class: title, smokescreen, shelf, no-footer # <small>FAQ</small> <div class=footnote> <small> Copyright (C) Ken'ichi Fukamachi <fukachan@fml.org>, 2021-2025. CC BY-NC-SA 4.0 </small> </div> --- class: compact # <small>凡例</small> <div class=footnote> <small><small> (脚注1) FAQ = Frequentry Asked Questions <br> (脚注2) 提案の相談例(こういう提案はどうですか?)は収録していません (だって、それが各グループのウリだから、そこは内緒:-) </small></small> </div> - 現状はどうなっていますか?のたぐいのFAQ(よく聞かれる質問)集です - いちおう分類してありますが、分類法が期待に沿っているかは分かりません - -> ひとおとり全部みてみることをおすすめします --- class: title, smokescreen, shelf, no-footer # <small>FAQ: 学内のサービスについて</small> --- class: img-right,compact # <small>ELやポータルなどのサーバはどこにありますか?(1) ネットワーク</small> <div class=footnote> <small><small> (脚注1) 新型コロナを経た現在、これらの仮定は、あまり正しくないでしょう <br> (脚注2) 大学が僻地にあるため、<b>インターネット接続回線の調達問題は深刻な課題</b>です。 インターネットを分かってないユーザが「いまどきクラウドで〜」とか言いますけどね。 何が問題なのでしょうか?はインターネットさんと相談して考えてみてくださいね:-) </small></small> </div>  <small> A: DMZです。以下の想定に基づく判断です - 学内からでも自宅からでも同じように使えるサービスを提供するにはDMZに置くべき - 授業で使うのだから、おもに学内から使うに違いない (少なくとも2019年までは正しかった) - クラウドにしない理由:DMZなら、 まんがいち<b>インターネット接続回線に障害がおきても学内からの授業は続けられます</b> </small> --- class: img-right,compact # <small>ELやポータルなどのサーバはどこにありますか?(2) サーバ</small> <div class=footnote> <small><small> (脚注) オンプレにするなら、原価表の物理サーバ(1台)を参考にしてください。 たしか、もっと高価格なサーバだった覚えがあります。 ものすごく精密な見積り演習をするのが目的の授業ではないので、 課題としては原価表を参考に考えてもらえば十分です </small></small> </div>  <small> - A: 今は仮想基盤に統合されています <small> - EL=仮想サーバの一つです - ポータルも別の仮想サーバの一つ - 仮想サーバの総数は数十だったかな? </small> - かつては、サービスごとに一台ずつ物理的にサーバが存在していました <small> - ポータルはポータル、ELはEL(学内用)、EL(学外用)と別々のサーバがありました - あと(ユーザには見えていませんが)裏側に別途データベースサーバなどもあります </small> </small> --- class: img-right,compact # <small>メールサーバはどこにありますか?</small> <div class=footnote> <small><small> (脚注1) 先代のA-Cloud(2013-2020)もクラウドメールなので学外でした。 CTCのデータセンター、たぶん東京のあそこかあそこ(ないしょ) (脚注2) さらに、その前(2代前,1998-2012)は学内にありました、いわゆる**オンプレ**なサーバです。 ラック一本くらいある巨大なサーバでしたね。 ちなみにラックとは600x900x2000mmくらいの (これが42Uユーロラックという代表的)サイズ感です </small></small> </div>  <small> - A: 学外です - office365はマイクロソフトのデータセンターで動いています (具体的な場所は不明) - たぶん国内だとは思います </small> --- class: img-right,compact # <small>クラウドメールサービスのスペックや価格は?