第43章 仮想アクセス ポイントの設定

SonicPoint > 仮想アクセス ポイント

この章では、仮想アクセス ポイント機能について説明します。この章は次のセクションから構成されています。


・ 「SonicPoint VAPの概要」セクション

・ 「前提条件」セクション

・ 「配備の制限事項」セクション

・ 「SonicPoint仮想AP設定タスク リスト」セクション

・ 「VAPについての検討事項」セクション

・ 「VAPサンプル設定」セクション

SonicPoint VAPの概要

このセクションでは、仮想アクセス ポイント機能の概要を説明します。

補足 仮想アクセス ポイントは、SonicWALL NSA 装置と共に SonicPoint 無線アクセス ポイントを使う場合にサポートされます。 TZ 装置を使った仮想アクセス ポイントの設定については、「無線 > 仮想アクセス ポイント」セクション を参照してください。

このセクションは、次のサブセクションから構成されています。


・ 「仮想アクセス ポイントとは」セクション

・ 「SSIDとは」セクション

・ 「ESSIDによる無線ローミング」セクション

・ 「BSSIDとは」セクション

・ 「仮想APを使用する利点」セクション

・ 「仮想APと共にVLANを使用する利点」セクション

仮想アクセス ポイントとは

仮想アクセス ポイントとは、単一の物理アクセス ポイント (AP) を複数の別個なアクセス ポイントとして見せるために多重インスタンス化したものです。実際には単一の物理APしかなくても、無線LANのクライアントにとっては、それぞれの仮想APが独立した物理APのように見えます。仮想AP機能がサポートされるようになる以前、無線ネットワークでは、物理アクセス ポイントと無線ネットワーク セキュリティ機能 (認証や暗号化など) の間に1対1の関係が成立していました。つまり、WPA-PSKセキュリティを提供するアクセス ポイントは、同時にオープンまたはWPA-EAP接続をクライアントに提供することができませんでした。そうした接続が必要なら、別個に設定したアクセス ポイントで提供しなければならなかったのです。そのため、WLANネットワーク管理者は、異なるレベルのサービスを提供するために既存の無線LANインフラストラクチャをスケーリングするソリューションを見つけなければなりませんでした。仮想AP (VAP) 機能を使用すると、一意の基本サービス セット識別子 (BSSID) とサービス セット識別子 (SSID) が含まれるメディア アクセス コントロール (MAC) プロトコル レイヤのIEEE 802.11規格に従って、単一の物理APの中に複数のVAPが存在できます。そのため、単一の物理アクセス ポイント機器の単一の無線周波数フットプリント内で無線ネットワーク サービスをセグメント化できます。

VAPでは、単一の物理インターフェース上で複数の個別設定をセットアップすることにより、ネットワーク管理者が無線ユーザ アクセスとセキュリティの設定を制御できます。これらの個別設定は、それぞれ別々の (仮想) アクセス ポイントとして機能し、またグループ化して、同時に単一または複数の物理SonicPointアクセス ポイントに適用することができます。

SonicOSのセキュア ワイヤレス機能の詳細については、『SonicWALL Secure Wireless Integrated Solutions Guide』を参照してください。

SSIDとは

サービス セット識別子 (SSID) とは、無線ネットワークに割り当てられる名前です。無線クライアントはSonicPointとの通信で、大文字と小文字の区別も含めて、このSSIDを正確に使用しなければなりません。SSIDは最高で32バイトの長さを持つテキスト文字列です。ネットワーク上の複数のSonicPointに対して同じSSIDを使用することができます。SonicPointに対して最高で8個の一意のSSIDを設定し、それぞれのSSIDに異なる設定を割り当てることができます。

SonicPointは、設定されたSSIDごとにビーコン (無線ネットワークが利用可能であるという告知) をブロードキャストします。既定では、無線クライアントが無線ネットワークを確認できるように、ビーコン内にSSIDが含まれます。SSIDごとに (たとえば、VAPごと、APごと)、ビーコン内にSSIDが含まれないようにするオプションがあり、これで無線ネットワークの存在を見えなくすることができますが、それでもクライアントは手動でSSIDを指定して接続することができます。

以下の設定を各VAPに割り当てることができます。


・ 認証方式

・ VLAN

・ SSIDを使用するクライアント最大参加数

・ SSID抑制

ESSIDによる無線ローミング

ESSID (拡張サービス セット識別子) は、同じSSIDを共有するアクセス ポイント (または仮想アクセス ポイント) の集まりです。典型的な無線ネットワークは、単一のAPではサービスしきれない広域をカバーするために、2つ以上のAPから成っています。クライアントが無線ネットワーク内を移動すると、クライアントの無線接続の強度は、あるアクセス ポイント (AP1) から遠ざかるにつれて弱まり、別のアクセス ポイント (AP2) に近づくにつれて強まります。AP1とAP2が同じESSID (たとえば、sonicwall) にあって、同じSSIDとセキュリティ設定を共有していれば、クライアントは一方から他方に移動することができます。このローミング プロセスは無線クライアントのハードウェアとドライバによって制御されるので、ローミング動作はあるクライアントごとに異なる可能性がありますが、一般にESSID内の各APの信号強度に依存します。

BSSIDとは

BSSID (基本サービス セット識別子) とは、MAC (メディア アクセス コントロール) アドレスに相当するもので、APまたはVAPを識別する一意のハードウェア アドレスです。先ほどのESSIDでのローミング 無線クライアントの例で言えば、「sonicwall」というESSIDのクライアントがAP1から遠ざかってAP2に近づくと、前者からの信号強度は弱まり、後者からの信号強度は強まります。クライアントの無線カードとドライバはこれらのレベルを絶えず監視し、BSSIDによって (V) APを区別します。カード/ドライバのローミング基準に適合すると、クライアントはAP1のBSSIDからデタッチされ、AP2のBSSIDにアタッチされますが、その間ずっと「sonicwall」ESSIDに接続されたままです。

仮想APを使用する利点

このセクションでは、仮想AP機能を使用することの利点を列挙します。


・ 無線チャンネルの節約 - チャンネルの競合を避けて単一の物理アクセス ポイントをさまざまな目的に使用できるようにすることで、重複したインフラストラクチャの構築を防止します。これはチャンネルの節約です。空港などの公共スペースでは、複数のプロバイダが標準になりつつあります。空港内では、FAAネットワーク、1つ以上の航空ネットワーク、そして1つ以上の無線ISPをサポートする必要があるかもしれません。けれども、米国とヨーロッパでは802.11bネットワークで3つの使用可能な (重複していない) チャンネルしかサポートできませんし、フランスと日本では1つのチャンネルしか使用できません。それらのチャンネルが既存のAPで利用されてしまえば、追加のAPはお互いに干渉し合い、パフォーマンスが落ちることになります。仮想APは単一のネットワークを多様な目的に使用できるようにすることで、チャンネル数を節約します。

・ SonicPoint LANインフラストラクチャの最適化 - 重複したインフラストラクチャを構築せずに、複数のプロバイダの間で同じSonicPoint LANインフラストラクチャを共有することにより、WLANの設置と保守にかかる費用を引き下げます。

