各種操作 / 認証 / MACアクセス制御

MACアクセス制御は、無線クライアントとのアソシエートの際、無線クライアントのMACアドレスを使用して認証を行う仕組みです。
RADIUSサーバーを利用して認証を行う場合と、AWCプラグイン自身のMACアドレスリストを利用して認証を行う場合の、2通りの方法があります。
AWCプラグイン自身のMACアドレスリストを利用する場合は、1つのAP共通設定に対して1つ、参照するMACアドレスリストを指定します。AP共通設定に複数のVAPが登録されている場合は、各VAPで共通のMACアドレスリストを参照するか、必要に応じて個別のRADIUSサーバーを指定します。

Note
MACアクセス制御とダイナミックVLANの併用は未サポートです。

Note
MACアクセス制御は、無線クライアントが妥当かどうかを確認する機能であり、通信そのもののセキュリティーを向上する機能ではありません。別途、WPAパーソナルまたはWPAエンタープライズによる暗号化を行うことをお勧めします。
なお、MACアクセス制御とWPAエンタープライズを併用する場合、かつ、ダイナミックVLANを使用する場合は、WPAエンタープライズで参照するRADIUSサーバーの認証情報に所属VLANを指定するようにしてください。

MACアクセス制御を使用する場合は、「AP共通設定の作成、編集、削除」をご覧のうえ、VAPのMACアクセス制御を指定してください。

AWCプラグインのMACアドレスリストを使用する場合

MACアクセス制御に関連する設定手順は、無線APの機種によって大きく次の2つに分かれます。

AT-TQ6403 GEN2/6602 GEN2/6702 GEN2/6702e GEN2/7403、AT-TQm6403 GEN2/6602 GEN2/6702 GEN2の場合

これらの機種の場合は、VAPごとに異なるMACアドレスリストを適用することができます。

「MACアドレスリストの作成、CSV出力、編集、削除」を参照して、MACアドレスリストを作成します。
MACアドレスリストのアクションは、「許可」または「ブロック」が選択できます。
- 「許可」を選択すると、MACアドレスリストに登録されたMACアドレスからの通信を許可し、その他のMACアドレスからの通信をブロックします。
- 「ブロック」を選択すると、MACアドレスリストに登録されたMACアドレスからの通信をブロックし、その他のMACアドレスからの通信を許可します。
必要に応じて複数のMACアドレスリストを作成します。
「AP共通設定の作成、編集、削除」を参照して、AP共通設定を作成します。
- 「VAP(マルチSSID)設定」のそれぞれのVAPにて、MACアクセス制御の方法として、「MACアドレスリスト」を選択します。
  「MACアドレスリスト」を選択すると、「選択中のリスト」欄が追加で表示されます。
  「選択中のリスト」ドロップダウンリストをクリックすると、「MACアドレスリスト選択」ダイアログが表示されます。MACアドレスリスト一覧から、このAP共通設定配下のVAPで参照するMACアドレスリストの行をクリックし、「選択」ボタンをクリックします。
  
  複数のVAPにMACアドレスリストを指定する場合は、VAPごとにMACアドレスリストを指定します。
- チャンネルブランケットを併用する場合は、「AP本体」の「詳細設定」にて、CB VAPに共通して適用するMACアドレスリストを選択します。
  
  「MACアドレスリスト」ドロップダウンリストをクリックすると、「MACアドレスリスト選択」ダイアログが表示されます。MACアドレスリスト一覧から、このAP共通設定配下のVAPで参照するMACアドレスリストの行をクリックし、「選択」ボタンをクリックします。
  「AP本体」の「選択したMACアドレスリスト内のMACアドレス総数」には、「AP本体」および「VAP(マルチSSID)設定」の「MACアクセス制御」で使用するMACアドレスリストに含まれるMACアドレスエントリーの総数が表示されます。
  設定可能なMACアドレスリストのMACアドレスエントリー総数の上限は3072個となります。上限を超える場合は、いずれかのMACアドレスリストの指定を解除するか、MACアドレスリストのエントリーを減らす必要があります。
  同じMACアドレスが異なるMACアドレスリストに重複して含まれている場合は、1エントリーとしてカウントされます。重複するエントリーを持つMACアドレスリストのアクションが許可であるかブロックであるかは考慮しません。

チャンネルブランケットとMACアドレスリストの併用

チャンネルブランケットでMACアドレスリストを利用する場合は、AP共通設定の「AP本体」の「詳細設定」にて、CB VAPに適用するMACアドレスリストを選択します。
「MACアドレスリスト」ドロップダウンリストをクリックすると、「MACアドレスリスト選択」ダイアログが表示されます。MACアドレスリスト一覧から、このAP共通設定配下のVAPで参照するMACアドレスリストの行をクリックし、「選択」ボタンをクリックします。

