22-7. VLANと無線でLANラン蘭 `2c/10〜 (1) 社内ネットワ−クをVLANで -------------------------------------------------------------------------------- 無線LAN、ただのVLAN、タグVLAN、認証VLAN、検疫ネットワ−ク、認証ス イッチ、IEEE802.1X 対応にEAP。そしてUTMによるファイアウォ−ル、ウィルスチェッ ク、IPSなどのセキュリティ機能により、これらの組み合わせで何かできそうである。 -------------------------------------------------------------------------------- * いろいろ FortiGate の大学への導入事例で書かれていること。FortiGate は検疫ネットワ−クとの 連携の実績が多い。検疫VLAN認証スイッチを設置しユ−ザ認証をして決めたVLAN にリダイレクトさせる。複数のDMZを利用して外部との接続ができるようにしている。 認証VLANをインタ−ネットで検索すると、多くの企業や学校で導入している事例がで てきた。思ったよりも普及しているなという印象をもった。大学や高専での研究レポ−ト もあった。しかしできていることもあれば、今後の課題としているのも結構ある。 IP電話を含める場合のネットワ−ク設計が参考になるのでないか。IP電話はパソコン などのネットワ−クとは別にするのがいいと思う。全く別のセグメントにおくか、つまり ネットワ−クケ−ブルを分ける。あるいは同じセグメントでVLANで分けるか。 メインのネットワ−ク装置であるレイヤ3スイッチのリプレ−スを計画している。その配 下にあるレイヤ2スイッチも同時に置き換える。タグVLANも用いたネットワ−ク設計 も考えている。無線LANのことも含めて計画した方がいいのでないか。 社内の無線LANの設置はスイッチのタグVLANと SSID を紐付けするというのがある。 タブレットなどを特定のVLANに誘導して、そこで安全性を確保する。しかしそれだけ では大した制限はかけられないのでないか。IEEE802.1X を利用しないことには。 経路設定でパソコンがアクセスできる所を制限できないか。ホスト宛のスタティックル− トでできないか。iproute2 という経路制御のソフトはどうか。FortiGate には [ル−タ] ->[スタティック]->[スタティックル−ト] と [ポリシ−ル−ト] というのがあるが。 認証サ−バ Net'Attest EPS-SX03 はどうか。 無線LANでは複数の SSID でそれぞれの VLANに対応できるとか。認証VLANはユ−ザIDごとに所属VLANを設けること ができるとか。MACアドレスを見て所属VLANを割り振るとか FortiGate-224B というのがあった。検疫ネットワ−クの機能を持っている。 2007年 4月号の雑誌に新製品紹介に出ていた。参考価格約85万円。セキュリティ対策ソフトを 入れるのが困難な工場の機器などのネットワ−クで利用を想定している。 WANとLANの設計の目安。例えばWANの IP-VPN なんかで繋げている工場。WAN 越しでタグVLANはまずいと思う。工場にもレイヤ3スイッチを設置してセグメントを 分ける、レイヤ3スイッチまでもは不要で、ハマハのル−タなんかでセグメントを分ける。 スイッチングハブをタグVLANにして行くとネットワ−クの構成が直感的に捕えられな くなる。トラブルが起きた際に訳が分からなくなってしまう。無線LANを社内に普及さ せて行くと、どうしてもハブをタグVLANでセグメントを分けるようにしてしまう。 * 今一度タグVLANのおさらい レイヤ2スイッチのVLANは基本的にブロ−ドキャスト・ドメインを分ける機能である。 [1] A.1△ △A.2 [2] A ------ A ------ | VLAN-A | ----| L3 | ----| L3 | ------- ------- ------ 等価 ------ | | | | | = | | | L2 |----------| L2 | | | | ------- ------- B ------ C B | | C | VLAN-B | ----| L2 |---- ------ ------ B.1△ △B.2 ------ [3] [4] [5] △ ------- -------- VLAN-A ------- ------- | A | | VLAN-A | |――― | | | |------ △ | ■|〓〓〓〓 | | | ■|〓〓〓|■ | | | | VLAN-B | |――― | | | |----------- ------- -------- VLAN-B ------- ------- B タグVLAN対応のスイッチでポ−トをタグVLANで定義する。■印がタグVLANで ある。[3] はイメ−ジとしてタグVLANのセグメントがある、〓〓〓〓。[4] はそれを 分離したイメ−ジである。さらにそれを物理的に構成したのが [5] である。 * VALNでセキュアにするには 一応以下のように考えてみたものの違うのでないか。こんなネットワ−ク構成をとること はないのでないか。検疫ネットワ−クでVLANを使うのは意味が違う。あくまでも検疫 な訳であって、ひょっとするとウィルスに感染しているかも知れない、だから隔離した部 屋に先ずは入ってもらって検査をし、感染していればワクチンを投与し、それから外に出 てもらう。いったん検査をパスすれば、いわば普通のネットワ−ク下に接続され、あとは とやかく言われない。パソコンが接続されてからインタ−ネットにアクセスして感染して も不問にされる。それをも検知して感染パソコンを、またVLANでもって隔離しようと いうのが「NETWORK MAGAZINE」2005/02号の143ペ−ジの記事になる。 [1] △ △ -------------- △ △ -------------- | | | | △ | | | | △ V1---------| | | V1-------□--| | | | |----- V2 FW | |----- V2 -------------- -------------- V2 の方から V1 のパソコンなどにアクセスする際に制限をかけたい。右図のように FWを 設置する。FW は FireWall または UTM でのパケットフィルタリングやIPSなどなど。 [2] △ △ -------------- △ △ △ -------------- △ | | | | | | | | | FW | V1---------| |------- V1 V1-------□--| |---□----- V1 | |--- V2 FW | |--- V2 -------------- -------------- V1 のセグメントが複数ある場合はどうなるか。セグメント毎に FWを設置する。これしか やりようがないと思うが、それとも他にやれる方法があるのだろうか。 [3] 2つのスイッチはタグVLAN機能がある物。 -------- -------------- □は普通のポ−ト、■はタグVLAN対応の | ■|---|■ □|------ V1 設定をしたポ−ト。P1 は VLAN の V1に属す、 | | | | P2 は VLAN の V2 に属すとする。 これは上 |□ □| |□ □|------ V2 の "今一度タグVLANのおさらい" [5] 図 -------- -------------- と一緒のことか、自分で描いていて分かった。 | | P1△ △P2 [4] : セグメントA の向こうはインタ−ネットとす ------------ A る。パソコン P1 はタグVLANによりセグ | △P1 メントBに属する。P1 はインタ−ネットのみ D --------- ------ | B アクセスでき、社内の他のセグメントには行 ------| | VLAN-B | L2 |---- △ けないようにしたい。単純には L3 だけあっ | L3 ■|〓〓〓〓|■ | | て D のパソコンから E,A にはいけないがイ ------| | VLAN-C | |-------- ンタ−ネットにはいける。レイヤ3スイッチ E --------- ------ C でそんな経路制御ができるのだろうか。 * 認証VLAN製品では Apresia の `2c/06のカタログより。AccessDefender によるエンドポイントセキュリティ −で IEEE802.1x だけでなく、独自のWeb認証、MAC認証をサポ−ト。2005/11/10付 け「認証ネットワ−クと無線LAN」日商エレクトロニクスのセミナ−資料にも日立電線 の認証スイッチ Apresia の紹介記事があった。以下そのまとめ。Apresia と RADIUS認証 サ−バで Network Authentication(NA)。