無線LAN | 基礎知識

		スイッチ
		ルーター
		メディアコンバーター/WDM
		VDSL/HomePNA
		無線LAN
			一覧
			基礎知識
			アクセスポイント製品比較
			無線LANネットワーク監視
			動作検証
			価格表
		HUB
		ネットワークマネージメント・ソフトウェア
		LANアダプター
		トランシーバー
		ソフトウェア
		アクセサリー
		TELESYN Series

		アイビーシー
		アイビーソリューション
		エクストリコム
		SRS
		Juniper Networks
		Soliton Systems
		Polycom

無線LANとは

AT-TQ2450

Allied Telesis
Unified Wireless Controller

標準規格 IEEE 802.11

IEEE 802.11で使用される周波数帯

無線LANのセキュリティーを向上させるための対策

PoE (Power over Ethernet)

MultiSSID

最新の無線LANソリューションはこちら

現在ではIEEE 802.11諸規格が整備されており、その技術規格に準拠した機器で構成されるネットワークの事を一般的に「無線LAN」と呼んでいます。IEEE 802.11は時代に合わせて規格の追加や修正が行なわれており、近年では主に高速化が進められています。
標準規格としての草分け的存在はIEEE 802.11、次いでIEEE 802.11bであり、2.4GHz帯の電波を使用し最高11Mbpsの伝送速度を達成しました。その後5GHz帯を使用した、伝送速度が54MbpsというIEEE 802.11aも規格化され、またIEEE 802.11bと互換性を持ちながら2.4GHz帯で54MbpsというIEEE 802.11g規格も存在しています。2009年には規格上の最高伝送速度600Mbpsを達成するIEEE 802.11nが規格化され、さらなる無線LAN通信の高速化が図られています。

標準規格 IEEE 802.11

下記に代表的なIEEE 802.11諸規格についての特長をまとめました。

IEEE 802.11b

1997年にIEEE 802.11規格が完成した後、2.4ＧＨｚ帯を使用した高速通信の実現を目的として11bが規格化されました。オリジナルのIEEE 802.11規格をベースにCCK変調方式を採用し、伝送速度はIEEE 802.11規格の1～2Mbpsから11Mbpsに飛躍しました。この伝送速度向上により、家庭での利用が広まり、無線LANが普及しました。

IEEE 802.11a

1997年に、アメリカ連邦通信委員会が5GHz帯の一部（合計300ＭＨzの帯域）を免許不要な無線アクセス用に開放しました。この5GHz帯を使用し、最大54Mbpsの伝送速度を実現した規格が11ａです。変調方式はOFDM方式を採用しています。一方、当時の日本では、5GHz帯の利用に関して諸事情により使用チャンネルが限られていましたが、後述の省令改正によってIEEE 802.11aで使用できるチャンネルは国際標準と同様のものに変更されています。

IEEE 802.11g

2.4GHz帯を使用するIEEE 802.11bとの上位互換性を保ちつつ、伝送速度の高速化を目的とし、さらに5GHz帯を使用しているIEEE 802.11aとの上位互換性を図ることを目指して規格化され、最大伝送速度は11aと同様の最大54Mbpsを実現しています。現在普及している一般的な無線アクセスポイント(以降AP)はデュアルモードに対応しており、IEEE 802.11b/g端末が混在するネットワークに対応することが可能です。

IEEE 802.11n

IEEE 802.11nは100Mbps以上の更なる高速化をターゲットとした規格であり、2009年9月には標準化され、2011年現在では標準的な技術として多くの対応製品が販売されています。　
11n規格は2.4/5ＧＨzの2つの周波数帯を使用でき、最大600Mbpsの伝送速度を実現します。この高速化はMIMO（Multiple Input Multiple Output）やチャンネルボンディング、フレームアグリゲーションといった複数の技術を組み合わせることにより実現されています。これらの中で最も特長的なMIMOとは、複数のアンテナを同時に使用して1つのデータストリームを分割、多重化して同時に送受信することで単位時間あたりのデータ送受信量を増加させる技術です。　従来のように1本のアンテナだけを使用した場合の伝送速度にくらべて、理論的にはアンテナを増やした分だけ、伝送速度を向上させることができます。現在の11nドラフト規格では最大4データストリームまで規定されており、11n Draft2.0規格対応製品では送受信に使用するアンテナ数によって、「2×2」(送信に2本、受信に2本のアンテナを使用する)や「3×3」(送信に3本、受信に3本)といった形で表示されます。現在法人向けに販売されているAPでは、2×2や2×3、3×3対応製品が一般的です。

