無線機能 / 無線ネットワーク設定
無線ネットワーク設定は、以下のコマンドで設定、確認します。| 無線ネットワーク設定の作成 | 未作成 | network(local)(無線設定モード) |
| SSID | Default-X(X=無線ネットワーク設定番号) | ssid(local)(無線ネットワークモード) |
| 適用するセキュリティー | 未指定 | security(local)(無線ネットワークモード) |
| バンドステアリング | 無効 | band-steering(local)(無線ネットワークモード) |
| SSID非公開 | 無効(SSIDを公開する) | hide-ssid(local)(無線ネットワークモード) |
| MAC認証 | 無効 | mac-auth radius auth group(local)(無線ネットワークモード) |
| MAC認証ユーザー名(MACアドレス)の書式 | ハイフン区切り/小文字 | mac-auth username(local)(無線ネットワークモード) |
| MAC認証パスワード | 固定パスワードなし(MACアドレスを使う) | mac-auth password(local)(無線ネットワークモード) |
| Calling-Station-Id(MACアドレス)の書式 | ハイフン区切り/大文字 | mac-auth radius calling-station-id(local)(無線ネットワークモード) |
| MAC認証モード | 未設定 | mac-auth mode(local)(無線ネットワークモード) |
| MAC認証時のダイナミックVLAN | 無効 | mac-auth dynamic-vlan enable(local)(無線ネットワークモード) |
| Web認証 | 無効 | web-auth radius auth group(local)(無線ネットワークモード) |
| 2ステップ認証 | 有効 | mac-auth two-step-auth-with-cp enable(local)(無線ネットワークモード) |
| RADIUSパケットの検証 | 無効 | mac-auth radius verify-radius-packet enable(local)(無線ネットワークモード) |
| MACフィルター | 無効 | wireless-mac-filter-id(local)(無線ネットワークモード) |
| コメント(説明文) | 未設定 | description(local)(無線ネットワークモード) |
| ローミング通知 | 無効 | association-advertisement enable(local)(無線ネットワークモード) |
| DTIM間隔 | 1 | dtim-period(local)(無線ネットワークモード) |
| プロキシーARP | 無効 | proxy-arp enable(local)(無線ネットワークモード) |
| 未学習のARPパケットを透過 | 無効 | proxy-arp-through enable(local)(無線ネットワークモード) |
| 多重接続要求 | 切断してから接続 | dup-auth-received(local)(無線ネットワークモード) |
| 無線クライアントの分離 | 無効 | client-isolation-mode vap(local)(無線ネットワークモード) |
| 無応答端末切断タイマー | 300 | inactivity-timer(local)(無線ネットワークモード) |
| クリティカルモード | 無効 | mac-auth critical-mode enable(local)(無線ネットワークモード) |
| AT-Vista Manager EXのIPとパスワード(IES) | 未設定 | mac-auth radius dynamic-authorization-client(local)(無線ネットワークモード) |
| Service-Type属性Call-Check(10)の通知(IES) | 無効 | mac-auth radius send service-type(local)(無線ネットワークモード) |
| 未登録のエンドポイントのリスト取得(IES) | 無効 | unassociated-client-list acquire(local)(無線ネットワークモード) |
| RSSI値に応じた端末切断 | 無効 | disconnect-low-signal(local)(無線ネットワークモード) |
| 無線ネットワーク設定の表示 | show wireless network(local)(非特権EXECモード) | |
クライアント隔離機能の設定方法
同一のバーチャルアクセスポイント(VAP)に接続している無線クライアント同士の通信を許可しないようにするための設定方法を説明します。本機能を有効にすると、公共の無線APとして運用する際、同時に接続しているユーザー間のセキュリティーを確保することができます。ここでは、VAP2にWPAパーソナルでクライアント隔離機能を有効にする方法を説明します。
- 無線設定モードに移行し、さらにWPAパーソナル設定モードに移行します。
ここでは、セキュリティー設定番号を「2」とします。
awplus(config)# wireless awplus(config-wireless)# security 2 mode wpa-personal