Apresia のNA とパソコン資産管理統合ソリュ− ション(NOSiDE Inventory Sub System2004) との連携で、パソコン検疫LANを実現。も う1つ認証スイッチとパソコンの接続のこと、Apresia はこの下にハブを付けてもいい。 Apresia とよく似た名前のアラクサラ。アラクサラは確か日本製だったはず。以下アラク サラのこと AlaxalA 。IEEE802.1X 認証、Web認証、MAC認証。日立とNECの子会社で設 立された。2005年9月に初めてのエッヂスイッチ製品を出荷。コアスイッチはもう少 し前からだしている模様。製品の仕様はセキュア仮想ネットワ−ク、仮想ファイアウォ− ルにネットワ−ク・パ−ティション。ネットワ−ク認証は IEEE802.1x/Web/MAC。 ネット ワ−ク・パ−ティションは VRF(Virtual Routing and Forwarding) と VLAN で。 Cisco TrustSec はもっと柔軟なアクセス制限をかけることができそう。 2011年のカ タログに MACsec という説明がある。"Cisco Catalyst 3560-X/3750-X が実装するMACsec (Media Access Control Security) は、ハ−ドウェアベ−スの暗号化によってレイヤ2フ レ−ム整合性と機密性を確保し、Man-in-the-Middle 攻撃 (スヌ−ピング、改ざん、およ びリプレイ) からデ−タを保護します。MACsec は、Cisco TrustSec の認証ソリュ−ショ ンとも連携して動作します"。シスコの Cisco Clean Access というのは?。 無線LANを調べていて、日本コムシス(株)のサイトで気になるのを見つけた。`2c/11頃。 セキュア無線LANベ−シックパック、"無線LAN + ファイアウォ−ル + 認証サ−バ" が百万円!。FortiGate-80C 1台、FortiAP 4台、認証サ−バ(Radius) Net'Attest 1台。 認証サ−バのセットアップおよび10ユ−ザまでのユ−ザ登録・証明書発行。Net'Attest とやら一度触って見たいものだ。だいぶ前からあるのは知っている。役割が幾つかあって、 それごとに製品モデルがあるのかソフトウェアがあるのか。分かりにくい製品だ。 * 検疫のアプライアンスと参考 [ IntraPOLICE ] SCSKが扱う。住商情報システム(株)時代のパンフレットがあった。2008/03/18入手と メモ。(株)ラックと松下電工(株)の共同開発製品。不正PC検知アプライアンス。ネット ワ−ク上を流れる不正PCの ARPパケットを検知、通報、強制排除するシンプルなコンセ プト。インラインでの設置ではないみたい。認証ネットワ−クだと導入は手間でコストも かかるが、この製品は簡易に設置できるらしい。その後、この製品は展示会でも見ない。 [ CounterACT ] Solitonが扱う。ForeScout Technologies,Inc.製。エ−ジェントレス型検疫/ワ−ム・不 正アクセス制御。不正接続PCの検知、通信制御からポリシ−違反のパソコンの修正まで を手軽に実現する。パッチ適用では間に合わない未知の攻撃やゼロディワ−ムの感染を検 知、防御。インラインでなくミラ−ポ−トでトラフィックを監視する。NetAttest LAP と 連携してパケットを止める。エ−ジェント不要。カタログの日付は 2011/09 現在とある。 << 参考 >> あまり検疫ネットワ−クの雑誌記事はない。どうも仕組みの複雑さゆえ、ほとんど広まら なかったのでないか。OminiSwitch の名前は聞くことはない、Apresia は普通のスイッチ としてもまだ売られている。Apresia は別に値段がする製品でもないので、検疫ネットワ −クの基本となっている動的VLANの動作を、1つ買ってみて試してみたいものだ。ト レンドマイクロの製品もまだあるが、売れているという話はほとんど聞かない。 「NETWORK magazine」2007/04, P.97〜109, "特集3:図で理解する検疫ネットワ−ク、い よいよ本格的な普及期?。検疫ネットワ−クの業界標準規格はなし、ゲ−トウェイ方式の Trend Micro network VirusWall Enforcer 2500、 ユ−ザのパソコンにはエ−ジェントレ スでソフトは不要、アプライアンスはブリッジ接続で。治療サ−バなど特定マシンにしか アクセスできないよう、動的にポ−トの開け閉めをする。 「NETWORK MAGAZINE」2005/02, P136〜143,"仕組みを知れば見えてくる 検疫ネットワ−ク の光と影"。 よくよく考えて導入しないとロ−カルでもパソコンが動かなくなってしまう という記事あり。IEEE802.1X に対応したスイッチというのがあり OminiSwitch、Apresia。 認証スイッチといい、ユ−ザ認証によりパソコンに割り当てるVLANを動的に制御する。 スイッチはパソコンを隔離する機能を担っていることになり、それが検疫と言うこと。 * 参考 「日経コミュニケ−ション」 2010/07, P.16〜31, "[特集]クラウド、モバイル利用で直面 > '今できる' 最善のユ−ザ−認証を考える"。P.31 の記事で、"ネットワ−クレベルで効 率よく制限をかける"、ここに Cisco TrustSec の仕組みが少し解説されている。 「日経NETWORK」 2012.08, P.34〜35, "特集1:運用管理が楽になる IPアドレス > 設計"。DHCP がうまく動作してない場合、パソコンが自動的に自身に割り当てるIPア ドレスをリンクロ−カルアドレスという、自動構成アドレスともいう。 「日経NETWORK」 2012.10, P.62 抜粋, "「WLC4400/500」という無線LANコント > ロ−ラ−でAPの「AP1131」を管理する。「APとコントロ−ラ−の間はCAPWAPという プロトコルを使用するトンネルが張られるため、通信は必ずコントロ−ラ−を経由..."。 「日経NETWORK」 "絶対わかる! ネットワ−ク設計(超)入門"。2012年6月29日発売。 > ISBN:978-4-8222-6774-2。2,520 税込み。VLANへの無線LANの導入の記事がある、 ここだけ読んでみたい。街に出た際にちらっと見て、購入するかどうか決めよう。 (2) 無線LANの SSID とVLAN -------------------------------------------------------------------------------- VLANを使ってどのように安全性を確保したネットワ−クを作るのか、検討してみよう。 -------------------------------------------------------------------------------- * FortiGate と FortiAP では `2d/01 無線LANの SSID と VLAN-ID に関するところ、ここのところの資料がない、 本や雑誌 に無線LANの設計の話や設定事例がまるでない。少しでもめぼしい記事を拾ってくるし かない。SSID と VLAN-ID の紐付けのテスト、 動作確認を FortiGate でやってみようと した。しかし FortiGate-80C のメニュ−の {ワイヤレスコントロ−ラ} には、VLAN とい う文字は見当たらない。これからどうすればいいか分からない。ひょっとして FortiAPは FortiGateとパケット全部がトンネル扱いになっているのでないか。(その後の調べでそう だった)。FortiGate で VLANを作ってそれに対応付けるのでないか。かも知れないが これ以上触るのは止めにする。社内に配備して行くのは、FortiAP はまだいかがなものか。 実績のあるメ−カの無線LAN装置にしよう。ということはシスコかアルバだけど。 vlan1 ----------- CT(無線コントロ−ラ) ←― |FortiGate| VLANが幾つか ---------- ←― ----------- vlan1,vlan2 無線 AP と VLAN-ID を紐付けするのか。 |タグVLAN| vlan2 | ↑ 無線 CT と VLAN-ID を紐付けするのか。 | □|---------------- |トンネル | | | | | ◎AP(無線アクセスポイント) |L2 や L3| | SSID:customer -- vlan1 | |------------------ SSID:smartdev -- vlan2 | | ---------- * ともかく情報の収集を 「企業ネットワ−クをもっと強くする」ASCIIムック,2005年11月25日,初版発行。 "シスコ Catalyst 3750 で学ぶ最新スイッチによる社内LAN、ACL の分類と役割" のP.72〜75に。 ACL( Access Control List )。