仮想APと共にVLANを使用する利点

VAPを実装するためにVLANを使用する必要はありませんが、VLANの使用には実際的なトラフィックの区別という利点があります。VLANを使用しない場合、各VAPからのトラフィックはSonicWALLセキュリティ装置上の共通インターフェースで処理されます。つまり、各VAPからのすべてのトラフィックが同じゾーンと同じサブネットに属することになります (補足説明: SonicOSの将来のバージョンでは、異なるVAPからのトラフィックが同じゾーン内の異なるサブネットに存在できるようになり、VLANタグ付けなしでもトラフィックを区別する手段を提供します)。各VAPからのトラフィックに一意のVLAN IDでタグ付けし、SonicWALLセキュリティ装置上に対応するサブインターフェースを作成することにより、各VAPが一意のサブネットを占めるようにすることができ、各サブインターフェースを銘々のゾーンに割り当てることができます。

これは次の利点をもたらします。


・ VAPごとに個別のセキュリティ サービス設定 (たとえば、GAV、IPS、CFSなど) を持たせることができます。

・ ゾーン レベルで設定したアクセス ルールを使って、各VAPからのトラフィックを容易に制御できます。

・ それぞれに別々のゲスト サービスまたはライトウェイト ホットスポット メッセージング (LHM) 設定を適用することができ、SonicPointハードウェアの共通セットで複数のゲスト サービス プロバイダの表示を容易にすることができます。

・ 帯域幅管理やその他のアクセス ルール ベース制御を容易に適用することができます。

前提条件


・ それぞれのSonicWALL SonicPointを仮想アクセス ポイント サポートに対して明示的に有効にする必要があります。それには、「SonicPointSonicPoint一般設定タブ」を選択し、 SonicOS管理インターフェースの「SonicPointを有効にする」チェックボックスを選択し、無線AまたはGを有効にします。

・ APの設定配布が行われるようにするために、SonicPointをSonicWALL UTM装置上でWLANゾーンにリンクする必要があります。

・ VAPと共にVLANを使用するときは、物理SonicPointの検出パケットと配布パケットにタグ付けされないようにする必要があります (SonicWALL上のVLANサブインターフェースを終点とするのでない限りに)。SonicPointによってVLANタグが付けられたVAPパケットが、ネットワーク上の中間機器 (VLAN対応のスイッチなど) によって変更されずに (カプセル化解除も二重カプセル化も行われずに) 配信されるようにする必要もあります。

配備の制限事項

VAPセットアップを設定するときは、配備に関する次の制限事項に注意してください。


・ 最大SonicPoint制限はSonicWALLセキュリティ装置に基づいて適用され左右されます。これらの制限事項については、「個別VLAN設定」セクション を参照してください。

SonicPoint仮想AP設定タスク リスト

SonicPoint VAPを配備するには、いくつかのステップから成る設定手順を実行する必要があります。まず次のセクションで実行すべき手順の概略を説明し、それ以降のセクションで各ステップについて詳しく説明します。これらのセクションでは、VAP配備の要件を説明し、管理者のための設定タスク リストを示します。


・ 「SonicPoint VAPの設定の概要」セクション

・ 「ネットワーク ゾーン」セクション

・ 「VLANサブインターフェース」セクション

・ 「DHCPサーバ スコープ」セクション

・ 「SonicPointプロファイル」セクション

・ 「VAPについての検討事項」セクション

・ 「SonicPointへのVAPの配備」セクション

SonicPoint VAPの設定の概要

VAP配備に必要な設定部分を以下に示します。

手順 1 ゾーン - ゾーンはVAP設定の重要部分です。作成した各ゾーンは、それぞれの個別的なセキュリティ設定とアクセス制御設定を持つことになります。複数のゾーンを作成し、VLANサブインターフェースを通じて単一の物理インターフェースに適用することができます。
手順 2 インターフェース (またはVLANサブインターフェース) - インターフェース (X2、X3など) はSonicWALL UTM装置とSonicPointの間の物理接続を表します。個々のゾーン設定はこれらのインターフェースに適用され、それからSonicPointに転送されます。
手順 3 DHCPサーバ - DHCPサーバはリースされるIPアドレスを指定された範囲 (「スコープ」と呼ばれる) 内のユーザに割り当てます。DHCPスコープの既定の範囲は、たいていのSonicPoint配備のニーズにとって過大なものです (たとえば、30個のアドレスしか使用しないインターフェースに対して200個のアドレスというスコープ)。そのため、利用可能なリース スコープを使い果たさないように、DHCP範囲は気をつけて設定する必要があります。
手順 4 VAPプロファイル - VAPプロファイル機能では、必要に応じて新しいSonicPoint仮想アクセス ポイントに簡単に適用できるSonicPoint設定プロファイルを作成できます。
手順 5 VAPオブジェクト - VAPオブジェクト機能では、一般VAP設定をセットアップできます。VAP設定により、SSIDおよびVLAN IDが設定されます。
手順 6 VAPグループ - VAPグループ機能では、SonicPointに同時に適用する複数のVAPオブジェクトをグループ化することができます。
手順 7 VAPグループをSonicPointプロファイル無線に割り当てる - SonicPointプロファイルでは、新しいSonicPointへの配布時にVAPグループを適用できます。
手順 8 WEP鍵を割り当てる (WEP暗号化のみ) - WEP鍵の割り当てでは、新しいSonicPointへの配布時にWEP暗号化鍵を適用できます。WEP鍵はSonicPointごとに設定されます。つまり、SonicPointに割り当てられたWEP対応のVAPはすべて同じセットのWEP鍵を使用しなければなりません。SonicPointごとに4つまでの鍵を定義できます。WEP対応のVAPは、この4つの鍵を独立に使用できます。WEP鍵の設定は「SonicPoint > SonicPoint」ページでSonicPointプロファイルまたは個々のSonicPointに対して行います。

ネットワーク ゾーン

このセクションは、次のサブセクションから構成されています。


・ 「無線ゾーン」セクション

・ 「個別無線ゾーン設定」セクション

ネットワーク セキュリティ ゾーンは、扱いやすくユーザにも設定可能な名前で1つ以上のインターフェースをグループ化し、ゾーン間をトラフィックが通過する際にセキュリティ規則を適用する論理的な手法です。ゾーン ベース セキュリティを使用することで、管理者は類似するインターフェースをグループ化して同じポリシーを適用できるので、各インターフェースについて同じポリシーを作成する必要がなくなります。ネットワーク ゾーンの設定は「ネットワークゾーン」ページで行います。

ゾーンの設定の詳細については、第17章「ゾーンの設定」を参照してください。

無線ゾーン

無線ゾーン タイプはSonicWALL SonicPointのサポートを提供します (「WLANゾーン」がこのタイプの既定のインスタンスです)。無線ゾーンにインターフェースまたはサブインターフェースが割り当てられると、そのインターフェースはレイヤ2接続されたSonicPointを発見し、設定を配布することができます。また、WiFiSecを有効にする、SSL-VPNリダイレクト、ゲスト サービスを有効にする、ライトウェイト ホットスポット メッセージング、ライセンスされたすべての精密パケット検査セキュリティ サービスなど、802.11レイヤの上にセキュリティ設定を強制することもできます。

