無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

カテゴリ: 4.2 IAPの設定

無線LANクライアントに、認証したユーザに応じたVLANを割り当てる方法を紹介する。
ダイナミックVLANと呼ぶこともある。

前提として次の二つの作業が必要。
(1)RADIUSサーバ側で、ユーザに応じたRADIUSアトリビュートを返す設定をしておく
NPSの設定例 FreeRADIUSでの設定例を参照のこと
(2)IAPを接続しているSWのポートに、タグVLANの設定をしておく。
簡単なのは、管理IPアドレス用のVLANはタグなし(UntagやネイティブVLANとも言う)にしておき、クライアントに割り当てるVLANについては802.1QのタグVLANを設定する方法だ。

IAPでは、RADIUSサーバから返されるアトリビュートの情報を元に、VLANを割り当てることができる。
例として、ユーザに応じてVLAN200、VLAN210、VLAN220の3つのいずれかを割り当てる設定を紹介する。

ネットワーク(SSID)は、すでに設定済みのものを変更してもよいし、新規で設定してもよい。
今回は、新規設定を例に解説する。

「ネットワーク」→「新規」をクリック。SSIDを入力する。用途は従業員でOK。
001

















クライアントIPとVLANの割り当てもそのままでOK。
002

















セキュリティは、WPA2エンタープライズを選択し、RADIUSサーバを指定しておく。
003

















アクセスの設定がポイントだ。ここでは、
・どのような条件のときに(ロールの割り当てルール)→RADIUSサーバから返された属性がどのような条件か
・どのように動作するか(ロール)→VLANを割り当てる。
を設定する。(設定の順序はこの逆なので注意。)

アクセスルールはロールベースを設定する。
004

















ロールの「新規」をクリックし、ロールの名前を決める。ここでは割り当てるVLAN名をロール名とした。
005


















アクセスルールの「新規」をクリック。
006


















新しいルールが表示されるので、ルールタイプを「アクセス制御」から「VLANの割り当て」に変更する。
007


















割り当てるVLAN番号を入力し、「OK」する。
008


















同様に、VLAN210とVLAN220を作る。
009


















次に、ロールの割り当てルールを設定する。「ロールの割り当てルール」の「新規」をクリックする。
条件が出てくるので、
属性:「Tunnel-Private-Group-Id」(VLANIDを示す属性)
演算子:「次に一致」
文字列:VLAN番号(VLANID)
ロール:作成したロール(VLANの割り当てを行うロール)
を設定し、「OK」する。
010
















Tunnel-Private-Group-Idとは、RADIUSサーバから返される属性値であり、VLAN番号を意味する。


同様に、VLAN210、220も作成する。
011


















これでOK。

なお、SSID名と同じロールはデフォルトロールと呼び、どの条件にも当てはまらない場合の動作を規定する。
たとえば、認証は成功したがTunnel-Private-Group-Idが300だったような場合だ。(300はロールの割り当てルールに設定をしていない)

アクセスコントロールをシビアに設定するのであれば、デフォルトロールのアクセスルールも厳しめにしておいたほうがよいかもしれない。



IAPに接続しているクライアント一覧をCLIで確認するには、「show clients」コマンドを使う。


# show clients

Client List
-----------
Name       IP Address       MAC Address        OS    Network              Access Point       Channel  Type  Role                 Signal    Speed (mbps)
----       ----------       -----------        --    -------              ------------       -------  ----  ----                 ------    ------------
testuser6  10.0.1.7         1c:e6:2b:**:**:**  iPad  aruba-1x-freeradius  d8:c7:c8:**:**:**  44+      AN    aruba-1x-freeradius  44(good)  150(good)
user200    169.254.247.237  34:76:c5:**:**:**        aruba-1x-ad          d8:c7:c8:**:**:**  1        GN    VLAN200              44(good)  1(poor)
Info timestamp      :8621

IAPでは、16台までのAPであれば、WLCがなくても集中管理が可能。

2台目の設定も非常に簡単だ。
1台目のIAPと同じセグメントに、初期状態のIAPを接続すると5分程度で自動的に認識される。

シリアルコンソールをつないでおけば、下記のようなログが出てきて仮想WLCのスレーブになる様子が確認できる。
Adding bridge entry for magic vlan GW, ifindex 8196, d8:c7:c8:cc:45:24 ←1台目のIAPのMACアドレス
(36861:16859344:436207622) !!! Init ---> Slave

1台目のIAPの管理画面を確認すると、追加されたAPが見えるようになる。
名称未設定 2






SSIDや認証の追加設定はまったく不要。追加したAPでは、今まで設定していたSSIDや認証の設定が自動的に付与される。無線のchも、ARMによって自動的に設定される。

デフォルトでは、2台目のIPアドレスもDHCPで自動設定される。管理上不便なので、2台目にもIPアドレスを固定で設定しておこう。方法は1台目のIAPと同じである。管理画面から2台目のIAPを選び、変更する。