eq www は eq 80 でも、eq の他に range範囲指定、gt よ り大きい、lt より小さい。セキュリティACLの種類はRACL(Router ACL)、VACL(VLAN ACL)、 PACL(Port ACL)。GUIの管理ツ−ルの CMS( Cisco Cluster Management ) で ACL の設 定ができる。この雑誌、2005年発行な訳でちょっと情報として古いのでないか。 「改訂新版 Cisco Catalyst LAN スイッチ教科書」2004/07発売。"4.9.1 セキュリティACL (フィルタリング)"、P.131〜136。ASCIIムックの記事はこれから出ているのかも知れない。 133ペ−ジの説明がほとんど同じである。本の方では SVI200と書かれているのがムックで は SVI1200 となっている。SVIの千二百とは何かおかしな値だなとぱっと絵を見て感じた。 オリジナルの 200 を 1200と書き間違えたのでないかと思ってしまう。しかし本の構成図 は分かりにくい、ムックの方が直感的に分かる図になっている。 「UNIX MAGAZINE」2005/10, P.22〜39, "特集 Cisco Aironet で無線LAN[2]、アクセス ポイントの設置と高度な設定"。P.40〜42,"UNIX Communication Notes 208 無線LANを 考る"、WEP暗号化は弱くネットワ−クを危険性に晒す脆弱性あり。Cisco Aironet AG1130 シリ−ズをどうも例にして設定の説明をしている。SSID毎に認証方法、暗号化の設定がで きる。マルチプル SSID 全体に無線チャネルは設定されるので、SSID毎にチャネル指定は できない。複数の SSID を利用してVLANに対応。無線と有線のVLANを対応づける。 シスコのサイトにあった記事、一番参考になりそうだ。プリントしてじっくり読むとする。 ワイヤレス:Cisco Aironet 1100 シリ−ズ、設定例とテクニカルノ−ツに翻訳したドキュ メントが6本あり、その1つ。他に英文ドキュメントが54本あり。「Cisco Aironet ワ イヤレス装置とのVLANの併用」2009年10月29日 ライタ−翻訳版 PDF と HTML がある。 PDF をプリントしたのだが字が小さい、これじゃあ読めないではないか。HTMLのも文字が 小さいぞ。テクニカル リファレンス「Wireless Virtual VLAN Deployment Guide」英文。 http://www.allied-telesis.co.jp/support/list/wireless/tq2450/docs/、AT-TQ2450 リ ファレンスマニュアル 1.2、"設定例/2 VWNとVLANを使ってネットワ−クを分ける"。無線 APのAT-TQ2450。VWN(Virtual Wireless Network)機能はVLAN対応スイッチと組み合わせ て使用する。VLAN-ID と SSID を対応づける説明あり。無線APはWPA2にチェック、TKIP のチェックを外しCCMP(AES) にチェック。生徒用ネットワ−クは VLAN 20、SSID Student、 192.168.2.0。先生用ネットワ−クは VLAN 10、SSID Teacher、192.168.1.0。 来客用ネットワ−クを作るのにマルチプルVLANなる機能はどうか。アライドテレシス GS908SS の取扱説明書を参考。例えば学校で教員用のVLANと生徒用のVLANを設け、 その間は通信できない。しかし両方かインタ−ネットにつながるル−タのポ−トとサ−バ がつながるポ−トにはアクセスできるという設定ができる。VLANモ−ドを802.1Qタグ VLANからマルチプルVLANに変更する。ただしアライドだけの機能みたい。以下メ モでクライアントVLAN、アップリンクVLAN、GS908SS には ACL 機能はない。 2013/02追加「UNIX MAGAZINE」2005/08,P.22〜39,"特集 Cisco Aironet で無線LAN[1]、 アクセスポイントの基本設定"。 アクセスポイントのアクセス制限を実施する話が終わり の方にある。access-list の書式、access-list [アクセスリスト番号] [permit(許可) | deny(拒否) ] host [IPアドレス]。この雑誌、会社では整理整頓で置いておけなくなり止 むなく自宅に。両親の遺品で部屋が一杯になり、自宅の物の整理をしていて2000年以前の を処分した。その際に埋もれていた、この号を見つけた。役に立ちますよ、まだまだ。 「日経NETWORK」 2012.12, P.62〜67, "モバイルクラウド時代のスイッチネットワ −ク 設計術、第3回:無線LAN"。できるだけ 5GHz帯を活用する システム方式ごとの VLAN設計に注意。P.36〜44, "特集2:スマホで安全に企業ネット接続"。P.52〜55, "ノウ ハウ満載 事例で学ぶ ネット構築術,段階的に無線LANを導入 3種類の認証を使い分け る"。P.50 のBIOS画面上のIPアドレスはサ−バ機のリモ−ト管理に使う。OSのIPア ドレスとかちあって不具合を起こしてたという話、解決まで半年。この号は半永久保存版。 * シスコのパンフレット 2011年1月から4月版 「Cisco 製品総合カタログ−中小規模ネットワ−ク 1-4 月版 2011」P.64の記事、"シスコ のワイヤレスLAN製品を選ぶメリット(2)、ワイヤレスLANコントロ−ラを使用すれば、 社 員用とは別に来訪者専用の無線ネットワ−クを構築できます"。 P.64〜65の記事、Cisco 2100シリ−ズ ワイヤレスLANコントロ−ラは無線APを6台,12台, 25台管理できる製品がある。Cisco 5500 はAPを12台,25台管理できる製品がある。25台 分のAPを追加するライセンスがある。これでAPを最大7,000台まで管理できる訳?。 自律型はコントロ−ラ不要、ゲストアクセス△。集中管理型は無線APが3台以上はこち らを勧めるとのこと、ゲストアクセス◎。Cisco のハンペン型無線APは単独で VLAN を 切ることができるのか、「UNIX MAGAZINE」2005/10 の記事を見るとできそう。 Cisco Aironet 1040 シリ−ズ NEW IEEE802.11n 対応屋内アクセスポイント。シングルバ ンドとデュアルバンドそれに自律型と集中管理型で4種類ある。DHCPサ−バ、マルチSSID、 MACフィルタ、ステルスSSID、QoS。 * シスコ製の無線LANを使っての検討 `2d/07 1) 無線APとVLANでの構成の基本 シスコの無線CT(コントロ−ラ)と無線AP(アクセスポイント)は30分ごとに情報をや りとりする。設定情報は無線APがメモリでもっている、そのため無線CTが止まっても 無線APはサ−ビスを続けることができる。デバイスがゲスト用の接続で無線CTのDHCP サ−バからIPアドレスをもらう場合は、だめである。 ◇SV1 AP: 無線AP。固定IPアドレス 192.168.1.0 vlanA |.2 ssid1 を振っておくこと。 ----------------------- 〜〜〜△PC1 | AP□ ssid2 SSID | 割り当て周波数 ------- |〜〜〜△PC2 ------|----------------- | | |.1 ssid1 | 2.4GHz チャネル1 | L2 @----------- 192.168.1.0 ssid2 | 2.4GHz チャネル5 SV2 | | ◇ ------- ポ−ト@ はタグVLAN 対応 SSID | VLAN | IP割当 |.3 | で vlanA と vlanB をもつ。 ------|-------|------- ----------------------------- ssid1 | vlanA | DHCP 192.168.1.0 vlanB ssid2 | vlanB | 固定 無線APはタグVLAN対応でないと、タグVLANを認識しないと、このようなネット ワ−ク構成は取れない。L2のスイッチングハブもタグVLANであること。無線APで VLAN-ID と SSID を紐付けするということ、シスコの無線APはこの設定はできる。 2) 無線APの SSID と周波数の対応付け SSID は基本は周波数とチャネルで区別される。 図Bでは同じ SSID にすることはできな いはず。どうも SSID を付けることに関して頭が混乱してしまっている、周波数が2.4GHz と 5 GHz では SSID は別にしないといけない、等と思ったりしていた。VLANと SSID のことは 2013/01 頃に検討していた。 社内に無線LANを実際に展開する状況でもなか ったので、しばらくほかっていた。瞹昧な所を残していたので、ずっと気にはなっていた。 [図A] vlanA ------- AP-------- 2.4GHz/C1 SSID | VLAN | 周波数 ---------| | vlanA,B| ssid1|〜〜〜△ ------|-------|---------- | L2 @--------@ | ssid1 | vlanA | 2.4GHz C1 ---------| | | ssid2|〜〜〜△ ssid2 | vlanB | 2.4GHz C5 vlanB ------- -------- 2.4GHz/C5 [図B] ------- AP-------- 2.4GHz/C1 SSID | VLAN | 周波数 vlanA | | vlanA | ssid1|〜〜〜△ ------|-------|---------- ---------| L2 @--------| | ssid1 | vlanA | 2.4GHz C1 | | | ssid2|〜〜〜△ ssid2 | vlanA | 5GHz C9 ------- -------- 5GHz/C9 こちらのチャネルは何でも。 その後記述。図AでもBでも同じ SSID でも構わない。シスコの無線LAN装置をSI業 者が設置して 5GHz と 2.4GHz で同じ SSID の名前を設定した。 5GHz と 2.4GHz 両方共 サポ−トするノ−トパソコンで無線の電波の様子を見ると、2つの SSID が出てきた。ど ちらかを選んでやればいいだけである。多分、無線LAN接続するネットワ−クのIPア ドレスで SSID を区別すればいいのでないか。 3) 建物内での無線APの配置と周波数 -------------------------- パソコンはこのフロア内ならどこにあっても、あらかじめ | AP1 AP2 | 取り決めした設定で無線LAN接続ができるという。例え | □(1) □(3) AP3 | ば SSID=ikkai、周波数は 2.4 GHz。 5個の無線APが設 | □(1) | 置されていて、周波数のチャネルは干渉しないようにして | AP4 AP5 | いる。AP1 と AP3 は同じチャネル 1 番だが、無線APが | □(5) □(7) フロア−| 離れているので、電波は干渉しないだろうということ。 -------------------------- AP1□ AP2□ AP9□ 3つの無線APがある。AP1 は 2.4GHz のチャネ |2.4/1 |2.4/5 |5/1 ル1、AP1 は 2.4GHzのチャネル5、AP9 は 5GHzの -------------------------- vlanA チャネル1 とする。これら全部同じ SSID を振る | L2 |-------- ことができるはず(要確認)。PC が AP9 近くにあ -------------------------- れば 5GHz で無線LAN接続するということ。 4) 無線APと無線CTでのトンネル接続 : ○a1' ○a2' CT:無線コントロ−ラ。仮想的にCT □FireWall CT□== ト に○a1'、○a2' が置かれたと見る。 A | | ‖ン ------------------------- ‖ネ SSID | VLAN | 無線CT vlanA | ‖ル ------|-------|---------- ------- TAG AP1□〜〜〜○a1 ssid1 ssid1 | vlanA | トンネル SV | | vlanB,A |〜〜〜△b1 ssid2 ssid2 | vlanB | --- ◇ | @--------------- B vlanB ssid3 | vlanC | --- D | | | --------| L3 | TAG AP2□〜〜〜○a2 ssid1 a1,a2のパソコンはトンネルは通っ vlanD | | vlanC,A |〜〜〜△c1 ssid3 て CTからサ−バSVにアクセスする。 | @--------------- C vlanC | | b1,c1のパソコンはトンネルは通ら ------- ず、直接サ−バ SVにアクセスする。 (3) 認証機能が豊富なL2スイッチ * ApresiaLight の使い方 3枚の紙が製品の箱に入っていた。1)安全上のご注意事項、2)コンソ−ルケ−ブル、3)保 証書。1) にマニュアルの入手方法として http://www.apresia.jp/apresialight/ が書か れてあった、ここから無料でダウンロ−ドできた。2)はオスメスの RS-232Cケ−ブル。3) は無償修理保証期間は出荷日より5年間、その紙に製品名とシリアルNo. を書いて送るこ と。FortiGate 用の RS-232C 設定で入れた、 これで先ず装置にIPアドレスだけ付ける、 とりあえず次のコマンドで設定する。あとはWebでアクセスし、デフォルトゲ−トウェ イのIPアドレスを記入すればいい。#config ipif System ipaddress 192.168.1.100/24 #save config で保存。 画面での操作で {Save all} は現在の設定情報とログを保存する、 {Reset Config} は全部デフォルト設定にする、{Reboot System} は装置を再起動する。 Web画面で設定できるようにして、設定しておくと扱い易くなるのは画面のログアウト 時間。{Auto Logout 自動ログアウトの時間 10(分)} になっている。これを変更してみる。 [Configuration]->[Serial Port Settings] の {Auto Logout [Never ▽]} にした。これ は RS-232C 接続でのことのように思うけど、Webアクセスにも適用される。 画面右端 の [ Apply ] ボタンを押し手設定を有効にする。 モニタのサイズ一杯一杯を使った設 定画面になっている。かなり端っこに [ Apply ] があって、最初分からなかった。 他 TELNET と WEB は Enabled になっていた。 ポ−トの接続ランプの色で緑は 1Gbit/s、だ いだい色は 100Mbit/s。そうそうWebアクセスは http://xx.xx.xx.xx/ で。 社内ネットへ ○デスクトップ 192.168.1.5(00-A1-B2-C3-D4-E5) 1 |5 7 9 | -------|-----------|-------- 装置自体に 192.168.1.100 と付けた。 | ‖ □□□□ □□□□ □■ | ■は光ファイバのコネクタを付ける穴。 | ‖ □□□□ □□□□ □■ | ----------------|------------ 2 4 6 8 ●Webサ−バ 192.168.1.9 ※ ApresiaLight のサイトのFAQではMAC認証は128端末、Web認証は512端末まで。 これらの認証に対応するパケットは TCP のみ、ICMP と UDP はそのまま通すとのこと。 * ApresiaLight でWeb認証を見てみる [Security]->[Web Authentication]->[Web Authentication Settings] ->[Web Authentication User Settings] ->[Web Authentication Port Settings] ->[Web Authentication Customize Settings] -------------------------------------------------------------------------------- Web Authentication Settings -------------------------------------------------------------------------------- State [Disabled ▽] Method [Local ▽] Authentication Failover [Disabled ▽] PortNumber(1-65535) [80 ] Virtual IP [0.0.0.0 ] Redirection Path [ ] RADIUS Authorization [Enabled ▽] Local Authorization [Enabled ▽] ↓設定 State [Enabled ▽] Method [Local ▽] Authentication Failover [Disabled ▽] PortNumber(1-65535) [80 ] Virtual IP [192.168.9.99] Redirection Path [http://192.168.1.9] RADIUS Authorization [Disabled ▽] Local Authorization [Enabled ▽] -------------------------------------------------------------------------------- Web Authentication User Settings -------------------------------------------------------------------------------- Create User User Name ◎VLAN Name ○VLAN ID(1-4094) Password Confirmation [ ] [ ] [ ] [ ] [ ] [Apply] .. Total Entiries: 0 User Name VLAN Name VID Password ↓設定 Total Entiries: 1 User Name VLAN Name VID Password ikken - Henomohe [Edit VLAN Name] .. [Web Authentication Port Settings] で15番ポ−トを Enabled にする。