今回はIAPや無線LAN接続端末のネットワーク設定について記載します。IAPのソフトウェアバージョンは6.5.1.0-4.3.1.2_58595です。

IAPの管理通信

IAP個別に設定した管理IPアドレスで通信を行います。上位ネットワークに対しては通常タグなしで通信します。後述する無線LAN接続端末の通信にVLANを割り当てる場合、こちらはタグVLANによる通信となるため、IAPを接続する上位スイッチではIAP管理通信用にネイティブVLANを設定する必要があります。

無線LAN端末のIPアドレス付与にIAPのDHCPサーバ機能を使用する場合

SSID作成時のVLAN設定で、クライアントIPの割り当てを仮想コントローラ管理にします。クライアントVLANの割り当てをデフォルトにした場合の動作は前回の記事の通りです。

realizeznsg.hatenablog.com

 クライアントVLANの割り当てをカスタムにした場合、IAPのDHCPサーバ動作を細かく設定する形になります。

スコープの選択から新規を選び、DHCPサーバの設定を行います。ダッシュボードの「詳細表示」から事前に作成しておくことも可能です。設定画面は以下の通りです。

・・・わけがわからん。

話を少し戻してクライアントVLANの割り当てをデフォルトとした場合の動作に移ります。WiresharkでDHCPパケットをキャプチャしたところ、DHCPについて何も設定しない場合は以下のような情報がOfferされ、最終的にACKされました。

• Client IP Address : 172.31.99.209
• Option 53 : DHCP ACK
• Option 54 : DHCPサーバ 172.31.98.1
• Option 51 : リースタイム 12時間
• Option 59 : Rebinding 10時間30分
• Option 28 : ブロードキャストアドレス 172.31.99.255
• Option 81  : 書くのが面倒くさい
• Option 6 : DNSサーバ IAP個体に設定したDNSサーバ
• Option 3 : ゲートウェイアドレス 172.31.98.1
• Option 1 : サブネットマスク 255.255.254.0

このDHCP動作を基準にIAPのDHCPサーバ動作を調査していきます。とりあえず以下のように設定をしてみました。

この上でDHCPを動作させた場合に返ってきた情報が以下の通りです。変更点のみ記載しています。

• Client IP Address : 192.168.1.157
• Option 54 : DHCPサーバ 192.168.1.1
• Option 51 : リースタイム 30分
• Option 58 : Renewal Time 15分
• Option 15 : ドメイン hogehoge.com
• Option 6 : DNSサーバ 8.8.8.8
• Option 3 : ゲートウェイアドレス 192.168.1.1
• Option 1 : サブネットマスク 255.255.255.0

設定したサブネットの最初のIPアドレスがゲートウェイとして勝手に設定されるようです。人によってはアドレス設計の趣味が合わないかもしれないですね。とりあえずこの状態でも無線LAN端末は通信が可能です。IAPの実IPアドレスで送信元NATされるためです。この状態ではコンフィグに以下の設定が追加されます。
ip dhcp pool
subnet 192.168.1.0
subnet-mask 255.255.255.0
dns-server 8.8.8.8
domain-name hogehoge.com
lease-time 30

 分散DHCPスコープ、集中DHCPスコープ

そもそもなんだコレって感じですが、少し上の画像をごらんください。無線LANコントローラと組み合わせた時に使用するようです。マニュアルにも大して記載がなかったのでArubaのサイトを駆け巡ってみたところ、以下のサイトに詳細が書いてありました。

Understanding IAP-VPN Architecture

動作確認しようにも、コントローラが手元にないのでできない状態です。上記のサイトを見る限り色々な構成に対応できそうなので真面目に設計を考えると面白そうです。

IAPにはVPNインターフェースがあり、Aruba的にカスタマイズされたIPsecやGREを使ってコントローラと接続することができます。分散DHCPスコープでは普通のDHCPサーバのようにスコープ設定ができるようですが、設定したVPNインターフェースがIAPのDHCPサーバのインターフェースIPアドレスとして動作するように思えます。実際VPN設定をせずにスコープを設定して無線LAN端末でパケットキャプチャをしてもDiscoverに対する応答がありませんでした。

集中DHCPスコープも似たようなものですが、DHCPリレーやスプリットトンネル等の設定ができるようになっており、他にDHCPサーバがあることを想定した構成になっているようです。動きを見てみたいですがコントローラがないため試すことができません。

ローカルDHCPスコープ

IAPをDHCPサーバとして動作させるにはこのモードを使用します。実はこの中でも動作モードをローカル、ローカルL2、ローカルL3から選ぶのですが・・・。

ローカルモードでは、IAPが無線LAN端末のデフォルトゲートウェイとして動作します。このモードではVPNインターフェースと通常のVLANインターフェースがサポートされるようで、各インターフェースに当てはまるL3経路に従って通信を行うようです。IAPスタンドアローンでシンプルに使う場合、このモードは不要でしょう。

ローカルL2モードでは、無線LAN端末のデフォルトゲートウェイはIAP以外にある場合に使用します。VPNインターフェースはサポートされず、IAPを単純なDHCPサーバとして動作させる形になります。ここで行った設定はこの記事の上部で紹介したDHCPスコープを上書きする形になるようです。

ローカルL3モードでは、IAPが無線LAN端末のデフォルトゲートウェイとして動作し、DHCPサーバとして動作しますがVPNインターフェースをサポートしない形になります。IAPの外に出ていく時にはIAPのIPアドレスに送信元NATされます。このため、IAP外からの発信トラフィックがある場合はこの動作モードは適していないでしょう。

で

とりあえず家庭用では何も考えずに仮想コントローラ割り当てのデフォルトで良いんじゃないですかね。

私の環境ではIAPの上位にDHCPサーバがいるのでクライアントIPの割り当てをネットワーク割り当てにしています。このモードでもいくつかの設定が可能なので、その動作については次回記事にて記載します。