WPA2-PSKの設定 【IAPの設定】

さすがIAPは簡単である。また、日本語対応しているのもありがたい。
APに接続した後は、新規にWLANを作成する。

SSIDを決める。おもな用途はデフォルトの「従業員」でいいだろう。
w1

とりあえずw2デフォルトのままで

セキュリティの設定
左のセキュリティレベルをまず選ぶ。WPA2-PSKは「パーソナル」である。PEAPやEAP-TLSを設定したい場合には、「エンタープライズ」を選択する。
w3

とりあえずそのまま。これで設定完了。あとはつなぐだけ。
w4

4-2(6) 接続設定(802.1x PEAPまたはEAP-TLS)

IAPのIPアドレスを設定したら、IEEE802.1xが使える無線の設定をしよう。非常に簡単である。

「ネットワーク」から「新規」をクリックする。
001

SSIDを入力する。用途は従業員でよい。
002

IPアドレスとVLANの割り当て方法を設定する。複雑なネットワークでなければデフォルトでよい。
003

セキュリティレベルを「エンタープライズ」に設定する。
キー管理は「WPA-2 エンタープライズ」を選択。認証サーバ1で「新規」を選択。
004

IEEE802.1X認証を行うためのRADIUSサーバを指定する。
005

アクセスルールも「制限なし」でよい。
006

これだけである。RADIUSサーバ側の設定ができていれば、設定したSSIDでIEEE802.1Xの認証ができるはずだ。

この時点で、デフォルトのinstantネットワークは不要となる。xをクリックして、削除しておこう。instantのSSIDには誰でも接続できてしまい、セキュリティ的に望ましくないからだ。
007

4-2(7)ユーザごとのVLANを割り当てる。

無線LANクライアントに、認証したユーザに応じたVLANを割り当てる方法を紹介する。
ダイナミックVLANと呼ぶこともある。

前提として次の二つの作業が必要。
(1)RADIUSサーバ側で、ユーザに応じたRADIUSアトリビュートを返す設定をしておく
NPSの設定例 FreeRADIUSでの設定例を参照のこと
(2)IAPを接続しているSWのポートに、タグVLANの設定をしておく。
簡単なのは、管理IPアドレス用のVLANはタグなし(UntagやネイティブVLANとも言う)にしておき、クライアントに割り当てるVLANについては802.1QのタグVLANを設定する方法だ。

IAPでは、RADIUSサーバから返されるアトリビュートの情報を元に、VLANを割り当てることができる。
例として、ユーザに応じてVLAN200、VLAN210、VLAN220の3つのいずれかを割り当てる設定を紹介する。

ネットワーク(SSID)は、すでに設定済みのものを変更してもよいし、新規で設定してもよい。
今回は、新規設定を例に解説する。

「ネットワーク」→「新規」をクリック。SSIDを入力する。用途は従業員でOK。
001

クライアントIPとVLANの割り当てもそのままでOK。
002

セキュリティは、WPA2エンタープライズを選択し、RADIUSサーバを指定しておく。
003

アクセスの設定がポイントだ。ここでは、
・どのような条件のときに(ロールの割り当てルール)→RADIUSサーバから返された属性がどのような条件か
・どのように動作するか(ロール)→VLANを割り当てる。
を設定する。(設定の順序はこの逆なので注意。)

アクセスルールはロールベースを設定する。
004

ロールの「新規」をクリックし、ロールの名前を決める。ここでは割り当てるVLAN名をロール名とした。
005

アクセスルールの「新規」をクリック。
006

新しいルールが表示されるので、ルールタイプを「アクセス制御」から「VLANの割り当て」に変更する。
007

割り当てるVLAN番号を入力し、「OK」する。
008

同様に、VLAN210とVLAN220を作る。
009

次に、ロールの割り当てルールを設定する。「ロールの割り当てルール」の「新規」をクリックする。
条件が出てくるので、
属性:「Tunnel-Private-Group-Id」(VLANIDを示す属性)
演算子:「次に一致」
文字列:VLAN番号(VLANID)
ロール:作成したロール(VLANの割り当てを行うロール)
を設定し、「OK」する。
010

Tunnel-Private-Group-Idとは、RADIUSサーバから返される属性値であり、VLAN番号を意味する。

同様に、VLAN210、220も作成する。
011

これでOK。

なお、SSID名と同じロールはデフォルトロールと呼び、どの条件にも当てはまらない場合の動作を規定する。
たとえば、認証は成功したがTunnel-Private-Group-Idが300だったような場合だ。(300はロールの割り当てルールに設定をしていない)

