情報セキュリティワークショップ in 越後湯沢で実施したオフライン中継のノウハウを公開 #yuzawaws

こんにちは。らっこ中継班です。

らっこ中継班は、インターネット中継により多くの方へ情報を提供し、情報セキュリティに関するコミュニティの活性化を図ることを目的とした、複数の部署を跨った社員の有志です。

先日、「情報セキュリティワークショップ in 越後湯沢 2016」が開催され、我々5名と新潟大学の学生スタッフ2名の合計7名が、3拠点でのオフライン環境で高品質なイベント中継を実施しました。
今回この中継についてのノウハウを教えてほしいという声をいただいたため、構成等をまとめ、公開したいと思います。
（会場でのTweetまとめは、こちらをご覧ください）

概要

本イベントでは、湯沢町公民館のホールをメイン会場とし、サテライト会場として公民館研修室と湯沢町商工会館、オフサイト会場として湯沢東映ホテルを用意し、メイン会場の映像と音声を各会場に中継することになりました。

多くの方に参加いただきたく、湯沢町商工会館に30名分、湯沢東映ホテルに50名分を増やすために構築しました。
（これ以外にも、スタッフ用として公民館の各部屋（和室、講師控え室）に映像を流しています）
公民館と商工会館は近いとはいえ直線距離で50m、東映ホテルと公民館は直線距離で800m以上離れているため、各拠点間をフレッツ網で結び、配信を行いました。

構成

1.構成図

2.撮影

公民館ホール後方にハンディカム（PXW-X180）、投光室にリモートカメラ（AW-HE50HN）を設置し撮影しました。
これら2台のカメラと、講演者のスライドをビデオスイッチャー（ATEM Production Studio 4K）に入力し、配信する映像を中継班のNOCからリモートで調整しました。

3.映像転送

ビデオスイッチャーからの映像の転送にはHDMI Extender over LAN (LKV373A V3.0)を使用しています。この製品はHDMIで入力された映像と音声を、送信機（TX）から受信機（RX）までマルチキャスト（UDP）で送信します。そのため、複数の受信機をネットワークに設置することで、同一映像を複数会場に配信することができます。
今回、予備機も含めて送信機（TX）3台、受信機（RX）11台を用意しました。
複数の映像を送信する場合には、VLANタグを付与し、分離させる等の工夫が必要です。今回は、スライド映像（TX1）をVLAN 1000、カメラ映像（TX2）をVLAN 1001とし、2映像を各会場に配信しています。

LKV373A V3.0はFullHD映像と音声を転送するために、15Mbps程度の帯域が必要です。所持機材の都合上、構成図にOld TX / Old RXと書かれたLKV373 V2.0が含まれていますが、こちらは製品側で帯域制御ができず、100Mpbs近い帯域が必要です。

4.拠点間転送

公民館 / 商工会館 / 東映ホテルの3拠点は、フレッツ網内のIPv6折り返し通信を利用したL2-VPNにて接続を行いました。
フレッツ網内のIPv6折り返し通信では、同一地域の接続機器同士のIPv6通信がNTT局舎で折り返されるため、低遅延（10ms以下）で高速（800Mbps前後）な通信が可能です。
また、NTT東日本管内だけで行うこの通信では、ISPの契約は不要です。（別途フレッツv6オプションの契約が必要です。） 
今回は、参加者用のWi-Fi提供による影響を受けないため、またワークショップに関係ない施設利用者へ影響を与えないために、臨時でフレッツ光・ネクストを契約し、光回線を敷設してもらいました。
各拠点のルーターは、受信側に30Mbps（15Mbps × 2画面）、送信側に60Mbps（30Mbps × 2拠点）の帯域が必要と考え、公民館はGigabitEthernetインターフェースを持つIX2105、商工会館と東映ホテルにはFastEthernetインターフェースのみのIX2025を採用しました。
L2-VPNの実現にはEtherIPを使います。フレッツのIPv6網は付与されるIPアドレスが半固定アドレスのため、「OPEN IPv6 ダイナミック DNS」を利用し、ホスト名で宛先を指定できるようにしました。
ルーター設定の詳細は、送信元である公民館のコンフィグrunnning-configを最後に記載しておきますので参考にしていただけたらと思います。

余談ですが、以前はRTX1200を検討していましたが、検証時にマルチキャストを2本送ったところFastpathの対象外となりCPU処理になってしまい、CPU使用率が100%に張り付いてしまったため、IXルーターに変更となった経緯があります。

5.障害時のバックアップ

万が一機材に障害が発生した時のために、別途PPPoEルーターを用意し、バックアップとしてプライベートなインターネット配信サービスにも映像を配信を行いました。
商工会館と東映ホテルには再生用のPCを別途用意し、インターネット配信サービスを再生した状態で、いつでもHDMIケーブルを差し替えることで再開できるように設置してました。

