる無線LANの提供

弊社では会議のみならず、PCを持ち寄って軽い打ち合わせをする機会が頻繁にあります。ちょっと場所を移動した際にも支障なくネットを使用できることは業務上も重要です。

社内ネットワークとゲスト用ネットワークの分離

社内で使用するネットワークの他、社外からいらっしゃったお客様がネットワークを利用することもあります。ゲスト用ネットワークを用意するわけですが、ゲスト用のネットワークから社内用のネットワークにアクセスできてしまうとセキュリティ上問題なので、この間のアクセスは遮断されていなければなりません。

特定セグメントのみ別回線を利用できる環境

弊社で利用しているネット回線は2回線あり、そのうち1回線は通常の回線、もう1回線は、特定の用途で接続する回線として敷設しています。完全に独立したネットワークとして構築することもできますが、その場合には社内用ネットワークからそれらのネットワークへのアクセスができなくなります。これらを両立するには、社内のネットワークは接続しつつ、接続する回線を別にするという構成にする必要があります。

実際のネットワーク構成

上述のような要件のもと、弊社では以下のようなネットワークを構築しました。

全体像としては、以下のような構成になります。ネットワークの論理構成を表した図

WAN側への接続にはそれぞれの回線に対してアクセスルータを設置するとともに、内部のルーティングはL3スイッチを中心に行う構成です。

アクセスルータについてはヤマハのRTX1200を使用しました。L3スイッチはアライドテレシスのAT-x510-28GPXです。無線アクセスポイントはフルノシステムズのACERA 800STを4台使用しました。

セグメントとVLAN

要件として挙げたように、業務時に社員が使用するセグメントと、ゲスト用のセグメントは分離しておく必要があります。今回のネットワークでは、セグメントを以下のように設定しました。

セグメント VLAN ID 用途
192.168.20.0/24 20 通常業務用
192.168.30.0/24 30 別回線への接続用
192.168.40.0/24 40 ゲスト用

オフィス内には業務で使用するサーバやネットワーク接続された複合機、プロジェクター等のデバイスも存在します。人数の増減やPCの入れ替えなどもありちょくちょく新しい設定を入れる必要が出てくるので、できるだけ簡単に機器を利用できることが望まれます。デバイスとクライアントPCのセグメントを分離してしまうと、ブロードキャストドメインが分離し機器の探索が出来なくなるため、これらのデバイスも通常業務用のセグメントに入れています。

セグメント間のアクセスポリシー

各セグメント間のアクセスポリシーとして、ゲスト用のセグメントとは接続できないようにします。AT-x510-28GPXのハードウェアアクセスリストを利用して、特定インターフェイスからゲスト用のセグメントへ出入りするパケットの通過を禁止しています。

192.168.20.0/24 192.168.30.0/24 192.168.40.0/24
192.168.20.0/24 許可 許可 禁止
192.168.30.0/24 許可 許可 禁止
192.168.40.0/24 禁止 禁止 許可

無線アクセスポイントの接続

無線アクセスポイントはフルノシステムズ製のACERA 800STを4台設置しました。ESSID毎にVLAN IDを設定することができるので、L3スイッチとアクセスポイントをトランクポートで接続すると、ESSIDによって接続する端末のセグメントを変更することが出来ます。

無線のセグメントは、基本的に有線のセグメントと同じように設定しました。先にも述べた通り弊社では業務中にちょっとした打ち合わせをする機会がよくあります。すると自席では有線を使用、ミーティング時は無線を使用というような無線と有線の切り替えが必要になるのですが、その際に別のセグメントになってしまうと社内サーバへのアクセスや、先に述べたデバイスへの接続にも支障が出てしまいます。無線のセグメントと有線のセグメントを統一しているのは、そういった煩わしさを避けるためです。

特定セグメントのパケットを別ルートで転送するポリシー設定

今回設計したネットワークでは、原則デフォルトゲートウェイをL3スイッチにしておき、L3スイッチからのルートを送信元のセグメントに応じて振り分けることにしました。

ただし通常の場合、デフォルトルートは1つしか設定出来ません。今回はVLAN IDとネットワークのセグメントを統一していること、アライドテレシスのAT-x510-28GPXは送信元のVLAN IDを利用したポリシーベースルーティングで別のホップ先を指定することができるので、これを利用してWAN回線の切り分けを実現しました。