</small> <div class=footnote> <small><small> (脚注1) オンプレのメールサーバの話題は削除しました (脚注2) クラウドメールにするにあたり、 オンプレ時代より安いクラウドメール(CTC A-CloudもしくはマイクロソフトOffice365)が候補で、 それらを探し、検討して、導入を決めました <br> (脚注3) 【備考】 この手のサービスは「法人サービス」かつ「教育機関向け」価格なので定価は不明です (法人価格は顧客の規模や力関係などで大きく異なるため、 詳細は互いに明かさないのが業界の仁義になります、だからナイショ) </small></small> </div>  <small> - A: Yahooメールが「一人あたり月額300円」らしいので参考にしてください - Office365は、メール以外の機能やOfficeライセンスもついてくるサービスなので、 メールだけのYahooよりは少し高めの価格なのではないかとおもいます </small> --- class: compact # <small>メールサーバでgmailは検討しなかったのですか?</small> <div class=footnote> <small><small> (脚注1) 誰にも聞かれてないけど答えておきます:-) 三手先を考えていない組織が山の数ほどありますが ... <b> 腕のあるエンジニアさんは、ここまで考えて提案しないとね! </b> (脚注2) 【裏話】 CTC A-Cloudが廃業してしまったので仕方なくOffice365へ移行しました </small></small> </div> <small> A: 検討しましたが、却下しました。以下に、その理由を解説しておきます - <b>なにか揉めて裁判にまでなった場合のことまで考えておけるのが三手先まで考える優秀な設計者だ</b> - 2000年代の終わりごろから大学へのgmail導入が流行していました(例: 日本大学)が、 <b> クラウドサービスのほとんどは外資系です。 </b> <small> - <b>裁判では、先に訴えた側の裁判所が管轄になります。 そして、その裁判所のある現地の法律が基準になります。 </b> 仮にGoolgeと揉めてカルフォルニアで裁判と言われたら、もうどうにもならないので、 そんな怖いサービスは買えません - ちなみに今でもGoogleは国内法の適用について明言していません </small> - <b> 2012年当時、国内法適用のクラウドメールで価格的になんとかなったのはCTC A-Cloudだけでした </b> - いつものようにライバルを研究する能力ピカイチのマイクロソフトは、 Office365のデータセンターを国内に複数つくり 「裁判は国内でOK、日本の国内法でOKです」とOffice365の仕様を変更したので、 2010年代後半になるとOffice365もサービス候補として考えられるようになりました </small> --- class: compact # <small>サーバは何台構成ですか?(冗長化、クラウド)</small> <div class=footnote> <small><small> </small></small> </div> <small> - A: SaaS(クラウドサービス)は冗長化されています - サービスとして買っているものは、すべてプロバイダの設備になります - 詳細は不明ですが ... (一般に機器構成等は非公開です) </small> --- class: compact # <small>サーバは何台構成ですか?(冗長化、オンプレ)</small> <div class=footnote> <small><small> </small></small> </div> <small> - A: 学内のサーバは1サービスにつき1つです(冗長化されていません) - それぞれのサーバが搭載している記録媒体(ストレージ,HDDやSSDのこと)は冗長化されていますが、 筐体(電源,マザーボード,CPU,メモリなど)は一つしかありません <br> -> 筐体に異常がある場合はサーバを停止して修理するしかありません - 「冗長化するべきか?」と聞かれれば「出来るものなら冗長化が理想」と回答しますが、 <b>冗長化できるようにアプリケーションが作られていなければ動作しません</b>。 - これはアプリの話なので、本科目の範囲外です (アプリケーション層の上側のTCP/IP外の問題) </small> --- class: img-right,compact # <small>VPNサーバはどこにありますか?</small> <div class=footnote> <small><small> </small></small> </div>  <!--  --> <small> - A: (本学では)ファイアウォール(FW)の横です - 本学ではインターネットから見えている部分のネットワーク機器は自営ではなく ISPのサービスを購入しています (マネージドサービス) - 障害対応する人手がいないから - サービスなので24h365d業者が対応 - 一般にはFWにVPNを同居させるパターンが多い - FWのオプションでVPNが購入可 - 原価表のFW+VPNは、この構成 </small> --- class: title, smokescreen, shelf, no-footer # <small>FAQ: 有線ネットワーク</small> --- class: img-right,compact # <small>情報棟への物理的な配線はどうなっていますか?