IEEE 802.11で使用される周波数帯

無線LANで使用される周波数帯の多くは無線局免許が不要ですが、各国の法規制により若干異なります。

規格	周波数帯	伝送速度
802.11b	2.4～2.5GHz	最大11Mbps
802.11a	5.15～5.35GHz 5.47～5.725GHz	最大54Mbps
802.11g	2.4～2.5GHz	最大54Mbps
802.11n	2.4GHz / 5GHz	最大600Mbps

5GHz帯無線LANの周波数帯変更について

2007年1月の省令改正により、IEEE 802.11aの利用可能チャネルが追加になりました。　
背景として無線LAN機器の普及、欧米各国と異なっていた中心周波数の互換性への対応があります。
この省令改正によって、チャネルの変更および追加が行なわれましたが、W53およびW56と呼ばれるチャネルの周波数帯は気象レーダーなど、より重要な用途でも使用されています。そのため、このチャネルに使用する場合には、APが使用しているW53/W56のチャネルで気象レーダーが動作していることを検知してチャネルを自動的に変更するDFS (Dynamic　Frequency Selection) 機能、および自動的に送信する電波の出力を調整する TPC (Transmit Power Control)機能をサポートしている機器が必要です。

2011年現在では、W52/W53/W56対応の無線LANアクセスポイント/クライアントが一般的です。また、5GHz帯の周波数は省令により、屋外での使用が禁止されていますが、W56チャネル帯のみ、例外として屋外での使用が可能です。

無線LANのモード

無線LANでは子機同士の無線通信において、大きく2つのモードが存在します。　
アドホックモードとインフラストラクチャモードです。アドホックモードはアクセスポイント(以降AP)と呼ばれる親機（基地局）は存在せず、子機（端末）同士が直接通信するモードです。最近では携帯用ゲーム機同士での通信にも使用されています。

アドホックモード利用の場合は通信対象となる子機（端末）のWirelessの設定を“アドホックモード”に設定して利用します。
一方、一般的な無線LANの利用モードはインフラストラクチャモードであり、この場合、子機（端末）間の通信は親機（AP）を介して行われます。

インフラストラクチャモードの接続は家庭内LAN、企業向けLANともに利用されています。
これら2つの接続モードのほかに親機（AP）同士で有線LANを無線接続するWDSモードが存在します。このモードは下記のように有線の敷設が困難な隣接ビル間接続や金属などの電波を通さない障害物があるときに迂回して通信する場合などで利用されます。

なお、WDSモードは標準化されておらず、メーカー各社では各機種独自の中継方法が実装されています。そのため、異機種間でのWDS接続はできないケースが多く、注意が必要です。

近年、無線LANはその利便性により、病院、学校、企業などの法人向けにも急速に普及してきています。一方、無線LANのセキュリティーには不安があるという声も根強くあり、オフィス等のネットワークへの採用をためらうケースも多いようです。ここでは無線LANに適切なセキュリティー対策を施すことにより、安全なネットワークを構築する方法をご紹介します。

データの暗号化及びアクセス制御

無線LAN機器及び無線LANを含むネットワークが持つセキュリティー機能には大きく「データの暗号化」と「アクセス制御」の二種類があり、それぞれ下記のような方式があります。