また、CB共通設定のうち、MACアドレスリストによる制御を行うCB VAPでは、「MACアクセス制御」にて「MACアドレスリスト」を選択する必要があります。

AP共通設定の「AP本体」、VAP（マルチSSID）設定の「MACアクセス制御」の2つの「MACアドレスリスト」設定の関係は次のようになります。

CB共通設定の「MACアクセス制御」の「MACアドレスリスト」には、適用するMACアドレスリストの選択項目がありません。
上述の通り、チャンネルブランケットにMACアドレスリストを適用する場合は、CB共通設定と合わせて適用するAP共通設定でMACアドレスリストを適用する必要があります。

表 1
VAP番号	AP共通設定			CB共通設定		適用結果
	AP本体	VAP設定		CB VAP設定		適用結果
	MACアドレスリスト	MACアクセス制御		MACアクセス制御		作成されるVAPの種別	適用されるMACアクセスリスト
VAP 1	-（設定なし）	-（設定なし）	＋	「MACアドレスリスト」を選択	⇒	CB VAP	適用されない
VAP 2		-（設定なし）		「MACアドレスリスト」を選択		CB VAP	適用されない
VAP 3		-（設定なし）		「MACアドレスリスト」以外を選択		CB VAP	適用されない
VAP 4		-（設定なし）		「MACアドレスリスト」以外を選択		CB VAP	適用されない
VAP 5		-（設定なし）		（未作成）		セル型VAP	適用されない
VAP 6		-（設定なし）		（未作成）		セル型VAP	適用されない
：

AP共通設定の「AP本体」の「MACアドレスリスト」にていずれかのMACアドレスリストを選択すると、CB共通設定にて「MACアクセス制御」の方式を「MACアドレスリスト」に設定したすべてのCB VAPに対して適用されます（下表のVAP 1、VAP 2）。
CB共通設定にて「MACアクセス制御」を「MACアドレスリスト」以外の方式にしている、または「無効」を選択している場合は、CB VAPにはMACアドレスリストは適用されません（下表のVAP 3、VAP 4）。
また、CB VAPを作成していないVAP（セル型VAP）については、「AP本体」の「MACアドレスリスト」の設定は適用されません（下表のVAP 5、VAP 6）。

表 2
VAP番号	AP共通設定			CB共通設定		適用結果
	AP本体	VAP設定		CB VAP設定		適用結果
	MACアドレスリスト	MACアクセス制御		MACアクセス制御		作成されるVAPの種別	適用されるMACアクセスリスト
VAP 1	List 1	-（設定なし）	＋	「MACアドレスリスト」を選択	⇒	CB VAP	List 1
VAP 2		-（設定なし）		「MACアドレスリスト」を選択		CB VAP	List 1
VAP 3		-（設定なし）		「MACアドレスリスト」以外を選択		CB VAP	適用されない
VAP 4		-（設定なし）		「MACアドレスリスト」以外を選択		CB VAP	適用されない
VAP 5		-（設定なし）		（未作成）		セル型VAP	適用されない
VAP 6		-（設定なし）		（未作成）		セル型VAP	適用されない
：

AP共通設定の「VAP(マルチSSID)設定」の「MACアクセス制御」にて、「選択中のリスト」にいずれかのMACアドレスリストを選択すると、CB共通設定にて同じVAP番号で「MACアクセス制御」の方式を「MACアドレスリスト」に設定したCB VAPに対して適用されます。
AP共通設定の「AP本体」における「MACアドレスリスト」、「VAP(マルチSSID)設定」の「MACアクセス制御」における「選択中のリスト」の両方にMACアドレスリストの指定がある場合は、「VAP(マルチSSID)設定」の「MACアクセス制御」における「選択中のリスト」が優先されます（下表のVAP 2）。

表 3
VAP番号	AP共通設定			CB共通設定		適用結果
	AP本体	VAP設定		CB VAP設定		適用結果
	MACアドレスリスト	MACアクセス制御		MACアクセス制御		作成されるVAPの種別	適用されるMACアクセスリスト
VAP 1	List 1	-（設定なし）	＋	「MACアドレスリスト」を選択	⇒	CB VAP	List 1
VAP 2		List 2		「MACアドレスリスト」を選択		CB VAP	List 2
VAP 3		List 3		「MACアドレスリスト」以外を選択		CB VAP	適用されない
VAP 4		-（設定なし）		「MACアドレスリスト」以外を選択		CB VAP	適用されない
VAP 5		-（設定なし）		（未作成）		セル型VAP	適用されない
VAP 6		List 3		（未作成）		セル型VAP	List 3
：