</small> <div class=footnote> <small><small> (脚注1) 提案書は、これらが利用できる前提で書いてOKです (脚注2) 他の建物も同様です </small></small> </div>  <small> - A: いつもの建物間の引き回しです - コアスイッチから新棟へ光ファイバ(MM)を新設しました </small> --- class: img-right,compact # <small>情報棟内の物理的な配線はどうなっていますか?</small> <div class=footnote> <small><small> (脚注1) 提案書は、これらが利用できる前提で書いてOKです (脚注2) 他の建物も同様です </small></small> </div>  <small> - A: いつもの建物内の引き回しです - 他棟と同様です - 建物内には以下のものが事前に敷設済 <small> - コアスイッチ〜distributionスイッチ間の光ファイバ(MM) - 1F〜2F, 1F〜3F間の光ファイバ(MM) - フロア内のイーサネット配線 </small> </small> --- class: img-right,compact # <small>事務の部屋は散らばっていますが同じネットワークですか?</small> <div class=footnote> <small><small> </small></small> </div>  <small> - A: <b>同じ</b>です - 物理的に異なる場所に事務の人たちがいますが **論理的には同じネットワーク**を使います - みんな**同じ事務ソフトウエアを使うので同じネットワークにしないと不便**です - **VLAN**設定で、どの部屋でも同じ事務のLANへアクセスしています </small> --- class: img-right,compact # <small>スイッチは冗長化されていますか?(1)</small> <div class=footnote> <small><small> (脚注1) 障害対策は、障害時のダウンタイムと保守費にかける予算との兼ね合いです。 いちおう、<b>PC教室の授業を止めないという設計方針</b>です。 被害は「障害が起きたコマだけに留めたい」と考えています。 「授業を止めない」ことが最優先事項 <br> (脚注2) PC教室以外の講義室や研究室の障害対応では対応に少し時間をもらう想定です </small></small> </div>  <small> - A: 冗長ではありません。基本は1台ずつです(一部は冗長構成) - 大昔とちがい今のスイッチは壊れないです - 予備機材を1台ずつ買ってあります - 小一時間で(大学職員が)機器交換でいる想定 <br> -> 業者の現地対応なし、保守費の大幅削減 </small> --- class: img-right,compact # <small>スイッチは冗長化されていますか?(2)</small> <div class=footnote> <small><small> </small></small> </div>  <small> - A: 最重要な部分のみ冗長構成 - G201,G202〜コアスイッチ間は冗長構成です - 図のようにcoreとdistribution swが2つずつあり片方壊れても大丈夫なようになっています - G201のaccess swからのuplinkは2つのdistirubion swへ接続。G202も同様です </small> --- class: img-right,compact # <small>現在のスイッチ数はどれくらいですか?</small> <div class=footnote> <small><small> (脚注1) コア〜10周年記念棟間の冗長化プロトコルはL2で動くSTPが基本です <br> (脚注2) 【発展】 あんまりSTPは使いたくないので、LAGくむとかOSPFとか考えたいんだけどもね〜 </small></small> </div>  <small> - A: コアsw(L3 sw)が2個、 各建物にdistribution swが1(10周年記念棟は2)個、 あとは各フロアにアクセススイッチが平均2〜3個 - L3(ルーティング)機能が必須なのはコアSWだけ <small> - よって最小構成ではコアだけがL3、のこりはすべてL2スイッチで動作可です </small> - <b>必要なポート数 = 利用するデバイスの数 = おおむねユーザ数</b> - アクセススイッチのポート数は48もしくは24です、必要な台数分のL2スイッチを買います </small> --- class: img-right,compact # <small>IPアドレス帯ごとに別のスイッチが必要ですか?