無線LANにおけるデータの暗号及びセキュリティー方式

用語	説明	セキュリティー強度
WEP Wired Equivalent Privacy	RC4と呼ばれる暗号化アルゴリズムを元にした共有鍵暗号方式で、IEEE 802.11で採用された。秘密鍵には40bitまたは128bitのデータを使用する。	△
WPA Wi-Fi Protected Access	Wi-Fi Allianceが2002年に制定したセキュリティーシステムで、暗号化と認証の組み合わせ。暗号化プロトコルにはTKIPを使用。エンタープライズ(EAPを利用したID,パスワード認証を使用)、パーソナル（PSK ”Pre Shared Key, 事前共有鍵”による暗号化方式を使用)の2種類がある。	○
WPA2 Wi-Fi Protected Access2	Wi-Fi Allianceが2004年に制定したセキュリティーシステム。AES暗号に対応し、WPAより堅牢なセキュリティー方式。 WPAと同様にエンタープライズ及びパーソナルの2種類がある。	◎
IEEE802.11i	IEEEが規定する無線LANにおけるセキュリティーに関する規格。WPAは標準化が遅れた802.11iに先行してWi-Fi Allianceが策定した基準であり、その後標準化された802.11iの必須機能をサポートしたWPA2が策定された。	◎
TKIP Temporal Key Integrity Protocol	パケット毎に暗号鍵を自動生成する暗号化プロトコル	○
AES Advanced Encryption Standard	米商務省標準技術局(NIST)によって2001年に米国政府の標準暗号化技術として認定された方式。2011年現在、最も強固なセキュリティー性を持った暗号化方式である。	◎

アクセス制御の方法

用語	説明	セキュリティー強度
SSID Service Set ID （ESSID (Extended SSID)もほぼ同義）	無線LANにおけるアクセスポイントの識別子(32文字)、グループ名。	△
ANY接続拒否機能	SSIDが空白または”any”が設定されているクライアントからの接続要求を拒否する機能	△
SSID隠蔽機能	ビーコン信号にSSIDを含めない機能	△
MACアドレスフィルタリング機能	送信元MACアドレスによる、アクセスポイントに対するクライアントのアクセスを制限する機能	△
IEEE 802.1x認証	RADIUSサーバーによるクライアント認証機能	◎
認証･検疫システム	ネットワークに設定したセキュリティーポリシーにより、クライアントの隔離／治療を行うシステム	◎

無線LANではLANケーブルの代わりに電波を利用してデータを送受信するために、電波の届く範囲であれば、次のようなセキュリティー上の問題が発生する可能性があります。

・不正アクセス (情報の流出) - 盗聴、侵入、なりすまし
・攻撃、改ざん -　ホームページ改ざん、DoS攻撃、ウイルス感染

不正アクセス (情報の流出) - 盗聴、侵入、なりすまし、攻撃、改ざん -　ホームページ改ざん、DoS攻撃、ウイルス感染

従って、無線通信エリアだけではなく、ネットワーク全体でセキュリティー対策をする必要があります。ここでは、まずどのような場合に無線LANのセキュリティー上の問題点があるかを説明し、次章で安全な無線LAN環境構築方法について、ご紹介します。

無線LANのセキュリティー上の問題点

次の図は、従来の無線を使用した代表的な企業ネットワークの構成です。この図を使用して従来の無線ネットワークが抱えるセキュリティー上の問題点をご説明します。

SSID

SSIDはユーザー認証の方法として使用されることもありますが、本来セキュリティーを目的としたものではなく、無線LAN クライアント機器の接続を容易にするためのものです。よって他の暗号化、認証システムを併用しないと、パケットをキャプチャーするソフトウェアによって容易にSSIDの値が知られ、不正アクセスされる危険性が非常に高くなります。また、無線接続時ビーコン信号以外にSSIDを含むフレームが存在するため、キャプチャーソフトウェアによっては、隠蔽モードでもSSIDを読み取られる可能性があります。

WEP

WEPは無線上のデータを保護するために IEEE 802.11で規定されました。以前よりセキュリティー上の問題が指摘されており※、近年では市販PCを使用して数秒で解読可能なツールも存在しています。2010年5月にWi-Fi AllianceはWEPの段階的な使用中止を宣言しており、2014年からはWi-Fi Certifiedプログラムにおける使用が禁止される予定となっています。

※WEPが脆弱な理由：　
一つの無線アクセスポイントと複数のクライアントで、暗号化用の鍵を共有しており、パスワードが変更されない限り、同一の鍵が使用され続けます。また暗号アルゴリズムも複雑ではないため、短時間で暗号の解読が可能となってしまいます。

WPA

WPAは2002年10月にWi-Fi Allianceが制定したセキュリティーシステムで、暗号化プロトコルにTKIP、ユーザー認証にPSK、EAPを利用しています。TKIPはパケット毎に暗号鍵を更新するため、WEPに比べてはるかにセキュリティー強度が高くなっています。しかしながら2008年11月にWPAで使われるTKIPに関して、通信の一部分について暗号解読成功例が報告されており、安全面での考慮が必要になってきています。このため、WEPと同様に、Wi-Fi AllianceではWi-Fi Certifiedプログラムにおいて、2014年以降TKIPの使用を中止する予定となっています。

