[toc:faq]

このドキュメントでは、Mobility Express 管理 GUI の ワイヤレス設定 のうち、以下について説明します。

• WLAN
• WLAN ユーザ
• ゲスト WLAN

 をクリックすると、設定内容の変更ができ、 をクリックして適用、 をクリックしてキャンセルできます。 はエントリの削除です。

WLAN

Mobility Express の管理 GUI の ワイヤレス設定 > WLAN で WLAN (SSID) 関連の設定を行います。新しい WLAN を作成する場合は、新規 WLANの追加をクリックします。

WLAN の新規作成・設定変更の際は、設定対象 WLAN 以外を含め全ての無線クライアントが一旦切断されますのでご注意ください。

設定の完了後はページ右上の 設定の保存 をクリックしてください。

一般

新規 WLAN の追加または既存 WLAN の編集をクリックすると以下のメニューが表示されます。

• WLAN ID : 内部処理で使用される値で自動選択されまます。変更の必要はありませんが新規作成時は未使用の値から選択することもできます。
• プロファイル名 : 一意な SSID 名を入力します。
• SSID : プロファイル名を入力すると自動入力されます。
• 管理状況 : WLAN 設定を削除することなく使用停止 (無効) にすることができます。
• 管理ポリシー :  WLAN が使用する周波数を 全て(2.4GHz, 5GHz両方) 、5GHzのみ、2.4GHzのみ から選択できます。

WLAN セキュリティ

WLAN (SSID) の認証方式を設定します。

WPA2 パーソナル

認証方式に WPA2-PSK(AES) を使用する場合は、

• セキュリティ : WPA2 パーソナル
• パスフレーズ : 8-63 文字のパスフレーズ (パスワード)
  

を選択・入力します。

WPA2 エンタープライズ

802.1X/EAP 認証を使用する場合は、

• セキュリティ : WPA2 エンタープライズ

を選択します。認証サーバは以下から選択します。外部 RADIUS サーバの設定についてはご使用製品のマニュアルをご参照ください。

• 外部 RADIUS サーバ
• AP (内部 RADIUS サーバによる ローカル EAP 認証)

外部 RADIUS

802.1X/EAP 認証を行なう場合の通常の方式です。

認証サーバとして 外部 RADIUS を選択すると、RADIUS サーバ設定メニューが表示され、 をクリックして 2 台までの RADIUS サーバを設定できます。

• RADIUS IP : RADIUS サーバの IP アドレス
• RADIUS ポート : RADIUS 認証で使用される UDP ポート番号 (通常、1812 または 1645)
• 共有秘密 : RADIUS サーバで設定された共有秘密鍵 (シェアード・シークレット)

を設定します。 

注意 : RADIUS サーバ設定は WLAN 固有ではなくグローバル設定です。外部 RADIUS サーバ認証を行なう全ての WLAN で同じ RADIUS サーバ設定が共有されます。

AP (ローカル EAP)

内部 RADIUS サーバ機能を用いた簡易 802.1X/EAP 認証方式です。

サポートしてる EAP メソッドは PEAP, EAP-FAST, LEAP ですが LEAP は非推奨です。

注意 : PEAP 認証で使用されるサーバ証明書は、デフォルトでは自己署名証明書です。電子証明書をインストールする手順 (要 CLI 操作) については こちら をご参照ください。

クライアント側で自己署名証明書をルート CA 証明書としてインストールしたり、サーバ証明書の検証を無効化することで接続させることができる場合がありますが、推奨いたしません。

ローカル EAP 認証で接続を許可するユーザアカウントを定義するには、WLAN 作成および電子証明書のインストール後に別途、ワイヤレス設定 > WLAN ユーザ メニューで WLAN ユーザの追加 を行います。

ローカル EAP 認証を行なう WLAN が複数存在する場合、WLAN プロファイル 欄で特定 WLAN を選択することで、ユーザが接続可能な WLAN をひとつに制限できます。

ワイヤレス設定 > WLAN ユーザ での設定例

ゲスト

来客向けなどに使用する SSID を作成する場合に選択します。

ゲスト用 WLAN を使用する場合、一般には、従業員用 WLAN とは別の有線 VLAN を割り当て、有線ネットワーク内で従業員用 VLAN との間のルーティングは不可能にするなど、セキュリティに配慮した設計が必要です。

• セキュリティ : ゲスト
• ゲストタイプ : 以下の 4 つから選択します。
• WPA2 パーソナル : 来客に WPA2-PSK(AES) で暗号化された無線接続を提供
• キャプティブ ポータル (AP) : 来客に Web 認証(暗号化無し)による無線接続を提供
• キャプティブ ポータル (外部 Web サーバ) : このドキュメントでは説明対象外とします。
• CMX ゲスト接続 (CMX Connect) : このドキュメントでは説明対象外とします。https://cmxcisco.com/ で取得した サイト URL を入力します。

WPA2 パーソナル によるゲスト無線 LAN

来客に SSID 名、パスフレーズを通知することで AES 暗号化された無線 LAN 接続を提供します。暗号化通信サービスを提供できますが、有効期限付きユーザアカウント機能は使えません。

Web 認証によるゲスト無線 LAN

来客に Web 認証が必要な無線 LAN 接続を提供します。ゲストユーザは SSID への接続後にブラウザで HTTP 通信を試みると Mobility Express コントローラ上の仮想 Web認証ページ https://192.0.2.1/ へリダイレクトされます。