全てのCB VAPに異なるMACアドレスリストを適用する場合は、AP共通設定の「AP本体」における「MACアドレスリスト」は使用しなくてもかまいません。
この場合、AP共通設定の「VAP(マルチSSID)設定」にてそれぞれのVAP番号にVAPを作成し、それぞれ、「MACアクセス制御」の「選択中のリスト」にて適用するMACアドレスリストを選択します。

表 4
VAP番号	AP共通設定			CB共通設定		適用結果
	AP本体	VAP設定		CB VAP設定		適用結果
	MACアドレスリスト	MACアクセス制御		MACアクセス制御		作成されるVAPの種別	適用されるMACアクセスリスト
VAP 1	-（設定なし）	List 1	＋	「MACアドレスリスト」を選択	⇒	CB VAP	List 1
VAP 2		List 2		「MACアドレスリスト」を選択		CB VAP	List 2
VAP 3		List 3		「MACアドレスリスト」以外を選択		CB VAP	適用されない
VAP 4		-（設定なし）		「MACアドレスリスト」以外を選択		CB VAP	適用されない
VAP 5		-（設定なし）		（未作成）		セル型VAP	適用されない
VAP 6		List 3		（未作成）		セル型VAP	List 3
：

AT-TQ1402/3403/5403/5403e/6602/6702 GEN2-R/7403-R、AT-TQm1402/3403/5403の場合

これらの機種の場合は、1つのAP共通設定で複数のVAPに対してそれぞれ異なるMACアドレスリストを指定することはできません。
「VAP(マルチSSID)設定」にてMACアクセス制御の方法として「MACアドレスリスト」を選択したVAPには、全て同じMACアドレスリストが適用されます。
異なるMACアドレス情報を参照する必要がある場合は、外部RADIUSサーバーによるMACアクセス制御を併用する必要があります。

また、チャンネルブランケットを併用する場合も、CB共通設定の「VAP(マルチSSID)設定」にてMACアクセス制御の方法として「MACアドレスリスト」を選択したVAPには、全て同じMACアドレスリストが適用されます。

「MACアドレスリストの作成、CSV出力、編集、削除」を参照して、MACアドレスリストを作成します。
MACアドレスリストのアクションは、「許可」または「ブロック」が選択できます。
- 「許可」を選択すると、MACアドレスリストに登録されたMACアドレスからの通信を許可し、その他のMACアドレスからの通信をブロックします。
- 「ブロック」を選択すると、MACアドレスリストに登録されたMACアドレスからの通信をブロックし、その他のMACアドレスからの通信を許可します。
「AP共通設定の作成、編集、削除」を参照して、AP共通設定を作成します。
- 「AP本体」の「詳細設定」にて、MACアドレスリストを選択します。
  「MACアドレスリスト」ドロップダウンリストをクリックすると、「MACアドレスリスト選択」ダイアログが表示されます。MACアドレスリスト一覧から、このAP共通設定配下のVAPで参照するMACアドレスリストの行をクリックし、「選択」ボタンをクリックします。
- 「VAP(マルチSSID)設定」のそれぞれのVAPにて、MACアクセス制御の方法として、「MACアドレスリスト」を選択します。
  「MACアドレスリスト」を選択すると、「AP本体」の「詳細設定」で選択したMACアドレスリストの名前が「選択中のリスト」に表示されます。

外部RADIUSサーバーを使用する場合

「AP共通設定の作成、編集、削除」を参照して、AP共通設定を作成します。
その際、「VAP(マルチSSID)設定」のそれぞれのVAPにて、MACアクセス制御の方法として、「外部RADIUS」を選択し、RADIUSサーバーとシークレットを指定してください。

AWCプラグインでは、RADIUSサーバーに対して、MACアドレスをユーザー名として送信します。このため、AWCプラグインとRADIUSサーバーの間で、MACアドレスのフォーマットを統一する必要があります。

Note
認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。

表 5：RADIUS属性のMACアドレスフォーマットの設定
項目名	説明
User-Name Format 区切り文字	RADIUSサーバーに問い合わせるユーザー名（MACアドレス）の区切り文字を、「ハイフン」、「コロン」、「なし」から選択します。デフォルトは「ハイフン」です。
User-Name Format 大文字/小文字	RADIUSサーバーに問い合わせるユーザー名（MACアドレス）の大文字、小文字を選択します。デフォルトは「小文字」です。
User-Password Format 形式	RADIUSサーバーに問い合わせるパスワードの形式を「固定値」または「ユーザー名」から選択します。デフォルトは「ユーザー名」です。「固定値」を選択すると、RADIUSサーバーに問い合わせるMACアドレスにかかわらず、「User-Password Format パスワード」にて設定した文字列をパスワードに使用します。「ユーザー名」を選択すると、RADIUSサーバーに問い合わせる際、ユーザー名と同じフォーマットのMACアドレスをパスワードとして使用します。
User-Password Format パスワード	「User-Password Format 形式」を「固定値」に設定した場合に、RADIUSサーバーに送信する際のパスワードを設定します。

