- ライター:田中 政満
- 入社以来無線LANの製品担当SEとして製品や技術の調査、検証評価、及び、提案や導入を支援する業務に従事。
現在はキャンパスセキュリティや自動化に力を入れるなど、エンタープライズSDNのエンジニアとして邁進中。
目次
パブリッククラウド環境をついにサポートし始めたRADIUSサーバ
これまでは、オンプレミスの環境に物理アプライアンスやオンプレミスの仮想化環境上の仮想マシンとして、構築を行うことが主流だったRADIUSサーバですが、ついにパブリッククラウド上での動作をサポートするものが出てきました。
Cisco社のISEでは、AWSやAzure上に構築したvShere環境 (VMware Cloud™ on AWS / Azure VMware Solution) での動作をサポート、HC Networks社のaccount@adapterでもAWSやAzure上での動作をサポートしています。
今回はこのうち、ISEをCatalyst9800-CLとともにAWS上で展開し (ISEはVMware Cloud on AWS上に展開)、パブリッククラウド上で完結する認証システムを試してみました。
実際にパブリッククラウドでISEを構築する
上記でも書いた通り、今回はISEをVMware Cloud on AWS上に構築します。
VMware Cloud on AWSは、AWS上にVMware社がvSphere環境を構築・提供しているサービスであり、今回はその環境へとISEをデプロイします。ISEのVMware Cloud on AWSへの展開は、ISE version3.0 よりサポートされた比較的新しいものとなります。
展開自体は、実はオンプレミスとあまり変わらない手順で実行できます。
VMware Cloud on AWS上で、まずvCenterへ接続するための設定を行ったあと、vCenter上でオンプレミス環境と同様の手順でデプロイするのみとなります。
なお、ISEはセットアップ時にデフォルトゲートウェイのへの疎通や、DNSサーバへの疎通性を確認するため、環境によってはセットアップ時にVMware Cloud on AWS環境からインターネットへのアウトバウンドアクセスを有効化にする必要があります。
また管理GUIも用意する必要がありますが、今回は検証環境ということもあり、一時的にVMware Cloud on AWS環境のISEに対し、NATを設定してWebアクセスができるよう設定を行い、検証環境を構築しました。
同じAWS上にCatalyst9800-CLも構築し、無線LANの管理、クライアントの認証処理をクラウドで完結
VMware Cloud on AWSは設定したリージョンと通信する機能も備えているため、同時にAWS側にEC2インスタンスとしてCatalyst9800-CLを展開し、全ての機能をAWS上で完結させる無線LANサービスの環境を構築してみることにします。
利用したISEのバージョンは3.0 (3.0.0.458) となり、概念図としては下記図1の通りとなります。
図1 ISE (VMware Cloud on AWS上) およびCatalyst9800-CL (AWS EC2) の接続概念図
Catalyst9800が動作しているVPC (User VPC) およびISEが動作しているVPC (VMware VPC) は、AWSのENI (Elastic Network Interface) を介して接続されており、VMware VPC内で内部的に動作しているNSXに対し、適切なルールを設定することにより通信可能となります。
今回の環境では、Catalyst9800-CLで管理しているAP (C9120AXI) 配下に接続されたクライアントの802.1X/EAP認証の認証先としてISEを利用するため、ENIおよびNSXにRADIUS通信を許可する設定を行いました。
実際に接続をした結果としては、問題なくクライアントが認証され無線LANに接続できました。
Catalyst9800-CLもデプロイ後に設定を行うGUI画面やSSH経由のCLI画面などはオンプレミス版と変わらないため、慣れた手順で設定が可能です。
VMware Cloud on AWSやAzure Vmware Solutionを利用したクラウド展開における注意点
ISEが動作をサポートするVMware Cloud on AWSやAzure Vmware SolutionはAWSやAzure上にvSphereの環境を構築しているため、課金単位がVM (ISE) 単位ではなく、インフラストラクチャ (ノード) 単位で課金が行われます。
通常EC2などのインスタンスでは、基本的にインスタンスの稼働時間に対して課金が行われますが、VMware Cloud on AWSやAzure Vmware Solutionではインフラストラクチャを稼働している期間中は常に課金が行われています。
オンプレミスにある複数のアプライアンスや業務システム等のVMをクラウドに載せるためにはよいソリューションですが、ISEのためだけにこれらを利用する、というのはコスト的に見合うのかという観点での検討は重要な要素となるでしょう。
まとめ
当初考えた通りの構成で構築、および動作することを確認できましたが、コストの点については現時点非常に厳しい現状があります。
今後はEC2インスタンスとしての動作をサポートするなど、よりクラウドネイティブになり、コスト的なデメリットも解消された際には、再度動作を確認したいと思います。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