補足 SonicOSはタグ付けされていない非VLANパケットでのみ管理できます。WLANをセットアップするときは、SonicPointにVLANタグ付きでないパケットが送信されるようにしてください。

個別無線ゾーン設定

SonicWALLには、あらかじめ設定された無線ゾーンが用意されていますが、管理者が独自に個別無線ゾーンを作成することもできます。VAPを使用する場合、単一または複数のSonicPointアクセス ポイントに複数の個別ゾーンを適用することができます。以下の3つのセクションでは、個別無線ゾーンの設定について説明します。


・ 「一般」セクション

・ 「無線」セクション

・ 「ゲスト サービス」セクション
一般
機能
説明
名前 個別ゾーンの名前を作成します。
セキュリティ タイプ 無線セキュリティ オプションの有効化とアクセスには、「
無線」を選択します。
インターフェース間通信を許可する このオプションを選択すると、ゾーンのインターフェース間をトラフィックが流れるようにするアクセス ルールが自動的に作成されます。これにより、無線ゾーンのユーザが互いに通信できるようになります。ゲスト サービスをセットアップするときは、一般にこのオプションを無効にします。
SonicWALLセキュリティ サービス このゾーンで強制したいセキュリティ サービスを選択します。これにより、SonicWALL UTMセキュリティ サービスをSonicPointに拡張することができます。
無線
機能
説明
SonicPointからのトラフィックのみを許可する このゾーンのトラフィックをSonicPointからのトラフィックのみに制限します。
SSL-VPNを執行する 無線ゾーンに入るすべてのトラフィックを定義済みのSonicWALL SSL-VPN装置にリダイレクトします。これによって、すべての無線トラフィックをSSL-VPNで認証および暗号化し、NetExtenderなどを使用してすべてのトラフィックをトンネリングできます。注: SSL-VPNを使用してトンネリングされた無線トラフィックの発信元は、無線ゾーンではなく、SSL-VPNと見なされます。
SSL-VPNサーバ - 無線トラフィックのリダイレク先にするSSL-VPN装置を表すアドレス オブジェクトを選択します。
WiFiSecを有効にする すべてのトラフィックがIPsecかWPAでなければなりません。このオプションを選択した場合、ゲスト以外のすべての接続にIPsecが執行されなければなりません。
WiFiSec除外サービス - 「WiFiSecを有効にする」から除外したいサービスを選択します。
WiFiSec使用時にのみ、サイト間VPNトンネルを介した通信を許可する 「WiFiSecを有効にする」と共に使用する場合、このゾーンでのサイト間VPN接続でWiFiSecセキュリティが必要です。
WPA/WPA2トラフィックをWiFiSecと同様に信頼する WPAまたはWPA2をWiFiSecのバックアップとして使用することを許可します。
SonicPointプロビジョニング プロファイル このゾーンの現在および将来のすべてのSonicPointに適用する定義済みのSonicPointプロファイルを選択します。
ゲスト サービス

無線ゲスト サービスを有効にする」オプションを選択すると、以下のゲスト サービスをゾーンに適用できます。

機能
説明
ゲスト間の通信を有効にする この無線ゾーンのSonicPointに接続するゲストどうしが無線で直接に通信できるようにします。
ゲストに対してアンチウィルスの確認を行わない ゲスト トラフィックがアンチウィルス保護をバイパスできるようにします。
動的アドレス変換 (DAT) を有効にする 動的アドレス変換 (DAT) は、SonicPointがゲスト サービス ユーザに対する任意のIPアドレス割り当て方法をサポートできるようにします。
このオプションを無効 (オフ) にした場合、無線ゲスト ユーザはDHCPが有効であるかIPアドレス割り当て方法がSonicPointのネットワーク設定に適合していなければなりません。
外部ゲスト認証を有効にする 選択した機器またはネットワークから接続するゲストを、アクセスに先立って認証する必要があります。この機能はライトウェイト ホットスポット メッセージング (LHM) に基づいており、ホットスポット ユーザを認証し、パラメータで規定されたネットワーク アクセスを提供するために使用されます。
個別認証ページ ユーザが無線ゾーンのSonicPointに最初に接続するときに、ユーザを個別認証ページにリダイレクトします。個別認証ページを設定するには、「設定」を選択します。テキスト フィールドに認証ページへのURLまたは個別質問文を入力して、「OK」を選択します。
認証後に表示するページ 認証が成功した直後にユーザを指定のページにリダイレクトします。認証後に表示されるページのURLをフィールドに入力します。
ゲスト認証のバイパス 何らかのユーザレベル認証が既に使用されている環境に、ゲスト サービスが実行されているSonicPointを統合できるようにします。この機能によってゲスト サービス認証プロセスが自動化され、無線ユーザは認証を要求されることなくゲスト サービス リソースに接続できるようになります。この機能は、無制限のゲスト サービス アクセスが必要な場合、またはSonicPointのアップストリームにある別の機器によって認証が適用される場合にのみ使用してください。
SMTPトラフィックのリダイレクト先 このゾーンに入ってくるSMTPトラフィックを指定のSMTPサーバにリダイレクトします。トラフィックのリダイレクト先となるアドレス オブジェクトを選択します。
通信を禁止するネットワーク 指定したネットワークからのトラフィックをブロックします。トラフィックをブロックするサブネット、アドレス グループ、またはIPアドレスを選択します。
通信を許可するネットワーク 選択したネットワークからのトラフィックがWLANゾーンを通過することを自動的に許可します。
最大同時接続ゲスト数 無線ゾーンへの接続を許可されるゲスト ユーザの最大数を指定します。既定値は10です。

VLANサブインターフェース

仮想ローカル エリア ネットワーク (VLAN) では、物理ネットワーク接続 (X2、X3など) を、それぞれが独自の設定を持つ数多くの仮想ネットワーク接続に分割できます。VLANソリューションを使用すると、VAPごとに、実際の物理インターフェース上に独自のサブインターフェースを持たせることができます。

VLANサブインターフェースは、ゾーンの割り当て、セキュリティ サービス、WANの割り当て (静的アドレス指定のみ)、GroupVPN、DHCPサーバ、IPヘッダー、ルーティング、NATポリシーとアクセス ルールの完全な制御など、物理インターフェースの大部分の機能と特徴を備えています。現在、VLANサブインターフェースから除外されている機能は、VPNポリシー バインド、WAN動的クライアント サポート、およびマルチキャスト サポートです。

