ワイヤレスLANとは
LANケーブルや光ファイバーケーブルといった有線ケーブルを使用せずに、電波を使用した通信技術。以下のような特徴がある。
-
利便性とモビリティの向上
有線LANとは異なり範囲内での移動しながらの通信が容易になり、機器の物理的な配置の制約も少なくなる。ただし、壁などの遮蔽物により電波が届かないといったことも発生するため、電波の届く範囲を考慮に入れたネットワーク構築をする必要がある。 -
電波官業による通信への影響
同じ電波の周波数を使用する機器が近くに存在する場合、電波干渉を引き起こす可能性があり通信が不安定になってしまう。
有線LANとは異なり半二重通信になるため、同じ周波数帯で同時に電波を発信する端末があった場合コリジョンが発生する。ワイヤレスLANではCSMA/CA方式によってコリジョンの発生を制御している。 -
セキュリティ実装の重要性
CSMA/CA with RTS(Request for Send)/CTS(Clear to Send)とは??
隠れ端末問題を解決するアクセス制御方式。データ送信したいことをAPにRTS(送信要求)を送信して通知し、送信権を与えるためにESS内の全てのクライアントにCTS(送信可)を送信する。
最初にデータの送信権をアクセスポイントから受け取ることで、同時に複数のクライアントが送信を開始することを回避する。
電波によるデータの転送
ワイヤレスLANは電波を用いてデータを転送する。電波の単位を周波数で表し、1秒間に繰り返される波をHz(ヘルツ)で表す。
ワイヤレスLANでは以下の周波数帯が利用されている。
2.4GHz帯
産業(Industry)、化学(Science)、医療(Medical)の頭文字をとったISMバンドと呼ばれる2.4~2.5GHzの周波数帯を使用する。ワイヤレスマウス、ワイヤレスキーボードの通信機器、電子レンジや医療機器などでも使用されるので非常に混雑している。電子レンジ稼働中は、強力な電波が発生するため、周辺にあるISMバンドを使用する通信機器はほとんど使えない状況になる。
5GHz帯と比べて、障害物にぶつかっても電波が回り込みやすく、障害物の裏側まで届きやすい。
5GHz帯
5.2GHz帯(W52)、5.3GHz帯(W53)、5.6GHz帯(W56)の3種類の帯域が存在する。混雑していないので2.4GHz帯と比べて安定して使用できるが、周波数が高くなると直進性が強くなり、障害物にぶつかると反射して裏側似回り込みにくくなる。基本的に屋内の使用に制限されている。
屋外で使用する場合は、レーダーなどとの干渉をさけるため、DFS(動的周波数選択)という機能をアクセスポイントに搭載することが義務付けられている。
ワイヤレスLANの規格
1997年に最初の通信規格として「802.11」が策定され、その後はセキュリティ関連の規格なども策定されている。
| 規格名 | 新規格名 | 周波数帯 | 最大伝送速度 |
|---|---|---|---|
| IEEE802.11 | - | 2.4GHz | 2Mbps |
| IEEE802.11b | - | 2.4GHz | 11Mbps |
| IEEE802.11a | - | 5GHz | 54Mbps |
| IEEE802.11g | - | 2.4GHz | 54Mbps |
| IEEE802.11n | Wi-Fi4 | 2.4GHz/5GHz | 600Mbps |
| IEEE802.11ac | Wi-Fi5 | 5GHz | 6.9Gbps |
| IEEE802.11ax | Wi-Fi6 | 2.4GHz/5GHz | 9.6Gbps |
異なる周波数帯の電波では互いに通信することが出来ないので、互換性がない。
チャネル
複数のアクセスポイントがあるとき、隣にあるアクセスポイントと同じ電波を干渉(ノイズ)が発生するため、それを防ぐために異なる電波を発生させるための仕組みのこと。2.4GHz/5GHz帯を使って通信を行うが、その周波数を全て使っているわけではなく、実際には周波数帯を複数のチャネルの分割し、その中の1つを使って通信が行われている。
2.4GHzで利用可能なチャネル
1~13チャネルまで5MHzの間隔で周波数を割り当て、少し開けて14チャネルが割り当てられている。14チャネルは日本で割り当てられた周波数帯で、IEEE802.11bのみ利用可能。複数のアクセスポイントを設置する場合は、電波干渉を防ぐために5チャネル以上の間隔で設定しなければならない。
