無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

カテゴリ:2.設計 > 2-4 詳細設計

以下が設定項目とその内容であるが、現在は作成中

設定項目解説初期値
Virtual AP enableこのvirtual APを有効にするか  
Allowed band規格を選択する11a,11g,allall
VLANVLANの選定  
Forward modeモード選択
基本はTunnel
Tunnel,Bridge,Split-Tunnel,Decrypt-Tunnlel 
Deny time range   
Mobile IP  Enabled
HA Discovery   
on-association  Disabled
DoS Prevention   
Station Blacklisting  Enabled
Blacklist Time  3600
Multicast Optimization for Video   
Multicast Optimization Threshold 2-2556
Authentication Failure Blacklist Time  3600
Multi Association   
Strict Compliance  Disabled
VLAN Mobility  Disabled
Remote-AP Operation   
Drop Broadcast and Multicast   
Convert Broadcast ARP requests to unicast   
Deny inter user traffic   
Band Steeringバンド(帯域)の優先設定をする。以下のSteering Modeでその設定をする  
Steering ModeBand Steeringを有効にした場合、そのモード設定をするbalance-bands,force-5ghz,prefer-5ghz 

以下に整理しようと思っていますが、作成途中です。
嘘も多いので、ご注意ください。
項目初期値WPA
-PSK
MAC
認証
802.1X
認証
Web
認証
説明
Initial roleauthen
ticated
別途作成するユーザ認証前のロールを指定する
MAC Authentication ProfileguestdefaultMAC認証用のプロファイルを指定する
MAC Authentication Default RoleN/Aauthen
ticated
MAC認証後のデフォルトのロールを指定する
MAC Authentication Server Groupdefault認証するServer Groupを指定MAC認証に利用するサーバ(サーバグループ)を指定する
802.1X Authentication Profiledefault
※注
defaultPSKや802.1Xと併用する場合は設定する802.1X認証用のプロファイルを指定する
802.1X Authentication Default Roleguest802.1X認証後のデフォルトのロールを指定する
802.1X Authentication Server GroupN/A認証するServer Groupを指定802.1X認証に利用するサーバ(サーバグループ)を指定する
RADIUS Accounting Server Group N/A
User derivation rules N/A
Wired to Wireless RoamingEnabled
備考別途aaa authentication captive-portalを設定する?
※注:WPA-PSKは802.1X認証ではないが、ここで指定する

i
roleってなんですか?
直訳すると、役割だと思いますが。




roleはアクセスリストのグループからなる。
どんな役割というか権限を持っているかと考えればいいだろう。
例えば、未認証ユーザがデフォルトで適用されるlogonというroleがある。
Security > Access Control > User Rolesを見てみよう。デフォルトでいろいろなRoleがある。
たとえば、以下である。
NameFirewall Policies
authenticatedallowall/,v6-allowall/
logonlogon-control/,captiveportal/,vpnlogon/,
v6-logon-control/,captiveportal6/

role

 

















このように、logonロールには5つのFWポリシーが割り当てられている。

それぞれのFirewall Policies(access-list)の中身は、「Policies」タブで確認できる。
または、
show ip access-list <acl_name>
で確認できる。
詳しくは上記のコマンドで確認いただきたい。
認証前と認証後では、当然役割が変わってくるので、Roleは別のものが割り当てられることになる。認証前のRoleは、AAAプロファイルで変更できる。たとえば、roleの「logon」ではログオンに必要な通信以外は基本的に何もできない。認証後のRoleはauthenticatedにすることが多いだろう。

ロールの例
【認証前】
認証されていないので、最低限の
アクセスに限定する
 Role例:logon
【認証後】
認証がされたので、すべての
通信を許可する
 Role例:authenticated

Firewall Policy=ACL(Access List)と考えてもらっていいが、種類がいくつかある。
aaa










上記の下の赤枠でくくった部分を見てみよう。いくつかのポリシーが表示されている。

IP Session
 通常のFWのACLと考えればよいだろう。以下のように、送信元IPや宛先IPなどにてACLを作成する。
 一方、4と5のStandard/Extendedは、通常のルータのACLと考えればいい。
f
通常のFWのACLと通常のルータのACLですか?
違いが分からないんですけど。




通常のルータのACLは、Cisco社などのACLを想定してもらえばいい。静的なフィルタリングであり、行きと戻りのルールは別々に書く必要がある。
一方、FWのルータは、動的フィルタリング(ステートフルインスペクションも似たような概念)であり、Sessionを保持していれば、戻りのパケットも許可される。
今回のArubaのIP Sessionの Sessionという言葉からも、動的フィルタリングと考えればよい。

fw














g

Actionの中の、dropとrejectはどう違うのですか?
どちらも通信をブロックするのですよね?



drop(CLIではdeny)もrejectも、どちらも通信をDROPするのは同じ。rejectの場合はさらに、ICMP メッセージを送信元へ送信する。

Ethernet Type ACL

MAC ACL
 MACアドレスフィルタの設定。※MACアドレス認証とは別物である。
(config) #ip access-list mac macacl ←macaclという名前で作成
(config-mac-macacl)# permit host 11:22:33:44:55:66
(config-mac-macacl)# deny host 11:11:11:11:11:11

Standard ACL Extended ACL
Cisco社などの一般的なACLと同じで、標準と拡張のACLである。静的なフィルタリング。
Arubaの場合は、動的フィルタリングであるSession ACLをFirewall機能として使うことが一般的で、こちらはあまり利用しないだろう。戻りのパケットを考えるのは面倒なので。
実際に使う場合、StandardとExtendedはPortのInbound/Outboundに適用する。
 
RoleとACL
RoleとACLは別物である。
また、ACLをRoleに適用することができる。ただし、roleに適用できるACLは限られていて、Ethernet Type ACL,MAC ACL,Session ACLの3つだけである。

スポンサードリンク

このページのトップヘ