これで15番 ポ−トにつなぐパソコンはWeb認証が通らなければネットワ−クが使えないようにでき るはず。基本的に外部の RADIUS サ−バを見る、応答がない場合にロ−カルデ−タベ−ス を見るようにできる。とりあえず何がしか設定してパソコンのログオンの様子をみた。何 かやろうとしている、止めているのは止めている。VLANの設定をやらないといけない のか。マニュアルを見ても基本的な仕組みが分からない。こんなように動作するよという 簡単な説明がどこかにないかな。最初 {Virtual IP [192.168.1.99} としていた。同じセ グメント上の空いていたIPアドレスを記述した。これがいけなかった。マニュアルをよ く見たら異なるIPアドレスのを書くこととあった、そうしたらすぐにできた。 15番ポ−トに普段使いのデスクトップをつないで起動してみた。普通に立ち上がったよ うに見えるが、メ−ルソフトで送受信をクリックしても、メ−ルサ−バにはアクセスでき なかった。ブラウザのIEを起動したらWeb認証の画面がでてきた。Apresia に登録し たアカウント ikken を入れると、{Redirection Path [http://192.168.1.9]} に基づき、 192.168.1.9 Webサ−バの画面が出てきた。この時点でメ−ルソフトもちゃんとメ−ル サ−バにアクセスできるようになっていた。Web認証など何も設定してない隣のポ−ト にデスクトップをつないで、もう一度15番ポ−トにつなぐと、またWeb認証画面がで てきた。ポ−トのネットワ−クケ−ブルを差し換えただけでリセットされていた。半日で Web認証は確かめることができた。次にMACアドレス認証もやってみよう。 * ApresiaLight でMACアドレス認証 [Monitoring]->[Web Authentication State] ->[MAC Address Table] << ここにも下記のMACアドレスがでている。 -------------------------------------------------------------------------------- Web Authentication State -------------------------------------------------------------------------------- PortList(e.g.:1,5-10) [ ] PortList(e.g.:1,5-10) [ ] 〆Authenticated 〆Authenticating 〆Blocked Total Authenticating Hosts: 0 Total Authenticated Hosts: 1 Total Blocked Hosts: 0 Assign Port MAC Address RX VLAN ID State VLAN ID Aging Time/Block Time 15 00-A1..E5(H) 1 Authenticated - Infinite [Security]->[MAC-based Access Control]->[MAC-based Access Control Settings] ->[MAC-based Access Control Local Settings] -------------------------------------------------------------------------------- MAC-based Access Control Settings -------------------------------------------------------------------------------- MBA Global State ◎Enabled ○Disabled [ Apply ] Method [Local ▽] Password [default ] Autentication Failover [Disabled ▽] Max User(1-128) [128 ] □No Limit Autentication Network [Disabled ▽] [ Apply ] Port Settings From Port To Port State Aging Time Max User [13 ▽] [13 ▽] [Enabled ▽] [1440 ]min □Infinite [128 ]sec □No Limit [ Apply ] 許可するパソコンは [MAC-based Access Control Local Settings] メニュ−で登録する。 {MAC Address[ 00-O1-P2-Q3-R4-S5 ]} というように、 パソコンなどのMACアドレスを 記入する。ここではノ−トパソコン192.168.1.6(00-O1-P2-Q3-R4-S5) にした。VLAN Name と VLAN ID は記載しなかった。MACアドレスはパソコンを適当に Apresia のどこかの ポ−トにつなげば [Monitaring]->[MAC Address Table] にでてくる。 13番ポ−トにノ −トパソコンをつないで様子をみたが、特に変わったことはなく普通に使えた。登録した MACアドレスを消してみたら、直ちにアクセスできなくなった。ヤフ−の画面を見てい て各記事をクリックしても反応がなくなった。またMACアドレスを登録するとこれも直 ちに有効になった。パソコンのネットワ−ク接続をいったん無効にして有効にした方が動 作確認には確実かと思ったが、MACアドレス認証はすぐに反応しているようだった。 * ApresiaLight でMACアドレス認証&Web認証 以上で15番ポ−トはWeb認証をする設定。13番ポ−トはMACアドレス認証をする ように設定をした。15番ポ−トもMACアドレス認証をするようにしてみる。これで登 録したMACアドレスのパソコンでかつWeb認証を通らないとネットワ−クを利用でき ないようにできるはず。やってみました。AND でなく OR だった。MACアドレスの登録 を消したらWeb認証の画面がでてきた。MACアドレス認証が通ればWeb認証はやら ない。AND にするか OR にするか [Security]->[Access Autentication Control] 辺りで 指定するのか、いや違うみたい。なめるようにマニュアルを見た。マルチプル認証コマン ド #config authentication auth_mode port_based はどうか、 マルチステップ認証とい うMACアドレスとWeb認証の組み合わせという説明文字もあったが。 Port-based と Host-based というのも関係しないかと、いじってみたが変わらなかった。 ApresiaLight シリ−ズでなく Apresia シリ−ズで AccessDefender のライセンスを買え ばMACアドレス認証かつWeb認証ができる、ということだそうだ。 ApresiaLight で できたMACアドレス認証はIPアドレスとの対応付けはできないというか関係ない。該 当するMACアドレスが見つかれば許可することになった。MACアドレス認証のことを 今一度勉強しなければいけないと思う。漠然とMACアドレスは偽造が簡単にできるので 危険だと思っていた節がある。Web認証は今回、初めてどういう動作なのか確かめるこ とができた。これのセキュリティの強度はどのように考えたらいいのか。それも課題であ る。Web認証の画面は HTTP か HTTPS を選ぶことができる。とりあえず HTTPでやった が HTTPS でやれば、アカウントがプレ−ンテキストで流れることもない。 これはインタ −ネットの巷に溢れる販売サイトと同じセキュリティということだ。いいかも知れない。 * "Windows へのログオン" の画面で30秒位止まる テスト環境の流れで Apresia を FortiGate-80C のLANポ−トへネットワ−クケ−ブル をつないで社内ネットワ−クへ。