5GHzで利用可能なチャネル
干渉しないようにチャネルの帯域が確保されているため、チャネル番号が異なれば電波が干渉することはない。IEEE802.11aの場合、使用可能なチャネル数は全部で19ある。
MIMO(Multiple Input Multiple Output)
送信と受信のアンテナを複数使用し、ストリームと呼ばれるデータの通信路を複数確立して通信を分散・同時送信することを可能にする技術。
IEEE 802.11nでは送信・受信用に最大4ストリーム利用し、理論上最大4倍まで高速化することが可能。IEEE802.11acでは最大8ストリーム利用可能
チャネルボンディング
隣り合うチャネルを束ねることで使用する周波数の幅を広げ、高速通信を実現している。
IEEE 802.11nでは2つのチャネルを束ねて40MHzにすることで、2倍の伝送速度を実現している。IEEE802.11acでは最大8つのチャネルを束ねて160MHzの周波数の幅、8倍の伝送速度まで利用可能。
ワイヤレスLANの通信方式
通信方式には以下の2種類が存在する。
アドホックモード
ワイヤレスLANクライアント同士が直接通信する方式のこと。アクセスポイントが不要なため、お互いに電波の届く範囲に存在すれば手軽に利用できるというメリットがある。IBSS(Indeoendent Basic Service Set)モードとも呼ばれている。
インフラストラクチャモード
ワイヤレスLANクライアントがアクセスポイントを経由することによって通信を行う方式のこと。社内ネットワークなどで一般的な利用形態。
AP(アクセスポイント)
ワイヤレスLANクライアント同士を接続したり、有線LANと接続したりするための機器。無線LANでは、アクセスポイントが親機にあたり、無線クライアントは子機として動作する。
自身の存在を知らせるためにビーコンという信号を発する。ビーコンはAPから一定の間隔でブロードキャストされ、これにはSSIDなどの自身(AP)の情報が含まれている。
「AP Mode」を変更することで他の目的にも転用することができる。
| モード | 概要 |
|---|---|
| Local | LAPのデフォルトモード。電波を使ってワイヤレスLANクライアントとデータを送受信する。無線通信に1つのチャネルを利用し、ほかのチャネルとの干渉を監視する |
| FlexConnect(Hybrid REAP) | WAN経由でWLCと接続する時に使用するモード。WLCとの接続が切断された場合でも対応可能 |
| Monitor | 不正なAPの検出、および侵入検知(IDS)用の専用センサーやRFIDタグ追跡用の専用センサーとして動作するモード |
| Rougue Detector | 有線ネットワーク上に不正なAPやクライアントがいないか監視するモード |
| Shiffer | 特定のチャネル上のすべてのパケットを収集して、指定したデバイスに送信するモード。無線LANトラフィックのパケットキャプチャを取得し、ネットワーク分析を行うのに有効 |
| Bridge | APがブリッジとして動作するモード。メッシュネットワークでの距離が離れたAPの中継などに利用する |
| SE-Connect | スペクトラムアナライザ専用モード(無線電波の干渉などの状況を調べるモード) |
| Sensor | Cisco DNA Centerと連携して動作し、遠隔地からのリアルタイムなトラブルシューティングを可能にする。 |
BSS(Basic Service Set)
1台のアクセスポイントとその配下にいるワイヤレスLANクライアントで構成されるネットワーク範囲のこと。BSSIDは48ビットの数値の識別子で、アクセスポイントのMACアドレスを利用する。
ESS(Extended Service Set)
複数のBSSで構成されるネットワークの範囲のこと。ESSIDはその識別子のことで、ネットワークを識別するためにつけるIDのこと。最大32文字までの英数字を設定することが可能。
複数のBSSを更に1つにグループ化したもので、ローミングを実現することが可能になる。ローミングを可能にするには、複数のアクセスポイントに同じESSIDが設定されている必要がある。
ローミング
クライアントが移動した先の電波状況に応じて自動的にアクセスポイントを切り替える機能。一定の範囲内であればアクセスポイントの場所を気にせず、アプリケーションのサービスを維持しながら自由に移動することができる。IEEE 802.11rでは、認証の際にFT(Fast Transition)と呼ばれる高速認証プロトコルを利用することで、高速ローミングが可能となる。
