無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

カテゴリ:4.2 IAPの設定 > 4.2.3 無線LAN設定

さすがIAPは簡単である。また、日本語対応しているのもありがたい。
APに接続した後は、新規にWLANを作成する。

SSIDを決める。おもな用途はデフォルトの「従業員」でいいだろう。
w1















とりあえずw2デフォルトのままで
















セキュリティの設定
左のセキュリティレベルをまず選ぶ。WPA2-PSKは「パーソナル」である。PEAPやEAP-TLSを設定したい場合には、「エンタープライズ」を選択する。
w3















とりあえずそのまま。これで設定完了。あとはつなぐだけ。
w4

IAPのIPアドレスを設定したら、IEEE802.1xが使える無線の設定をしよう。非常に簡単である。

「ネットワーク」から「新規」をクリックする。
001









SSIDを入力する。用途は従業員でよい。
002















IPアドレスとVLANの割り当て方法を設定する。複雑なネットワークでなければデフォルトでよい。
003














セキュリティレベルを「エンタープライズ」に設定する。
キー管理は「WPA-2 エンタープライズ」を選択。認証サーバ1で「新規」を選択。
004














IEEE802.1X認証を行うためのRADIUSサーバを指定する。
005
















アクセスルールも「制限なし」でよい。
006











これだけである。RADIUSサーバ側の設定ができていれば、設定したSSIDでIEEE802.1Xの認証ができるはずだ。


この時点で、デフォルトのinstantネットワークは不要となる。xをクリックして、削除しておこう。instantのSSIDには誰でも接続できてしまい、セキュリティ的に望ましくないからだ。
007













無線LANクライアントに、認証したユーザに応じたVLANを割り当てる方法を紹介する。
ダイナミックVLANと呼ぶこともある。

前提として次の二つの作業が必要。
(1)RADIUSサーバ側で、ユーザに応じたRADIUSアトリビュートを返す設定をしておく
NPSの設定例 FreeRADIUSでの設定例を参照のこと
(2)IAPを接続しているSWのポートに、タグVLANの設定をしておく。
簡単なのは、管理IPアドレス用のVLANはタグなし(UntagやネイティブVLANとも言う)にしておき、クライアントに割り当てるVLANについては802.1QのタグVLANを設定する方法だ。

IAPでは、RADIUSサーバから返されるアトリビュートの情報を元に、VLANを割り当てることができる。
例として、ユーザに応じてVLAN200、VLAN210、VLAN220の3つのいずれかを割り当てる設定を紹介する。

ネットワーク(SSID)は、すでに設定済みのものを変更してもよいし、新規で設定してもよい。
今回は、新規設定を例に解説する。

「ネットワーク」→「新規」をクリック。SSIDを入力する。用途は従業員でOK。
001

















クライアントIPとVLANの割り当てもそのままでOK。
002

















セキュリティは、WPA2エンタープライズを選択し、RADIUSサーバを指定しておく。
003

















アクセスの設定がポイントだ。ここでは、
・どのような条件のときに(ロールの割り当てルール)→RADIUSサーバから返された属性がどのような条件か
・どのように動作するか(ロール)→VLANを割り当てる。
を設定する。(設定の順序はこの逆なので注意。)

アクセスルールはロールベースを設定する。
004

















ロールの「新規」をクリックし、ロールの名前を決める。ここでは割り当てるVLAN名をロール名とした。
005


















アクセスルールの「新規」をクリック。
006


















新しいルールが表示されるので、ルールタイプを「アクセス制御」から「VLANの割り当て」に変更する。
007


















割り当てるVLAN番号を入力し、「OK」する。
008


















同様に、VLAN210とVLAN220を作る。
009


















次に、ロールの割り当てルールを設定する。「ロールの割り当てルール」の「新規」をクリックする。
条件が出てくるので、
属性:「Tunnel-Private-Group-Id」(VLANIDを示す属性)
演算子:「次に一致」
文字列:VLAN番号(VLANID)
ロール:作成したロール(VLANの割り当てを行うロール)
を設定し、「OK」する。
010
















