#1. はじめに
この記事はシスコの有志による Cisco Systems Japan Advent Calendar 2021 (2枚目)の 9日目の記事です。これまでにも様々なトピックの記事があり非常に面白く読み応えのあるものばかりですので、ぜひ以下のリンクからご覧ください!
2017年版: https://qiita.com/advent-calendar/2017/cisco
2018年版: https://qiita.com/advent-calendar/2018/cisco
2019年版: https://qiita.com/advent-calendar/2019/cisco
2020年版 1枚目: https://qiita.com/advent-calendar/2020/cisco
2020年版 2枚目: https://qiita.com/advent-calendar/2020/cisco2
2021年版 1枚目: https://qiita.com/advent-calendar/2021/cisco
2021年版 2枚目: https://qiita.com/advent-calendar/2021/cisco2
2020年、2021年はコロナウィルスの影響で、従来の出社してオフィスで働くという働き方から、在宅ワークも取り入れたハブリッドワークへ急激に変化しましたね。私自身、シスコに入社したのが2020年4月ということもあり、最初の1年はほんとに数えられる程度しかオフィスに行かず、ほとんどが在宅ワークでした。自分の上司に直接会ったのも入社してから2年経ったつい最近だったりします。(笑) このような働き方では、当然、自宅からでも社内リソースへアクセスする手段が必要です。端末にクライアントソフトを入れたVPNの利用が一般的かと思いますが、今回はリモートアクセスのもう1つの手段としての "Office Extend Access Point (以後OEAP)" のご紹介と設定方法について書きたいと思います。設定といってもかなり簡単なので、さらっと読んでいただければと思います!
#2. そもそもOEAPってなに?
OEAPはリモートワーク用のAPです。自宅のホームゲートウェイにOEAPを接続するだけで、会社と同じ無線LAN環境を自宅で利用することができます。会社にあるWireless Controller (以後WLC)でOEAPも社内のAP同様に一括管理することができるので、会社に置いてるAPを自宅にもってきたイメージですかね。
##2.1. OEAPの強み
OEAP利用には以下のようなメリットがあります。
###① 設定がとにかく簡単!
なんといってもまずはこれですね。APをWLCにJoinさせてOEAPの設定を少しだけするだけです。あとは設定が完了したOEAPを自宅のホームゲートウェイにつなげるだけ。端末にはクライアントソフトもいらないですし、設置するだけで社内の環境をそのまま自宅に展開できます。設定の詳細については "2. ほんとに設定簡単なの?" でご紹介します。
###②家庭用の無線LANも併用できる!
OEAPを自宅に置くことで会社の無線LANをそのまま使えるだけでなく、自宅用の無線LANも設定することができます。会社のSSIDを利用した場合は、自宅にあるOEAPから社内のWLCまでインターネット上をカプセル化、暗号化されて通信されます。一方で、業務とは関係のないインターネット利用などを目的とした自宅用のトラフィックは、インターネットに直接抜ける自宅用のSSIDを設定して社内ネットワークとは分離させることができます。さらに会社のSSIDの利用時でも社内を経由せず直接インターネットに出す設定(スプリットトンネル)も可能です。
###③企業品質の無線LANを自宅に!
当然ですが、社内のWLCで管理されることになるので電波状況をみて最適なチャネルや帯域が自動で設定されます。無線品質の改善にもつながるかもしれませんね!
##2.2. OEAPの仕組み
自宅のOEAPからはインターネット上を通り社内のWLCへと通信します。このOEAPとWLCの間はCAPWAPでカプセル化され、CAPWAPの制御パケット及びデータパケットはDTLSで暗号化されて通信されます。DTLSは、UDP通信の際のセキュリティを実現するトランスポート層のプロトコルで、TLSと同様にIETFの標準規格でもあり、インターネット上を安全に通信しています。また、自宅無線LAN区間のセキュリティや偽装AP防止等もされているので安心ですね。
##2.3. OEAP導入する際の注意点
OEAPを設置する前に以下の項目を満たしているか確認が必要です。
- WLCがAPから到達可能なグローバルIP(NAT IPアドレスでも可)を持っていること。
- FWやNATルータを設置する場合は、CAPWAPのポート(Control: UDP 5246, Data: UDP 5247)が空いてること。
- OEAPをWLCにjoinさせて、WLCからOEAPへOSや設定のダウンロードがされた後に、OEAPを自宅に展開すること。
#3. ほんとに設定簡単なの?