ローミングを可能にするには、対象のAPで同じSSID、パスワード、セキュリティポリシーを設定する必要がある。
ダイナミックアンカー
異なるサブネット間でローミングを行う際、PCのIPアドレスを変更せず通信を可能にする機能の事。WLC同士でクライアント情報をコピーすることで通信が可能になる。
WLC管理画面のWLAN設定で、[Static IP Tunneling] チェックボックスをオンにすることでダイナミックアンカーを有効にすることができる。
WDS(Wireless Distribution System)
AP同士を無線接続する機能のこと。複数の有線LANを無線接続、またリピーター(中継機)として使用することもできる。
SSIDブロードキャスト
APが自身のSSIDを無線LANクライアント側に表示させるためにビーコン信号を発信する機能のこと。公開している無線ネットワークではSSIDブロードキャストを設定してクライアント側がAPを見つけやすいようにしたりする。
SSIDステルス
無線LANクライアント側にSSIDを表示させないためにビーコン信号を停止する機能の事。自宅で使用する無線ネットワークではSSIDステルスを設定して近隣住民のデバイスにSSIDが表示されないようにすることができる。
フレームの種類
IEEE 802.11フレームには大きく以下の3種類のフレームがある。
-
データフレーム
実際にユーザデータを搬送する。 -
管理フレーム
認証、関連付け要求、関連付け応答、再関連付け要求などを完了し、データ送信を可能にする。
| フレーム | 役割 |
|---|---|
| ビーコン | APが定期的(1/10秒間隔)に存在を通知する。BSSID、ESSID、変調方式やチャネル番号などの情報が含まれている |
| プローブ要求/応答 | 接続に必要な情報の要求と、それに対する応答 |
| 認証 | 接続するAPに対して認証を要求し、APが許可の応答を返す |
| アソシエーション要求/応答 | 認証完了後にAPに対して行うアソシエーションの要求と、それに対する応答 |
管理フレームの保護を目的としたIEEE規格は、802.11w。802.11wプロトコルはPMF(Protected Management Frames)という機能を有効にした管理フレームに対して適用され、管理フレームを使用した攻撃を防ぐ。
PMFの設定では以下の2つのパラメータを指定する。
-
Comebackタイマー
関連付け要求を拒否されたクライアントが再度要求を試行するまでに待機する時間 -
SAクエリタイムアウト
WLCがSAクエリプロセス(なりすましのアソシエーション要求を拒否するために正当なクライアントとWLCの間で行われるやり取り)の応答を待機する時間
-
制御フレーム
送信要求、応答確認など無線LANによる通信の提供・維持する
| フレーム | 役割 |
|---|---|
| ACK(受信確認) | データフレームの受信後、エラーがなければ正しく受信できたことを相手に通知する。ACKを一定時間内に受信できない場合、送信者はフレームを再送する |
| RTS/CTS | 隠れ端末問題を解決するために使用する |
ワイヤレスLANアーキテクチャ
APには大きく2種類に分けられる。
Autonomous AP(自律型アクセスポイント)
単体で動作し、管理や認証などもそれぞれのAPで行う。機器が安価で導入費用は安いが、台数が増えてくると管理に負荷がかかる。小規模ネットワークに適している。
また、各APが独立して動作し自己完結型であるため、他のネットワーク要素の影響を受けにくいというメリットがある。
管理者ログインにはルータやスイッチなどのCisco機器同様に以下の認証を用いることができる。
- ローカルデータベース認証
- RADIUS認証
- TACACS+認証
- 通信の流れ
- APは、無線LANクライアントから電波によってデータを受けとる
- APはSSIDに対応したVLAN番号をデータに付加して有線LANに転送する
- スイッチは付加されているVLANにしたがって適切なネットワークに転送する
APとスイッチ間は複数のVLANを通すためにトランクリンクにする必要がある
Lightweight AP(集中管理型アクセスポイント)
