OCUNET3 とは
大阪市立大学のネットワークシステムをOCUNETと呼びます。
その中でも、杉本キャンパス・梅田サテライトにて 2017年3月より運用の新しいネットワークを
OCUNET3
と呼んでいます。
従来のネットワークは、場所に紐づいたネットワークでした。
(例)杉本キャンパスのネットワークを a 、梅田サテライトのネットワークを b とすると、利用者は所属に関わらず、杉本キャンパスでは ネットワーク:a を利用し、梅田キャンパスでは ネットワーク:b を利用することになります。
OCUNET3では、場所ではなく、人(所属)に紐づき、認証による安全なアクセス制限を行います。
ネットワークの接続はすべて認証にもとづいて行われ、同じ情報コンセントを利用した場合でも、
例えば学生が教員ネットワークに入ることができないよう設計されています。
(例)利用者 A が認証により利用できるネットワークを a 、利用者 B が認証により利用できるネットワークを b とします。利用者 A, B は、認証により、杉本キャンパス または 梅田サテライト のどちらの情報コンセントを利用しても、利用できるネットワークにしか入ることができません。利用者 A は ネットワーク:a を利用し、利用者 B は ネットワーク:b を利用することになります。
詳細な利用方法はこちら
特徴・機能
最新技術「ネットワーク仮想化」「SDN (Software Defined Network)」を用いた、安全かつ自由度の高いネットワークの実現により、研究・教育のさまざまな要求に応じたネットワークを提供します。
また、プライベートネットワーク化や多様な認証によるネットワーク接続により、高いセキュリティを確保するだけでなく、「どこでもプライベートネットワーク」機能の提供など、利用者の皆さんが安心して利用できる環境を実現します。
学内のどこからでもネットワークが利用できます
これまで、ネットワークの利用は無線以外は研究室、事務室などの決められたで範囲のみ利用可能でしたが、OCUNET3 では情報コンセントがある場所で端末を接続し認証を行えば、どこにいてもネットワークが利用可能となります。
ネットワークの利用がより簡単になります
OCUNET3 では、原則としてすべての端末に自動的に適切な IP アドレスを割り当てますので、新しい端末を設置・接続した場合でも、特に設定を必要とすることなく、すぐにネットワークが利用可能となります。必要なのは認証に必要な ID とパスワードだけです(全学ポータルサイトにログインする時に使用する ID、パスワードと同じものです)。
安全性が格段に向上します
プライベート化と全学ファイアウォールによる強固なセキュリティ
OCUNET3 では、一般利用の端末はすべてプライベートネットワークに収容され、全学で設置されたファイアウォールと IDS(侵入検知、防御システム)により外部からの攻撃を遮断し、安全な環境で安心してネットワークを利用できます。
認証による安全なアクセス制限
ネットワークの接続はすべて認証にもとづいて行われ、たとえ同じ情報コンセントを利用した場合でも、例えば学生が教員ネットワークに入ることができないよう設計されています。
LAN管理者 の負担軽減
情報セキュリティ対策は全学的に一元化して行われることから、部局等の LAN管理者 の負担が軽減されます。
通信速度が速くなります
これまで部局から学術情報総合センターまでの通信回線は 最大1Gbps でしたが、OCUNET3 ではこれが 10Gbps に拡大されます。これにより、大容量のコンテンツも素早く送ることが可能になります。
トラブル対応が円滑になります
部局のフロアネットワークから学術情報総合センターの基幹ネットワークまでのネットワーク管理が一元化されることから、ネットワークの状況把握がより簡単になるため、ネットワークのトラブルが発生した場合でも円滑かつ速やかに解決することが可能となります。
独立したプライベートネットワークが構築できます
10,000 個の独立した仮想ネットワーク
OCUNET3 では、杉本キャンパスのネットワーク上で、複数の論理的なネットワーク(これを「仮想ネットワーク(VLAN)」と呼びます)を作成します。仮想ネットワークは杉本キャンパス全体で最大 10,000 個を独立して作成することが可能です。また、個別の仮想ネットワークは、ネットワーク機器、端末を自由に組み合わせて構成することが可能です。
※梅田サテライトでも上記仮想ネットワークが利用可能です。
教員ごとに割り当てられた独立したプライベートネットワーク
OCUNET3 では教員それぞれに仮想ネットワークを個別に割り当て、教員ごとに独立したプライベートネットワークを標準で構築できるようにします。これによって、従来研究室内にルータを設置して第3者からのアクセスを保護していた場合でも、ルータを設置することなく認証を行うだけで OCUNET3 が適切なアクセス制御を行い、安全なネットワークを実現することができます。
用途に応じた複数の仮想ネットワークと柔軟なアクセス制御
作成できる仮想ネットワーク数は十分に余裕があるため、「業務用ネットワーク」「研究用ネットワーク」「実験用ネットワーク」「講義・演習用ネットワーク」など、用途に応じて仮想ネットワークを複数作成することができます。また、仮想ネットワークへの端末のアクセス許可については、仮想ネットワークを作成した教職員が自由に決定することができます(OCUNET3Web申請システムによりWebから 設定が可能です)。アクセス許可は「ユーザ名」「MACアドレス」により行うことができます。