少し前に無線LANのテストをやっていて、FortiAP を FortiGate につないでいる。Apresia も FortiAP も FortiGate のLANポ−トをただの ハブとして利用しているだけである。どうも FortiGate-80C を間に入れると、 パソコン のログオンで止まる様な遅くなるみたい。FortiGate-80C の設定が何か影響しているのか。 パソコンの設定で関係するかも知れない設定。DNSは Active Directory が動いている Windows 2003 Server を指定。この指定でないと社内のファイル共有に入ることができな い。ファイル共有に入れたり入れなかったりする。Active Directoryのパソコンの認証? それともユ−ザの認証?、Active Directory がログオンをしばらく覚えているのか、 パ ソコンが内部でログオンしたことを覚えているのか。これも30秒位止まる原因の一つか。 13番ポ−トをMACアドレス認証とWeb認証の設定をして動作をみていた。MACア ドレス認証の方、13番ポ−トを Enabled から Disabled にした。 それでパソコンを起 動したところ、"Windows へのログオン"の画面で30秒位止まっていた。一応Web認証 の画面は出てきてログインすれば、通常通り使えるのだが。どうもブラウザのアクセスな どがだんだん遅くなって行ったような気がする。ブラウザの応答が無くなっていたし。 (4) 無線LANを全社ネットワ−クに `2d/02〜 * 引き続き無線LANの調査 無線LANの導入は組織では2008年頃か。この時期まだ無線LANはそんなに安定し た機器ではなかったようで、SI業者もかなり手こずったようである。無線LAN設計の 有料セミナ−が最近ある、1日3万円ぐらいする。複数、無線APがある場合のこと。電 波の干渉、範囲とか。本格的に社内に無線APを設置していく場合のことを想定し、確認 しておくべきことは。一度、有料セミナ−とやらで話を聞きたいものだ。 HP社のセミナ−の案内で気になる無線LAN装置があった。無線LANはちょっとだけ の紹介だったが参考になった。コントロ−ラの働きが他のメ−カのとは違っていた。コン トロ−ラは管理と制御する時にのみ利用することもできる、通常は無線APだけでやりと りできる。シスコなど他社は必ずコントロ−ラを介する、トラフィックが集中することに なるのと、コントロ−ラが壊れると無線APも機能しなくなる。`2d/03/13 安全快適!モバイル活用時代のネットワ−クインフラ〜外出時は安全にリモ−ト、社内で 快適に無線LAN〜。○○商会のセミナ−、2013/02 実施。企業向け無線LAN製品ご紹 介。トンネルで複数APを集中管理。シスコ社は無線接続だけを提供するノンインテリジ ェントの自律型アクセスポイントの出荷台数が多く、これから主流となるインテリジェン ト コントロ−ラタイプのシェアにおいてはアルバのシェアが拡大中。 スマ−トデバイスが 5 GHz をサポ−トしてきた。NECの LifeTouch L ビジネス向けの モデル。5GHz 帯無線LAN対応。540g、薄さ 8mm弱。Office 互換アプリの QuickOffice、 内臓メモリの NAND Flash ROM 暗号化、SDメモリ暗号化も。プリインスト−ルのサ−ビ スがある。でもまだ一般的にはスマ−トデバイスは 5GHz 対応は少ない。 SCSK社の営業から資料をもらっていた 2012/12。"オ−ルインワン 認証・DHCPサ−バ 「RADIUS GUARD」のご紹介"。日本語の操作画面。Radius、LDAP、プライベ−トCA、DHCP 機能。802.1X認証、Web認証、MAC認証。1台の1Uかと思いきや2台のHAだった。 証明書発行機能(CA機能)。Apresia、AlaxalA、Aruba と連携しネットワ−クの利用制御。 Interop 2015 での事。Fortinet 社の展示ブ−スで無線APをいろいろ展示していた。聞 くと Meru 社の。2015/05/29 の Fortinet 社のアナウンスで、無線LANメ−カの メル −・ネットワ−クスを買収で合意したと。これで Fortinet 社が無線LANを本格的に売 っていく体制になったということである。 Meru はシングルチャネルという技術で簡単な 無線LANを構築できるのが昔からの売りで、個人的には当時から評価していた。 * 来客用の無線LANの検討 来客者が持参のノ−トパソコンやスマ−トデバイスを、社内で無線LANが利用できるよ うにしたい、社内ネットワ−クの安全確保のため、インタ−ネットへしかアクセスできな いようにしたい。持参デバイスはウィルスチェックのソフトがインスト−ルされていると か、バ−ジョンだとかパッチだとかは問わない。 Cisco の製品でのできそうな設定例がインタ−ネットにある。ゲスト用と社内用VLAN を分ける。レイヤ3スイッチの ACL(アクセスリスト)で、社内ネットワ−クにはアクセス できないようにする。しかしインタ−ネットしかアクセスできないというのは難しいので ないか。L3の上にはまだL2があったり、ファイアウォ−ルがあったりする訳で。 それに持参ノ−トパソコンなどは、直接レイヤ3スイッチにつながる訳ではない。レイヤ 2スイッチが途中でかむ。レイヤ2スイッチで ACL をかけてできるのか。 途中のスイッ チで ACL をかけても意味はない。 VLANを使ってL3までパケットをもってきて ACL をかけるのはどうか。どうもこれも穴があるような気がする。 インタ−ネット SSID:guestssid は 192.168.9.0 のIPアド : レスで、インタ−ネットへのみ抜けられる。 -------------------- 192.168.6.0 |.2 PCから無線LAN接続でレイヤ3スイッチの NAT-------.2 ACL でUTMの192.168.1.2 しかアクセスで | UTM |-------- 192.168.5.0 きないようにして、これでインタ−ネットし ------- か抜けられないようになっているのか疑問!。 |.2 ------------------- 192.168.1.0 | PC -------|------- AP1◎1〜〜〜△ SSID:guestssid。PC には 192.168.9.1 | □ | | とか固定IPを振る。 | A B□|----------- 192.168.2.0 | | | L3 | -------- AP2◎ SSID:guestssid | | | L2 | | | C□|--------|□ □|--------- 192.168.3.0 | | | | ---------------- -------- 無線APの AP1 で、L3につながるポ−トBに ACL をかける。UTMの内部ネットワ− ク側のIPアドレスのみにアクセスを許可する。設定は permit host 192.168.1.2。それ に他のネットワ−クにアクセスできないようにする deny net 192.168.2.0, 192.168.3.0, 192.168.5.0, 192.168.6.0。deny net 192.168.2.0 はどういうことか、 これをやってし まったんでは?。いや多分大丈夫か、PC には 192.168.9.1 とかふるわけでタグVLAN を使うので。それをポ−トにではなくVLANに対して適用するのでないか、RACL で。 * Cisco のレイヤ3スイッチの ACL Cisco のレイヤ3スイッチの ACL とは。どういうことができるのか、 どうも腹に入らな かったが `2d/03/12、つまりヤマハのル−タのパケットフィルタリングするコマンドと同 じようなことと思った。ACL の基本はそういうことだが、少しややこしくなっているとい うことと考えていいか。いや違うな、だいぶ違うぞ。「改訂新版 Cisco Catalyst LAN ス イッチ教科書」2004/07発売 の133ペ−ジの説明。これを図解してみた。 -------------------------- ――――×――――― ムックの方に出 | L3 | | ている図で、営 | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ | 営業部 ---------- | 業部と人事部の | \________/ | -------| | ↓ 名前が出ていた。 | | | | | L3 | Server 人事部のパソコ | A|192.168 B|192.168.1.1 | |――◆ ンからしかサ− | □ .200.1 □fa4/2| -------| | ↑ バはアクセスで ------|------------------ 人事部 ---------- | きないようにL3 output↓| ↑input | で制御している。 