MACアドレスフィルタリング

特定のMACアドレスを持つ無線クライアントからの接続の許可または禁止を行います。クライアントのMACアドレスを登録するだけで簡単にセキュリティー環境を構築することが可能ですが、無線送受信パケットのMACアドレスが盗み見られた場合、「なりすまし」による不正アクセス被害を受ける可能性があります。

無線LANのセキュリティーを向上させるための対策

このように、従来の無線ネットワークで使用されているデータの暗号化やアクセス制御方法はそれぞれ問題を含んでおり、完全なものではありません。どれかひとつだけ使用すれば安全なネットワークにできる、というものではないのです。
現代の企業ネットワークにおいて、無線通信の利便性を保ちつつ、安心・安全なネットワークを構築するためには、現在の最も強力なセキュリティー方式のひとつであるWPA2とアクセス制御のIEEE 802.1X認証、及び認証・検疫システムを組み合わせる手法が考えられます。この方法は、無線エリアの暗号化だけではなく、上位ネットワークに接続されている認証システムにて端末個々の認証、認証鍵の生成、配送も行いますので、不正アクセスには非常に強いシステムです。

WPA2

WPA2は、IEEE 802.11i規格に準拠したセキュリティー方式です。WPA2では、認証とデータ暗号化にAES（Advanced Encryption Standard）アルゴリズムをベースにしたCCMP（Counter Mode with Cipher Block Chaining Message Authentication Code Protocol）が採用されています。AESは暗号化としては非常に強力ですが、CPU負荷が高くなるので、通信速度の維持のためにはAES暗号化のためのハードウェアが実装されていることが重要です。

またWPA2では、事前認証、認証キーの保持を行う方法が規定されているため、ローミング時の再認証が不要となり、ハンドオーバー時間を短縮することが可能です。

AES

アメリカ合衆国の国立標準技術研究所（NIST）が認定した暗号化方式です。暗号化を行なう鍵の長さとして、WEPの40/128bitに対して128/192/256bitとより長い鍵を使用できるようになっていることで、より安全な方式と言えます。但し暗号化のための処理量が増加するため、専用のチップによりハードウェア処理が実装されていることが重要です。

IEEE 802.1X認証

アクセスポイントに接続してきたユーザーをRADIUSサーバーで認証し、アクセスの可否を判断します。プロトコルはEAP(Extensible Authentication Protocol) を使用します。IEEE 802.1x の認証方式には、MD5/PEAP/TTLS/TLS など複数あります。OS やクライアント、アクセスポイントによってはサポートしている認証方式が違う場合があるので使用の際には注意が必要です。

IEEE 802.1Xで使用される認証方式

認証タイプ	特長
EAP	Extensible Authentication Protocol PPPを拡張し、複数の認証方式を利用できるようにした規格。RFC2284で規定。
EAP-MD5	デジタル証明書を必要としないため認証の実施が容易に可能。しかしながらセキュリティー面の問題が指摘されていることもあり、近年ではあまり使用されない。
EAP-TTLS	暗号化されたトンネル内で認証するため、セキュリティー的には以下の「EAP-PEAP」と同等。別途有償のサプリカントソフトウェアが必要。
EAP-PEAP	Microsoft、Cisco、RSAが提案する認証方式。暗号化されたトンネル内で認証する。Microsoft Windows 標準サプリカントで実施が可能。クライアント側の認証はID/パスワードで、サーバー側の認証はサーバー証明書を使用するため、クライアントへの証明書インポートが必要なく、運用が容易。
EAP-TLS	クライアント証明書を使用して認証する。デジタル証明書を使用した相互認証で、セキュリティー的に強固。Microsoft Windows 2000 SP3/SP4及びXP付属のサプリカントで実施が可能。

さらに、ネットワークに接続されたクライアント上でアンチウィルスソフトが動作しているかどうか、あるいはOSのUpdateが行なわれて最新バージョンで動作しているか、というようなクライアントの状態をチェックし、ネットワークへの接続可否を判断する検疫システムを組み合わせると、より安心・安全なネットワークに近づきます。
アライドテレシスの無線AP AT-TQ2403は、Symantec NAC、Microsoft NAPという代表的な2つの検疫システムに対応しています。

