| エンタープライズ:ニュース | 2003/05/06 23:21:00 更新 |
ワイヤレス・ゲートウェイ対ワイヤレス・スイッチ
Networld+Interop LasVegas 2003では、セキュリティと管理、ローミングを無線LAN環境で実現すべく、ワイヤレス・ゲートウェイとワイヤレス・スイッチが展示を競った。
Wi-FiアライアンスによるWPAの提案と認定プログラムの開始によって、無線LAN環境でセキュリティを確保するための手段に、一定のめどが立ったといえるだろう。
ただしこの仕様は、あくまで製品に対し、仕様に沿って動作することを保証したもの。今後の導入において、WPA準拠製品を選択するのが望ましいことはいうまでもないが、実際にシステム要件を詰めていく際には、運用・管理も踏まえた全体の適切な設計がポイントになる。有線のネットワークも含めた既存のインフラをどのように生かし、どんな形で無線と統合していくかが問われるところだ。
この際、重視すべき要素がいくつかある。Networld+Interop LasVegas 2003で製品を紹介した各社の話を総合すれば、それは大きく3つに分かれるだろう。1つめはもちろん、認証、認可やアクセス制御も含めた「セキュリティ」だ。残る2つは、アクセスポイントや端末の適切な「管理」と、透過的な、それでいてセキュリティは確保しながらの「ローミング」だ。
今回の展示会では、ざっと見た限りでも10社以上の企業が、セキュリティと管理、ローミング(モビリティ)という3つの要素を実現するとうたった製品を披露していた。ここでは一連の製品を、大きく2つのタイプに分類して紹介したい。
ワイヤレス・ゲートウェイ型
ワイヤレス・ゲートウェイ型の製品は昨年のNetWorld+Interopに登場し、注目を集めた。ブルーソケット、リーフエッジ、バーニ・Ε優奪肇錙璽D喉,覆匹隆覿箸「海離織ぅ廚寮宿覆鯆鷆,靴討「蝓△修梁燭C魯▲廛薀ぅ▲鵐好織ぅ廚任△襦YGC蓮▲僖侫@璽泪鵐垢鮃發瓠△茲蠡腟ハ呂淵優奪肇錙璽C悗粒板イー椎修並2〜3世代目の製品が紹介された。
ワイヤレス・ゲートウェイ型ではまず、無線LAN部分と既存の有線ネットワークとの間に一種の「ゲートウェイ」を設置する。アクセスポイントはこのゲートウェイを経由して、既存のネットワークに接続される。そしてバックボーンネットワーク側には、ユーザー情報とポリシーを格納した「管理サーバ」を配置する。ゲートウェイと管理サーバの2つが連携することで、セキュリティとマネジビリティ、ローミングを可能にしている。
無線LANを利用するユーザーは、まずゲートウェイ経由で認証を行う。認証後にはじめてアクセスポイントから先への接続が許可されるとともに、IPSecによって通信路が暗号化される仕組みだ。このとき同時に、アクセス制御、帯域制御やローミングといった機能も実現される。いずれの製品も、RADIUSやWindowsドメイン/Active Directoryなど、既存の認証システムと連携を取れるとしている。
この仕組みでは、管理サーバ側でユーザー情報を一元的に管理でき、いつ、誰がどのアクセスポイントにログインしたかといったログ情報を把握できることもメリットの1つだ。また後述する「ワイヤレス・スイッチ型」製品に比べると、基本的にはどこのアクセスポイントを用いても機能を実現でき、ベンダーにとらわれることがない点が特徴となる。またそれぞれが大学、企業などで実績を積んでおり、
ワイヤレス・スイッチ型
昨年、このタイプの製品を披露したのはシンボル・テクノロジーズ1社だけだったが、今年は一転、実に多くのベンダーが参入している。
「元祖」ワイヤレス・スイッチ製品、シンボルの「Mobius」ワイヤレスシステムの「Axon」
それも、エクストリーム ネットワークスやノーテルネットワークスといった既存の大手ベンダーと、アルーバ・ワイヤレス・ネットワークスやエアスペース、トラピーズ・ネットワークス、チャントリー・ネットワークスなどなど、数多くの新興企業が勢力を争っている状態である。
このタイプのアーキテクチャだが、無線LANアクセスポイントはまず「ワイヤレス・スイッチ」に接続される。そしてこのワイヤレス・スイッチ自身が、背後にあるRADIUSサーバなどを参照しながらユーザー認証を行い、アクセス制御やポリシーの適用、ローミングといった処理を実現する。
ワイヤレス・ゲートウェイ型が、どちらかといえばバックボーンネットワーク側で制御を行っていたのに対し、ワイヤレス・スイッチ型では、エッジ、つまりアクセスポイントに直結するスイッチの部分で“インテリジェント”な処理が行われる。間に余分なアプライアンスを配置する必要がなく、シンプルなネットワーク構成を実現できることが特徴だ。また、許可されていない不正なアクセスポイントやクライアントを見つけ出すことも可能という。
この認証プロセスに関しては、各スイッチがRADIUSを見に行く代わりにスイッチ同士で情報を共有し、負荷を減らすもの、あるいは独自技術によってEAP認証プロセスのステップ数を減らしているものなど、ベンダーがそれぞれ工夫を凝らしている。また、チャントリーのように、ルータとして動作する製品を提供することで、サブネットをまたぎ、より広範なモビリティを実現できると主張するベンダーもある(その意味で、ワイヤレス・“スイッチ”というカテゴリは不適切かもしれない)。
ただ、ワイヤレス・スイッチ型にも難点がある。スイッチとアクセスポイントがセットになっているのだ。各社とも「他のベンダーが提供するアクセスポイントでも利用できる」と主張するが、実際には通信することはできても、それぞれが特徴としている管理・機能の点でいくつか制限が生じるという。
なお、ワイヤレス・スイッチ型の製品を提供するベンダーの中には、エアスペースやトラピーズのように、建物の間取りにしたがって、適切な無線LANアクセスポイントの配置を提案するツールを提供しているところもある。こうしたツールはいずれも、どこにアクセスポイントを置けばどの程度の強度の電波が得られるかをグラフィカルに表示するもので、従来のようにクライアントを持って歩き回りながら場所決めを行う必要はなくなる。
日本への進出を既に決定したアルーバの「ARUBA 5000」と「同800」
各社とも日本市場への進出には意欲的だ。中でもアルーバは既に日本法人設立の準備を進めており、7月をめどに設立の予定という。
関連リンク
Networld+Interop LasVegas 2003[高橋睦美,ITmedia]