管理機能をもつWLC(ワイヤレスLANコントローラ)とセットで動作する。管理者はWLCに対して設定を行い、それが自動的にAPに反映される。多数のワイアレスLAN機器(ワイヤレスLANクライアントとAP)の運用・管理における手間や負担を大幅に抑えることができる。
WLCでLAPの設定や管理を行えるようにするには、まずLAPがWLCに登録される必要があり、そのために以下のようなメッセージのやり取りが行われる。
中央スイッチング
LAPがCAPWAPトンネルを通じてWLCにデータを送信し、WLCがその後のルーティングやスイッチングを担当する通信方式。WLCを使用した無線LAN環境において、主に採用される通信方式でもある。
中央スイッチングを利用する場合には、LAPの動作モードをLocalモードに設定する。
- 通信の流れ
- LAP(Lightweight AP)は、無線LANクライアントから電波によってデータを受けとる
- LAPは受信したデータをCAPWAPでカプセル化してWLCに転送する
- WLCはCAPWAPカプセルを解除し、SSIDに対応したVLAN番号をデータに付加して有線LANに転送する
- スイッチは付加されているVLANにしたがって適切なネットワークに転送する
構成上の注意点:WLCとスイッチ間は複数のVLANを通すためにトランクリンクにする必要あり
スイッチとWLC間はLANケーブルで接続する
ローカルスイッチング
LAPとスイッチ間をトランクリンクで接続し、WLCを介さずAPがデータ転送を行う通信方式。自律型AP、もしくはFlexConnectモードで動作するLAPで行われる。APがVLANタグを付与してデータを転送するため、LAPとスイッチ間で複数のVLANの通過を許可する必要がある。
スプリットMACアーキテクチャ
WLC(ワイヤレスLANコントローラ)とLightweight APを使用したワイヤレスLAN構成において、IEEE 802.11における処理を分離する概念。アクセス制御の役割をAPとWLCで分割する。リアルタイム性が高い処理はAPが、リアルタイム性が低い処理はWLCが行う。
両機器間の通信にはCAPWAPというプロトコルが使用される。
◆アクセスポイント
- 電波の送受信
- フレームのバッファリングと転送
- フレームの暗号化、復号化
- 他のAPの存在監視
- データの暗号化と復号
- ビーコンの送信やプローブ応答
など
◆WLC(ワイヤレスLANコントローラ)
- セキュリティポリシー
- 認証
- ローミング管理
- モビリティ管理
- RF管理
- アソシエーションと再アソシエーション
など
CAPWAP(Control And Provisioning of Wireless Access Points)
ワイヤレスLANコントローラとLightweight AP間のやり取りで使用されるプロトコル。両機器間に制御用とデータ用のトンネルを形成し、データをカプセル化して転送する。
-
CAPWAP制御メッセージ
ワイヤレスLANコントロールによるアクセスポイントの構成、操作、管理に使用される。認証及び暗号化が行わるため、適切なアクセスポイントのみがワイヤレスLANコントローラによって制御される。不正なアクセスポイントが接続されたとしても、ワイヤレスLANコントローラとの通信を確立することはできない。 -
CAPWAPデータ
ワイヤレスLANクライアントから送信されたデータを、アクセスポイントからワイヤレスLANコントローラへ転送する際に使用される。ワイヤレスLANコントローラの機種によってDTLSという暗号化を用いて、CAPWAPトンネル内で通信を安全に転送することもできる。
FlexConnect
Lightweight APの動作モードを設定しておくと、ワイヤレスLANコントローラの接続が失われた後も独立して動作を継続することが可能になる。
Cisco Meraki
Autonomous APを始めとしたネットワーク機器の設定やネットワークの管理をクラウド上で行うシステムのこと。Merakiに対応したアクセスポイントであれば、APをLANケーブル(インターネット)に接続するだけで導入が完了する。細かい設定や管理については、インターネット経由でMerakiのクラウドにアクセスすることで、GUIで操作可能。
APのゼロタッチ導入が可能なクラウド管理型のシステム
ワイヤレスLANのセキュリティ
「電波の届く範囲であれば、どこからでも盗聴できる」というセキュリティ上の危険があるため、セキュリティを確保することはワイヤレスLANを構成する上で最も重要な課題となる。