Symantec NAC：対応製品 AT-TQ2403

Microsoft NAP：対応製品 AT-TQ2403、AT-TQ2450

現在ではさまざまな無線LANシステムが販売されています。導入する際には必要な要件を定義し、要件に見合ったシステムを選ぶことが重要です。例えば、数名の従業員が参加する無線LANを構築するとき、何十万円もする高価な集中管理システムを導入するのはコストパフォーマンスが悪い、と見ることができます。ケーブルレスでLANに繋がれば良いのか、何十台ものAPを使ったワイヤレスネットワークを構築しなければいけないのか、事前に必要とされる要件を十分に検討し、最適な無線LANシステムを選定してください。

自律型とコントローラー型

現在の無線LANには大きく分けて無線アクセスポイント(以下AP)が単独で動作する「自律型」と、無線LAN APがコントローラーを介して動作する「コントローラー型」の2つのシステムがあります。

自律型

APは単体で動作し、各APは連携しません。APの機器単価は一般的に安価な製品が多く、小規模な無線ネットワークを構築する場合には最適です。

コントローラー型

APは「無線スイッチ」などと呼ばれるコントローラシステムと連携して動作します。コントローラは複数のAPに対して使用するチャンネルや電波強度など、複数のパラメータを同時に制御し、無線クライアントに最適な無線LAN環境を提供します。APや無線コントローラの機器単価は高額な場合が多く、大規模な無線ネットワークを構築する場合に適しています。

アライドテレシスでは、自律型のAPとしてベーシックな「AT-TQ2401」、及び高機能APとして「AT-TQ2403」および「AT-TQ2450」の3機種を販売しています。AT-TQ2403、AT-TQ2450では「APクラスター」と呼ぶ機能をサポートし、複数のAP間で設定内容を同期させることができます。電波干渉を回避するように自動的に使用するチャンネルを変更しますので、安定した無線LANを構築することができ、さらに導入や管理、保守対応時の作業工数の削減効果が得られます。

また、集中管理を行ないたいお客様にはAT-TQ2450を集中管理するための無線LAN APコントローラー“Allied Telesis Unified Wireless Controller(以降UWC)”、およびExtricom社製品を販売しています。アライドテレシスはお客様のご要望に応じて最適な無線LANソリューションをご提案します。

製品名

特長

AT-TQ2401

・

低価格

AT-TQ2403
AT-TQ2450

・	SNMPによる機器管理機能対応
・	充実したセキュリティー
・	APクラスター機能で複数台同時使用時の管理コストを削減

UWC

・	AT-TQ2450を集中管理するための無線LAN AP コントローラー
・	Plug and Play による自動検出と自動設定投入
・	無線電波自動調整 (チャンネルおよび出力)
・	マップ型式のWLAN監視ツール内蔵

Extricom

・	無線LANスイッチによる電波干渉の回避
・	導入コストの削減
・	スムーズなローミングを実現し、音声など、ローミングによる通信断に敏感なアプリケーションに最適
・	機器コストは高くなる

電波干渉の回避

無線LANで使用する電波は、チャンネル(ch)と呼ぶ周波数帯に分割されています。近年、主に使用されるIEEE 802.11b/gでは2.4GHz帯を5MHz間隔で13個に分割し、1～13chとして使用されますが、同じチャンネルの電波同士がぶつかると、通信速度が低下するなど、問題となる場合があります。そのため、IEEE 802.11b/gの場合は各APが使用するchを1ch、6ch、11chのように周波数が重なり合わないように選んで無線LANを構築する必要があります。

このような電波干渉による影響を回避するためには、無線LANを導入する際に設置場所の環境を事前に調査し、電波干渉が発生しないように設置場所や使用するchを慎重に設定する必要があります。このような事前調査は「無線LANサイトサーベイ」と呼ばれます。

