無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

カテゴリ:2.設計 > 2-4 詳細設計

Arubaの無線LANで設定する内容の全体像を紹介する。
主なもののみをピックアップした。
以下のURLを参照した。
http://www.arubanetworks.com/vrd/80211nnetworksvrd/wwhelp/wwhimpl/common/html/wwhelp.htm#href=Chap8_ConfigProfiles.html&single=true
aaa
















2-4(2)  APグループと仮想AP
2-4(3)  APとSSIDの詳細設計 [aruba設定]
2-4(5) SSIDの名称
2-4(6) セル設計
2-4(7) APのフォワーディングモード [aruba設定]
2-4(8) サーバの設計
VirtualAP Profileの設定内容 ※作成中
AAA Profileの設定内容 ※作成中
roleとは
Firewall Policy(ACL)の設定

APグループ(AP Group)
同じ設定(configuration)を持つAP群のこと


仮想AP(Virtual APs)
VLANと一緒で仮想的にAPを分ける。
StudentとTeacherではネットワークもセキュリティ(open認証とEAPなど)。
1台のAPで、両者の無線LANアクセスを可能にする。

APグループおよびSSIDの設計を考える。
要件は以下である。

要件

・大学には教授、事務員、生徒がいる。
・それぞれがアクセスできるシステムやサーバが違い、セキュリティ対策が必要なので、VLANを分ける。
・事務室は事務員のみ、教授の部屋は、教授だけに接続できるAPを用意する。
・電波調査の結果、以下の6部屋にそれぞれ1つずつAPを配置する。

floor

















APの設計
・教室A~DのAP1~4は、誰もがアクセスできる。
・事務室のAP5は事務員のみ、教授の部屋のAP6は教授のみがアクセスできる。
b

なるほど。
すると、AP1~AP4は、一つのAPを仮想的にVLANで分ける必要がありますね。


そう。それが、ArubaにおけるVirtual APである。
それと、AP1~AP4は共通の設定なので、グループ化(AP Group)し、設定を共通化すると便利だ。

詳細設計ベースで整理すると以下になる。
各VirtualAPにて、SSID Profile(SSIDや無線LANの規格など)、AAA profile(認証含むセキュリティ)が違うので、それぞれ割り当てる。
AP GroupVirtual APs AAA profileSSID Profile VLAN所属AP
Common(共通)
Staff(事務員)EAP-TLSStaff10AP1~AP4
  〃Teacher(先生)EAP-TLSTeacher20  〃
  〃Student(学生)OpenStudent100  〃
Staff_only
(先生専用)
Staff(事務員)EAP-TLSStaff10AP5
Teacher_only
(先生専用)
Teacher(先生)EAP-TLSTeacher20AP6

また、同じVirtual AP内ではローミングができる(要確認)

上記の設定はArubaのWebUIでは以下になる。

AP Group
WIRELESS > AP Configrationを選択
ap_group











Virtual AP
上記のcommonグループを選択すると、「Configuration > AP Group > Edit "common"」が開く。
virtual_ap

IPAの資料にも確かあったが、デフォルトの工場出荷時のものはよくない。必ず変更するべきだ。なぜなら、デフォルトのSSIDからどのメーカのどの機種かが分かり、デフォルトのIPアドレスやユーザ名、パスワードも分かる。それで管理者ログインされてしまう可能性もある。
 また、企業情報を厳密に明記するのも考え物だ。SSIDを「企業名+部署」などとするよりは、多少曖昧な表現にしておく方が良いだろう。ただ、あまり複雑な暗号にするほどのものではない。ただの名前だからである。

一つのAPが届く電波の範囲をセルという。
ArubaではRF Planによりセル設計をするとよいだろう。
注意点は、以下である。
隣接するチャンネルが重複しないものとする
 干渉するから当然である。
隣接セルとある程度重複するように設計する
 スムーズなローミングの観点からも必要である。また障害時の冗長性の確保という観点からも、別のAPからも届く距離で設計しておくとよい。
cell

f
WLCは、管理用のパケットだけが経由するのではなく、PCとサーバの通信など、実際のトラフィックもWLCを経由するのですよね?

ということは、WLCがダウンしたら、すべての無線LANの通信が止まっていしまいますね。


基本的にはそうなる。だから、WLCは冗長化してほしい。
でも、Arubaでは、WLCを経由させずに通信する設定が可能だ。
それがフォワーディングモードである。

トンネル(Tunnel) 【Cap/Rapの両方で設定可能】
基本的にはこちらを選択する。WLCとAP間をIPsecのトンネルを構築する。
結果的に、すべての通信がWLC経由になる。WLCにて一元的な機能を提供しているからだ。

ブリッジ(Bridge) 【Cap/Rapの両方で設定可能】
WLCを経由しない。条件的ではあるが、WLCがダウンしても利用できる。
WLCの負荷を軽減できるが、機能制限がある。
Capの場合、Cpsec(Control plane security)の有効化が必要。
※WLCがIEEE802.1Xのオーセンティケータになるため、制限があると思われる。MACやWPA-PSKはできるのかなどを確認中。

a

これは便利ですね。
特に、拠点がたくさんあって、センタとはWANでつながっている場合に。
センタにしかWLCが無いことがほとんどです。
ということは、WANが切れると、トンネルモードの場合は、無線LANの全通信ができなくなります。

そのとおり。でも、そのような構成の場合、センタに各サーバがあり、WANが切れた時点で業務がストップすることが多い。だから、わざわざブリッジモードにしても、業務としてはあまり変わらないことがほとんど。ということで、トンネルモードのままというケースが多いかな。

Decrypt-Tunnel 【Capのみ】
Cpsec(Control plane security)の有効化が必要

スプリットトンネル(Split-Tunnel) 【Rapのみ】
上記の併用。たとえば、遠隔拠点において、ローカルの通信はローカルで折り返すためにWLCを経由させず、センターや本部への通信はWLC経由にする。

認証サーバの機種選定
・NetAttestなどが簡単で分かりやすいだろう。
・ADでも利用できるが、PEAPなどを使う場合には、ADのNPSを有効にして、Radiusサーバを有効にする必要がある。
・Free Radiusも無料なので、ぜひ使っていただきたい。

このページのトップヘ