アクセスコントロールをシビアに設定するのであれば、デフォルトロールのアクセスルールも厳しめにしておいたほうがよいかもしれない。

4-2(8)IAPに接続しているクライアント一覧をCLIで確認する

IAPに接続しているクライアント一覧をCLIで確認するには、「show clients」コマンドを使う。

# show clients

Client List
———–
Name      
IP Address       MAC Address        OS    Network              Access
Point       Channel  Type  Role                 Signal    Speed (mbps)
—-      
———-       ———–        —    ——-             
————       ——-  —-  —-                 ——   
————
testuser6  10.0.1.7         1c:e6:2b:**:**:**  iPad 
aruba-1x-freeradius  d8:c7:c8:**:**:**  44+      AN   
aruba-1x-freeradius  44(good)  150(good)
user200    169.254.247.237 
34:76:c5:**:**:**        aruba-1x-ad          d8:c7:c8:**:**:** 
1        GN    VLAN200              44(good)  1(poor)
Info timestamp      :8621

4-2(20) IAPのローカルユーザDBで認証する(1) ユーザの登録

IAPはローカルでユーザデータベースを持つことができる。この機能を使えば、外部の認証サーバ(RADIUS)を使わなくても、IAPだけで802.1X(PEAP)やキャプティブポータルを使うことができる。簡易な機能しかもっていない。

■メリット
・外部の認証サーバが不要
・登録が簡単。

■デメリット
・機能が少ない
・一括登録ができない。
・外部との連携がまったくできない。
・ダイナミックVLANを使えない。
・PEAPとキャプティブにしか使えない。(EAP-TLSは使えない)

■適用例
・社員用の認証はRADIUSを使い、ゲスト用キャプティブポータルには内部DBを使う、といった使い分けをするとよいかも。

■設定方法(ユーザの登録方法)
右上の「セキュリティ」をクリックし、「内部サーバのユーザ」タブを選ぶ。

001

追加したいユーザ名とパスワードを入力する。
タイプには2種類ある。
・従業員:802.1X(PEAP)専用
・ゲスト:キャプティブ専用
である。

既存ユーザのパスワード変更はできないので、いったん削除してから同じユーザ名で登録しなおす必要がある。ちょっと面倒。

4-2(21) IAPのローカルユーザDBで認証する(2) 802.1X(PEAP)のSSIDを作る

内蔵のユーザDBを使って、802.1X(PEAP)で接続するためのSSIDを作成する。

(1)ネットワークから「新規」をクリック。

(2)ウィザードの「WLAN設定」でSSIDを入力。
005

(2)IPやVLANの割り当てを設定する。(ここではデフォルトのまま)
006

(3)「セキュリティ」では、「WPA-2 エンタープライズ」、認証サーバに「内部サーバー」を選択する。
007

なお、内部DBに従業員ユーザを登録していないとエラーが出てこの先に進めない。
PEAPで利用するサーバの証明書もここでインストールできる。
(インストールしなければ、機器内蔵の証明書を使う)

(4)アクセスルールを設定する。アクセスできるネットワークを限定したい場合に設定する。
008

設定はこれで完了。

4-2(22) IAPのローカルユーザDBで認証する(3) キャプティブポータルのSSIDを作る

キャプティブポータルとは、WEB認証のこと。内部データベースを使ってキャプティブポータル用のSSIDを設定する。

(1)ネットワークから「新規」をクリック。

(2)ウィザードの「WLAN設定」でSSIDを入力。「ゲスト」を選択。
011

(2)IPやVLANの割り当てを設定する。(仮想コントローラ割り当てにしておくと、IAPがNAPTしてくれる)
012

(3)スプラッシュページのタイプに「内蔵-認証済み」、認証サーバに「内部サーバー」を選択する。
右側の画面をクリックすると、認証画面をカスタマイズできる。
013

スプラッシュページに「内蔵-承認済み」と言う選択肢もある。これは認証を行わず、すべてのユーザにアクセスを許可するための設定。

(4)アクセスルールを設定する。アクセスできるネットワークを限定したい場合に設定する。
014

設定はこれで完了。

なおキャプティブの場合、無線LAN区間はまったく暗号化されていない。(WEPすらない)
盗聴のリスクがあるため、利用には注意が必要。

4-2(100) 同SSIDへの接続端末間のアクセス制御

同じSSIDに接続している端末間の通信を制御するためには、
“deny inter-user-bridging”機能を利用すれば簡単に設定できる。

設定はGUIから機能を有効化するだけで完了できる。

設定箇所はトップページから以下でアクセスできる。
システム>詳細オプションを表示>ユーザ間ブリッジを禁止

55

“詳細オプションを表示”をクリックすると、設定箇所が表示される。

11

“ユーザ間のブリッジを禁止”で”有効”を選択し、
“OK”を押せば設定が完了する。