VLANサブインターフェースの設定は「ネットワークインターフェース」ページで行います。

個別VLAN設定

次の表はVLANサブインターフェースの設定パラメータと説明です。

機能
説明
ゾーン 定義済みまたは個別ユーザ定義のゾーンからゾーン設定を引き継ぐには、ゾーンを選択します。
VLANタグ このサブインターフェースのVLAN IDを指定します。
親インターフェース VLANの物理親インターフェース (X2、X3など) を選択します。
IP設定 ネットワーク設定に従ってIPアドレスとサブネット マスクを作成します。
SonicPoint制限 このインターフェースで使用するSonicPointの最大数を選択します。以下は、SonicWALL UTMハードウェアに基づくインターフェースごとのSonicPointの最大数です。
管理プロトコル このインターフェースの管理に使用するプロトコルを選択します。
ログイン プロトコル このサブインターフェースにアクセスするクライアントに対して使用可能にするプロトコルを選択します。

DHCPサーバ スコープ

DHCPサーバはリースされるIPアドレスを指定された範囲 (「スコープ」と呼ばれる) 内のユーザに割り当てます。DHCPスコープの既定の範囲は、たいていのSonicPoint配備のニーズにとって過大なものです (たとえば、30個のアドレスしか使用しないインターフェースに対して200個のアドレスというスコープ)。そのため、利用可能なリース スコープを使い果たさないように、DHCP範囲は気をつけて設定する必要があります。

各インターフェース/サブインターフェースを定義するときに、それ以降に定義するインターフェースのために十分なDHCPスコープが残されるように、DHCPスコープの大きさを調整してください。そうしないと、以降のDHCPスコープの自動作成が失敗し、スコープを適切にサイズ変更してから手動で作成しなければならなくなる可能性があります。DHCPサーバ スコープの設定は「ネットワークDHCPサーバ」ページで行います。

次の表にSonicWALLセキュリティ装置の最大許容DHCPリース数を示します。

プラットフォーム
最大DHCPリース数
NSA 3500 1,024リース
NSA 4500、E5500、E6500、E7500 4,096リース

仮想アクセス ポイント プロファイル

仮想アクセス ポイント プロファイルを使用すると、管理者はアクセス ポイント設定をあらかじめ設定して、プロファイルに保存することができます。VAPプロファイルにより、新しい仮想アクセス ポイントに簡単に設定を適用することができます。仮想アクセス ポイント プロファイルの設定は「SonicPoint仮想アクセス ポイント」ページで行います。

仮想アクセス ポイント プロファイルの設定

次の表は仮想アクセス ポイント プロファイルの設定パラメータと説明です。

機能
説明
名前 このVAPプロファイルに付けるニックネームを選びます。後でこのプロファイルを新しいVAPに適用するときに一目でわかるような名前にするとよいでしょう。
タイプ 既定では「
SonicPoint」になります。VAPとしてSonicPointを使用する場合は、既定値のままにしておいてください (これが現在サポートされている唯一の無線タイプです)。
認証タイプ 以下は、利用できる認証のタイプと、それぞれの簡単な説明です。
WEP

・ 低いセキュリティ

・ 旧式の機器、PDA、無線プリンタで使用
WPA

・ 高いセキュリティ (TKIPを使用)

・ 信頼性の高い企業の無線クライアントで使用

・ ウィンドウズ ログインを使用したトランスペアレントな認証

・ 一般にクライアント ソフトウェアは不要
WPA2

・ 最高のセキュリティ (AESを使用)

・ 信頼性の高い企業の無線クライアントで使用

・ ウィンドウズ ログインを使用したトランスペアレントな認証

・ 場合によってクライアント ソフトウェアをインストールする必要がある

・ 802.11iの“Fast Roaming”機能のサポート

・ 最初のログイン後のバックエンド認証はなし (より高速なローミングが可能)
WPA2-AUTO

・ WPA2セキュリティを使用して接続を試行します。クライアントがWPA2に対応していない場合、接続は既定でWPAに設定されます。
ユニキャスト暗号 認証タイプに基づいてユニキャスト暗号が自動的に選択されます。
マルチキャスト暗号 認証タイプに基づいてマルチキャスト暗号が自動的に選択されます。
最大クライアント数 この仮想アクセス ポイントに対して許容される同時クライアント接続の最大数を選択します。

WPA-PSK/WPA2-PSK暗号化の設定

WPAまたはWPA2を使用するときには事前共有鍵 (PSK) が利用できます。このソリューションでは共有鍵を利用します。

機能
説明
パスフレーズ PSKベースの認証で接続するときにユーザが入力する共有パスフレーズ
鍵変更間隔 グループ鍵が有効な時間間隔。既定値は86400秒です。この値を小さく設定すると、接続の問題が生じる可能性があります。

WPA-EAP/WPA2-EAP暗号化の設定

WPAまたはWPA2を使用するときには拡張認証プロトコル (EAP) が利用できます。このソリューションでは、鍵の生成に外部の802.1x/EAP対応RADIUSサーバを利用します。

機能
説明
RADIUSサーバ1 RADIUS認証サーバの名前/場所
RADIUSサーバ1ポート RADIUS認証サーバがクライアントおよびネットワーク機器と通信するポート
RADIUSサーバ1事前共有鍵 RADIUSサーバ用のシークレット パスコード
RADIUSサーバ2 バックアップRADIUS認証サーバの名前/場所
RADIUSサーバ2ポート バックアップRADIUS認証サーバがクライアントおよびネットワーク機器と通信するポート
RADIUSサーバ2事前共有鍵 バックアップRADIUSサーバ用のシークレット パスコード
鍵変更間隔 WPA/WPA2グループ鍵が更新される時間間隔 (秒数)

共有/両方 (WEP) 暗号化の設定

WEPは、新しいWPA/WPA2暗号化方式をサポートしていない旧式の機器で使用するために用意されています。このソリューションでは共有鍵を利用します。

機能
説明
暗号化鍵 このVAPへのWEP接続に使用する鍵を選択します。WEP暗号化鍵の設定は、「
SonicPointプロファイル」の
SonicPointSonicPoint」ページで行います。

仮想アクセス ポイント

VAP設定機能では、一般VAP設定をセットアップできます。VAP設定により、SSIDおよびVLAN IDが設定されます。仮想アクセス ポイントの設定は「SonicPoint仮想アクセス ポイント」ページで行います。

一般VAP設定

機能
説明
SSID VAPのニックネームを作成します。
VLAN ID VLANをサポートしているプラットフォームを使用するときは、このVAPに関連付けるVLAN IDをオプションで選択できます。選択したVLANから、このVAPのための設定が引き継がれます。
仮想アクセス ポイントを有効にする このVAPを有効にします。
SSID抑制を有効にする SSID名のブロードキャストを抑止し、プローブ要求への応答を無効にします。このオプションをオンにすると、 不正な無線クライアントからSSIDを確認できなくなります。

詳細VAP設定

詳細設定では、この接続の認証と暗号化の設定を設定できます。ユーザが作成したプロファイルからこれらの設定を引き継ぐには、プロファイル名を選択します。認証と暗号化の設定の詳細については、「仮想アクセス ポイント プロファイル」セクション を参照してください。