多様な利用シーンを実現する柔軟なネットワーク構成
例えば以下のような利用シーンが実現できます。
- 授業などでさまざまな機器を接続した実験環境を作りたいときは、授業用の仮想ネットワークを作成することで、外部からのアクセスのない安全な環境を簡単に構築することができます。
- 複数の部局の教員が参加する研究プロジェクトにおいて、プロジェクトメンバだけが利用可能な仮想ネットワークを作成することができます。
- 部局の教職員が共通して使用する機器(例えば複合機やネットワークハードディスクなど)を「部局共通利用仮想ネットワーク」に設置することで、それらの機器に対して教職員問わず簡単にアクセスすることができます。
- キャンパス全体に設置されたセンサ同士をつなぐネットワークを、既存ネットワークと論理的に分離した形で構築できます。特定の用途に特化したネットワークを安全に作ることができます。
「どこでもプライベートネットワーク」を実現します
認証情報にもとづく位置によらないネットワーク接続
作成した仮想ネットワークへの接続は、認証情報にもとづき行われます。このため、杉本キャンパス・梅田サテライトの情報コンセントのどこからでも、利用者の所属するプライベートネットワークに接続することが可能です。
物理的に離れた拠点間接続
研究室が物理的に離れている場合でも、認証によりそれぞれの研究室に設置してる端末を同じ仮想ネットワークに接続させることで、物理的に離れた機器間で同一のネットワークを構成することができます。
ダイナミックなネットワーク切り替え
複数の仮想ネットワークに接続可能な教職員は、認証情報を切り替えることで、接続したい仮想ネットワークを切り替えることができます。
具体的には、認証時にユーザ名の後ろに仮想ネットワーク名を付与することで、明示的に接続したい仮想ネットワークを指定することができます。
端末に応じて適切なネットワークに自動接続します
これまで研究室内でインターネットに公開する Web サーバ等 を運用したい場合、研究室内にルータを設置して NAT (Network Address Translation) などの設定を行う、あるいはグローバルアドレスを直接割り当てる、などの方法で行っており、以下のような問題がありました。
- グローバルアドレスを直接割り当てたサーバの場合、すべてのセキュリティ対策を自分で行わなければならず、負担が大きい。
- ルータを設置し、ルータ内部のネットワークにサーバを設置した場合、何らかの原因によりサーバが攻撃されると、内部のネットワークにある他の端末にも侵入される恐れがあるなど、セキュリティのリスクが高い。
- OCUNET3 ではこのような場合、サーバと一般端末をそれぞれ別の仮想ネットワークに所属させることができ、サーバに異常があった場合でも他の端末が影響を受けることはありません。また、仮想ネットワークへの接続は認証情報によって適切に切り替えられることから、例えばサーバと端末が同じスイッチングハブに接続されている場合でも、それらは別々のネットワークに接続されます。認証情報によって自動的にネットワークを分離するために、物理的な接続変更や端末の移動は不要です。
ポリシー・ガイドライン
現在準備中です。
用語集
LAN:限られた範囲内にあるコンピュータや通信機器、情報機器などをケーブルや無線電波などで接続し、相互にデータ通信できるようにしたネットワークのこと。
VLAN:1つの LAN 内に、物理的な接続形態とは独立に機器の仮想的なグループを設定し、それがあたかも1つのLANであるかのように運用する技術。
IP:複数の通信ネットワークを相互に接続し、データを中継・伝送して一つの大きなネットワークにすることができる通信規約(プロトコル)の1つ。
IPアドレス:インターネットやイントラネット(学内ネットワーク)などのIPネットワークに接続されたコンピュータや通信機器1台1台に割り振られた識別番号。
MACアドレス:通信ネットワーク上で各通信主体を一意に識別するために物理的に割り当てられた、48ビットの識別番号。ネットワークカード や 無線LANチップ などのネットワーク接続装置・部品ごとに製造時に割り当てられている。
グローバルIPアドレス:インターネットに直に接続された機器に割り当てられるIPアドレス。
プライベートIPアドレス:組織(学校や企業など)の内部で運用されるネットワーク上で各機器に割り当てられるIPアドレス。
DMZ:インターネットに接続されたネットワークにおいて、ファイアーウォールによって外部ネットワーク(インターネット)からも内部ネットワーク(組織内のネットワーク)からも隔離された区域のこと。
IDS:サーバやネットワークの外部との通信を監視し、攻撃や侵入の試みなど不正なアクセスを検知して管理者にメールなどで通報するシステム。
NAS:ネットワークに直接接続し、コンピュータなどからネットワークを通じてアクセスできる外部記憶装置(ストレージ)。学校や家庭内のLANで共有ファイルなどの保存に利用されたり、デジタルビデオレコーダー(HDDレコーダーやBlu-rayレコーダー)が動画の保存先として利用したりする。