デフォルトの状態、つまり、「User-Name Format 区切り文字」が「ハイフン」、「User-Name Format 大文字/小文字」が「小文字」、「User-Password Format 形式」が「ユーザー名」の場合、ユーザー名、パスワードは以下のようなフォーマットでRADIUSサーバーに送信されます。

表 6：デフォルト設定時のMACアドレスフォーマット
属性名	属性値	備考
User-Name	ユーザー名	MACアドレス。英数小文字、2桁ハイフン区切り（例：ab-cd-ef-12-34-56）
User-Password	パスワード	ユーザー名と同じ（例：ab-cd-ef-12-34-56）

RADIUSサーバーの設定

無線APをRADIUSクライアントとして、RADIUSサーバーに登録します。

表 7：RADIUSサーバーに設定するRADIUSクライアント情報
項目名	説明
RADIUSクライアントのIPアドレス	無線APのIPアドレス　（例）192.168.1.230
シークレット	無線APがRADIUSサーバーを認証するためのパスワード　（例）"himitsu"

Note
認証処理は無線APが行いますので、RADIUSサーバーに対して、認証を行うすべての無線APをRADIUSクライアントとして登録する必要があります。

MACアドレスリストと外部RADIUSサーバーの併用

AT-TQ1402/5403/5403e/6403 GEN2/6602/6602 GEN2/6702 GEN2/7403、AT-TQm1402/5403/6403 GEN2/6602 GEN2/6702 GEN2では、無線AP本体の持つMACアドレスリストと、外部RADIUSサーバーによるMACアクセス制御を併用することができます。
AP共通設定のVAP（マルチSSID）設定において、MACアクセス制御を「MACアドレスリスト + 外部RADIUS」に設定し、それぞれ個別に設定する場合と同様に、MACアドレスリストとRADIUSサーバー設定を行います。
MACアドレスリストと外部RADIUSサーバーを併用する場合、無線クライアントのMACアドレスは、MACアドレスリスト、外部RADIUSサーバーの順に照会され、無線クライアントはいずれかの方式で接続を許可されれば、通信が可能となります。つまり、両方で接続を拒否された場合は、通信できません。

MACアクセス認証とWeb認証の併用

AP共通設定のVAP（マルチSSID）設定において、Web認証、MACアクセス制御の両方に「なし」以外のいずれかの認証方法を指定した場合は、これらを併用することができます。この場合、「MACアクセス制御」→「Web認証」の順で認証処理が行われ、両方の認証に成功した無線クライアントのみ、該当のVAPを介して通信を行えます。

また、AT-TQ5403/5403e、AT-TQm5403 ファームウェアバージョン 6.0.3-0.1以降では、Web認証、MACアクセス制御の併用において、両方の認証に成功した無線クライアントのみを許可する2ステップ認証の有効/無効の選択をサポートします。
Web認証、MACアクセス制御の両方に「なし」以外のいずれかの認証方法を指定した場合、MACアクセス制御の追加設定項目に「Web認証との2ステップ認証」が表示されます。

表 8：AP共通設定 VAP(マルチSSID)設定 MACアクセス制御追加項目
項目名	説明
Web認証との2ステップ認証	Web認証にて「なし」を除くいずれかの認証方式を選択している場合、Web認証とMACアクセス制御の2ステップでの認証を行います。「有効」を選択すると、Web認証とMACアクセス制御の両方の認証に成功した無線クライアントのみが該当のVAPを介した通信を行えるようになります。「無効」を選択すると、Web認証またはMACアクセス制御のいずれかの認証に成功した無線クライアントが該当のVAPを介した通信を行えるようになります。 MACアクセス制御の認証方式に「AMFアプリケーションプロキシー」を選択した場合は、本項目の選択肢は「有効」のみとなります。 Note 本項目は、モデルに「AT-TQ3403 / AT-TQm3403」、「AT-TQ7403」、「AT-TQ6403 GEN2 / AT-TQm6403 GEN2」、「AT-TQ6702 GEN2 / AT-TQm6702 GEN2 AT-TQ6602 GEN2 / AT-TQm6602 GEN2」、「AT-TQ6702e GEN2」、「AT-TQ5403 / AT-TQm5403」、「AT-TQ5403e」を選択した場合に表示されます。

上記より古いファームウェアを適用したAT-TQ5403/5403e、AT-TQm5403では、上記の設定にかかわらず「有効」として動作します。