Arubaで実現する快適！学校Wi-Fi日本ヒューレット・パッカード株式会社ネットワーク事業統括本部

2016/12/2

HPE Arubaとは？

2

グローバルでシェアNo.2のネットワークベンダー

L3 / L2 スイッチ製品 無線LAN製品

ルーター製品 ネットワーク監視製品

(HPE)

日本でも多くの学校様にお使いいただいております

校内Wi-Fiに求められる4つの要件

3

快適なWi-Fi

簡単な導入/運用

セキュリティ

自律型APとは違うコントローラー内蔵AP

全体を制御し、快適なWi-Fi環境を提供

多くの端末の同時接続が必要

Aruba IAPによる3つの簡単さ

かんたんな導入

かんたんな設定

かんたんな機器交換

IT専任でなくとも無線の状態が分かる

クライアントが快適に無線へ繋がっているかの確認

無線の見える化

Aruba IAPでできるセキュリティ対策

コントローラー内蔵ファイアウォールとアプリ識別によるアクセス制御

無線利用時間の制限

Aruba Instant AP (IAP)APだけで実現できるしっかり制御のWi-Fi環境！

4

ライセンス不要

学校ごとに50AP以内であれば一括制御可能

バーチャルコントローラ• APにコントローラ機能を内蔵

• AP1台から使える

• 電波干渉を防ぐ電波自動調整機能

• ステートフル ファイアウォール

• 不正 AP 検出

• 音声と動画に対するステートフルQoS

ウィザードによる簡単設定（完全日本語化）

クラウドサービスで監視も可能IAP特設サイト(リーフレットのダウンロードもこちら)

http://www.arubanetworks.com/ja/iap/

B社やF社のような自律型タイプにはありません！

グローバルメーカーの製品ですが、しっかり日本語対応

快適なWi-Fi環境

IAP対応製品ラインナップ最新規格のAPを導入頂くことで将来的も安心です

5

快適なWi-Fi環境

802.11ac Wave2対応屋内AP有線ポートつき802.11ac対応AP

802.11ac Wave1対応屋内AP

フラグシップWave2 AP

ハイエンドWave2 AP

スタンダードWave2 AP

エントリーWave2 AP

卓上設置対応11ac AP

コスパ重視11ac AP

Arubaなら最新規格のAPをはじめ豊富にラインナップしています。(他にも外部アンテナモデル、屋外モデルなど多数ご用意)

アンテナ内蔵のすっきりデザインで出っ張りもないため、生徒さんのいたずらによる故障の機会が少なくなります。

＜802.11ac Wave2とは?＞高速な802.11acの周波数を複数束ねてよ

り高速化。電波に指向性を持たせ、特定の端末との転送速度向上と電波干渉緩和を図るビームフォーミングのサポート。複数の端末と同時通信を行い通信効率を高めるMU-MIMO(Multi User-Multi input Multi Output)が実装された最新規格です。

工事費をできるだけかからないようにしたい、情報コンセントが1口しかない・・・そんな時には卓上AP！

6

快適なWi-Fi環境

スタンドを付けて卓上対応可能となり工事不要

802.11ac対応コントローラー内蔵AP

有線ポート3ポート搭載

Aruba IAP-205H

教室の情報コンセントはたいてい1口・・・APを付けると他の有線機器は使えない・・・

IAP-205Hなら有線しか対応していない機器も収容できます。

自律型APとの違い

7

・・・

一般的な自律型アクセスポイント

設定 設定 設定

Aruba Instant AP(IAP)

・・・

仮想コントローラにのみ設定

VC

設定情報の同期

自立型AP 仮想コントローラ

無線設定 1台づつ個別設定 仮想コントローラ(VC)のみ

ファームウェア管理 1台づつ個別設定 VCと自動的に同期

自動電波調整機能 ✕（なし）※近隣APと連動なし ◯（あり） ※近隣APと連動

動的なQoS機能 ✕（なし） ◯（あり）

802.1x認証環境におけるローミング対応

✕ (ローミング時、802.1xフル認証)※パケットロス大

◯ (シームレスなローミング）※パケットロス少

基本は個別設定で、専用ソフトウェアで設定などの一元管理は可能ですが、あくまでも管理のみで、電波調整などの制御は対応できません。

IAPなら、ちゃんと制御も行います。

快適なWi-Fi環境

インテリジェンスな自動電波調整機能（ARM）

8

CH1 CH1 CH1 CH6

干渉AP 干渉APAruba AP

干渉APにクライアントがいない（実通信なし）

干渉APにクライアントがいる（実通信あり）

いわゆる設定管理の一括化だけの自律型APには電波調整機能は無い Wi-Fiは干渉のパフォーマンス、安定性への影響が大きいため電波調整機能は必須 ArubaのARM機能では、干渉波とそこでの通信状況を見てAPの電波チャネルを自動変更