- WPAパーソナルのセキュリティーキーを設定します。
ここでは、セキュリティーキーを「1234567890」とします。
awplus(config-wireless-sec-wpa-psnl)# key 1234567890
- VAPインターフェースに設定を行うネットワークを設定します。
無線設定モードに戻り、無線ネットワークモードに移行します。
ここでは、無線ネットワーク設定番号を「2」、SSIDを「network2」、セキュリティー設定番号を「2」とします。
awplus(config-wireless-sec-wpa-psnl)# exit awplus(config-wireless)# network 2 awplus(config-wireless-network)# ssid network2 awplus(config-wireless-network)# security 2
- クライアント分離機能を有効にします
awplus(config-wireless-network)# client-isolation-mode vap
- ネットワーク設定をVAP2インターフェースに割り当てます。
- 無線設定モードに戻り、APプロファイルモードに移行します。
awplus(config-wireless-network)# exit awplus(config-wireless)# ap-profile local
- APプロファイル・無線モードに移行し無線1を有効にします。VAP2インターフェースにネットワーク設定を割り当てます。
awplus(config-wireless-ap-prof)# radio 1 awplus(config-wireless-ap-prof-radio)# enable
- VAP2インターフェースにネットワーク設定を割り当てます。
awplus(config-wireless-ap-prof-radio)# vap 2 network 2
- 無線設定モードに戻り、APプロファイルモードに移行します。
- 特権EXECモードに戻り、設定を適用します。
awplus(config-wireless-ap-prof-radio)# end awplus# wireless ap-configuration apply ap local
バンドステアリングの動作について
バンドステアリング(band-steering(local))では以下の2種類のステアリングをサポートします。(1) 無線クライアント接続時に行われるステアリング(Pre-association steering)
接続しようとしている無線クライアントを過負荷となっていないバンドに誘導するステアリング。
過負荷状態となっているバンドにおいて接続要求を無視し、過負荷となっていないバンドへ接続を誘導します。
(2) 接続状態の無線クライアントの無通信時に行われるステアリング(Idle post-association steering)
既に接続している無線クライアントが一定時間(10秒間)無通信の場合、他バンドへの接続を誘導するステアリング。
ステアリング動作時に無線クライアントの再接続が行われますが、誘導先以外のバンドでは接続要求を無視することで他バンドへの接続を誘導します。
本ステアリングには2つのトリガーによるステアリングが存在します。
(2-1) RSSIトリガーによる Idle post-association steering
他バンドにおいて、無線クライアントからのアップリンクのRSSIがしきい値(-75dBm)以上を検知すると、ステアリング候補のバンドと判断し、ステアリングが動作します。
本ステアリングは 2.4GHz -> 5GHzでのみ行われます。
(2-2) 過負荷トリガーによる Idle post-association steering
接続しているバンドが過負荷であり、他バンドが過負荷でないことを検知すると該当バンドをステアリング候補のバンドと判断し、ステアリングが動作します。
本ステアリングは 2.4GHz <--> 5GHzで行うことができます。
Idle post-association steeringではIEEE 802.11vをサポートしている無線クライアントに対してIEEE 802.11vによるステアリングが動作します。
無線クライアントがIEEE 802.11vによるステアリングを無視もしくは拒絶した際は、強制切断し再接続を促します。
※ステアリングに関しての補足
ステアリングが動作するためには、無線APが対象の無線クライアントが各バンドのVAPに接続可能かどうかを認知・情報登録する必要があります。
情報登録は以下の条件となります。
1) 無線クライアントの接続。接続が行われたバンドにて登録が行われます。
2) 接続済みの無線クライアントからのプローブ要求を他バンドで受信したときに受信したバンドにて登録が行われます。
ステアリング動作時には誘導先以外のバンドで接続要求を無視することで誘導を試みますが、誘導先に無線クライアントが接続しに行かない場合はステアリングを中止し、一定時間該当無線クライアントに対しての誘導を試みなくなります。
インテリジェント・エッジ・セキュリティー
インテリジェント・エッジ・セキュリティー(IES)は、STOAT機能やMACベース認証機能を使用し、AT-Vista Manager EX上でエンドポイントの通信可否を一元的に管理できる機能です。IESの詳細や設定方法については、AT-Vista Manager EXのベースリファレンスマニュアルをご覧ください。