SVI200| このポ−トへはHTTP ――――○――――― ◆Server のみ入力可 192.168.200.100 << 結局こういう制限をしている >> * 無線LANを全社ネットワ−クに << こんなように設計してみた >> スマ−トデバイスは無線CTにトンネルさせる。無線CTの前に設置したUTMで何らか セキュリティ対策を施す。FortiGate-80C 辺りを設置し、ファイアウォ−ルでアクセスで きる社内リソ−スを限定するとかIPS機能をオンにしておくとか。スマ−トデバイスは その挙動が掴み切れない。無線APにつながったら、社内どこへでもOKとさせるのは危 険だと思う。社員用のスマ−トデバイスということだが、どこからでも同じネットワ−ク IPアドレスとし、スマ−トデバイスのIPアドレスは DHCP による。 DHCP とするのは 外での利用の際も DHCP だろうということ。スマ−トデバイスを利用する社員がデバイス の扱いにそんなに詳しくはないだろうということ。どこにいても設定を変えることなく簡 単に使えるようにするのが望ましいということである。 来客用のパソコンやスマ−トデバイスは無線CTにトンネルさせる。そしてインタ−ネッ トのみアクセスできるようにする。IPアドレスは固定IPによる。社内のどこからでも 同じネットワ−クIPアドレスとする。多分、本社でも支店でも同じということになるだ ろう。利用者は例えば総務で申請し、適当なIPアドレスを割り振ってもらう。ここらの ことは、それぞれの会社での運用ノウハウとなる。あらかじめ無線LAN接続の用紙を用 意しておき、設定のIPアドレスをそこに書いておくというのはどうか。192.168.99.1か ら 2 3 4 と言うように用紙ぞれぞれに。SSID のパスワ−ドも書いておくが、ずっと変え ないのか定期的に変えるのかは運用である。これなら10人来ても、10枚の用紙を渡せ ばいいだけのことである。このアイデア、なかなかいいかも知れない。 来客用の SSID はオ−プンにする。ノ−トパソコンやスマ−トデバイスを無線APのお客 さん用の SSID はオ−プンにする。ノ−トパソコンやスマ−トデバイスを持参して電波の 様子を見れば SSID が検出されているという状況。社員のノ−トパソコンなどはMACア ドレスの登録をやっておき、無線LAN利用の制限を一応かけるか。無線CTにMACア ドレスを登録することになるのでないか。スイッチングハブでもMACアドレスのフィル タリングができるのもあるが、それだと無線APにつながるハブ全部に登録しておかない といけないのでないか。社員のスマ−トデバイスの DHCP のこと、無線APで DHCP をす るとなると、複数の無線APで配布IPがかちあわないようにするとか、工夫がいる?。 192.168.99.xx インタ−ネット :……………◇ V3 5GHz 来客用のデバイス用 : ::…………◇ V3 2.4GHz 固定IP ---------------- :: | 無線AP-------- 192.168.98.xx ---------- | 6 5 4|………◇ V2 5GHz スマ−トデバイス用 __|FireWall|___ | 3|………◇ V2 2.4GHz 動的IP DMZ1| |DMZ2 | | SSID | ---------- □無線CT | 2|………◇ V1 5GHz ノ−トパソコンなど | UTM | | 1|………◇ V1 2.4GHz 固定IP ---------------□------ -------- | |TAG VLAN ------------ --------|-- ここは従来のLANのところ | | | □ ■ | ↓ | | TAG VLAN | | ----- V1 | L3 ■――――――■ | | |------○ デスクトップや | | | □――――□ |------○ ノ−トパソコン | | | L2 | | |------○ 固定IP ------------ ------------ ----- * DHCPサ−バのアプライアンスが必要かも 社内をどんどん無線LANにして行って、社内のどこででもパソコンやスマ−トデバイス が使える環境にして行く予定である。そうなるとIPアドレスは固定という訳には行かな くなり動的にしないと困ることになる。DHCPサ−バぐらい適当な Linuxマシンでもいいの だが、やはり信頼性ということを考えると、マシンの2重化/クラスタ構成がいるネとい うことになる。そうなるとクラスタのフリ−ソフトなり市販ソフトを触るスキルが必要に なる。面倒なので DHCPサ−バが動くアプライアンスを導入したらどうか。 DHCPサ−バを 設置すると、パソコンでも何でも社内ネットワ−クに簡単につながることになる。何らか の制限が必要だと思う。Active Directory と連携して認証、制限をかけるとか。 (5) シスコの無線装置でLANラン欄 `2d/07 * それで選んだメ−カは製品は 集中管理型でメ−カはシスコかアルバかという選択だろう。SI業者の扱いとか得て不得 てもあるだろう。信頼できるSI業者にお任せしシスコにした。設定は最近のはチャネル と電波強度は自動調整する機能が十分働き、無線APにIPアドレスを振る位で済むよう である。後は電波が強すぎてあまり遠くまで飛ばないように注意する程度らしい。 無線APの価格を調べてみた。"ネットワ−ク機器のコンビニ"とかいうサイトに出ていた。 Cisco 2100 シリ−ズ, AIR-WLC2125-K9, 706,820円税込み, APは25ライセンス。2100 のAIR-WLC2106-K9, 264,760円, APは6。2500 の AIR-CT2504-25-K9, 473,803円、AP は25。2500 の AIR-CT2504-5-K9, 94,466円、APは5。ライセンス代は毎年いる。 無線CTの機種についてシスコのパンフレットを見た。2009年10月のパンフレット には 5500 と 2100 が載っていた。 2011年1−4月のパンフレットには 2100, 2500, 4400, 5500 が載っていた、 それにワイヤレスコントロ−ルモジュ−ルというのも1つあ る。ワイヤレスLANコントロ−ラは WLC という。 小規模オフィス用のパンフレット「Cisco スモ−ル ビジネス カタログ 2011.1-4 月版」 ワイヤレス アクセス ポイント WAP4410N-JP 46,800円。 机上に置く形で VLAN数 4、ACL、 不正AP検出、ステルスSSID、マルチSSID、QoS、PoE。単体の無線APのみ。一応参考ま で、こんな製品もシスコにはあるよということで。 大元のシスコのサイトには "スタンドアロン型コントロ−ラ" には 8500,5700,5500,2500, Flex 7500,それに Cisco Virtual Wireless Controllerが出ていた。"アクセスポイント" は Cisco Airnet 3600シリ−ズ, 2600, 1600 の3つが出ていた。3600,2600 は CleanAir 機能対応。1600 は CleanAir なし、CleanAir Express に対応予定。 無線CTは Cisco 2500 シリ−ズ Wireless Controller の 2504 でいいだろう。 最低の 無線APのライセンス台数は5。筐体は弁当箱程度だが、これでも最大50の無線APと 500台のクライアントをサポ−トする。無線LANはここでは集中管理型にする。その ため無線APも集中管理型の機種を選ぶこと。 無線CTと無線APはシスコのサイトに出ているのから選ぶこと。2011年1−4月の パンフレットに載っているのは、今はもうシスコは生産してない。インタ−ネットの通信 販売のサイトにでているのは、その会社の在庫分である。 Wireless Conntrol System は モビリティサ−ビスエンジン装置も必要、何百も全国にAPがあるような場合で使う代物。 無線APの設置は工場など工作機械のノイズが出るところでは CleanAir 機能が有効との 話、それに外付けのアンテナがある方が望ましい。Airnet 2600 辺りがいいだろう。アン テナは別売りであることに注意したい、1本6千円とかする、幾つか種類があるのでSI 業者に選定してもらう。設置場所によってはパワ−インジェクタも買っておくこと。 オフィスではノイズが出るような物がなければ、特に CleanAir 機能は必要ないとのこと である。 アンテナはなくてよし、そうなると Airnet 1600 の集中管理型という選択にな る。定価は10万円ぐらいか。ノイズというのは、つまり電波干渉のことである。チャネ ルと電波強度を自動調整するのは CleanAir でない、Enable Auto-RF を YES にすること。 無線LANの 802.11n 規格は暗号化は AES の利用を規定している。セキュリティ設定は WPA2(AES) にすること。