 IAPの役割は2つある。電波の送受信を行うAP部分と、設定や管理を行うVC(VirtualController)の2つである。この2つの役割が、IAPという筐体に入っている。2台目のIAPが認識されると、自動的にVCのスレーブの役割も持つ。つまり、マスターになっている1台目のIAPが故障したり、電源が落ちると、他のIAPが自動的にマスターに昇格する。

名称未設定 9


















スレーブがマスターになるときには、コンソールには下記のように表示される。切り替わり時間はおよそ20秒弱。

i am a potential master now
(70723:319095261:186581504) !!! Slave ---> Pot-Master
i am a master now
(70723:319146717:253690368) !!! Pot-Master ---> Master
Del bridge entry for magic vlan GW, d8:c7:c8:cc:45:24
asap_send_elected_master: sent successfully

管理画面へのアクセスは、2台目に割り当てたIPアドレスへのアクセスする。マスターのIPアドレスを引き継ぐわけではない。

VCの役割が変わっても、管理用のIPアドレスは常に同じものが使えたほうが便利である。そこで、VCに仮想IPを割りあてる。仮想IPにアクセスすれば、どのIAPがマスターになっていても常に同じIPアドレスで管理画面にアクセスできる。

設定方法は、画面右上の「設定」をクリックし、「仮想コントローラIP」にIPアドレスを設定すればよい。このIPアドレスは、今までIAPに割り当てたIPアドレスとは別のものを指定しなければならない。

名称未設定 11

















管理画面へのアクセスは、仮想コントローラIPを使うと便利である。どのIAPがマスターになっていても、常に同じアドレスでアクセスできるからだ。

仮想コントローラのIPアドレスや、どのIAPがマスターになっているのかは、メイン画面左下に表示されている。

名称未設定 13














※注意点
EAPを利用する場合、RADIUSサーバへの認証は各々のIAPからRADIUSサーバにリクエストする。つまりRADIUSサーバ側には、RADIUSクライアントとしてすべてのIAPを登録しておく必要があるので忘れないように!



IAPはローカルでユーザデータベースを持つことができる。この機能を使えば、外部の認証サーバ(RADIUS)を使わなくても、IAPだけで802.1X(PEAP)やキャプティブポータルを使うことができる。簡易な機能しかもっていない。

■メリット
・外部の認証サーバが不要
・登録が簡単。

■デメリット
・機能が少ない
・一括登録ができない。
・外部との連携がまったくできない。
・ダイナミックVLANを使えない。
・PEAPとキャプティブにしか使えない。(EAP-TLSは使えない)

■適用例
・社員用の認証はRADIUSを使い、ゲスト用キャプティブポータルには内部DBを使う、といった使い分けをするとよいかも。

■設定方法(ユーザの登録方法)
右上の「セキュリティ」をクリックし、「内部サーバのユーザ」タブを選ぶ。

001













追加したいユーザ名とパスワードを入力する。
タイプには2種類ある。
・従業員:802.1X(PEAP)専用
・ゲスト:キャプティブ専用
である。

既存ユーザのパスワード変更はできないので、いったん削除してから同じユーザ名で登録しなおす必要がある。ちょっと面倒。

内蔵のユーザDBを使って、802.1X(PEAP)で接続するためのSSIDを作成する。

(1)ネットワークから「新規」をクリック。

(2)ウィザードの「WLAN設定」でSSIDを入力。
005











(2)IPやVLANの割り当てを設定する。(ここではデフォルトのまま)
006











(3)「セキュリティ」では、「WPA-2 エンタープライズ」、認証サーバに「内部サーバー」を選択する。
007










なお、内部DBに従業員ユーザを登録していないとエラーが出てこの先に進めない。
PEAPで利用するサーバの証明書もここでインストールできる。
(インストールしなければ、機器内蔵の証明書を使う)

(4)アクセスルールを設定する。アクセスできるネットワークを限定したい場合に設定する。
008












設定はこれで完了。





キャプティブポータルとは、WEB認証のこと。内部データベースを使ってキャプティブポータル用のSSIDを設定する。

(1)ネットワークから「新規」をクリック。

(2)ウィザードの「WLAN設定」でSSIDを入力。「ゲスト」を選択。
011











(2)IPやVLANの割り当てを設定する。(仮想コントローラ割り当てにしておくと、IAPがNAPTしてくれる)
012










(3)スプラッシュページのタイプに「内蔵-認証済み」、認証サーバに「内部サーバー」を選択する。
右側の画面をクリックすると、認証画面をカスタマイズできる。
013










スプラッシュページに「内蔵-承認済み」と言う選択肢もある。これは認証を行わず、すべてのユーザにアクセスを許可するための設定。


(4)アクセスルールを設定する。アクセスできるネットワークを限定したい場合に設定する。
014












設定はこれで完了。

なおキャプティブの場合、無線LAN区間はまったく暗号化されていない。(WEPすらない)
盗聴のリスクがあるため、利用には注意が必要。




スポンサードリンク

このページのトップヘ