</small> <div class=footnote> <small><small> </small></small> </div>  <small> - A: 不要です - 各スイッチへVLANが伸びているので、 各ポートごとに異なるVLAN設定(ポートVLAN)を入れます - スイッチ数はVLAN数ではなく物理的に必要なポート数(ポートに挿すデバイスの数)で決まります </small> --- class: title, smokescreen, shelf, no-footer # <small>FAQ: 無線ネットワーク</small> <div class=footnote> <small><small> </small></small> </div> --- class: img-right,compact # <small>Wi-Fi LANのネットワーク構成は?</small> <div class=footnote> <small><small> </small></small> </div>  <small> - A: Wi-Fi専用のLAN(VLAN)があります - 学内なら、どこでWi-Fiを使っても、このLANに接続されます - このLANはファイアウォールのDMZその2(DMZ-2)になっています - このLANから学外へは、ファイアウォール経由で出て行きます </small> --- class: img-right,compact # <small>Wi-FiのSSIDがいくつかありますが、違いはなんですか?</small> <div class=footnote> <small><small> (脚注1) 一世代前の無線LANでは、 ネットワーク認証(個人を特定した上でWi-Fiを許可する)対応の無線LANを使うことで、 学内に接続を許すようにしていました (当時はパスワード認証でしたが、 いまどきの認証は単なるパスワードではなく電子証明書の利用が推奨されています)。 この方式の標準規格として802.1xがあるので調べてください (脚注2) cist/cist5は(脚注1)似の復活と言えます </small></small> </div>  <small> - A: 認証の仕方とアクセスできる範囲の相違 - <b>SSIDがkagidai(およびkagidai5)のWi-Fiからは学内が見えません</b> <small> - これは店舗のWi-Fiサービスのような運用です - インターネットだけにアクセスOK - DMZはアクセスOK <br> (DMZはインターネットと同等のあつかい) - 学内にはアクセスさせません </small> - <b>SSIDがcist(およびcist5)のWi-Fiは学内にアクセスできます。</b> そのかわり、これらのSSIDに接続する際には個人の認証が必要です (誰が学内につないでいるのか?を記録しています) </small> --- class: img-right,compact # <small>Wi-FiのAPは何台くらいありますか?</small> <div class=footnote> <small><small> </small></small> </div>  <small> - A: 研究室(個室x1、実験室x1)、普通の講義室は2台ずつです - 目安として30〜40人をAP1台でさばいていると考えてください。 よって、B101やH101などは、もっとたくさんのAPが必要です </small> --- class: img-right,compact # <small>Wi-Fiが遅い理由には何がありますか?</small> <div class=footnote> <small><small> </small></small> </div>  <small> - A: ボトルネックの主要因としては (1)「インターネット接続回線の帯域」と (2)「AP自体の能力」の2箇所が考えられます - (2)は(2.a)APの能力が低いか(2.b)APの設定チューニングが不十分 - (2)が十分でも、(1)のインターネット接続回線の帯域が不十分かもしれません - 2021年度までのWi-FiはノートPCを持ち歩くユーザ数が全体の10-20%程度、 使い方もWWWの調べ物など軽い使い方を想定していました - 2022年度以降は、多くのユーザが同時に動画を利用することも想定しています <br> (それでも十分かどうかは要検証です) </small> --- class: compact # <small>kagidaiとkagidai5のちがいは何ですか?</small> <div class=footnote> <small><small> </small></small> </div> <small> - A: 周波数帯の違いです - 解説 - 無線には2.4GHz帯と5GHz帯があります - 無線LANの設定でSSIDは一つのほうがいいか?否か?という話(派閥?)があります 1. APが賢く、よろしく適切な周波数帯を使わせることが可能なので1つが良い 1. そんなにうまくいかないため2.4GHzと5GHzで別のSSIDを作りユーザに選ばせる - 最初は前者の運用だったのですが、のちに後者の運用になったので、 kagidai (2.4GHz帯)と kagidai5 (5GHz)帯という二つの SSID があります </small> --- class: compact # <small>cistとcist5のちがいは何ですか?