仮想アクセス ポイント グループ

仮想アクセス ポイント グループ機能は、SonicWALL NSA装置で利用できます。この機能では、SonicPointに同時に適用する複数のVAPオブジェクトをグループ化することができます。仮想アクセス ポイント グループの設定は「SonicPoint仮想アクセス ポイント」ページで行います。

SonicPointプロファイル

SonicPointで使用するプロファイルは、分散無線手法で複数のSonicPointの設定と設定の配布を行うスケーラブルで高度に自動化された方法を提供します。SonicPointプロファイルの定義には、2.4GHzおよび5GHzの無線設定、SSID、動作チャンネルなど、SonicPointで設定できるすべての設定が含まれます。詳細については、「SonicPointプロビジョニング プロファイル」 を参照してください。

VAPについての検討事項

このセクションでは、使用するVAPに何が求められ、それらの要件をVAP設定にどのように適用すればよいか判断するための手がかりを提供します。このセクションは、次のサブセクションから構成されています。

VAPのニーズを確定する

VAPの設定方法を決定するときは、まず以下のような通信ニーズについて検討してください。


・ どれだけの種類の無線ユーザをサポートする必要があるか。

・ それらの種類の無線ユーザをどのように保護するか。

・ 選択したセキュリティ設定をサポートするために必要なハードウェアとドライバを無線クライアントが持っているか。

・ 無線ユーザはどんなネットワーク リソースと通信する必要があるか。

・ それらの無線ユーザの中に他の無線ユーザと通信する必要のあるユーザはいるか。

・ それらの種類の無線ユーザの各々にどんなセキュリティ サービスを適用したいか。

サンプル ネットワーク

以下は、4つのVAPについて記述したサンプルのVAPネットワーク設定です。


・ VAP#1、社内無線ユーザ - 普通はオフィスにいるユーザの集まりで、接続が認証されて安全であれば、すべてのネットワーク リソースへの完全なアクセスが許されるべき人たちです。これらのユーザはすでにネットワークのディレクトリ サービスであるマイクロソフト アクティブ ディレクトリに属しています。これはインターネット認証サービス (IAS) を通じてEAPインターフェースを提供します。

・ VAP#2、旧式の無線機器 - WEP暗号化にしか対応していない旧式の無線機器の集まり (プリンタ、PDA、ハンドヘルド機器など)。

・ VAP#3、来訪パートナー - オフィスを頻繁に訪れ、一部の信頼されたネットワーク リソースおよびインターネットにアクセスする必要のあるビジネス パートナー、クライアント、および関連会社の人たち。これらのユーザは会社のディレクトリ サービスに属していません。

・ VAP#4、ゲスト ユーザ - インターネットなどの信頼されていないネットワーク リソースへのアクセスのみを許したい来訪クライアントです。一部のゲスト ユーザには、一時的で簡単なユーザ名とパスワードが与えられます。

・ VAP#5、頻繁なゲスト ユーザ - ゲスト ユーザと同じですが、バックエンド データベースを通じて一時的でないゲスト アカウントが与えられます。

セキュリティ設定を確定する

上述の要件が明確になれば、これらのユーザに無線サービスを提供するゾーン (およびインターフェース) とVAPを定義することができます。


・ 社内無線 - 信頼度の高い無線ゾーン。WPA2-AUTO-EAPセキュリティを使用します。WiFiSec (WPA) を執行します。

・ WEP&PSK - 信頼度が中程度の無線ゾーン。2つの仮想APとサブインターフェースから成り、1つが旧式のWEP機器 (無線プリンタ、旧式のハンドヘルド機器など) 用で、もう1つがWPA-PSKを使用する来訪クライアント用です。

・ ゲスト サービス - 内部ゲスト サービス ユーザ データベースを使用します。

・ LHM - 外部LHM認証バックエンド サーバを使用するように設定したライトウェイト ホットスポット メッセージング対応ゾーン。

VAP設定ワークシート

次のワークシートは、VAP設定に関する一般的な検討事項とソリューション、および実際の設定内容を記入するための空欄から成っています。

検討事項
ソリューション
どれだけの種類の無線ユーザをサポートする必要があるか。 社内無線、ゲスト アクセス、来訪パートナー、無線機器は、すべて一般的なユーザ タイプで、それぞれ固有のVAPを必要とする。 異なるVAPの必要数を把握します。必要な各VAPについてゾーンとVLANを設定します。
実際の設定内容:
各VAPでどれだけのユーザをサポートする必要があるか。 会社の構内に100人の従業員がいて、全員が無線機能を使用する。 少なくとも100個のアドレスを提供するように訪問者ゾーンのDHCPスコープを設定します。
会社の構内に無線機能を使用できる20~30人の訪問者がよく来訪する。 少なくとも25個のアドレスを提供するように訪問者ゾーンのDHCPスコープを設定します。
実際の設定内容:
異なる種類の無線ユーザをどのように保護するか。 社内LANリソースにアクセスできる社内ユーザ。 WPA2-EAPを設定します。
インターネット アクセスのみに限定されたゲスト ユーザ。 ゲスト サービスを有効にしますが、セキュリティ設定は行いません。
社内LAN上の旧式の無線プリンタ。 WEPを設定し、MACアドレス フィルタを有効にします。
実際の設定内容:
ユーザはどんなネットワーク リソースと通信する必要があるか。 社内LANとすべての内部LANリソース (他のWLANユーザも含む) へのアクセスを必要とする社内ユーザ。 社内ゾーンに関してインターフェース間通信を有効にします 。
インターネット アクセスを必要とするが、他のWLANユーザとの通信は許可すべきでない無線ゲスト。 ゲスト ゾーンに関してインターフェース間通信を無効にします 。
実際の設定内容:
ユーザにどんなセキュリティ サービスを適用したいか。 完全なSonicWALLセキュリティ スイートで保護すべき社内ユーザ。 SonicWALLのすべてのセキュリティ サービスを有効にします。
社内LAN上にいないので、配慮する必要のないゲスト ユーザ。 SonicWALLのすべてのセキュリティ サービスを無効にします。
実際の設定内容:

VAPサンプル設定

このセクションでは、現実の無線ニーズに基づいた設定例を示します。このセクションは、次のサブセクションから構成されています。

ゲスト アクセス用VAPの設定

インターネットなどの信頼されていないネットワーク リソースへのアクセスのみを許したい来訪クライアントには、ゲスト アクセス用のVAPを使用することができます。ゲスト ユーザには、一時的で簡単なユーザ名とパスワードが与えられます。より詳細な設定では、バックエンド データベースを通じて確認される一時的でないゲスト アカウントも与えることができます。

