UTNET 東京大学情報ネットワークシステムロゴ

UTNETについて

最終更新:

1.情報ネットワークシステム(UTNET)

2001年度から新たに運用を開始した東京大学情報ネットワークシステム(UTNET)について紹介します。

2.ギガビットクラスへの高速化

2.1 基幹ネットワーク

本郷地区には、五箇所のハブサイト(情報基盤センター、電話庁舎、附属図書館、工学部8号館、農学部3号館)にギガビットスイッチが設置され、情報基盤センターを中心にスター型にネットワークが構成されています。各郊外地区についても、各ハブサイトにギガビットスイッチが設置され、専用回線を介して本郷地区と接続しています。また、遠隔研究施設についても要望に応じて本郷地区との接続性を確保しています。

2.2 支線ネットワークとの接続

各支線への接続については、各建物にレイヤー2スイッチを設置し、ギガビットスイッチ(L3)と接続しています。

支線のスイッチ(L2 SW)とギガビットスイッチ(L3 SW)との間は、各支線が必要とする帯域幅に応じて100Mbps、または1Gbpsで接続されています。支線のスイッチ(L2 SW)から支線内への接続についても、各支線ごとの事情に応じて10Mbps/100Mbps/1Gbpsの各速度で接続しています。

2.3 VLAN対応

UTNETではVirtual LAN(VLAN)への対応も本格的に行なわれています。これまでは、部局や研究室が複数の建物やキャンパスに分散して配置されている場合、原則としてサブネットは別々になっていました。VLAN化により、こうしたケースでも部局や研究室のまとまりごとに同一のサブネットに収容することが可能になりました。例えば建物間を移動しても、同一サブネットに属する場所からの利用であればDHCPや各種アプリケーションの設定などを変えずに済むため、利便性が向上すると期待されます。

2.4 キャンパス間、対外ネットワーク接続

最後にキャンパス間、および学外への接続についてですが、キャンパス間用と対外用のギガビットスイッチを設置し、これまでのATM接続に加え、幹線速度10GbpsのSuperSINETをはじめとしたより広い帯域による接続に対応しています。

3.セキュリティ対応

3.1 セキュリティ対応の必要性

高速性とともに、最近のネットワークおいてはセキュリティへの対応も重要なことがらの一つです。東京大学においてもセキュリティインシデントは日常茶飯事と言っても過言ではないほどに頻繁に発生しています。特にコンピュータへの不正侵入、電子メールやWebページを通じてのウィルス感染は深刻な問題で、侵入や感染を受けた側の被害はもとより、学内や学外への不正アクセスの踏台となることも珍しくありません。

しかし一方で、セキュリティを厳重にすることは利用者の利便性低下にもつながります。一般論としていえばセキュリティ対策の要点は安全性と利便性のトレードオフといえますが、東京大学のように多種多様な部局が存在している環境では、このトレードオフのバランス点を一つに収束させることは容易ではありません。

3.2 階層的なフィルタリング

このため、UTNETではセキュリティに関する対応を3つの層に分けて考えています。1つ目は基幹部分での対応、2つ目は支線との境界での対応、3つ目は支線内での対応です。ここではまず、ネットワーク上のサービスの種類や宛先に応じて、必要でないパケットや危険性の高いパケットを指定してふるい落とす、フィルタリングについて紹介します。

フィルタリングについては、1つ目の基幹部分での対応は機器の用意と運用をUTNETが担当し、2つ目の支線との境界での対応はUTNETが用意する機器を支線で運用するという形になります。具体的には、事前調査で要求のあった支線について、支線スイッチ(L2 SW)と支線との間にフィルタリング機能をもつL2スイッチを設置しています。

これにより、基幹部分のギガビットスイッチ(L3 SW)でゆるやかにフィルタをかけます。その上で、各支線と基幹との接続点においてフィルタリング機能付L2スイッチで支線ごとに必要なフィルタをかける、という仕組を提供しています。

つまり、基幹部分でのフィルタについては危険度が高く共通性も高いものに限定して行なっておき、各支線ごとのニーズに応じてさらに必要な制限をかける、という考え方をとっています。フィルタリング機能付きL2スイッチでのフィルタ設定については、各部局の運用ポリシーに基づき各部局で運用しています。

3.3 不正侵入の監視

次に、基幹部分において不正侵入の試みを検知し、事前に予防する仕組みについて紹介します。UTNETでは不正侵入検知装置(Intrusion Detection System=IDS)を導入・運用しています。

IDSは、通常のネットワークアクセスでは発生しないようなアクセスパターン(例えばホストを順にスキャンしていく、など)を対象として検知し、警告を発するシステムです。東京大学内のコンピュータに対して不正なアクセスを試みている可能性があるコンピュータを検出し、必要ならば当該コンピュータが収容されているネットワークの管理者と連絡をとって不正侵入を防ぐべく対応を行っています。

3.4 ウィルス感染への対応

最後に、メールやWebページを通してのウィルス感染に関する対策について紹介します。上記3.2と3.3は、外部のコンピュータからの不正なアクセスを防ぐためのものですが、電子メールの受信やWebページへのアクセスはフィルタリングの対象としないことが多く、IDSもこれらサービスの通常の利用形態については不正なアクセスパターンとして認識しません。電子メールやWebページからのウィルス感染がやっかいであるのはこの点です。

このため、UTNETでは電子メールやWebページのアクセスの際にデータに含まれるウィルスを検知し、予防に役立てることのできるInterScan Viruswallを導入し、希望に応じてサービスを提供しています。

4.まとめ

UTNETは、より高速で安全性の高いネットワークとして2001年度から新たな運用を開始しました。皆様の積極的な利用と運用へのご協力をよろしくお願いいたします。