下の図が今回私の家で設定してみた構成です。WLCはCT3504, OEAPはAP1815Tです。検証目的だったのでWLCはOEAP同様自宅にありますが、本来はオフィスにある状態になります。またIOS XEで動くCatalyst9800シリーズのWLCを利用する場合は少しだけ設定が異なるのでご注意ください。
VLAN (IP segment) | |
---|---|
WLC Service VLAN | 1 (192.168.128.0/24) |
WLC Management VLAN | 100 (10.10.100.0/24) |
Client VLAN (SSID Client) | 200 (10.10.200.0/24) |
VLAN between OEAP and SW | 20 (10.10.20.0/24) |
##設定手順
それでは実際の設定手順を見ていきましょう。(WLCの初期設定等は既に完了しているものとします。)
###設定①:NAT AddressとしてWLCにOEAPから到達可能なグローバルIPを設定
WLCのGUIからNAT IP Addressを設定します。
###設定②:OEAPをWLCにJoin
OEAPの設定の前に、社外のOEAPが社内のWLCにJoinするために以下の設定をWLCにする必要があります。
(Cisco Controller) >config network ap-discovery nat-ip-only disable
次にOEAPの設定です。AP1815Tの場合は、LANポートの3番目にPCを繋げることでOEAPのGUIにアクセスすることができます。ブラウザでOEAPのデフォルトのアドレスである10.0.0.1を入力しGUIにアクセスします。
CONFIGURATIONからWLCのIPアドレスを設定します。
OEAPがWLCに接続し、WLCからソフトウェアイメージをダウンロードします。ダウンロードして新しいコードと設定でリブートするのに、15~20 分かかります。上手くJoinできたら以下のようにWLCのGUI上にOEAPが現れます。
*Joinできない場合以下の点を確認してみてください。
- WLCの時間設定 (NTP, Time zone)などは適切か?
- NAT設定後にJoinさせる場合は [config network ap-discovery nat-ip-only disable] コマンドを実行したか?
- OSバージョンは適切か?
###設定③:WLC上で該当OEAPの設定をする (FlexConnect, OEAP enable, Primary Controllerの指定) WLCのGUIからOEAPの設定をします。まずは、OEAPのAP ModeをFlexConnectにする必要があります。そして、FlexConnectモードにした後に、office-extendを有効化するのですが、今回はバグの影響でGUIからAP modeの変更が以下のようなグレースケールになってしまいできなかったのでCLIで設定を行いました。 ![設定③_6.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/2334700/4a90d0ac-5fa4-5753-43b2-fc06544ac5e2.png)
(Cisco Controller) >config ap mode flexconnect submode none test_AP
(Cisco Controller) >config flexconnect office-extend enable test_AP
最後に、WLCのGUIのWIRELESSのHigh AvailabilityのタブからWLCのIPアドレスを設定します。
以上で設定は終了です。あとは、OEAPをどこに持っていってもOEAPをインターネットに接続すれば社内の無線LANを利用することができます!
#3. まとめ
VPN以外のリモートワークの手段であるOEAPをご紹介させていただきました。快適な在宅ワークの実現のために、OEAPの利用もぜひ検討してみてください!
#免責事項
本サイトおよび対応するコメントにおいて表明される意見は、投稿者本人の個人的意見であり、シスコの意見ではありません。本サイトの内容は、情報の提供のみを目的として掲載されており、シスコや他の関係者による推奨や表明を目的としたものではありません。各利用者は、本Webサイトへの掲載により、投稿、リンクその他の方法でアップロードした全ての情報の内容に対して全責任を負い、本Web サイトの利用に関するあらゆる責任からシスコを免責することに同意したものとします。