このセクションは、次のサブセクションから構成されています。

ゾーンの設定

このセクションでは、ゲスト ログイン機能を持つ新しい無線ゾーンを作成して設定します。

手順 1 SonicWALL UTM装置の管理インターフェースにログインします。
手順 2 左側のメニューで、「ネットワークゾーン」ページに移動します。
手順 3 追加...」ボタンを選択して、新しいゾーンを追加します。
一般設定タブ
手順 1 一般」タブで、「名前」フィールドに“VAP-Guest”などのニックネームを入力します。
手順 2 セキュリティ タイプ」ドロップダウン メニューで「無線」を選択します。
手順 3 インターフェース間通信を許可する」チェックボックスをオフにして、無線ゲスト間の通信を禁止します。
無線設定タブ
手順 1 無線」タブで、「SonicPointからのトラフィックのみを許可する」チェックボックスをオンにします。
手順 2 このタブの他のオプションをすべてオフにします。
手順 3 SonicPointプロビジョニング プロファイル」ドロップダウン メニューからプロファイルを選択します (該当する場合)。
ゲスト サービス タブ
手順 1 ゲスト サービス」タブで、「無線ゲスト サービスを有効にする」チェックボックスをオンにします。
補足 次の例では、ステップ2~7がオプションで、ゲスト サービスを使用する典型的なゲストVAP設定のみを表しています。ただし、ステップ2~7を実行するよう推奨します。
手順 2 動的アドレス変換 (DAT) を有効にする」チェックボックスをオンにして、ゲスト ユーザにローカル ネットワーク外のアドレスとの完全な通信を許可します。
手順 3 個別認証ページ」チェックボックスをオンにし、「設定」ボタンを選択して、ゲスト ログイン ページの個別ヘッダーと個別フッターを設定します。
手順 4 OK」ボタンを選択して、変更内容を保存します。
手順 5 認証後に表示するページ」チェックボックスをオンにし、ログイン後に無線ユーザをリダイレクトするURLを入力します。
手順 6 通信を許可するネットワーク」チェックボックスをオンにして、ゲスト サービスにログインしなくてもアクセスできるようにしたいウェブ サイト (会社のサイトなど) を設定します。
手順 7 このVAPでサポートするゲストの最大数を「最大同時接続ゲスト数」フィールドに入力します。
手順 8 OK」ボタンを選択して、変更内容を保存します。

これで新しいゾーンが「ネットワークゾーン」ページの下部に表示されるようになります。ただし、まだメンバー インターフェースにリンクされていません。これは次のステップで行います。

無線LAN (WLAN) インターフェースの作成

このセクションでは、ポートの1つをWLANとして機能するように設定します。すでにWLANを設定してある場合は、「無線LAN (WLAN) インターフェースの作成」セクション まで進んでください。

手順 1 ネットワークインターフェース」ページで、WLANとして使用したいインターフェースに対応する設定アイコン を選択します。「インターフェース設定」画面が表示されます。
手順 2 ゾーン」ドロップダウン リストから「WLAN」を選択します。
手順 3 このインターフェースの「IPアドレス」を入力します。
手順 4 SonicPoint制限」ドロップダウン メニューで、SonicPointの数の制限を選択します。これでWLANインターフェースでサポートするSonicPointの総数が定義されます。
補足 SonicPointの最大数はプラットフォームによって異なります。プラットフォームにおけるSonicPointの最大数を確認するには、「個別VLAN設定」セクション を参照してください。
手順 5 OK」ボタンを選択して、このインターフェースへの変更内容を保存します。

これでWLANインターフェースが「インターフェース設定」リストに表示されるようになります。

WLAN上でのVLANサブインターフェースの作成

このセクションでは、現在のWLAN上に新しいVLANサブインターフェースを作成して設定します。このVLANは、「ゾーンの設定」セクション で作成したゾーンにリンクされます。

手順 1 ネットワークインターフェース」ページで、「インターフェースの追加」ボタンを選択します。
手順 2 ゾーン」ドロップダウン メニューで、「ゾーンの設定 」で作成したゾーンを選択します。この例では、VAP-Guestを選択します。
手順 3 このインターフェースのVLANタグを入力します。SonicPointは、この数字によって“VAP-Guest”VLANに属するトラフィックを識別します。一定の組織化されたやり方で数字を選んでください。この例では、VAP-Guest VLANのタグとして200を選びます。
手順 4 親インターフェース」ドロップダウン メニューで、SonicPointが物理的に接続しているインターフェースを選択します。この例では、X2を使用するので、これが該当するWLANインターフェースです。
手順 5 このサブインターフェースの「IPアドレス」を入力します。
手順 6 SonicPoint制限」ドロップダウン メニューからSonicPointの数の制限を選択します。これでVLANでサポートするSonicPointの総数が定義されます。
手順 7 オプションで、このサブインターフェースに関するコメントを「コメント」フィールドに入力することもできます。
手順 8 OK」ボタンを選択して、このサブインターフェースを追加します。

これでVLANサブインターフェースが「インターフェース設定」リストに表示されるようになります。

DHCP IP範囲の設定

利用可能なDHCPリースの数はプラットフォームによって異なるので、各インターフェース/サブインターフェースを定義するときに、それ以降に定義するインターフェースのために十分なDHCPスコープが残されるように、DHCPスコープの大きさを調整してください。SonicWALLセキュリティ装置でのDHCPリースの最大数を確認するには、「DHCPサーバ スコープ」セクション を参照してください。

手順 1 左側のメニューで、「ネットワークDHCPサーバ」ページに移動します。
手順 2 先ほど作成したインターフェースを見つけます。この例では、X2:V200 (物理X2インターフェース上の仮想インターフェース200) インターフェースです。目的のインターフェースに対応する設定アイコン を選択します。 補足 作成したインターフェースが「ネットワークDHCPサーバ」ページに表示されない場合は、SonicWALLで許されるDHCPリース数を超過している可能性があります。DHCPリースの枯渇に関する詳細については、「DHCPサーバ スコープ」セクション を参照してください。
手順 3 配備ニーズに合わせて「開始アドレス」フィールドと「終了アドレス」フィールドを編集します。
手順 4 OK」ボタンを選択して、変更内容を保存します。

これで新しいDHCPリース スコープが「DHCPサーバ リース範囲」リストに表示されるようになります。

SonicPoint VAPプロファイルの作成

このセクションでは、新しい仮想アクセス ポイント プロファイルを作成して設定します。VAPのタイプごとにVAPプロファイルを作成し、それらを使って新しいVAPに詳細設定を簡単に適用することができます。このセクションの内容はオプションですが、これによって複数のVAPの設定がずっと簡単になります。

手順 1 左側のメニューで、「SonicPoint仮想アクセス ポイント」ページに移動します。
手順 2 仮想アクセス ポイント プロファイル」セクションの「追加...」ボタンを選択します。
手順 3 このVAPプロファイルのプロファイル名を入力します (“Guest”など)。
手順 4 認証種別を選択します。保護されないゲスト アクセスに対しては、「オープン」を選択します。
手順 5 OK」ボタンを選択して、このVAPプロファイルを作成します。

SonicPoint VAPの作成

このセクションでは、新しい仮想アクセス ポイントを作成して設定し、「WLAN上でのVLANサブインターフェースの作成」セクション で作成したVLANと関連付けます。