無線フレームは暗号化されませんので、ゲストユーザは HTTPS 通信や VPN を使用するなどのセキュリティ対策が必要です。

キャプティブポータルのタイプ には以下の 3種類があります。

• ユーザ名とパスワードが必要 : 有効期限付きユーザアカウントによるログイン
• Webでの同意 : 使用許諾への同意のみでログイン
• 電子メールアドレスが必要 : 電子メールアドレスの入力によるログイン

ゲストユーザのログイン履歴の管理 (SNMP トラップ)が必要な場合は、別途 SNMP マネージャを用意し、詳細 > SNMP メニューでパラメータを設定します。

注意 : Web 認証でのユーザ認証ウェブページで使用されるサーバ証明書は、デフォルトでは自己署名証明書です。電子証明書をインストールする手順 (要 CLI 操作) については こちら をご参照ください。

クライアント側でサーバ証明書の検証を無効化する等の設定により自己署名証明書のままで EAP 認証を成功させて接続を行える場合がありますが、推奨いたしません。

ユーザ名とパスワード

ユーザ名とパスワード を用いた Web 認証で接続を許可するユーザアカウントを定義するには、WLAN 作成後に別途、ワイヤレス設定 > WLAN ユーザ メニューで WLAN ユーザの追加 を行います。

ゲストユーザ作成時には、ゲストユーザ にチェックを入れて ライフタイム(秒) [デフォルト 86400秒 = 1日] を指定してください。

ライフタイムのカウントダウンはユーザ作成時から開始され、タイムアウト時にゲストユーザ・アカウントは自動削除されます。

複数のゲスト WLAN が存在する場合、WLAN プロファイル で特定のゲスト WLAN を指定し、接続先 WLAN をひとつに限定することができます。

ワイヤレス設定 > WLAN ユーザ でのゲストユーザ作成例

認証ページ (ユーザ名とパスワード) のイメージ

電子メールアドレス

ゲストユーザに使用許諾の確認と電子メールアドレスの入力をリクエストする方式です。入力されたメールアドレスが正しいものかを確認する仕組みはありません。

認証ページ (電子メールアドレス) のイメージ

Web 同意

ゲストユーザに使用許諾の確認のみをリクエストする方式です。

認証ページ (Web 同意) のイメージ

Web 認証ページのカスタマイズ

ゲストユーザ用 Web 認証ページに表示されるメッセージをカスタマイズできます。

• ページのタイプ : 内部(デフォルト) を選択します。「カスタマイズ」はこのドキュメントでは説明対象外とします。
• Cisco ロゴの表示 :  認証ページの Cisco ロゴを非表示にできます。
• ページの見出し : ウェルカム・メッセージ等を記載します。
• ページのメッセージ : 使用許諾等を記載します。

入力完了後に 適用 → プレビュー の順にクリックして画面イメージ(ユーザ名/パスワードの場合)を確認後、設定の保存 をクリックします。

オープン認証

• セキュリティ : オープン認証

を選択します。この設定は、WLAN で暗号化も認証も行わない オープン認証の無線接続を提供することを意味します。セキュリティを考慮しない方式ですので、通常は使用しません。

VLAN とファイアウォール

WLAN (SSID) に接続した無線クライアントのフレームをどの有線 VLAN との間でブリッジするかを指定します。802.1Q VLAN を使用可能な場合は、簡易ファイアウォール (アクセス・コントロール・リスト) の設定が可能です。

アプリケーション・ファイアウォール等、高度なファイアウォール機能は有線ネットワーク内で実装してください。

VLAN を使用しない場合

無線クライアントのフレームを Mobility Express の管理ネットワーク ( = ネイティブ VLAN) との間でブリッジする場合は、以下を選択します。

• VLAN タギングを使用する : いいえ 

注意 : ゲスト WLAN にこの設定を使用することは非推奨です。ゲストが管理ネットワークにアクセスできる可能性があります。

VLAN を使用する場合

無線クライアントのフレームを Mobility Express の管理ネットワーク(ネイティブ VLAN) 以外の 802.1Q VLAN との間でブリッジする場合は、以下を選択します。

• VLAN タギングを使用する : はい
• VLAN ID : 無線クライアントからのトラフィックをブリッジする有線 VLAN の 802.1Q VLAN ID

ファイアウォール (オプション)

WLAN のトラフィックを有線 802.1Q VLAN へブリッジさせる場合、AP 上で機能するアクセス・コントロール・リスト (ACL) を設定することができます。

• 送受信パケット両方を検査します。
• IP パケットの宛先情報 (アドレス・プロトコル番号・ポート番号) および DSCP のみ検査できます。送信元情報は検査しません。
• ACL ルール はグローバル設定で、一度定義すると他の WLAN でもルール名を用いて利用することで利用できます。
• ACL の適用は VLAN 単位です。同じ VLAN を割り当てた複数 WLAN がある場合、同じ ACL が適用されます。

注意 : ACL には表示されない最後のエントリとして暗黙の拒否ルール (deny ip any any) が設定されています。一部のパケットのみ拒否したい場合は、明示的に全ての通信を許可するルールをユーザ定義エントリの最後に追加する必要があります。



宛先 IP が 10.1.1.x のパケットを拒否するルール FW-vlan230 を作成し、VLAN 230 に適用する例

TCP および ICMP のみを許可するルール FW-vlan250 を作成し、VLAN 250 に適用する例

QoS (オプション)

• QoS : プラチナ(音声)/ゴールド(ビデオ)/シルバー(ベストエフォート)/ブロンズ(バックグラウンド) から選択します。QoS による制御は有線スイッチ VLAN 環境での QoS (802.1p CoS) と連携することで有効に機能します。
• アプリケーションの表示 : 無効にすると モニタリング メニューでの アプリケーションの使用状況の確認ができなくなります。通常は 有効 のまま変更しないでください。