Aruba AP

快適なWi-Fi環境

9

最適な周波数帯を選択 負荷の少ないChannelを選択

Channel 11

Channel 6

Channel 1

X

最適なアクセスポイント 接続済みの端末も動的に移動

ClientMatch：業界初、様々な負荷分散機能を統合！

快適なWi-Fi環境

ClientMatchの効果：スループットの比較

10

詳細なレポート：http://www.arubanetworks.com/pdf/technology/TR_StickyClients.pdf

ClientMatch無し ClientMatch有り

• AP4台に50台の端末を接続した試験結果• ClientMatch無しだと負荷分散がうまくできず、一部の端末のパフォーマンス劣化が顕著になる

快適なWi-Fi環境

コンシューマ製品との違い

11

試験内容：複数端末が同時にhttpでファイルダウンロードを実施結果：（以下は1端末当りの平均スループット）

接続端末が増えると、圧倒的な差が出てくる

コンシューマ製品は接続端末数は数台が限度 学校向けにはエンタープライズ製品を選ぶ必要がある

0

5

10

15

10台 19台

Aruba B社

Mbp

s

端末数

※B社はコンシューマ中心企業

20倍以上の差！

快適なWi-Fi環境

完全日本語対応、シンプルわかりやすい設定画面

12

設定済みのSSIDの一覧

Virtual Controller配下のアクセスポイントの一覧(Virtual Controller自身も含めて表示)

接続している端末の一覧

Virtual Controllerの情報

RF情報

無線の使用率

簡単な導入/運用

IAPの設定画面だけでもAPやクライアントの状態を確認可能

SSIDの追加もウィザード形式で簡単！

13

簡単な導入/運用

①SSID名の入力 ②VLANの割り当て設定

③暗号化、認証などセキュリティの設定

④アクセス制御の設定

初期設定・AP追加/交換も簡単！

14

新規追加IAP

スイッチ (ネットワーク)へIAPを接続して起動

• 起動後、”Instant”というSSIDを自動でふく

• 最初に立ち上がったAPが仮想コントローラとして動作

接続、起動！

PCでInstant SSIDへ接続し、ブラウザを立ち上げGUIアクセス

• GUIで簡単にWLANを設定• 基本設定もシンプルで簡単

APの追加は同じL2ネットワークへAPを接続するだけ。

追加APは自動的に設定をダウンロード

ウィザードに形式で、画面に沿って設定していくだけ

設定のダウンロード

SSID: Instant

AP追加、交換時は接続するだけ！

新規追加IAP

SSID: Instant

仮想コントローラ

仮想コントローラ 仮想コントローラ

簡単な導入/運用

災害時の無線LAN解放も簡単避難所となる学校でインターネットアクセスを提供

15

災害時の解放用SSID

通常は「無効化」にチェックを入ておき、解放時はチェックを外すだけで、学校内の全てのAPで解放用SSIDを利用可能にできます。

簡単な導入/運用

Aruba IAPによるシンプルな導入

16

簡単な導入/運用

学校A(Group A)

学校B(Group B)

学校C(Group C)

・・・・・

管理サーバ(AirWave)

・学校Aの設定 (Group A)・学校Bの設定 (Group B)・学校Cの設定 (Group C)＊全学校を同じ設定にしたり、複数の学校を同じグループにしたりすることも可能。

IAP

IAP IAP

IAP

IAP IAP

IAP

IAP IAP

仮想コントローラでAPを集中制御。負

荷分散と電波自動調整機能で安定したWi-Fiサービスを提供

学校毎に独立した仮想コントローラで動作するため、WAN障害時もWi-Fiサービスを継続できる

設定やソフトウェアバージョン、障害時の対応などはAirWaveで集中管理が可能

セキュリティ対策暗号化+認証に加え、Arubaならアクセス制御も行えます！

17

セキュリティ

暗号化 WPA2-AES無線のデータを守る

MACアドレス認証(MACアドレスフィルタリング) 802.1X認証

ステルスAP機能Wi-Fiの存在を気づかせない

Wi-Fiへの接続を制限する

アクセス制御Wi-Fiへ接続した端末の

通信先を制限する

Arubaで実現できるワンランク上のセキュリティ対策

コントローラー内蔵ファイアウォール機能によるアクセス制限アクセス制御で高いセキュリティを確保

18

セキュリティ

生徒用のセキュリティプロファイル(ロール)を作成

生徒にアクセスさせたくないサーバーを設定し、拒否するよう設定

生徒に使わせたくないアプリケーション(YouTube, Facebookなど)を指定して拒否するよう設定 アプリケーションを識別できる

Aruba AppRF

多数のアプリケーションを識別し、制御することが可能

アクセス制限は上位のスイッチでアクセスリスト(ACL)を設定することが多いですが、Arubaでは端末に一番近いAPでアクセス制限が可能です！

Wi-Fi利用時間の制限SSID毎に利用可能な時間を制限できます。

19

セキュリティ

先生用SSID → いつでも利用可能生徒用SSID → 平日授業時間のみ利用可能

Wi-Fiを利用可能なスケジュールを設定

生徒用SSIDにスケジュールを適用

AirWaveによる監視のメリット

20

• 過去にさかのぼって確認

• ビジュアルでわかりやすい

• ユーザの健全性を常時監視

• 障害の予兆検知

確認したい時間を指定可能

無線の見える化

IAPの設定画面でもAPやクライアントの状態を確認できますが、AirWaveを使用すると教育委員会から各学校を一括して監視できます。

クライアントの状態診断が可能

21

機器、無線LANの状態管理だけでは無く、ユーザに提供しているネットワークサービスがどうなっているかを一括表示、確認することが可能ネットワークがユーザを識別することで、ユーザの状態を見える化できる