手順 1 左側のメニューで、「SonicPoint仮想アクセス ポイント」ページに移動します。
手順 2 仮想アクセス ポイント」セクションの「追加...」ボタンを選択します。
手順 3 VAPの既定の名前 (SSID) を入力します。この例では、VAP-Guestを選びます。これは関連付けるゾーンと同じ名前です。
手順 4 「VLANサブインターフェース」セクション で作成したVLAN IDをドロップダウン リストから選択します。この例では、200を選びます。これはVAP-Guest VLANのVLAN IDです。
手順 5 仮想アクセス ポイントを有効にする」チェックボックスをオンにして、このアクセス ポイントを作成時に有効にします。
手順 6 詳細設定」タブを選択して、暗号化設定を編集します。前のセクションでVAPプロファイルを作成した場合は、そのプロファイルを「プロファイル名」リストから選択します。この例では、“Guest”プロファイルを選択します。このプロファイルでは、認証方式としてオープンを使用します。
手順 7 OK」ボタンを選択して、このVAPを追加します。これで新しいVAPが「仮想アクセス ポイント」リストに表示されるようになります。

以上でGuest設定のセットアップが完了したので、この後は個別VAPをさらに追加することもできますし、この設定をSonicPointに配備することもできます (「SonicPointへのVAPの配備」セクション を参照)。

ヒント VAPは後でいつでも追加することができます。追加したVAPは、「SonicPointへのVAPの配備」セクション の手順に従って、すべてのSonicPointに同時に配備することができます。

社内LANアクセス用VAPの設定

普通はオフィスにいるユーザの集まりで、接続が認証されて安全であれば、すべてのネットワーク リソースへの完全なアクセスが許されるべき人たちに対しては、社内LANアクセス用のVAPを使用することができます。これらのユーザはすでにネットワークのディレクトリ サービスであるマイクロソフト アクティブ ディレクトリに属しています。これはインターネット認証サービス (IAS) を通じてEAPインターフェースを提供します。このセクションは、次のサブセクションから構成されています。

ゾーンの設定

このセクションでは、SonicWALL UTMセキュリティ サービスと強化されたWiFiSec/WPA2無線セキュリティを備えた新しい社内無線ゾーンを作成して設定します。

手順 1 SonicWALL UTM装置の管理インターフェースにログインします。
手順 2 左側のメニューで、「ネットワークゾーン」ページに移動します。
手順 3 追加...」ボタンを選択して、新しいゾーンを追加します。
一般設定タブ
手順 1 一般」タブで、「名前」フィールドに“VAP-Corporate”などのニックネームを入力します。
手順 2 セキュリティ タイプ」ドロップダウン メニューで「無線」を選択します。
手順 3 インターフェース間通信を許可する」チェックボックスをオンにして、社内無線ユーザ間の通信を許可します。
手順 4 社内有線LANユーザに通常適用するセキュリティ サービスのチェックボックスをすべてオンにします。
無線設定タブ
手順 1 無線」タブで、「SonicPointからのトラフィックのみを許可する」チェックボックスをオンにします。
手順 2 WiFiSecを有効にする」チェックボックスをオンにして、この接続に関してWiFiSecセキュリティを有効にします。
手順 3 WPA/WPA2トラフィックをWiFiSecと同様に信頼する」チェックボックスをオンにして、この接続へのWPA/WPA2ユーザ アクセスを有効にします。
手順 4 SonicPointプロビジョニング プロファイル」ドロップダウン メニューからプロファイルを選択します (該当する場合)。
手順 5 OK」ボタンを選択して、変更内容を保存します。

これで新しいゾーンが「ネットワークゾーン」ページの下部に表示されるようになります。ただし、まだメンバー インターフェースにリンクされていません。これは次のステップで行います。

WLAN上でのVLANサブインターフェースの作成

このセクションでは、現在のWLAN上に新しいVLANサブインターフェースを作成して設定します。このVLANは、「ゾーンの設定」セクション で作成したゾーンにリンクされます。

手順 1 ネットワークインターフェース」ページで、「インターフェースの追加」ボタンを選択します。
手順 2 ゾーン」ドロップダウン メニューで、「ゾーンの設定 」で作成したゾーンを選択します。この例では、VAP-Corporateを選択します。
手順 3 このインターフェースのVLANタグを入力します。SonicPointは、この数字によって“VAP-Corporate”VLANに属するトラフィックを識別します。一定の組織化されたやり方で数字を選んでください。この例では、VAP-Corporate VLANのタグとして50を選びます。
手順 4 親インターフェース」ドロップダウン メニューで、SonicPointが物理的に接続しているインターフェースを選択します。この例では、X2を使用するので、これが該当するWLANインターフェースです。
手順 5 このサブインターフェースの「IPアドレス」を入力します。
手順 6 SonicPoint制限」ドロップダウン メニューで、SonicPointの数の制限を選択します。これでWLANインターフェースでサポートするSonicPointの総数が定義されます。
手順 7 オプションで、このサブインターフェースに関するコメントを「コメント」フィールドに入力することもできます。
手順 8 OK」ボタンを選択して、このサブインターフェースを追加します。

これでVLANサブインターフェースが「インターフェース設定」リストに表示されるようになります。

DHCP IP範囲の設定

利用可能なDHCPリースの数はプラットフォームによって異なるので、各インターフェース/サブインターフェースを定義するときに、それ以降に定義するインターフェースのために十分なDHCPスコープが残されるように、DHCPスコープの大きさを調整してください。SonicWALLセキュリティ装置でのDHCPリースの最大数を確認するには、「DHCPサーバ スコープ」セクション を参照してください。

手順 1 左側のメニューで、「ネットワークDHCPサーバ」ページに移動します。
手順 2 先ほど作成したインターフェースを見つけます。この例では、X2:V50 (物理X2インターフェース上の仮想インターフェース50) インターフェースです。目的のインターフェースに対応する設定アイコン を選択します。 補足 作成したインターフェースが「ネットワークDHCPサーバ」ページに表示されない場合は、SonicWALLで許されるDHCPリース数を超過している可能性があります。DHCPリースの枯渇に関する詳細については、「DHCPサーバ スコープ」セクション を参照してください。
手順 3 配備ニーズに合わせて「開始アドレス」フィールドと「終了アドレス」フィールドを編集します。
手順 4 OK」ボタンを選択して、変更内容を保存します。これで新しいDHCPリース スコープが「DHCPサーバ リース範囲」リストに表示されるようになります。

SonicPoint VAPプロファイルの作成

このセクションでは、新しい仮想アクセス ポイント プロファイルを作成して設定します。VAPのタイプごとにVAPプロファイルを作成し、それらを使って新しいVAPに詳細設定を簡単に適用することができます。このセクションの内容はオプションですが、これによって複数のVAPの設定がずっと簡単になります。

手順 1 左側のメニューで、「SonicPoint仮想アクセス ポイント」ページに移動します。
手順 2 仮想アクセス ポイント プロファイル」セクションの「追加...」ボタンを選択します。
手順 3 このVAPプロファイルのプロファイル名を入力します (“Corporate-WPA2”など)。
手順 4 認証タイプ」ドロップダウン メニューから「WPA2-AUTO-EAP」を選択します。これにより、現在のRADIUSサーバ設定 (後ほど設定) に基づいて自動ユーザ認証が使用されます。
手順 5 最大クライアント数」フィールドに、VAPでサポートする同時接続の最大数を入力します。
手順 6 WPA-EAP暗号化の設定」セクションで、現在のRADIUSサーバの情報を入力します。この情報はVLANへの認証されたログインをサポートするために使われます。
手順 7 OK」ボタンを選択して、このVAPプロファイルを作成します。