セグメントによるトラフィックの分離

実際に運用してみて遭遇した問題

無線ネットワークの安定性

今回利用したアクセスポイントACERA 800STは、IEEE802.11b/g/nで使用する2.4GHz帯とIEEE802.11a/nで使用する5GHz帯のデュアルバンド対応です。最初は、両方のバンドをフル出力にしたうえで利用していたのですが、実際に利用してみると、2.4GHz帯の利用時に繋がりにくいという状況になりました。中でも、アクセスポイントの真下で接続しているにも関わらず繋がりにくいことがあり、単純に電波が通らないといった問題ではないようでした。

2.4GHz帯のバンドは13チャンネルあり、一般的には隣接するエリア間では4〜5チャンネルほど離して設置することが推奨されます。今回もチャンネルの干渉がないように各アクセスポイントを配置していたので、おそらくそれとは別の原因と推定しました。

調べてみると、オフィスの端でも、そこから最も遠いアクセスポイントのBSSIDまでもが十分に拾えてしまっていることが分かりました。弊社オフィスの端から端までの距離はおおよそ40mほどあり、さすがにそこまでは届かないだろうと踏んでいたのですが、想定外に電波が飛んでいたようです。

電波のカバー領域が想定以上に重複

今回使用したアクセスポイントはデュアルバンドに対応しており、5GHz帯は内蔵アンテナ、2.4GHz帯は外付けアンテナを使用していました。2.4GHzの方が回折しやすく障害物にも強いので、到達範囲が広いことと、内臓アンテナ・外付けアンテナそれぞれの特性が違ったことが原因しれません。

試行錯誤の末、一部アクセスポイントで2.4GHz帯の出力を無効にすることで対処しました。出力を下げつつ、全てのアクセスポイントを同じ出力強度にしてもよいのですが、その場合はBSSIDの境界領域でローミングが発生することになります。それよりは多少電波強度が不均一でも、ローミングがなるべく発生しないようにSSIDを組むことがより望ましいのではないかと考え、アクセスポイントの数を減らす措置を取っています。

SkypeのショートパケットによるNATテーブルの飽和

実際に社内ネットワークを運用してみてから顕在化したのが、Skypeによるアクセスルータへの負荷問題です。今回の移転で、これまで2つに分散していた弊社の拠点が1カ所になりました。その結果、始業時などSkypeのパケットが急激に増加した際、WANを通過するスカイプのショートパケットが大量に発生し、RTX1200のNATテーブルを上限近くまで消費するような状況となりました。この問題についても対処したのですが、こちらは長くなるので別の機会に紹介したいと思います。

その他、このようにしておけばよかったというポイント

今回のネットワーク構築では、いろいろと試行錯誤のうえで進めたこともあり、後から見直したときにこうしておけばよかった、と思うポイントがいくつか存在します。以下に述べるポイントについては機会があれば設定し直したいと思っています。

VRRPでのルータ冗長化

今回のケースでは、予め決められた異なる目的の2回線を利用するのに2つのアクセスルータを使用していたのですが、どうせならVRRPでルータと回線の冗長化をしておけばよかったなと思っています。実は今回の構成では、2台のRTX1200を別のセグメントで運用してしまったので、VRRPでのルータ冗長化はできないのですが、機会があればこの構成は見直したいと思っています。

2.4GHz帯と5GHz帯でのESSID分離

今回は2.4GHz帯と5GHz帯で同じESSIDを利用できる設計としたのですが、これは分離しておいたほうが、利便性の面で有利でした。2.4GHzと5GHzの両方に対応している端末の場合、どちらの周波数帯の無線も利用することが可能です。しかしMacなどの端末では、どのバンドを使用可能か選択できるのはESSIDになるので、例え両方のバンドが利用可能だったとしても、そのうちの任意の1つしか利用することはできません。

往々にして2.4GHz帯は干渉や電子レンジなどの影響も受けやすく、5GHz帯の方が安定して繋がるようです。さらに弊社オフィスでは、2.4GHz帯と5GHz帯両方とも社内全域で利用できるので、どちらのバンドを利用するかは各ユーザが選択できるようにしておくことが望ましいでしょう。

最後に

ベンチャー企業であれば、このように社内に無いノウハウを自分らでなんとか形作る、といった状況に日々出くわします。社内に無い領域のことをやるのは、特に取り組んでいる最中は、本当にそれが正解なのか分からないといった不安と隣り合わせです。ただ、このように未経験の領域に飛び込む必要性と、それに取り組める機会が与えられることは、ベンチャー企業でエンジニアをやる一つの魅力だと思っています。こういった環境で働きたいと思う方が入れば、是非こちらからご応募ください。

また、ネットワークを専門にしている方の意見等があれば、ぜひ頂戴できると幸いです。