</small> <div class=footnote> <small><small> </small></small> </div> <small> - 前ページを参照してください </small> --- class: title, smokescreen, shelf, no-footer # <small>FAQ: インターネット回線、帯域の話題</small> <div class=footnote> <small><small> </small></small> </div> --- class: compact,img-right # <small>動画(ZOOM)はどれくらいの帯域を使いますか?</small> <div class=footnote> <small><small> </small></small> </div>  <small> - A: 80人みんなで同じ動画を見ていると最大480Mbpsくらい - 最近の動画ものは最大5-6Mbps(いわばピーク時)くらい使っているようです - もし**ピークが重なると仮定**すると80人の授業で**最大480Mbpsの帯域が必要**になります - そんなにピークって**重なるものですか?** <br> -> <b>「設計ガイド」の「統計多重効果」参照</b> </small> --- class: title, smokescreen, shelf, no-footer # <small>FAQ: アクセス制限</small> <div class=footnote> <small><small> </small></small> </div> --- class: compact # <small>学内から学外への通信をフィルタしていますか?</small> <div class=footnote> <small><small> </small></small> </div> <small> - A: もちろんフィルタしています - 業務(教育、研究、事務仕事)で必要なプロトコルは通しています - ファイアウォールでは代表的なプロトコルを通しています - HTTP, HTTPS, SSH, FTP, DNSなど - 業務で必要なプロトコルは随時、許可しています - 最近ならZOOMが典型例ですね - 上記以外のプロトコルは通しません </small> --- class: compact # <small>学内から特定のサイトを見せないように出来ますか? (L4)</small> <div class=footnote> <small><small> (脚注1) 1000個のフィルタルールを書く必要があります。 また、1000個のルールを全パケットについて検査するのでFWが遅くなります。 さらに、このサーバ群は自動的に増減するだろうから、 いま把握できていない別IPが使われる可能性もあります <br> (脚注2) これら以外の組み合わせ(たとえばsource IPなどとも組み合わせたルール)や、 L4より上の情報をつかったフィルタリングも出来ますが、 それらを行うとFWの負荷がものすごく高くなったり、 そもそもFWの標準機能ではなくオプションだったり別製品だったりします。 つまり購入=金を書ければ出来ます -> 導入するべきか?は費用対効果しだい </small></small> </div> <small> - A: **FWのルールは通信先のIPとポート番号の組み合わせが基本です、その範囲なら割とOK** - 特定のアプリケーションプロトコルだけを拒否 -> OK (フィルタが書けます) - 見せたくないサイトのサーバのIPアドレス一覧が分かる -> 条件付きでOK <small> - サーバのIPアドレスが数個くらいなら現実的 -> OK - 相手のサーバがクラウドの場合 -> △ (条件しだい) - クラウドでもサーバのIPアドレス帯(数個)が分かるなら現実的 -> OK - サーバが世界中に分散配置されていてIPが(1000個とか)ある -> 無理(脚注1) </small> </small> --- class: img-right,compact # <small>学内から特定のサイトを見せないように出来ますか? (L7)</small> <div class=footnote> <small><small> (脚注) スマートフォン以前の時代ではPCの相手だけでしたし、 ノートPCの数も多くありませんでした。 つまり、ユーザ数が限定的だったのでsquid運用が出来ていたと言えますが、 このスマートフォン時代では厳しいです </small></small> </div>  <small> - A: **特定のWWWサービスを使わせたくない/URLを見せたくない** -> <b>現状では難しい</b>です - 普通1つのIPで複数のWWWサーバが動いているのでIPではフィルタ出来ず、 **アプリケーションプロトコルの詳細を見る必要(難)があります** - WWW限定であればPROXYを使うことで、 安価に運用で逃げられます (かつて本学でも、この運用をしていました時期があります) - ただし、各ユーザの**ブラウザやスマートフォンで「PROXYの利用」設定が必須**です。 