SonicPoint VAPの作成

このセクションでは、新しい仮想アクセス ポイントを作成して設定し、「WLAN上でのVLANサブインターフェースの作成」セクション で作成したVLANと関連付けます。

一般タブ
手順 1 左側のメニューで、「SonicPoint仮想アクセス ポイント」ページに移動します。
手順 2 仮想アクセス ポイント」セクションの「追加...」ボタンを選択します。
手順 3 VAPの既定の名前 (SSID) を入力します。この例では、VAP-Guestを選びます。これは関連付けるゾーンと同じ名前です。
手順 4 「WLAN上でのVLANサブインターフェースの作成」セクション で作成したVLAN IDをドロップダウン リストから選択します。この例では、50を選びます。これはVAP-Corporate VLANのVLAN IDです。
手順 5 仮想アクセス ポイントを有効にする」チェックボックスをオンにして、このアクセス ポイントを作成時に有効にします。
手順 6 SSID抑制を有効にする」チェックボックスをオンにして、このSSIDをユーザから隠します。
手順 7 OK」ボタンを選択して、このVAPを追加します。

これで新しいVAPが「仮想アクセス ポイント」リストに表示されるようになります。

詳細設定タブ (認証設定)
手順 1 詳細設定」タブを選択して、暗号化設定を編集します。前のセクションでVAPプロファイルを作成した場合は、そのプロファイルを「プロファイル名」リストから選択します。この例では、“Corporate-WPA2”プロファイルを選択します。このプロファイルでは、認証方式としてWPA2-AUTO-EAPを使用します。VAPプロファイルをセットアップしていない場合は、ステップ2~4を実行してください。セットアップしている場合は、さらなるVAPの作成/現在のVAPの配備 に進んでください。
手順 2 詳細設定」タブで、「認証タイプ」ドロップダウン メニューから「WPA2-AUTO-EAP」を選択します。これにより、現在のRADIUSサーバ設定 (後ほど設定) に基づいて自動ユーザ認証が使用されます。
手順 3 最大クライアント数」フィールドに、VAPでサポートする同時接続の最大数を入力します。
手順 4 WPA-EAP暗号化の設定」セクションで、現在のRADIUSサーバの情報を入力します。この情報はVLANへの認証されたログインをサポートするために使われます。
さらなるVAPの作成/現在のVAPの配備

以上で社内LANアクセス用のVLANのセットアップが完了したので、この後は個別VAPをさらに追加することもできますし、この設定をSonicPointに配備することもできます (「SonicPointへのVAPの配備」セクション を参照)。

ヒント VAPは後でいつでも追加することができます。追加したVAPは、「SonicPointへのVAPの配備」セクション の手順に従って、すべてのSonicPointに同時に配備することができます。

SonicPointへのVAPの配備

次のセクションでは、新しいVAPをグループ化して配備し、1つ以上のSonicPoint無線機と関連付けます。このプロセスが完了するまで、ユーザはVAPにアクセスできません。

複数のVAPのグループ化

このセクションでは、複数のVAPをグループ化して1つにまとめます。このグループは後でSonicPointと関連付けます。

手順 1 左側のメニューで、「SonicPoint仮想アクセス ポイント」ページに移動します。
手順 2 仮想アクセス ポイント グループ」セクションの「グループの追加...」ボタンを選択します。
手順 3 仮想APグループ名を入力します。
手順 4 リストから目的のVAPを選択し、-> ボタンを選択して、それらのVAPをグループに追加します。オプションで「すべて追加」ボタンを選択して、すべてのVAPを単一のグループに追加します。
手順 5 OK」ボタンを選択して、変更内容を保存すると共にグループを作成します。

SonicPointプロビジョニング プロファイルの作成

このセクションでは、プロファイルを作成することによって、「複数のVAPのグループ化」セクション で作成したグループをSonicPointと関連付けます。このプロファイルによって、VAPのグループから設定をすべてのSonicPointに配布することができます。

手順 1 左側のメニューで、「SonicPointSonicPoint」ページに移動します。
手順 2 SonicPointプロファイル」セクションの「追加」ボタンを選択します。
手順 3 SonicPointを有効にする」チェックボックスをオンにして、このプロファイルを有効にします。
手順 4 名前開始文字列」フィールドに、このプロファイルの名前を入力します。
手順 5 ドロップダウン リストから国番号を選択します。
手順 6 802.11無線機仮想APグループ」プルダウン リストから、「複数のVAPのグループ化」セクション で作成したグループを選択します。
手順 7 802.11g WEPまたは802.11a WEP/WPA暗号化をセットアップしたり、MACアドレス フィルタを有効にするには、「802.11g」タブと「802.11a」タブを使用します。いずれかのVAPで暗号化を使用する場合、SonicPoint VAPを機能させるためには、これらの設定を行う必要があります。
手順 8 OK」ボタンを選択して、変更内容を保存すると共に、このSonicPointプロファイルを作成します。
手順 9 画面の上部にある「SonicPointと同期」ボタンを選択して、プロファイルをSonicPointに適用します。

変更に際してSonicPointの再起動に少し時間がかかることもあります。このプロセスが完了すると、このSonicPointを通じて、すべてのVAPプロファイルが無線ユーザに対して利用可能になります。

VAPグループとSonicPointとの関連付け

SonicPointプロビジョニング プロファイルを作成していない場合、SonicPointへの設定配布を手動で行うことができます。配布対象のSonicPointが1つしかなければ、この方法を使用するほうがよいかもしれません。SonicPointプロファイルを作成して配布を行っている場合は、このセクションを読む必要はありません。

手順 1 左側のメニューで、「SonicPointSonicPoint」ページに移動します。
手順 2 仮想APと関連付けたいSonicPointの横の「設定」ボタンを選択します。
手順 3 「仮想アクセス ポイント設定」セクションの「802.11g (または802.11a) 無線機仮想APグループ」ドロップダウン リストから、複数のVAPのグループ化 で作成したVAPグループを選択します。この例では、仮想APグループとしてVAPを選択します。
手順 4 OK」ボタンを選択して、このVAPグループをSonicPointと関連付けます。
手順 5 画面の上部にある「SonicPointと同期」ボタンを選択して、プロファイルをSonicPointに適用します。

変更に際してSonicPointの再起動に少し時間がかかることもあります。このプロセスが完了すると、このSonicPointを通じて、すべてのVAPプロファイルが無線ユーザに対して利用可能になります。

補足 ゲスト サービスを初めてセットアップする場合は、「ユーザゲスト サービス」ページで必要な設定を行ってください。ゲスト サービスの設定の詳細については、『SonicOS 管理者ガイド』を参照してください。