SonicPoint VAP の概要


	補足：仮想アクセスポイントは、SonicWALL NSA 装置と共に SonicPoint 無線アクセスポイントを使う場合にサポートされます。

トピック:

•

•

•

•

•

•

仮想 AP と共に VLAN を使用する利点

仮想アクセスポイントとは

仮想アクセスポイントとは、単一の物理アクセスポイント (AP) を複数の別個なアクセスポイントとして見せるために多重インスタンス化したものです。実際には単一の物理 AP しかなくても、無線 LAN のクライアントにとっては、それぞれの仮想 AP が独立した物理 AP のように見えます。

仮想 AP 機能がサポートされるようになる以前、無線ネットワークでは、物理アクセスポイントと無線ネットワークセキュリティ機能 (認証や暗号化など) の間に 1 対 1 の関係が成立していました。つまり、WPA-PSK セキュリティを提供するアクセスポイントは、同時にオープンまたは WPA-EAP 接続をクライアントに提供することができませんでした。そうした接続が必要なら、別個に設定したアクセスポイントで提供しなければならなかったのです。そのため、WLAN ネットワーク管理者は、異なるレベルのサービスを提供するために既存の無線 LAN インフラストラクチャをスケーリングするソリューションを見つけなければなりませんでした。

仮想 AP (VAP) 機能を使用すると、一意の基本サービスセット識別子 (BSSID) とサービスセット識別子 (SSID) が含まれるメディアアクセスコントロール (MAC) プロトコルレイヤの IEEE 802.11 規格に従って、単一の物理 AP の中に複数の VAP が存在できます。そのため、単一の物理アクセスポイント機器の単一の無線周波数フットプリント内で無線ネットワークサービスをセグメント化できます。

VAP では、単一の物理インターフェース上で複数の個別設定をセットアップすることにより、無線ユーザアクセスとセキュリティの設定を制御できます。これらの個別設定は、それぞれ別々の (仮想) アクセスポイントとして機能し、またグループ化して、同時に単一または複数の物理 SonicPoint アクセスポイントに適用することができます。

図 26. 仮想アクセスポイントの設定

SonicOS のセキュアワイヤレス機能の詳細については、『SonicWALL Secure Wireless Integrated Solutions Guide』を参照してください。

SSID とは

サービスセット識別子 (SSID) とは、無線ネットワークに割り当てられる名前です。無線クライアントは SonicPoint との通信で、大文字と小文字の区別も含めて、この SSID を正確に使用しなければなりません。SSID は最高で 32 バイトの長さを持つテキスト文字列です。ネットワーク上の複数のSonicPoint に対して同じ SSID を使用することができます。SonicPoint に対して最高で 8 個の一意の SSID を設定し、それぞれの SSID に異なる設定を割り当てることができます。

SonicPoint は、設定された SSID ごとにビーコン (無線ネットワークが利用可能であるという告知) をブロードキャストします。既定では、無線クライアントが無線ネットワークを確認できるように、ビーコン内に SSID が含まれます。SSID ごとに (たとえば、VAP ごと、AP ごと)、ビーコン内に SSIDが含まれないようにするオプションがあり、これで無線ネットワークの存在を見えなくすることができますが、それでもクライアントは手動で SSID を指定して接続することができます。

以下の設定を各 VAP に割り当てることができます。

•

認証方式

•

VLAN

•

SSID を使用するクライアント最大参加数

•

SSID 抑制

ESSID による無線ローミング

ESSID (拡張サービスセット識別子) は、同じ SSID を共有するアクセスポイント (または仮想アクセスポイント) の集まりです。典型的な無線ネットワークは、単一の AP ではサービスしきれない広域をカバーするために、2 つ以上の AP から成っています。クライアントが無線ネットワーク内を移動すると、クライアントの無線接続の強度は、あるアクセスポイント (AP1) から遠ざかるにつれて弱まり、別のアクセスポイント (AP2) に近づくにつれて強まります。AP1 と AP2 が同じ ESSID (たとえば、sonicwall) にあって、同じ SSID とセキュリティ設定を共有していれば、クライアントは一方から他方に移動することができます。このローミングプロセスは無線クライアントのハードウェアとドライバによって制御されるので、ローミング動作はあるクライアントごとに異なる可能性がありますが、一般にESSID 内の各 AP の信号強度に依存します。

