社内ネットワーク入れ替えるまでの道のり【Merakiの世界へ】

最近はインプットばっかりでアウトプットが足りない情シスでございます。
ということで、久しぶりにnote書いてみました。(昔、別のブログに書いてるのを引っ張ってきてます)

昔書いた記事とか自己紹介はこちらです。

ということで早速本題に入ります。

ネットワーク機器の入れ替え

今のオフィスに移転してから2年経ちますが、ZIZAIはどんどん急成長して当初計画していた事から変化が早いんです・・・

元々の構成はこんな感じです。（ちょっと細かいのは省いてますが）

機器自体は、UTM等は自分が入る前からあったものを利用して元々YamahaのWLX402だったものをArubaのAP-515に切り替えました。

回線自体は、移転前の1Gbpsの帯域でも遅いという声が出ていたので（動画などを大量にDLしたりULしたりする）アルテリア・ネットワークスの2.5Gbpsのプランでした。

移転したばかりは、特に問題なく利用できていたんですが、半年くらいすると色々な不具合が出てきました。

以下の問題2019~2020年の問題なので、今は解消されております。

・ローミングが上手くいかない

ローミングとは無線LANクライアントが移動した時に異なる無線LANアクセスポイントに接続を切り替える仕組みの事です。

日経 XTECHより

どんな素晴らしい製品を使っていても不具合は起きるものですよね、、
結構ローミング問題はあるあるだとは思います。
情シスSlackでも話題にはなってますが、iOSやmacOSが特に影響を受けてました。

アクセスポイントを10箇所ほど設置しているのですが、ユーザーから執務室から会議室へ行くとネットワークが使えない。など問い合わせが増えてきました。

当初はAPをARMモードで運用しておりました。

ARMモードとは電波の自動調節機能のことでアームと呼びます。
従来ではAPごとにチャンネルと出力設定を個別に行ってましたが、これを自動化するしてくれる素晴らしい機能の事です。

メリット

・AP全てに個別に設定せずに、AP間での出力調整が自動なので、設定がとても楽に出来ます。
・干渉となるAPがあっても、それを避けたチャンネルに自動的に変更されます。
・APの障害時に、自動で再調整をして、最適な電波状態を保ってくれる。
・新規にAPを追加した場合に、その他のAPのチャンネルや出力調整を変更する必要がない。

デメリット

目に見えない電波状態なので、パフォーマンスが遅いときや干渉が起こっているなどの状態になっても、原因が分かりづらい。

原因解明の為にARMをオフへ

無線の電波が壁や天井、床の材質により予想外に反射して遠くまで電波が届くことがあります。その場合はARMを無効にされた方が安定性が増します。

APが多ければ多いほど、周辺に急に現れたAPの影響で全ての設定を変えられたりするので、安定性重視でARMをオフにしました。

色々な対応がありますが、ユーザーができる対策としては、Windowsであればローミングの積極性という設定ができます。

積極性が高いほど、強い電波を直ぐに拾ってきてくれます。
設定については、以下のサイトが見やすかったので載せさせていただきます。

Windows 無線LANのローミングの積極性 - 株式会社ネディア │ネットワークの明日を創る。

Apple製品であるiOSやMacは特に設定がありません。
どのような条件なのかは、Appleから提示されています。

ワイヤレスローミングについて (法人向け)

このような対策を取っても改善されなかったのですが、HPにサポートをお願いしてみました。

想定原因について

調査の結果、大変恐縮ですが、AP-515のソフトウェアの不具合が原因で、クライアントからのプローブ要求に対して応答が滞ることがあることが分かりました。その結果、クライアントは、適切な近接APを見つけることができず、離れたAPへ接続することに繋がります。
この問題は最新版の8.5.0.1 / 8.5.0.2で改修されましたので、お手数をお掛け致しますが、ソフトウェアの更新をお願い致します。

なんと、ソフトウェア不具合でした。

という事で、Arubaのソフトウェアアップデートしました。
Arubaのアップデートについては、サポートのPDFがわかりやすかったので共有します。（全体的には解消しなかったですが）