ユーザの位置情報を表示

ユーザの電波環境を表示

有線・無線を含めたネットワークの状態を一括表示（問題箇所は赤信号で表示される）

ユーザの無線LANアクセスの健康状態を表示

ユーザのトラフィック使用量を表示

日本語表記

無線の見える化

電波送出状況の確認

22

電波のふき具合の確認 電波が届いていないエリアの確認

各種情報をマップ上に表示可能

クライアントの位置

無線の見える化

クライアントの状況全体をグラフで表示

23

クライアントヘルス無線の混雑、荒れ具合

Client Health (%): 再送やドロップが大きくなるとヘルスチが下がってくる。クライアントの状態を確認するアルバ独自指標。

信号強度、ノイズ

速度

無線の見える化

クライアントがいかに健康的に無線LANに接続できている

かを把握できます。

Clarity

24

ネットワークの見える化をさらに強化

RF Health

Association Authentication DHCP DNS

クライアントが無線に接続して、利用できるまでのどこで失敗しているかを把握できます。

アソシエーションの成功or失敗 認証の成功or失敗

DHCPでIP取得の成功or失敗

無線の見える化

※IAPは将来対応予定です。

その他AirWaveの便利機能

25

無線負荷を確認：設置しているアクセスポイントの無線負荷状況をグラフに表示

増設や端末見直しが必要な箇所がすぐにわかる

アプリ可視化：使用トラフィックのアプリケーションを可視化。どのアプリが帯域を消費しているかすぐに分かる

傾向調査：トラフィック使用状況や端末数が、過去のトレンドから逸脱していないかどうかが一目で分かるため、異常時の即時対応が可能

コマンドの自動実行：ネットワーク機器のコマンドを定期的に自動取得。障害時などのログ収集に便利

ウォッチリスト：特定のユーザをウォッチリストに登録し、追跡調査が可能

無線の見える化

レポート機能：管理状況を定期的にレポート作成。PDFやCSV、メール形式で作成可能

認証サーバーも必要なら・・・高機能認証サーバーAruba ClearPass

26

• 認証方法(EAP-TLS,EAP-PEAP, MAC認証 etc…)

• 端末ベンダー• OS version• Macアドレス• Jailbreak ステータス

• 有線・Wi-Fi• 接続AP• 接続ポート

• 日時、曜日• 期間

• ユーザ• グループ• AD情報

ClearPass有線スイッチ

無線LANコントローラ

Radius• Role• VLAN• CoA

• Active Directory• SQL• MDM• HTTP• SSO• Syslog• Firewall• IT system• etc

802.1x/MAC認証/Web認証/etc

エンフォースメントポイント 認証/認可/アカウンティング 外部DB

セキュリティ補足

Aruba ClearPass Onboardで端末へ証明書配布を簡単に。セキュアな接続を実現

27

1. 登録用SSIDにアクセスすると、デバイス毎の登録サイトへリダイレクトされる

2. ユーザーがネットワーク接続ようIDでログインをするとネットワーク設定と証明書が自動にインストール

3. SSIDをクリックすると接続完了

Windows iOSAndroid

セキュリティ補足

【ご参考】Aruba (Instant AP) vs 某F社との比較

28

機能 Aruba Instant AP 某F社タイプ ○：APに仮想コントローラを内蔵 △：スタンドアロン型のみ

集中管理 ○：拠点毎の仮想コントローラ＋AirWaveで集中管理

△：管理サーバーは設定管理のみ

電波自動調整 ○：ARM △：AP単体で実施

負荷分散 ○：ClientMatch ×

Firewall ○：Roleベースのアクセス制御 ×

端末識別 ○：XPやゲーム機等を識別してアクセス禁止にする

×

アプリケーション識別 ○：アプリ毎の優先制御 ×

VPN ○：必要に応じてデータセンターとVPN接続可 ×

ArubaはAPだけでも集中制御が可能

「1台のAPで100台以上のタブレット、PC、スマホを同時接続可能」とアピールされているけど・・・• エンタープライズクラスのAPならどこの会社のAPでも100台くらいは余裕で接続可能です• 重要なのは、100台繋がった時の端末当りのスループットがきちんと確保できているか、APを複数台設置して

のチャネル設計や負荷分散させる制御機能• 単純に100台繋がるというメッセージだけは非常に危険

Thank youぜひHPE Arubaネットワークをご検討ください

29