2-4(1) 設定内容の全体像

Arubaの無線LANで設定する内容の全体像を紹介する。
主なもののみをピックアップした。
以下のURLを参照した。
http://www.arubanetworks.com/vrd/80211nnetworksvrd/wwhelp/wwhimpl/common/html/wwhelp.htm#href=Chap8_ConfigProfiles.html&single=true
aaa

2-4(2)  APグループと仮想AP
2-4(3)  APとSSIDの詳細設計 [aruba設定]
2-4(5) SSIDの名称
2-4(6) セル設計
2-4(7) APのフォワーディングモード [aruba設定]
2-4(8) サーバの設計
VirtualAP Profileの設定内容 ※作成中
AAA Profileの設定内容 ※作成中
roleとは
Firewall Policy(ACL)の設定

2-4(2)  APグループと仮想AP

APグループ(AP Group)
同じ設定(configuration)を持つAP群のこと

仮想AP(Virtual APs)
VLANと一緒で仮想的にAPを分ける。
StudentとTeacherではネットワークもセキュリティ(open認証とEAPなど)。
1台のAPで、両者の無線LANアクセスを可能にする。

2-4(3)  APとSSIDの詳細設計 [aruba設定]

APグループおよびSSIDの設計を考える。
要件は以下である。

要件

・大学には教授、事務員、生徒がいる。
・それぞれがアクセスできるシステムやサーバが違い、セキュリティ対策が必要なので、VLANを分ける。
・事務室は事務員のみ、教授の部屋は、教授だけに接続できるAPを用意する。
・電波調査の結果、以下の6部屋にそれぞれ1つずつAPを配置する。

floor

APの設計
・教室A~DのAP1~4は、誰もがアクセスできる。
・事務室のAP5は事務員のみ、教授の部屋のAP6は教授のみがアクセスできる。
b

なるほど。
すると、AP1~AP4は、一つのAPを仮想的にVLANで分ける必要がありますね。

そう。それが、ArubaにおけるVirtual APである。
それと、AP1~AP4は共通の設定なので、グループ化(AP Group)し、設定を共通化すると便利だ。

詳細設計ベースで整理すると以下になる。
各VirtualAPにて、SSID Profile(SSIDや無線LANの規格など)、AAA profile(認証含むセキュリティ)が違うので、それぞれ割り当てる。

AP Group Virtual APs AAA profile SSID Profile VLAN 所属AP
Common(共通) Staff(事務員) EAP-TLS Staff 10 AP1~AP4
  〃 Teacher(先生) EAP-TLS Teacher 20   〃
  〃 Student(学生) Open Student 100   〃
Staff_only
(先生専用)
Staff(事務員) EAP-TLS Staff 10 AP5
Teacher_only
(先生専用)
Teacher(先生) EAP-TLS Teacher 20 AP6

また、同じVirtual AP内ではローミングができる(要確認)

上記の設定はArubaのWebUIでは以下になる。

AP Group
WIRELESS > AP Configrationを選択
ap_group

Virtual AP
上記のcommonグループを選択すると、「Configuration > AP Group > Edit “common”」が開く。
virtual_ap

2-4(5) SSIDの名称

IPAの資料にも確かあったが、デフォルトの工場出荷時のものはよくない。必ず変更するべきだ。なぜなら、デフォルトのSSIDからどのメーカのどの機種かが分かり、デフォルトのIPアドレスやユーザ名、パスワードも分かる。それで管理者ログインされてしまう可能性もある。
 また、企業情報を厳密に明記するのも考え物だ。SSIDを「企業名+部署」などとするよりは、多少曖昧な表現にしておく方が良いだろう。ただ、あまり複雑な暗号にするほどのものではない。ただの名前だからである。

2-4(6) セル設計

一つのAPが届く電波の範囲をセルという。
ArubaではRF Planによりセル設計をするとよいだろう。
注意点は、以下である。
隣接するチャンネルが重複しないものとする
 干渉するから当然である。
隣接セルとある程度重複するように設計する
 スムーズなローミングの観点からも必要である。また障害時の冗長性の確保という観点からも、別のAPからも届く距離で設計しておくとよい。
cell

2-4(7) APのフォワーディングモード [aruba設定]

f
WLCは、管理用のパケットだけが経由するのではなく、PCとサーバの通信など、実際のトラフィックもWLCを経由するのですよね?