アライドテレシスの無線LANサービス

IEEE 802.11n無線LANの構築

IEEE 802.11nでは、様々な新技術が導入され、従来規格と比較して大幅な高速化が図られていますが、チャネルボンディングと呼ばれる技術は無線通信に使用する隣り合う2つのチャネルを同時に使用することで、より広帯域な通信を可能とする技術です。
この技術を使用する場合、隣り合う2つのチャネルを同時に使用しますので、電波干渉の発生を回避しつつ使用できるチャネルは2.4GHz帯の場合、理論上の最大でも2チャネルだけとなり、オフィス全体をカバーするような面単位の無線LAN構築のためにはチャネルが不足します。

また、一般家庭はもちろん、オフィスにおいても無線LANが普及しており、特に2.4GHz帯は使用頻度が高いため、自社オフィスで使用していなくても周囲の家庭やオフィスですでに使用されているために電波干渉が発生するケース、また、電子レンジやコードレスフォンも2.4GHz帯を使用しているため、電波干渉の発生源となるケースが多くなっています。
このような問題を回避し、且つチャネルボンディングを使用する高速通信を実現するためには5GHz周波数帯を使用する手法があげあられます。5GHz帯は2.4Ghz帯のように各チャネルが使用する周波数が重複しておらず、またチャネル数も全体で19chと多く規定されています。この5GHz帯を活用することで、電波干渉の発生を回避しつつ、面単位で高速な無線LANを構築することが可能となります。

ただし、前述のとおり、5GHz帯のW53/W56ではDFS機能によって気象レーダーのようなシステムが同一周波数帯を使用していることを検知した場合、自動的にチャネルを変更する必要があり、この場合は最大で2分間、電波が使用できなくなるため、無線LAN通信が切断される可能性があります。

PoE (Power over Ethernet)

電波は高い位置から送信されるとより遠くまで届きやすくなりますので、APはブラケットを使用して天井や壁の高い位置に設置されるケースが多くなります。一般的にコンセントは壁の低い位置に設置されているため、APに電気を供給するために施工者は頭を悩ますことになります。このような問題を解消するためにはPoEによる給電が効果的です。PoEはIEEE 802.3af(最大15.4W給電)やIEEE 802.3at(PoE Plus, 最大30W給電)といった標準規格で規定されており、対応する給電機器(Power Sourcing Equipment: PSE)から受電機器(Powered Device : PD)が動作するために必要な電気をLANケーブル(UTPケーブル)経由で供給することができます。また、UTPケーブルは最大100mの距離を接続できることが規格上決められていますので、PoE対応スイッチから100mの範囲内でAPの設置場所を自由に決めることができるようになります。このようにPoEを併用すると、電源に悩まされることなく自由なレイアウトでAPを設置し、ワイヤレスオフィスを実現することができます。

アライドテレシスのAP「AT-TQ2401」及び「AT-TQ2403」はPoE受電に対応しています。合わせて多数のPoE給電対応スイッチをラインナップしてお客様のご要望にこたえるソリューションをご提供します。

PoEスイッチ

PoEスイッチの最大許容台数

MultiSSID

APはLANケーブルを通る電気信号を電波に変換する機能を提供する機械であり、一般的なAPではOSI第二層(レイヤー2)の機能には対応していません。そのため、VLANでネットワークを分割している場合、それぞれのVLANごとにAPを設置しなくてはなりません。

アライドテレシスの「AT-TQ2403」および｢AT-TQ2450｣では、Multi SSIDに対応しており、SSID毎に暗号化方式やビーコンの制御など、きめ細かい設定を行なうことができます。さらに、各SSIDとタグVLANを対応づけることにより、1台のAPで複数のVLANを収容することができ、AP台数を削減しつつ、有線ネットワークと同じ環境を無線上で実現できます。この機能を「VWN(Virtual Wireless Network)」または｢VAP(Virtual Access Point｣｣と呼んでいます。

この機能を使用すると、1台のAPを病院の患者様と職員で共有しつつ、患者様に対してはインターネット接続サービスのみを提供し、職員には電子カルテなど院内リソースへのアクセスを提供する、というような使い方、あるいはオフィスの会議室や応接室でゲストと社員で1台のAPを共有、社員には通常通りの社内リソースへアクセスさせつつ、ゲストにインターネットアクセスサービスを提供し、効率的な会議環境を実現する、といった効果が期待できます。

		Copyright(c)2012 Allied Telesis K.K. All Rights Reserved. お問い合わせ　　　弊社サイトについて　　　プライバシーポリシー　　　 ISO 27001基本方針