そこで、ネットワークを保護するには以下の点に焦点を当てたセキュリティの実装を行う必要がある。
ワイヤレスデータの暗号化
有線での通信よりも外部へのデータの漏洩・盗聴の危険性が大きくなる。アクセスポイントとクライアント端末の間で共通する暗号化方式を使用することで、データをアクセスポイントだけが読み取れるようになり、安全に送信することができる。
ワイヤレスLANで使用される暗号化のアルゴリズムにはRC4やAESなどがある。
クライアント端末の認証
悪意のユーザや非正規ユーザからもアクセスポイントへ接続できてしまう危険性が常に存在する。そのため、アクセスポイントは接続を試みるクライアントが正規のユーザであるかどうかを判断するために認証を行う。
ワイヤレスLANではパスフレーズによる事前共有鍵認証もしくはRADIUSサーバを使用したIEEE802.1X認証を行う。
事前共有鍵認証(Pre-shared key認証)
PSK認証ともいわれ、アクセスポイントとクライアント端末全体で同じパスフレーズを事前に設定し、そのパスフレーズから暗号鍵(事前共有鍵)が生成され認証を行う。認証サーバを使用しない手軽さから、個人や家庭向けの小規模な無線LAN、公共のワイヤレスネットワークで広く普及している。
しかし、デバイスの紛失、退職者や異動によってパスフレーズが流出する可能性があることからセキュリティ強度としては高いとは言えない。
ローカルEAP認証
WLCを認証サーバとして使用する。WLCのローカルデータベースを使用して認証を行うため、外部の認証サーバ(RADIUSやTACACS+)を用意する必要がなくなる。主に、ゲストユーザ(来客)用の通信や、外部認証サーバとの通信ができなくなった場合のバックアップとして使用される認証方式。
パケットのセキュリティ
WLCに着信するパケットは以下の2種類存在し、これらのパケットをフィルタリングするにはACLを使用する。
-
WLCを通過していくパケット
ACLを「Dynamicインターフェース」に適用 -
WLCに対するパケット
「CPU Access Control Lists」にACLを適用します。
Cisco AMP(Advanced Malware Protection)
Ciscoが提供するマルウェア対策製品で、サンドボックス機能やリアルタイムのマルウェア検知機能により、侵入行為を防御する。また、ネットワーク内のファイルを継続的に分析し、侵入してしまったマルウェアを封じ込めることも可能
セキュリティ規格
WEP(Wired Equivalent Privacy)
IEEE802.11で最初に作成された暗号化技術で、IEEE802.11bで採用された。WEPキーと呼ばれる40ビットまたは104ビットの決められた長さの鍵をAPとクライアントの両方に設定し、同じ鍵であると確認することで認証が成功する。RC4というアルゴリズムによってデータを暗号化する。
以下の問題点があり、現在は使用を避けるようにされている。
- 複数のクライアントとAPで共通の鍵を使い続けている
- 共通鍵の長さが40ビットあるいは104ビットしかない
- IV値(Initialization Vector:初期ベクトル)が暗号化されずにパケットに付加され送られる
- IVが24ビットと短い
WPA(Wi-Fi Protected Access)
WEPに代わる安全性の高いセキュリティ規格で、IEEE802.11iから制定された。
TKIP(Temporal Key Inegrity Protocol)という暗号化方式を使用し、暗号化アルゴリズムにRC4を採用している。TKIPはデータ部分をMIC(Message Integrity Code:改ざん検出)というフィールドを付加し、メッセージの完全性(情報が正確かつ最新で書き換えられない状態のこと)を保証する機能を追加している。
- IVの長さを48ビットに拡張
- 暗号鍵は3つの要素(一時鍵、MACアドレス、IV)から生成
- 暗号鍵はクライアントごとに異なり、通信のたびにも更新される
- MICのアルゴリズムにはMichael、CBC-MAC、GMACがある
WPA2
WPAの新しいバージョンとして2004年に発表した規格。暗号化方式にCCMP(Counter Mode-CBC MAC Protocol)を採用し、AES(Advanced Encryption Standard)という新しい暗号化アルゴリズムによってセキュリティ強度を高めている。また、CBC-MACという仕組みによってメッセージの完全性を保証する。