タイトル未設定

サポートの方はすごく丁寧で、助かりました。

特定の機種のみIPアドレスが払い出されない

こちらもよくある問題かもしれないですが、上記のアップデートしたら別の問題が発生し、検証端末として何百台のiPhoneがIPアドレスを払い出されなくなりました。

色々省いて書きますが、

一般市場においてiPhone Xの問題として内在しているともとれるケースがある様にも見え、現状では、こまめにiOSの更新頂くことをご提案することに留まります。
Apple製品の中にはAckを返さないものがあり、高速で接続すると大量の再送が発生する為、逆に遅くなると言った事例があります。iPhone Xは不明の為、適切なアクションが取れませんが、何れiOS等で改善がされるものと仮定して、それまでは、AP上で最新のプロトコルを停止する、或いは、APの高速通信を停止すると言った切り分けにより、改善が見られるか様子を見て頂くことも上げられます。

とのことで、せっかく次世代機種なんですが80MHzと160MHz(r,k,v)の設定をオフにして、新たにアップデートして解消されました。

またローミングが上手くいかず問い合わせました。

1点目は、混信により正規のAPが不正と検知され、接続しているクライアントを一時的に接続解除しております。頻繁に発生しているものではありませんが、最新版の8.5.0.6へ更新して様子を見て頂くことが上げられます。

2点目は次の様なログが各所に記録されており、Client Matchによる負荷分散によりAPへの接続が拒否されるなど、接続し難い状況が度々発生している模様です。また、ここにも不具合があり、接続拒否されたクライアントが最終的に元のAPへの接続を行った時に、接続ができなくなる問題が改修されております。その為、最新版の8.5.0.6へ更新して様子を見て頂くことが上げられます。

あっ、、また不具合だった・・・と
不具合＋Client Matchがちゃんと動いておらず、オフにしました。
あとちょうどiOS13のアップデートした際に特定の機種が繋がらなくなったりしましたが、高速ローミングの機能を全てオフにしたら安定しました。

DFSが連発

弊社でWi-Fiが途切れて調子悪いよ！！ってまた問題になってきており、ちょっとログを漁ってたらDFS(dynamic frequency selection)の影響で頻繁に気象観測・軍用レーダー等の影響を受けてることがわかりました。

DFSとはWi-Fi 5GHz 帯を利用する場合、周囲に電波干渉を起こす気象レーダーなどがないかを最低でも1分間確認し、電波干渉を起こさないチャンネルを使ってネットワークに接続することが電波法により定められています。この機能を「DFS機能」と呼びます。

と言うことで、気象レーダー等が通れば電波が数分Wi-Fi繋がりません。（チャンネル切り替わるまで繋がりにくい）

コマンド show ap arm history {ap-name <ap-name>} を叩くと、上記の画像が出てくるんですが、
ReasonがRだとレーダーによるチャンネル切り替えになっております。
流石に頻発しすぎ・・・

これが頻発しちゃうと会議中だろうと1分くらい遮断されちゃいます。

上記のDFSにはさまざまな要因があるんですが、まず弊社は高速道路の真横にあるためトラックなどの無線の影響を受けたりします、、対処としてはDFSの影響を受けないチャンネルを36～48の間で設定するのがいいんですが、ビルの上下同じように設定しており凄まじい干渉を受けてました。

高速道路側の無線APは、チャンネル設定をレーダー影響を受けないW52のチャンネル(40MHz幅の場合は36+, 44+)で固定するも改善しませんでした。
無線設定: 80 MHzサポート→40MHzサポートへ変更を実施するも事象変わらず。
無線APのチャンネル設定が固定となっていたため、自動に変更したところ、無線APへの若干接続が安定するも、通信が途切れる事象は継続した為、根本解決には至らず。
- Band Steering 設定:　Force-5GHz　Prefer-5GHzへ変更するも事象変わらず。

また、近くのAP同士で誤作動を起こしており、アップデートの案内を受けました。

色々ありまして

6月ごろに、FortigateとArubaをアップデートしたところ複数台のクライアント端末でIPアドレスが0.0.0.0となっており接続が上手く出来てなくなりました。ロールバック等行ったのですが、解消せず、、(色々な要因があり）

