ITの窓辺から

三流IT技術者の日常

Aruba IAP-305の設定と動作に迫る (4)

Aruba ネットワーク 無線LAN

今回はIAP-305のESSIDの設定について調査したいと思います。IAPのソフトウェアバージョンは6.5.1.0-4.3.1.2_58595です。

 ESSIDの作成初め

「ネットワーク」の「新規」から作成します。

f:id:ReaLiZeZNSG:20180603133000p:plain

はじめにネットワーク設定の名前とタイプを選択するのですが、このタイプというのがよく分かりません。従業員、音声、ゲストの3種類があり、ゲストにすると多少次からの設定項目が変わるのですが、従業員と音声の違いが全く分かりません。初期設定でとりあえず作成し、設定情報を見比べたところ設定上では違いが見当たりません。

従業員タイプ

wlan ssid-profile test-employee
enable
index 2
type employee
essid test-employee
wpa-passphrase 32833e5c943e8bb3850e842e6c312e705c4b4a6772637257
opmode wpa2-psk-aes
max-authentication-failures 0
rf-band all
captive-portal disable
dtim-period 1
broadcast-filter arp
dmo-channel-utilization-threshold 90
local-probe-req-thresh 0
max-clients-threshold 64

音声タイプ

wlan ssid-profile test-voice
enable
index 3
type voice
essid test-voice
wpa-passphrase 27a6dfdfd3e488b6e6149c6077170bc4f7a6fff554187409
opmode wpa2-psk-aes
max-authentication-failures 0
rf-band all
captive-portal disable
dtim-period 1
broadcast-filter arp
dmo-channel-utilization-threshold 90
local-probe-req-thresh 0
max-clients-threshold 64

将来の拡張用なんですかね。従業員タイプと音声タイプは同じものと判断して、今回の記事では従業員タイプの動作に迫ります。マニュアルを見る限り、一部を除いて微妙なチューニング項目が多いので基本的にはデフォルト設定で作成して問題が発生したら設定を変更する方が良いような気がします。

WLAN設定

ブロードキャスト/マルチキャスト

以下の記事で触れた通り、家庭用で使用する場合にスマホアプリ等がブロードキャストでデバイス探索を行うケースが多そうなので、ブロードキャストフィルタは無効にしておいた方が余計なトラブルは避けられそうです。

 

realizeznsg.hatenablog.com

802.11

周波数帯の設定が最重要と思います。2.4GHz、5GHzのうち使用する周波数帯を設定します。古いAPだとアンテナ数等の問題から片方しか選べないとかありましたが、IAP-305は同時出力が可能です。

プローブ要求の最小RSSI設定はエンプラ無線LANでは重要設定になるかもしれません。0-100dbで設定し、この値よりRSSIが小さい端末からのプローブ要求を無視するようになります。家庭利用では不要でしょう。

その他

家庭用だとSSIDを秘匿するかどうかくらいしか設定する必要がないような気がします。話がそれるので深く言及しませんが、秘匿したところで本気で侵入を試みる人には全くといって良いほど効果がないので覚えておきましょう。また、秘匿する場合、無線LAN端末の仕様によっては接続が安定しなくなることがあります。無線LANフレーム(IEEE802.11)をキャプチャすることで多少調査が可能です。

VLAN

地味にややこしそうです。大きくは無線LAN端末のIPアドレスに何を割り当てるか、ネットワーク的にどのVLANに所属させて上位ネットワークに転送するかの2個の設定を行います。・・・が、以外に設定可能項目が多数あり、詳細はこの記事だけでなく次回からの記事で記載します。

とりあえずクライアントIPの割り当てを仮想コントローラに設定すると、IAPがDHCPサーバになり無線LAN端末にIPアドレスを割り当てます。デフォルトでは172.31.98.0/23からIPが払い出され、デフォルトゲートウェイは172.31.98.1が設定されました。DNSサーバはIAPに設定しているDNSサーバが割り当てられました。仮想コントローラにDNSサーバの設定値がないようなので、接続したIAPに設定してあるDNSサーバを使用することになりそうです。IAPから上位ネットワークへの通信はIAPの実IPアドレスに送信元NATされるようです。

クライアントIPの割り当てをネットワーク割り当てに設定すると、IAPはDHCPサーバとして動作せず素直にL2ブリッジングするようです。すでにDHCPサーバが動作しており、このDHCPサーバを使用したい場合はこちらの設定を使用します。

セキュリティ

3段階の設定ができます。家庭ではパーソナル設定が最も一般的かと思います。キー管理をWPA2パーソナルに設定し、パスフレーズを設定します。キー管理は色々な値が設定可能ですが基本的にWPA2パーソナルにしておくのが安全でしょう。

ここも設定可能な項目が多数あるので詳細は別の記事に譲ります。

アクセス

いわゆるACLを設定できます。接続状況に応じて動的にACLを割り振ることも可能ですが、こちらも特別な理由がなければ制限なしにしておいて良いでしょう。これまで同様、別の記事でまた触れます。

 まとめ

とりあえずWPA2-PSK-AESでの接続方式によるSSIDを30秒で作るには以下の設定をします。

  1. SSID名を設定(自動的にESSID名に適用される)し、タイプを従業員にする。
  2. すでにDHCPサーバがあればクライアントIPの割り当てをネットワーク割り当てに、なければ仮想コントローラ管理にする。
  3. セキュリティはパーソナルレベルに設定し、パスフレーズを入力する。
  4. アクセスを制限なしに設定。
  5. 終了ボタンをクリックして完了。

以上、30秒無線LAN設定でした。

思いの外、設定可能な項目が多かったので後日触れていきます。