Implementation and Operation of Small-scale Subnets in the University-wide Authentication Network

DOI IPSJ

Bibliographic Information

Other Title
  • 全学認証ネットワークのサブネット小規模化とその運用

Search this article

Abstract

群馬大学では全学ネットワーク更新を2022年4月に実施し,GUNet2022として運用を開始した.GUNet2022では,GUNet2016で導入した動的VLANによる認証ネットワークの適用範囲の拡大のほか,地区間回線の冗長化やIPv6アドレスの導入等様々なアップデートを行った.なかでも,高度標的型攻撃への対策の1つとして横展開を防止するため,サブネットの小規模化を行いサブネット間の通信を禁止する構成を採用した.同時にCGN装置でのNAPTアルゴリズムの調整により,グローバルIPアドレスから機器を1つに特定ができるよう設計し,セキュリティインシデント発生時等に必要な端末特定の省力化を実現した.また,ループ検知機能の適切な設定によりループ発生を抑制し,RAの自律設定有効フラグをOFFとしたDHCPv6構成により,動的VLAN環境下でのIPv6運用を行うことができた.

Gunma University renewed its university-wide network in April 2022 and started operation as GUNet2022, which follows and extend coverage of the network authentication of GUNet2016, an authentication network based on dynamic VLANs. Various updates were made in GUNet2022, including redundant inter-campus connections and the introduction of IPv6 addresses. In particular, we reduced the size of subnets and introduced private addresses in order to prevent lateral movement as one of the countermeasures against advanced persistent threat. At the same time, we designed to identify the device from the global IP address by adjusting the NAPT algorithm in the CGN device, which made it possible to reduce the human cost involved in device tracking. Moreover, the loop detection function is appropriately configured to suppress the occurrence of loops, and the IPv6 operation in a dynamic VLAN environment is achieved by using the DHCPv6 with the RA's autonomous-flag switched off.

Journal

Keywords

Details 詳細情報について

Report a problem

Back to top