運用結果

1.トラブル

ワークショップ当日、実際に発生した問題について以下に記します。

1日目
問題なし

2日目
10:40 ： 東映ホテルにて、映像および音声が0.5秒程度欠落。他会場影響なし。
11:00 ： 休憩時間に、東映ホテルIX2025 / 公民館IX2105をreload
11:53 ： 東映ホテルにて、カメラ映像切断。他会場影響なし。
11:54 ： 自然復旧。
15:20 ： 東映ホテルにて、開始直後にカメラ映像に乱れ。10秒程度で復旧。他会場影響なし。
11:53の問題は、東映ホテルと公民館のトラフィックのみが急上昇しており、東映ホテルの映像転送用の帯域が不足したために発生したことが原因ではないかと考えられます。

実際に、同時刻に東映ホテルの中継スタッフが利用していた端末のアプリケーションのアップデート通信が映像転送用ネットワークに流れ込んでいました。

不要な通信を発生させないことはもちろんですが、東映ホテルのルーターもIX2105にし、GigabitEthernetインターフェースを持たせ、帯域を広げることで、この問題を防げたかもしれません。

その他の問題については、トラフィックの変化等がなく、原因は特定できていません。
また、全ての問題が早期に復旧したため、バックアップであるプライベートなインターネット配信サービスへの切り替えは行われませんでした。

2.CPU使用率

CPU使用率は、公民館は30%、東映ホテルと商工会館は20%程度という結果となりました。

3.トラフィック

トラフィックは、公民館は65Mbps、東映ホテルと商工会館は32Mbpsという結果となりました。
14時台に発生しているスパイクは、該当のセッションにおいて、講師のPCからスライド画像だけでなく、デモ動画が再生されたことが原因と考えられます。

おわりに

本イベントでは、前述のような問題が発生したものの、講演の聴講に致命的な影響がなく、FullHDの質の高い映像を配信できたことから、オフサイト会場参加者から非常に高い評価を得ることができました。
また、お手伝いをしてくださった学生スタッフの二人のカメラワークがとても素晴らしく、NOCで監視していた我々中継班も思わず感嘆の声を漏らしました。お忙しい中参加し、お手伝いくださり、本当にありがとうございました。
私自身も初めて経験する作業が多く、日ごろの業務に生かせる良い経験ができたと感じています。
本記事が広がり、多くのコミュニティの活性化につながることを期待するとともに、今後も、らっこ中継班は、情報セキュリティの啓発活動に、中継という立場から支援を続けていきます。

[公民館 IX2105 running-config]（IX2105.txt）

Router(config)# show running-config
Current configuration : 1829 bytes
! NEC Portable Internetwork Core Operating System Software
! IX Series IX2105 (magellan-sec) Software, Version 9.3.11, RELEASE SOFTWARE
! Compiled Mar 09-Wed-2016 11:29:26 JST #2
! Current time Oct 09-Sun-2016 08:57:31 JST
!
!
timezone +09 00
!
!
!
username ***username*** password hash ***passwordhash*** administrator
!
!
!
ntp server 2001:df0:232:eea0::fff4
!
!
!
logging buffered 204800
logging subsystem all warn
logging timestamp datetime
!
!
ip ufs-cache enable
!
!
ipv6 ufs-cache enable
!
!
snmp-agent ipv6 enable
snmp-agent ipv6 community laccotv
!
bridge irb enable
!
!
!
!
!
!
!
!
ssh-server ipv6 enable
!
http-server ip enable
!
!
!
!
!
ddns enable
!
!
!
!
!
ipv6 dhcp client-profile dhcpv6_client
information-request
option-request dns-servers
!
ddns profile UPDATE_DDNS
url http://ddnsapi-v6.open.ad.jp/api/renew/
query ***query***
transport ipv6
notify-interface GigaEthernet0.0
source-interface GigaEthernet0.0
update-interval 1
!
device GigaEthernet0
!
device GigaEthernet1
!
interface GigaEthernet0.0
no ip address
ipv6 enable
ipv6 address autoconfig receive-default
ipv6 dhcp client dhcpv6_client
no shutdown
!
interface GigaEthernet1.0
no ip address
bridge-group 1
no shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
!
interface Tunnel0.0
tunnel mode ether-ip ipv6
tunnel destination fqdn ***destination1-hostname***.i.open.ad.jp
tunnel source GigaEthernet0.0
no ip address
bridge-group 1
bridge ip tcp adjust-mss 1404
no shutdown
!
interface Tunnel1.0
tunnel mode ether-ip ipv6
tunnel destination fqdn ***destination2-hostname***.i.open.ad.jp
tunnel source GigaEthernet0.0
no ip address
bridge-group 1
bridge ip tcp adjust-mss 1404
no shutdown