社内のワイヤレスLANにおいて最も普及している。
WPA3
2017年の「KRACK」と呼ばれる攻撃を受け、新しいセキュリティ規格として発表された。KRACKへの対策を施すSAE(Simultaneous Authentication of Equals:同等性同時認証)という新しいハンドシェイクの手順を実装した。また、一定回数のログイン失敗をした場合にはブロックする機能が追加されているため、辞書攻撃にも対応できるようになっている。
WPA3が使用する暗号化アルゴリズム「AES」では、暗号化に必要となる暗号鍵として128bit(CCMP)、192bit、256bit(GCMP)のいずれかの鍵長を用いることができる。
- 認証方式にSAEを使用
- 前方秘匿性がある
- PMFの必須化
- ログイン攻撃(総当たり攻撃や辞書攻撃)防止機能
WPAパーソナル
認証サーバを使用しないモード。PSK(Pre-Shared Key:事前共有鍵)認証または、SAEを利用している場合に呼ばれる。WPA2パーソナルの場合はPSK、WPA3パーソナルの場合はSAEを使用する。
WPAエンタープライズ
認証サーバを使用するモード。IEEE 802.1X/EAP認証を利用しているため、WPAパーソナルよりもセキュリティ強度は高い。WPA3エンタープライズ192bitモードが最も高い。
IEEE 802.1X
LANに接続するユーザーを認証するための規格。セキュリティ対策としてユーザ認証を行うことで不適切なユーザーがLANに接続することを防ぐ。
| 構成要素 | 内容 |
|---|---|
| supplicant | IEEE 802.1X認証要求をするクライアントソフトウェア。WindowsやMacなどクライアントPCのOSにも組み込まれている |
| authenticator | 無線LANアクセスポイントやWLCやスイッチ、サプリカントからの認証要求を認証サーバへ中継する |
| authentication sever | 認証を行うサーバ。IEEE 802.1XはRADIUSサーバのみに対応している |
EAP(Extensible Authentication Protocol)
IEEE 802.1Xで採用されている拡張認証プロトコル。拡張性を生かして、いろいろなEAPベースの認証方式が追加されている。
Enhanced Open
主に飲食店やホテルなどの公衆Wi-Fiで使用されるセキュリティ規格で、WPA3の拡張機能として分類される。OWE(Opportunistic Wireless Encryption)という技術を用いて通信の暗号化を行う。クライアントごとに通信を暗号化してデータを保護するため、公衆Wi-Fiで懸念される通信の覗き見や攻撃を防止することができる。
ワイヤレスLANの構築
Autonomous APを単独で使用する方法と、Lightweight APをワイヤレスLANコントローラを用いて使用する方法の2つがある。
複数のAPを配置する場合のベストプラクティス(最善の方法)として以下2点がある。
- カバレッジホール(通信できないエリア)が無いようにする
- オーバーラップ(周波数が重なること)をしないようにチャネルの割り当てを行う
ワイヤレスLANコントローラ初期設定
ワイヤレスLANコントローラ初期設定
図のように各機器を設置する。ケーブルはAutomaticallyケーブルで全て接続を行う.APはデフォルトで電源がはいっていないので、以下の図のように電源アダプターをクリックし、ドラッグアンドドロップする。これを各APで行う。
次にそれ以外の機器の初期設定を行う。
- WCL
IPv410.10.10.5、サブネットマスク255.255.255.0、デフォルトゲートウェイ10.10.10.1
- サーバ(DHCPサーバ)
IPv410.10.10.2、サブネットマスク255.255.255.0、IPアドレス割り当て開始10.10.10.100~に設定する。
- Laptop(PC)
IPv410.10.10.10、デフォルトゲートウェイ10.10.10.1
これで初期設定は完了なので、LaptopからWebブラウザを開いてWCLのIPアドレスでアクセスする。
ワイヤレスLANコントローラのログイン