BSSID とは

BSSID (基本サービスセット識別子) とは、MAC (メディアアクセスコントロール) アドレスに相当するもので、AP または VAP を識別する一意のハードウェアアドレスです。先ほどの ESSID でのローミング無線クライアントの例で言えば、「sonicwall」という ESSID のクライアントが AP1 から遠ざかって AP2 に近づくと、前者からの信号強度は弱まり、後者からの信号強度は強まります。クライアントの無線カードとドライバはこれらのレベルを絶えず監視し、BSSID によって (V) AP を区別します。カード/ドライバのローミング基準に適合すると、クライアントは AP1 の BSSID からデタッチされ、AP2 の BSSID にアタッチされますが、その間ずっと SonicWALL ESSID に接続されたままです。

無線チャンネルの節約 - チャンネルの競合を避けて単一の物理アクセスポイントをさまざまな目的に使用できるようにすることで、重複したインフラストラクチャの構築を防止します。これはチャンネルの節約です。空港などの公共スペースでは、複数のプロバイダが標準になりつつあります。空港内では、FAA ネットワーク、1 つ以上の航空ネットワーク、そして 1 つ以上の無線 ISP をサポートする必要があるかもしれません。けれども、米国とヨーロッパでは 802.11b ネットワークで 3 つの使用可能な (重複していない) チャンネルしかサポートできませんし、フランスと日本では 1 つのチャンネルしか使用できません。それらのチャンネルが既存の AP で利用されてしまえば、追加の AP はお互いに干渉し合い、パフォーマンスが落ちることになります。仮想 AP は単一のネットワークを多様な目的に使用できるようにすることで、チャンネル数を節約します。

•

SonicPoint LAN インフラストラクチャの最適化 - 重複したインフラストラクチャを構築せずに、複数のプロバイダの間で同じ SonicPoint LAN インフラストラクチャを共有することにより、WLAN の設置と保守にかかる費用を引き下げます。

仮想 AP と共に VLAN を使用する利点

VAP を実装するために VLAN を使用する必要はありませんが、VLAN の使用には実際的なトラフィックの区別という利点があります。VLAN を使用しない場合、各 VAP からのトラフィックはセキュリティ装置上の共通インターフェースで処理されます。つまり、各 VAP からのすべてのトラフィックが同じゾーンと同じサブネットに属することになります (補足説明: SonicOS の将来のバージョンでは、異なる VAP からのトラフィックが同じゾーン内の異なるサブネットに存在できるようになり、VLAN タグ付けなしでもトラフィックを区別する手段を提供します)。各 VAP からのトラフィックに一意の VLAN ID でタグ付けし、セキュリティ装置上に対応するサブインターフェースを作成することにより、各 VAP が一意のサブネットを占めるようにすることができ、各サブインターフェースを銘々のゾーンに割り当てることができます。

VAP には次の利点があります。

•

VAP ごとに個別のセキュリティサービス設定 (たとえば、GAV、IPS、CFS など) を持たせることができます。

•

ゾーンレベルで設定したアクセスルールを使って、各 VAP からのトラフィックを容易に制御できます。

•

それぞれに別々のゲストサービスまたはライトウェイトホットスポットメッセージング (LHM) 設定を適用することができ、SonicPoint ハードウェアの共通セットで複数のゲストサービスプロバイダの表示を容易にすることができます。

•

帯域幅管理やその他のアクセスルールベース制御を容易に適用することができます。