virtual interface とその IP アドレス選定
WLC および Mobility Express の virtual interface は
- Web 認証ログインページ
- DHCP Proxy 機能が有効な Central Switching WLAN における無線クライアントの仮想 DHCP サーバ IP
などで使用され、割り当てる IPアドレス (Virtual Gateway IP) としては、他と重複せず、かつルーティングされないものがが推奨されています。
Cisco Wireless LAN Controller (WLC) Configuration Best Practices
It is recommended to configure a non-routable IP address for the virtual interface, ideally not overlapping with the network infrastructure addresses. Use one of the options proposed on RFC5737, for example, 192.0.2.0/24, 198.51.100.0/24, and 203.0.113.0/24 networks.
技術的には、Virtual Gateway IP がパケットの IP ヘッダに使用されるのは無線クライアントと Controller の virtual interface 間 (CAPWAP-data トンネル内) だけですので他のリソースと重複しなければどのような IP アドレスを使用しても問題ありません。
使用予定の無い プライベート IP アドレス (RFC1918) などが候補として挙げられますが、IP アドレス使用計画が未定・不明な場合はネットワーク内でルーティングされることがあり得ないアドレスとして、上記ベストプラクティスのように TEST-NET アドレス (RFC5737) も選択肢となります。
Mobility Express ソリューションでは、設定の簡易化のためセットアップウィザードでの virtual interface の設定を省略しており、デフォルトでは全てのお客様環境でルーティングが行われていない IP である TEST-NET-1 の 192.0.2.1 を設定しています。
Web 認証ログインページへの HTTPS 接続
Web 認証を設定する際、利用者に使用許諾を提示して了承を確認するパススルー設定であれば HTTPS 接続は不要ですが、多くの場合はユーザ名・パスワードやメールアドレスの入力を求めるため HTTPS 接続が必要になります。この場合、ユーザは virtual interface へ HTTPS 接続を行うことになります。
デフォルトで生成される自己署名証明書をそのまま使用し、ユーザに対してブラウザが Web 認証ログインページにアクセスした際にセキュリティ例外を許可するようガイドされていらっしゃる事例がありますが、自己署名証明書の運用環境での使用はセキュリティの観点からは推奨されず、クライアントまたはウェブブラウザが検証可能な証明局から電子証明書を取得することをおすすめします。
検証可能な電子証明書を使用するための一般的な作業項目は以下となります。
- 証明局より電子証明書を取得し、WLC/ME へインストール
参考: Generate CSR for Third-Party Certificates and Download Chained Certificates to the WLC
ユーザが使用するクライアント OS やブラウザが信頼する証明局から CN (Common Name) を FQDN (例: login.example.com) として電子証明書を取得します。ワイルドカード証明書もサポートしています。
社内ユーザのみの環境であれば、Active Directory や OpenSSL 等の自営証明局から CN が Virtual Gateway IP の証明書を発行すれば、以下の DNS 関連の作業は不要です。
- WLC/ME にて電子証明書の FQDN と virtual interface を関連付ける
この設定により、Web 認証の際にユーザは https://[FQDN]/login.html へアクセスするようになり、URL と証明書の CN が一致するので証明書検証をパスできるようになります。ME では GUI による変更はできません。
CLI:
config interface hostname virtual [FQDN]
WLC GUI:
CONTROLLER > Interfaces > virtual > Interface Addresses
> DNS Host Name にて FQDN を入力し、
Apply および Save Configuration をクリック
Web 認証時にユーザが使用する組織内 DNS サーバに FQDN と Virtual Gateway IP の対応を登録します。
この定義は組織内でのみ参照可能な DNS ゾーンに対して行い、絶対に組織外へゾーン複製が行われないようにする必要があります。
IP アドレス 1.1.1.1 を Virtual Gateway IP に使用することについてのご注意
IP アドレス 1.1.1.1 は 2009 年まではどの組織にも割り当てられておらず Virtual Gateway IP のサンプルとして使用されていました。
IPv4枯渇対策として 2010 年に IANA が 1.0.0.0/8 を APNIC に割り当て、Virtual Gateway IP としての要件 (他のリソースと重複しない) を満たさなくなっていますが、過去のサンプルが転用され、現在でも 1.1.1.1 を Virtual Gateway IP として使用されていらっしゃる事例があります。
APNIC では 2018 年より 1.1.1.1 を Public DNS サービスおよびそのウェブサイトの IP アドレスとして運用開始されており、これに伴い Google Chrome バージョン 67 では 1.1.1.1が Pre-loaded HSTS ドメインとして登録されました (*注)。
HSTS (HTTP Strict Transport Security) はブラウザに HTTPS 接続を強制する機能です。Pre-loaded HSTS ドメインとしてブラウザにコードされているサイトはウェブサーバ側の設定が無くても HTTPS 接続を強制され、クライアントによる証明書検証が必須となります。
このため、Virtual Gateway IP として 1.1.1.1 を使用しされている環境では Google Chrome ユーザで以下の状況となりログインページにアクセスできない場合があります。
このような状況を解消するためには Virtual Gateway IP の変更および自己署名証明書の再生成が必要です。ME では GUI による変更はできません。複数の WLC で mobility group を構成されている場合は、mobility group の設定変更も必要です。
CLI:
config interface address virtual [変更後のIP]
config certificate generate webauth
save config
reset system
WLC GUI:
- CONTROLLER > Interfaces > virtual > Interface Address
> IP Address にて IP アドレス入力し、Apply をクリック
- SECURITY > Web Auth > Certificate にて
Regenerate Certificate をクリック
- Save Configurationをクリック
- COMMANDS > Reboot より WLC を再起動
変更後は適切な電子証明書を用いての運用をおすすめします。
(*注) 様々なキャプティブポータルに使用されている事実を考慮し、Issue 853934 にて 1.1.1.1 は Pre-loaded HSTS ドメインリストから削除され、67.0.3396.99 では旧来の実装に戻っています。
https://bugs.chromium.org/p/chromium/issues/detail?id=853934
しかし 1.1.1.1 が APNIC に割り当てられたグローバル IP であることに変わりはなく、この IP を使用しないことをおすすめします。