ということは、WLCがダウンしたら、すべての無線LANの通信が止まっていしまいますね。

基本的にはそうなる。だから、WLCは冗長化してほしい。
でも、Arubaでは、WLCを経由させずに通信する設定が可能だ。
それがフォワーディングモードである。

トンネル(Tunnel) 【Cap/Rapの両方で設定可能】
基本的にはこちらを選択する。WLCとAP間をIPsecのトンネルを構築する。
結果的に、すべての通信がWLC経由になる。WLCにて一元的な機能を提供しているからだ。

ブリッジ(Bridge) 【Cap/Rapの両方で設定可能】
WLCを経由しない。条件的ではあるが、WLCがダウンしても利用できる。
WLCの負荷を軽減できるが、機能制限がある。
Capの場合、Cpsec(Control plane security)の有効化が必要。
※WLCがIEEE802.1Xのオーセンティケータになるため、制限があると思われる。MACやWPA-PSKはできるのかなどを確認中。

a

これは便利ですね。
特に、拠点がたくさんあって、センタとはWANでつながっている場合に。
センタにしかWLCが無いことがほとんどです。
ということは、WANが切れると、トンネルモードの場合は、無線LANの全通信ができなくなります。

そのとおり。でも、そのような構成の場合、センタに各サーバがあり、WANが切れた時点で業務がストップすることが多い。だから、わざわざブリッジモードにしても、業務としてはあまり変わらないことがほとんど。ということで、トンネルモードのままというケースが多いかな。

Decrypt-Tunnel 【Capのみ】
Cpsec(Control plane security)の有効化が必要

スプリットトンネル(Split-Tunnel) 【Rapのみ】
上記の併用。たとえば、遠隔拠点において、ローカルの通信はローカルで折り返すためにWLCを経由させず、センターや本部への通信はWLC経由にする。

2-4(8) サーバの設計

認証サーバの機種選定
・NetAttestなどが簡単で分かりやすいだろう。
・ADでも利用できるが、PEAPなどを使う場合には、ADのNPSを有効にして、Radiusサーバを有効にする必要がある。
・Free Radiusも無料なので、ぜひ使っていただきたい。

VirtualAP Profileの設定内容 ※作成中

以下が設定項目とその内容であるが、現在は作成中

設定項目 解説 初期値
Virtual AP enable このvirtual APを有効にするか    
Allowed band 規格を選択する 11a,11g,all all
VLAN VLANの選定    
Forward mode モード選択
基本はTunnel
Tunnel,Bridge,Split-Tunnel,Decrypt-Tunnlel  
Deny time range      
Mobile IP     Enabled
HA Discovery      
on-association     Disabled
DoS Prevention      
Station Blacklisting     Enabled
Blacklist Time     3600
Multicast Optimization for Video      
Multicast Optimization Threshold   2-255 6
Authentication Failure Blacklist Time     3600
Multi Association      
Strict Compliance     Disabled
VLAN Mobility     Disabled
Remote-AP Operation      
Drop Broadcast and Multicast      
Convert Broadcast ARP requests to unicast      
Deny inter user traffic      
Band Steering バンド(帯域)の優先設定をする。以下のSteering Modeでその設定をする    
Steering Mode Band Steeringを有効にした場合、そのモード設定をする balance-bands,force-5ghz,prefer-5ghz  

AAA Profileの設定内容 ※作成中

以下に整理しようと思っていますが、作成途中です。
嘘も多いので、ご注意ください。

項目 初期値 WPA
-PSK
MAC
認証
802.1X
認証
Web
認証
説明
Initial role authen
ticated
別途作成する ユーザ認証前のロールを指定する
MAC Authentication Profile guest default MAC認証用のプロファイルを指定する
MAC Authentication Default Role N/A authen
ticated
MAC認証後のデフォルトのロールを指定する
MAC Authentication Server Group default 認証するServer Groupを指定 MAC認証に利用するサーバ(サーバグループ)を指定する
802.1X Authentication Profile default
※注
default PSKや802.1Xと併用する場合は設定する 802.1X認証用のプロファイルを指定する
802.1X Authentication Default Role guest 802.1X認証後のデフォルトのロールを指定する
802.1X Authentication Server Group N/A 認証するServer Groupを指定 802.1X認証に利用するサーバ(サーバグループ)を指定する
RADIUS Accounting Server Group N/A
User derivation rules N/A
Wired to Wireless Roaming Enabled
備考 別途aaa authentication captive-portalを設定する?

※注:WPA-PSKは802.1X認証ではないが、ここで指定する

roleとは

i
roleってなんですか?
直訳すると、役割だと思いますが。

roleはアクセスリストのグループからなる。
どんな役割というか権限を持っているかと考えればいいだろう。
例えば、未認証ユーザがデフォルトで適用されるlogonというroleがある。
Security > Access Control > User Rolesを見てみよう。デフォルトでいろいろなRoleがある。
たとえば、以下である。

Name Firewall Policies
authenticated allowall/,v6-allowall/
logon logon-control/,captiveportal/,vpnlogon/,
v6-logon-control/,captiveportal6/

role

 

このように、logonロールには5つのFWポリシーが割り当てられている。

それぞれのFirewall Policies(access-list)の中身は、「Policies」タブで確認できる。
または、
show ip access-list <acl_name>
で確認できる。
詳しくは上記のコマンドで確認いただきたい。
認証前と認証後では、当然役割が変わってくるので、Roleは別のものが割り当てられることになる。認証前のRoleは、AAAプロファイルで変更できる。たとえば、roleの「logon」ではログオンに必要な通信以外は基本的に何もできない。認証後のRoleはauthenticatedにすることが多いだろう。

ロールの例

【認証前】
認証されていないので、最低限の
アクセスに限定する
 Role例:logon
【認証後】
認証がされたので、すべての
通信を許可する
 Role例:authenticated