Tunnel-Private-Group-Idとは、RADIUSサーバから返される属性値であり、VLAN番号を意味する。


同様に、VLAN210、220も作成する。
011


















これでOK。

なお、SSID名と同じロールはデフォルトロールと呼び、どの条件にも当てはまらない場合の動作を規定する。
たとえば、認証は成功したがTunnel-Private-Group-Idが300だったような場合だ。(300はロールの割り当てルールに設定をしていない)

アクセスコントロールをシビアに設定するのであれば、デフォルトロールのアクセスルールも厳しめにしておいたほうがよいかもしれない。



IAPに接続しているクライアント一覧をCLIで確認するには、「show clients」コマンドを使う。


# show clients

Client List
-----------
Name       IP Address       MAC Address        OS    Network              Access Point       Channel  Type  Role                 Signal    Speed (mbps)
----       ----------       -----------        --    -------              ------------       -------  ----  ----                 ------    ------------
testuser6  10.0.1.7         1c:e6:2b:**:**:**  iPad  aruba-1x-freeradius  d8:c7:c8:**:**:**  44+      AN    aruba-1x-freeradius  44(good)  150(good)
user200    169.254.247.237  34:76:c5:**:**:**        aruba-1x-ad          d8:c7:c8:**:**:**  1        GN    VLAN200              44(good)  1(poor)
Info timestamp      :8621

IAPはローカルでユーザデータベースを持つことができる。この機能を使えば、外部の認証サーバ(RADIUS)を使わなくても、IAPだけで802.1X(PEAP)やキャプティブポータルを使うことができる。簡易な機能しかもっていない。

■メリット
・外部の認証サーバが不要
・登録が簡単。

■デメリット
・機能が少ない
・一括登録ができない。
・外部との連携がまったくできない。
・ダイナミックVLANを使えない。
・PEAPとキャプティブにしか使えない。(EAP-TLSは使えない)

■適用例
・社員用の認証はRADIUSを使い、ゲスト用キャプティブポータルには内部DBを使う、といった使い分けをするとよいかも。

■設定方法(ユーザの登録方法)
右上の「セキュリティ」をクリックし、「内部サーバのユーザ」タブを選ぶ。

001













追加したいユーザ名とパスワードを入力する。
タイプには2種類ある。
・従業員:802.1X(PEAP)専用
・ゲスト:キャプティブ専用
である。

既存ユーザのパスワード変更はできないので、いったん削除してから同じユーザ名で登録しなおす必要がある。ちょっと面倒。

内蔵のユーザDBを使って、802.1X(PEAP)で接続するためのSSIDを作成する。

(1)ネットワークから「新規」をクリック。

(2)ウィザードの「WLAN設定」でSSIDを入力。
005











(2)IPやVLANの割り当てを設定する。(ここではデフォルトのまま)
006











(3)「セキュリティ」では、「WPA-2 エンタープライズ」、認証サーバに「内部サーバー」を選択する。
007










なお、内部DBに従業員ユーザを登録していないとエラーが出てこの先に進めない。
PEAPで利用するサーバの証明書もここでインストールできる。
(インストールしなければ、機器内蔵の証明書を使う)

(4)アクセスルールを設定する。アクセスできるネットワークを限定したい場合に設定する。
008












設定はこれで完了。





キャプティブポータルとは、WEB認証のこと。内部データベースを使ってキャプティブポータル用のSSIDを設定する。

(1)ネットワークから「新規」をクリック。

(2)ウィザードの「WLAN設定」でSSIDを入力。「ゲスト」を選択。
011











(2)IPやVLANの割り当てを設定する。(仮想コントローラ割り当てにしておくと、IAPがNAPTしてくれる)
012










(3)スプラッシュページのタイプに「内蔵-認証済み」、認証サーバに「内部サーバー」を選択する。
右側の画面をクリックすると、認証画面をカスタマイズできる。
013










スプラッシュページに「内蔵-承認済み」と言う選択肢もある。これは認証を行わず、すべてのユーザにアクセスを許可するための設定。


(4)アクセスルールを設定する。アクセスできるネットワークを限定したい場合に設定する。
014












設定はこれで完了。

なおキャプティブの場合、無線LAN区間はまったく暗号化されていない。(WEPすらない)
盗聴のリスクがあるため、利用には注意が必要。



このページのトップヘ