ワイヤレスLANコントローラの設定を行うには、CLI以外にHTTPやHTTPSを用いたWebアクセスによるGUIでの設定も可能。GUIで行う場合はワイヤレスLANコントローラの管理インターフェイスにIPアドレスが割り当てられている必要がある。
- コンソールポートへの直接接続(CLI)
- Telnet/SSHを使用したリモート操作(CLI)
- HTTP/HTTPSを使ったリモート接続(GUI)
TelnetとHTTPを使用したログインはデフォルトで許可されていないので、使用するには設定が必要なる。
CLIログインのタイムアウト値のデフォルトは5分で、アクティブがないときは変更を保存せず自動でログアウトする。
以下のコマンドで変更することが可能。
(Cisco Controller)>config serial timeout [0(タイムアウトしない)~160(分)]
(Cisco Controller)>config sessions timeout [0(タイムアウトしない)~160(分)]
ログイン設定例
ワイヤレスLAN初期設定後、LaptopからWebブラウザを開きWCLのIPアドレスを入力すると以下のような画面が表示される。
ここではユーザー名とパスワードを以下のように設定し[スタート]をクリックする。
- ユーザー名:Admin@
- パスワード:Password@
この画面のように以下の値を設定する。
- System Name:CCNAtest
- Management IP Address:
10.10.10.5 - Subunet Mask:
255.255.255.0 - Default Gateway:
10.10.10.1
SSIDを作成する画面では以下のように設定する。
- Network:MyHome
- Passphrase:1234567890
- Confirm Passphrase:同じパスワードを入力
この画面はデフォルトのまま次の画面へ行く。最後に確認画面が表示されるので問題なければ[Apply]をクリック。すると、以下の画面のように再起動を求められるので[OK]をクリックする。
この状態で固まるので画面自体を閉じ、再度Webブラウザを開きIPアドレスを入力する。
初期設定完了後、HTTP通信ではなくHTPPS通信に切り替わるので、アクセスする際のURLに注意する。
ここから先ほど設定したユーザ名、パスワードを使用してログインを行う。
実際にログインすると、以下のようなトップページが表示されそれぞれの機能の設定画面へ遷移することができる。
Band Select
デュアルバンド(2.4GHzと5GHzの両方)に対応している場合、電波強度などの条件によっては2.4GHz側に接続される場合がある。有効にすることで、デュアルバンド対応のクライアントがアクセスしてきた場合は、5GHz帯の周波数を優先的に使用する。デフォルトでは無効になっている。
不正APの検出
WLCは未知のAP(不正AP)を検出したとき、そのAPを事前に設定したルールに基づき、以下のいずれかのタイプに分類する。ただし、ルールが設定されていない(デフォルト)状態の場合は、全て「Unclassified」に分類される。
| 分類 | 意味 |
|---|---|
| Friendly | 友好的(脅威ではない) |
| Malicious | 悪意のあるAP |
| Custom | 管理者が新たに作成した分類 |
| Unclassified | 未分類(該当するルールがない場合に分類される) |
ワイヤレスLANコントローラのポートの概念
ルータやスイッチとは異なり、物理ポート・論リポートともに様々な役割を持つポートが存在する。
ディストリビューションシステムポート
ワイヤレスLANコントローラを有線LANに接続する物理インターフェイス。通常のトラフィックや管理トラフィックを送受信するために使用される。IEEE802.1Qトランクリンクでスイッチと接続を行う。
また、Link Aggrigation(LAG)を使用することで複数のポートを1つにバンドルし、帯域を向上させることもできる。その際、EtherChannelのモードを「ON」にする必要がある。
LAGのメンバーポートが1つでも稼働していればAPからのトラフィックを中継できるため、冗長化や帯域幅増強を実現できる。
サービスポート
ワイヤレスLANコントローラへ管理アクセスするための物理インターフェイス。通常のデータとは異なるネットワーク上でデータの送受信を行うため、アウトオブバンド管理を行うポートとなる。
アウトオブバンド管理とは??
