無線LANで問題が...

Microsoft365とネットワーク品質　からのつづきです。書き始めるまでずいぶん間が空いてしまいました…
無線LANで問題が…。で終わっていました。

問題と要望

• 繋がらない、動画が「紙芝居」、音声が途切れる。

• Bluetooth機器が誤動作する。イヤホン・マイクの接続が切れる。

• インターネットが遅い、ブラウザが反応しなくなる。

• 会議だけでなく、説明会などオンラインの「集まり」が増え、そのためにスイッチやケーブルを準備するのが煩わしい。

• 軽いミーティングは会議室でなくオフィスの片隅に集まってパッとやってサッと終わりたい。

• 現在、WPA2は推奨されていない。WPA3でのWiFI接続に移行したい。担当者としての願望。

感想

• 今のネットワークの設計が、ユーザーの行動に合わなくなってきている…。会議やミーティングは無線LANで参加できるようにするのが合理的かも知れない。

• 停電時（BCP)。予備電源でルーター・ルートスイッチ・サーバー・PBXは機能を維持できる。PCもノートPCのバッテリーと発電機で維持できる。ただし、末端のスイッチまでそうするとなると大事になる。無線APはサーバー室のPoEスイッチで電源を確保すればオフィス全体の機能は維持できる。

観察と確認

1. ルーターのトラフィックを観察すると800Mbpsのピークが大半の時間帯で頻繁に発生している。

2. インターネットのスピードテストを始業時〜終業時までやってみた。時間帯によっては「上り」「下り」とも２桁Mbps がピークで遅延も３桁msになっている。

3. ルーターのNATテーブルの状態を観察してみた。頻発しているピークの上限値は２万。

4. Bluetoothも2.4GHz帯の電波を使用する。苦情が出ている場所のAPで2.4GHZを停波してみると誤動作・音声の途切れがなくなった。

5. 停電時はサーバーとルートスイッチは予備電源で稼働できる。一方、ノーケアになっている。。

仮説

• １と２→帯域幅不足：800Mbpsが現在のネットワークスピードの上限値なのだろう。理論値は１Gbpsなので８０%を超えている。ルーターを含めたWAN側でパケットのキュー溢れ・パケットの廃棄の結果TCPよるパケット再送が輻輳を発生させている。

• ３→NATテーブル溢れ：TCP・UDPのセッションを確立できないためブラウザが反応しなくなる。空いた順にセッションが張られていくため「ブラウザが反応しなくなる」から「遅い」まで幅のある症状になっている。

• ４→電波干渉：WiFi APとBluetoothの電波干渉が起きている。

• ５→オフィイスごとのスイッチの予備電源は予算がつかなかったようだ。

論点

• 光回線を１Gbpsから１０Gbpsにアップグレードするのと１Gbpsの回線を２本にするのではどちらが現実的か？

• NATテーブルのピークが２万で頭打ちになっているように見えるのはルーターの仕様なのか？

• BluetoothはWiFiとの干渉で問題が起きているので５GHz帯だけを使用するようにすれば良いはずだが、波長が短いため回折性・透過性が落ちる。つまり、カバーエリアが狭くなる分WiFi　APの設置場所の考慮、AP数を増やすなどの対策が必要になる。予算に直結する。確保できる予算とそれに合わせた現実的な提案は？

• サーバーとルートスイッチだけ生きていてもPCがネットワークに繋がらなければ意味がない。WiFiであればオッフィスにある多数のスイッチの電源を確保する必要がない。非常時はWiFiを生き残らせるようにすれば良いのではないか？

• 度重なる組織変更でオフィスレイアウトを変更するたびに工事の手配が必要になっている。将来、WiFiをデフォルトのネットワークにすることを視野に入れてはどうか？

要件

1. 遅延と切断。Bluetoothとの干渉が起こらないようにする。

2. 無線LANのセキュリティ上の問題に対応する。

3. NATテーブル溢れに対処する。

4. 会議など情報共有・議論の手段の変化に対応する。

5. 無線LANを現状の有線LANとは独立したネットワークにしてネットワーク全体として冗長性を持たせる。

6. ルートスイッチ直下にPoEスイッチを設置して停電時には予備電源でPoEスイッチとWiFI　APだけは維持する。サーバーとルートスイッチは既設の予備電源があるのでそれで電源を確保する。