端末がNOFPと表示されたり、「受信メッセージ (MIC) の整合性チェックが失敗したため、AP はこのクライアントからデータを受信できません。クライアントと AP の暗号化設定を確認することをお勧めします。」と表示される様になりました。

サポートに確認したところ、暗号化レベル下げてとか言われたんですが、、とりあえずオープンなSSID作成しましたがダメでした。色々やってみた。

FortigateからDHCPでIP振っている端末は繋がる (192.168.0 配下)
ArubaからDHCPでIP振る(無線)と繋がらない (192.168.1 配下)
→Fortigateから、192.168.1.54の端末が確認できてpingすると応答
Arubaの仮想コントローラーのDHCPでIP振る(無線)と繋がる (169.168.0 配下)
ArubaをハブにしてFortigateでIP振ると、繋がる (192.168.0 配下)

とりあえずDHCPの払い出しをいじって応急処置をして、Arubaは好きだけど別の製品に切り替えようという結論になりました。

機器の入れ替えの検討

色々な不具合が起きて、何が悪いのかわからないのでいきなり機器を入れ替えるのはリスクがあると思い、１つ１つ検証していくことにしました。

ついでに、解決したい課題を洗い出しました。

課題
・無線APに長時間接続していると通信が途切れる。(急激にパケット量が減る）
※上記からDFS干渉(レーダー波の影響等)を疑いあり。
・ネットワークの接続が遅い。
※入居ビルの計画停電後、Aruba OSアップデートしたところ上記事象が頻発。
※業務で20G程度の動画アップロード/ダウンロードを繰り返している部署あり。

FortigateからArubaまで調査しました。

・ネットワーク機器の設定確認 - WAN, LAN(VLAN), DHCP等
・異常ログの調査
・利用回線・帯域の調査

帯域が足りてない？

利用帯域: バースト的な大量のトラフィック履歴(600M～1.2Gbps)を確認しました。上記の影響でネットワーク遅延が発生している可能性がありました。

Fortigateからデータ取得しました。実際にどのくらいの帯域が出てるのか調べるにはアルテリアネットワークに言えば月1,000円くらいのオプションで確認できるみたいでした。

弊社は多くのYouTubeチャンネルを運営しているので動画を大量にアップロードしたりするのですが、メンバーも事業も増えてきてトラフィックが爆発してきました、、

電波が届きにくい？

画像はボカすけど、なんとなく青は届きにくいよ！と思っていただければ、、

Aruba APのみの場合、全体的に電波強度が弱い印象です。

Merakiをテストで導入してみると、全体的に電波強度が強くなった印象です。(Aruba AP: チャンネル自動へ変更後)
※Arubaより、Merakiの方が安定しているとフィードバックも受けました。

あ、電波調査はNetSpotおすすめです。

FREE WiFi Site Survey Software for MAC OS X & Windows

ということで、新規5Gbsの回線を新設することにしました。（2回線運用)

上記を踏まえてまとめ

ネットワークに関しては、下記回線(バーストトラフィック)・無線AP(不安定)の複合的な問題により、通信遅延・接続断が発生していたと考えられます。

回線: バースト的な大量のトラフィック履歴(600M～1.2Gbs)を確認しました。
上記の影響でネットワーク遅延が発生している可能性がある。
対処策: 会議用orデータ用に新規回線を敷設(特定通信のみ流す)

無線AP(Aruba): チャンネル設定 固定→自動に変更したところ若干接続が安定するも通信が途切れる事象は継続。根本解決には至らず。
対処策: Meraki APへの切替を実施。併せてPoEスイッチもAPと同メーカCiscoへ切替え(Catalyst1000等)。

ということで、ちょっと不具合の対応がしんどくなったので、ArubaからMerakiに切り替えと、UTMの手離れをしたく、バリオセキュアさんのマネージド型のVSRにしました。細かい設定等は現行なので省略します。

統合型インターネットセキュリティサービス | バリオセキュア株式会社

最後に

色々書きましたが、Arubaが悪いとか全然なくて弊社の場所柄や他の機器との相性もあってMerakiに切り替えることにしました。

まだ運用して日は経ってませんが、ローミングとかはやはり快適になった様な気がします。また、しばらく運用してみて感想書きたいと思います。

では