通常のトラフィックと管理トラフィックを分離した管理方式を指す。通常のトラフィックによる影響を受けずにアクセス可能。
ネットワーク障害時に遠隔操作で復旧やメンテナンスを行う役割を持つので、リモート接続を行うためにSSHおよびTelnetがサポートされている。また、IPアドレスの割り当てに関してはDHCPを使用してIPアドレスを取得したり、固定IPアドレスを割り当てたりすることが可能
コンソールポート
ワイヤレスLANコントローラにコンソール接続し、CLI操作を行うためのポート。初期設定を行う際などに使用される。
冗長ポート
2台のワイヤレスLANコントローラの冗長ポートをLANケーブルで接続することで冗長化することが可能
論理ポート
スイッチの内部にある論理的なポートで、いくつか種類がある。
ダイナミックインターフェイス
アクセスポイントに割り当てるSSIDやVLANとの紐づけを行うポートで、無線LANクライアントにVLANを割り当てる、SSIDに紐づけられたVLANのデータの送受信を行う。IPアドレスを設定する。
バーチャルインターフェイス
モビリティ機能を提供するための仮想ポート。使用しないIPアドレスを設定する。
サービスポートインターフェイス
サービスポートと結び付けられるインターフェイス。アウトオブバンド管理に使用される
管理インターフェイス
WLCの管理用ポート。WLCの設定時のアクセス先や、pingの宛先やWLC間の通信の制御などで使用され、通常のデータと同じネットワーク上でデータの送受信するため、インバンド管理となる。
インバンド管理とは??
通常のトラフィックと管理トラフィックを分離しない管理方式。輻輳の影響などを受ける可能性がある。
WLCのQoSプロファイル
| プロファイル | 内容 |
|---|---|
| Platinum(voice) | 音声トラフィックは遅延による音声途切れなどが起きない最高品質のQoSプロファイル |
| Gold(video) | 高品質が求められるvideo(動画)トラフィック用のQoSプロファイル |
| Silver(best effort) | PCの通信など、一般的なデータトラフィック用のQoSプロファイルでデフォルトのプロファイル |
| Bronze(background) | ゲストネットワーク用など、最低優先度として扱うQoSプロファイル |
ワイヤレスLANコントローラの設定
ダイナミックインターフェイスの設定
ダイナミックインターフェイスの設定例
[CONTROLLER]>[Interfaces]>[New]の順番にクリックする。
すでに管理インターフェイスとバーチャルインターフェイスが作成されているが、これらは初期せってじに作成が完了しているものになる。
次の画面にて以下の値を入力し[Apply]をクリックする
- Interface Name:Testinter
- VLAN ID:10
次に、ダイナミックインターフェイスの詳細な設定画面に切り替わるので、以下の値を入力し[Apply]をクリックする。
- Port Number:10
- IP Adderess:
10.10.10.15 - Netmask:
255.255.255.0 - Gateway:
10.10.10.1 - Primary DHCP Server:
10.10.10.2
作成完了後にインターフェイスの一覧画面に戻ると、先ほど設定した名前でダイナミックインターフェイスが作成されていることが確認できる。