PROXYの利用設定が自動で切り替わらないユーザには使いづらい </small> --- class: img-right,compact # <small>学内の特定の人にだけyoutubeを許可できますか? (L7)</small> <div class=footnote> <small><small> (脚注) 今どき、こういう運用は無理でしょう(ユーザに叩かれそうです) </small></small> </div>  <small> - **個人を特定する必要があり**、とても困難です - 一般に(FWの基本機能では)無理です。 そもそもアプリケーションプロトコルが**個人の特定(認証)を想定していません**し、 今どき認証必須のプロトコルは暗号化しているので、 通信経路途中のFWでは中身が見えず介入できません - 部分的に運用で逃げる方法はあります -> 例: <small> - 学内->学外のHTTP/HTTPSは**PROXY経由を強制する運用を前提とします**(前頁を参照) - PROXYの設定で、講義室の教卓PCはyoutubeを許可、それ以外は拒否 - これらはユーザにほんの少し負担をかけますが費用がかからない (**機材の購入や自動化=金で解決がすべてでない)**好例です </small> </small> --- class: title, smokescreen, shelf, no-footer # <small>FAQ: 学内のサービスについて(その他)</small> --- class: img-right,compact # <small>履修登録システムはどうなっていますか?</small> <div class=footnote> <small><small> </small></small> </div>  <small> - A: これは学内の事務システムの一機能です。 公立化にともない事務の履修登録システムをそのまま使うことになりました - 事務ネットワークには学内からもアクセスさせない設計だったのですが、しかたないので、 2019年度は**期間限定かつ学内からのみ履修登録システムを使える**ことにしました <br> (この期間だけフィルタ設定を変更しました) - 2020-2021年度は、この手が使えず大変なことになっていました - VPNを使えば学内あつかいなので家から履修登録が出来るはずです (なぜこの運用をしていないのかは不明です -> 疑問なら、お客様にヒアリングしてくさい) </small> --- class: compact # <small>ポータルやELがスマホでうまく見られません</small> <div class=footnote> <small><small> </small></small> </div> <small> - <b>この質問をしているあなたは、この授業のテーマが分かっていません</b> - **TCP/IPよりはるか上の層**のアプリ話はネットワークと無関係です。 **ネットワークプロトコルは確実なデータ転送を担当します。 運ぶ中身(ペイロード,データ)の不具合に責任はありません** - アプリケーションの作りがスマホ対応していないのでしょう (たぶん)次のような候補がありえます - HTML5でないとか、HTML5だけどスマホサイズを想定して作られていないとか... - 実は、コンテンツがPCの画面で16:9の1280x960を前提にしているとか... - 使っているJavaScript(JS)がいけてない...ってことはないか;-( - いまどきPCでもスマホでもブラウザのエンジンは同じでは... - でも、その画面を構成するJSがスマホサイズを想定してないとか〜 </small> --- class: compact # <small>情報棟が増えて変化したIT環境は何ですか?</small> <div class=footnote> <small><small> </small></small> </div> <small> - A: (大学全体としての)大きな変化は無いと思います - そもそも、ユーザ数については、プラスマイナスゼロです - 情報棟の2F,3Fに情報システム工学科が引っ越してきたわけですが、 単に研究棟のマイナス分が新棟プラス分になるだけなので、 大学全体としては変わらないわけです - ユーザ数が増えないので、利用する機器(PCやスマホ)の数も同じですよね - 大学全体として、1つ建物が増えて部屋数が増えましたが、それだけ...じゃないかな? - 研究棟側で空いた1学科分の部屋は多目的に転用されています - 前よりゆったりとした空間になり平均人口密度は低めになったのかもしれませんが、 1つのWi-Fi APにつながるユーザ数が減ったか?は不明。 人の集まる場所が移動しただけで集まるところには集まっているから H101とか学生ホールのWi-Fiは今も昔も忙しいと思いますよ? - それよりも(たまたま新棟と同時に) **2022年3月ネットワーク機器(スイッチやWi-Fi)を新しくしました。 建物よりもこの更新の影響のほうが大きいはずです** </small>