7. 組織の変更に伴うオフィスのレイアウト変更に柔軟に対応する。

実行計画

WiFiネットワークを一新する。

遅延と切断

• 来客用 AとTeams会議用 Bは光回線を別途用意して従業員用 Cからトラフィックをオフロードする。

Bluetoothとの干渉

• ヘッドセットなどとの干渉をなくすため2.4GHz帯は停波する。

セキュリティ上の懸念への対応

• セキュリティポリシーを改訂する。

  1. TeamsやZoomで会議をするときは従業員用ネットワークの品質維持のためTeams会議用に接続するよう「行動規範」に明記。グループウェアで周知する。

• 古いAPはファームウェアのアップデートが止まっている。全てリプレースする。WiFiプロトコルはWPA3をデフォルトとする。

• 両方とも無線AP用の物理ネットワークにまとめる。APのメーカーと機種を揃え一元管理する。ファームウェアのバージョン管理・アップデートを一斉に行いダウンタイムと疎通確認を迅速に行えるようにする。

情報共有・議論の手段の変化に対応

• 一部のフロアにしかなったWiFi APを全フロア・オフィスに設置する。

WiFIネットワークの設計方針

• WAN側の帯域幅不足は、１Gbpsの回線を増設してトラフィックを分散させる。

• ルートスイッチ直下にPoEスイッチを設置し、予備電源も同じ系統からとる。

• PoEスイッチから全フロア・オフィスのWiFi APまでLANケーブルを敷設する。将来を見据え、CAT６ケーブルで配線する。

• 全てのWiFi APに来客用・従業員用・Teams会議用の３つのSSIDを持たせ、APの設置台数を抑制する。

• SSIDごとにセグメントを分ける。セグメントごとにTAG VLANを設定し、ルートスイッチで経路制御する。

• NATテーブル溢れはルーターの既定値20,000を64,000の上限値に設定する。

稟議内容

1. 光回線の増設・プロバイダーの契約

2. 無線AP用ネットワーク構築のための配線工事(CAT-5e/6)

3. 無線APとPoEスイッチの購入

展開と運用

• 増設した光回線にどのトラフィックをオフロードするか、オンライン会議やWindows Updateのトラフィックを観察して決める。

• 全ての無線APはクラスター構成として近隣の無線APの電波状況を仮想コンソールでモニターしながら設定をチューニングする。

• 従業員用APのSSIDとパスワードはエンドユーザーに公開せず、キッティング時に設定している。設定のためにPC を回収したくないので、IT資産管理でバッチスクリプトを各PCにスケジュール配布して、SSIDとパスワードをユーザーの介在なしに設定変更を完了させる。

結果

問題は解消して、要望もほぼ満たしたと思われる。

トラフィックを観察したところWindows UpdateはWAN側にそれほど負荷をかけていないことがわかった。Windowsの「配信の最適化」により全てのPCがWANに殺到することは起こっていないらしい。
遅延・パケットロスが問題になるオンライン会議のトラフィックは遅延が少ない方の回線・プロバイダにオフロードさせ、オンライン会議中の遅延や切断は解消。

Buletooth機器への干渉は解消。

２.４GHz帯を停波したことでBluetooth機器への干渉は無くなった。音声が途切れる事象はこのことも一因だったかも知れない。

後日談

• 賃貸ビルにあったオフィスがこちらに引っ越してくることになり、LAN配線工事は行わず、WIFiのみを使用してもらうようにした。デスクトップPCについてはWiFiドングルを購入。季節により派遣・アルバイトなど出入りの激しい部署なので好きに席替えできるは嬉しいとのこと。

• 特定ユーザーから遅延や切断の報告があり焦った。該当PCのタスクマネージャーでCPUリソースをタスクマネージャーで観察すると、Googleドライブのクライアントが異常にCPUリソースを消費していることが判明。BOXのクライアントもそう。MS365はユーザーごとに１TBの容量を使えるので移行してもらった。シャドーITの影響は予測不可能。明確に禁止しないといけない…。

宿題

コロナ禍以降、在宅勤務の人たちが偏りはあるものの一定数存在する。リモートワークはユーザーごとに様々な事情があり、維持したい。一方、セキュリティー的に脆弱になることも事実。VPNからZTNAに移行するのが理想ではある。予算が許せば。
今日はここまで。

お読みくださりありがとうございます。何かの参考になれば嬉しいです。

要件
「3 NATテーブル溢れに対処する」を追加しました。
WiFIネットワークの設計方針
「NATテーブル溢れはルーターの既定値20,000を64,000の上限値に設定する」を追加しました