2.4 と 5 GHz 両方をサポ−トする。 5 GHz は電波のチャネルが 重ならない。802.11ac は現在規格としてはドラフト段階で、ここまでは必要ない。 デス クトップのパソコンなんかの無線LAN装置はバッファロ−なんかでも構わないだろう。 * ほぼ本番の無線アクセスの機器構成 無線LAN接続のゲスト用 SSID はインタ−ネットのみアクセスできるようにする。無線 APから無線CTへトンネル接続。無線CTは2つのインタ−フェ−スを持つ。ファイア ウォ−ルで wan2 から wan1 へのパケットを許可する。 ゲスト SSID のアクセスは無線CTで、Web認証画面に誘導する。ここでアカウントを 入れないとインタ−ネットにはアクセスできないようにする。ゲスト SSID のパスワ−ド、 Web認証のパスワ−ドは定期的に変えるかどうか、変えなくてもいいんじゃないか。 : この図はテスト環境で模式的に描いてい □実際はRouterとか る。FortiGate は 50B でwan1,wan2を使 |.2 用している。本番機の 310B では好きな ----------------------- 192.168.3.0 なようにインタ−フェ−スを定義できる。 | wan2 は DMZ2 という名前にしてもよい。 wan1|.1 NAT ファイア----------- レイヤ3スイッチでは 192.168.2.0の経 ウォ−ル| |.1 192.168.2.0 路設定はやることはない。無線CTはル− |FortiGate|---------- ティングをする訳ではない、単なるタグ | |wan2 | VLANでやっているとのことだが、無 ----------- | 線CTの設定でどうしているのか要確認!。 .1|internal | | |.2 SSID NIXGESUT で接続したデバイス PC2 | 無線CT■=== は無線APからCTへトンネルを通る。無線 ----------- |.9 ‖ト CTからは wan1 インタ−フェ−ス、つま | L3 |-------------- ‖ン りインタ−ネットへしかアクセスできな ----------- 192.168.1.0 ‖ネ いように FortiGate で設定している。 | ‖ル -------------------------------- ‖ PC2のIPアドレスはDHCPで192.168.2.x 192.168.9.0 |.9 ‖ を付ける。SSID NIXGESUT は同じSSIDで 無線AP□====== 2.4と 5 GHz を用意する。ゲストアクセ / \ ス用としてブロ−ドキャストする。 PC1 SSID=NIXUSER ○ △ SSID=NIXGESUT はブロ−ドキャストせず固定IPとする。 PC1 PC2 無線CTが故障した場合のこと。ゲスト用 SSID は無線CTの DHCP サ−バからIPアド レスをもらうので、そもそも接続できない。社内の一般ユ−ザのパソコンは固定IPアド レスによる、無線APの電源を入れ直さない限り無線接続はできる。無線CTと無線AP は30分毎に電波の情報をやりとりしている。シスコの無線APの死活、他社製無線AP の有無、電波の干渉状況などを監視してチャネルや電波の強度を変えていくようになって いる。無線CTにアクセスできないと、同じ設定状態で稼働して行くということになる。 その後、実際に無線LANの装置を設置してのこと。来客用の SSID はブロ−ドキャスト する、IPアドレスは無線CTで割り振ることにした。社内の固定IPアドレスのパソコ ンは無線CTでMACアドレス認証をやることができるが、とりあえずやらないことにし た。これまでネットワ−クケ−ブルでのパソコン接続で、MACアドレス認証なんかやっ てない。それなりの管理ソフトをパソコンに入れてあれば、やらなくてもいいのでないか と思う。スマ−トデバイスも MDM のようなアプリを入れてあれば、そういう扱いにする。 この際ネットワ−クケ−ブルでの接続と無線LANでの接続で、固定IPアドレスの範囲 を定めておきたい。だいたいこれまで例えば 192.168.1.x で、.1〜.9 は管理用やサ−バ 用、.250〜.255 はテスト等に利用ぐらいとゆるく取り決めはしていた。 .10 からはケ− ブル接続でのパソコンにIPアドレスを付けて来た。今後はケ−ブル接続だったのを、無 線の方に置き換えていくという方針の元に、〜.249 は無線LAN用としてみる。 ひょっ とすると DHCP サ−バを使う場合のIPアドレスをどうするかも検討しておきたい。 * ゲストの無線アクセスの動作検証 FortiGate-50B で wan1, wan2 インタ−フェ−スを使って、ポリシ−ル−ティングの動作 確認のテストをやっていた。その設定状態を先ず保存しておくことにした。[システム]-> [メンテナンス]->{バックアップと復元} Backup configuration to: [Local PC ]。これ で "マイ ドキュメントのダウンロ−ド" に "fgt_system.conf 35 KB CONF ファイル" が できた。ファイル名をとりあえず 50B_PolicyRoute.conf というように変えた。 FotiGate に ACL をかけて 192.168.2.2 のパソコンからは、wan1 より上のネットワ−ク にしか行けないようにしてみる。でもファイアウォ−ルに ACL ってあるか?。 考えてみ たらファイアウォ−ルに ACL はないぞ。そもそも ACL はレイヤ3スイッチやル−タでパ ケットフィルタリングさせるものである。ACL( Access Control List )。 FortiGate-50B の internal のポ−トはスイッチングハブだ。このポ−トでネットワ−ク IPアドレスを分けることはできない。wan2 インタ−フェ−スで 192.168.2.0 セグメン トを作るしかない。[ファイアウォ−ル]->[ポリシ−] で制御はすぐにできた。 どうやっ てやればいいか取り組み始めて1時間でできた。もっと面倒かと思ったが。 | L3□ 社内ネットワ−ク FortiGate-50B には WANのインタ− |.2 フェ−スが wan1 と wan2 の2つあ -------------------------------- 192.168.3.0 る。LANポ−トは4つある。 | wan1|.1 NAT PC ----------- ○ [ファイアウォ−ル] -> [ポリシ−] | |.1 |.2 では wan2->internal DENY を明示 |FortiGate|---------- 192.168.2.0 すること。 多分 FortiGate は暗黙 | 50B |wan2 的に禁止設定になっているはずだが Qube3 ----------- が。 本番機の ForiGate-310B では □ .1|internal wan2 は DMZ2 とかの名前に変えて |.2 | して、既存のDMZ に行けないように -------------------------------- 192.168.1.0 DMZ2->DMZ DENY も設定すること。 [システム]->[ネットワ−ク] インタフェ−ス名 internal、アドレッシングモ−ド ◎マニュアル、IP/ネットマス ク192.168.1.1/255.255.255.0。同様 wan1 192.168.3.1 と wan2 192.168.2.1。 [ル−タ]->[スタティック] 宛先ネットマスク [0.0.0.0/0.0.0.0]、デバイス [wan1] ゲ−トウェイ [192.168.3.2]、ディスタンス [10] [ファイアウォ−ル]->[ポリシ−] ※ wan2->internal NAT なしを internal -> wan1 all all ACCEPT NAT 入れると PC から Qube3 に wan2 -> wan1 all all ACCEPT NAT アクセスできるようになる。 * ゲストの無線アクセスの専用インタ−ネット : : インタ−ネット回線をもう1つ用意 □Router □Router して、ゲストの無線アクセスのパケ |.2 |.2 ットを WAN2 に誘導するのはどうか。 ---------------- --------------- 192.168.3.0 | | 192.168.4.0 [ファイアウォ−ル]->[ポリシ−]で WAN .1| |.1 WAN2 DMZ2 -> WAN2 all all ACCEPT NAT。 □MR ----------- インタ−フェ−スのWAN2も NAT変換。 |等 | |.1 ------------|FortiGate|---------- 192.168.2.0 とすれば、無線CTの設定とは関係な DMZ | | DMZ2 | く、それだけでポリシ−ル−ティン ----------- |トンネル グもどきの事が、できるのでないか。 .1|LAN 無線CT■=== と思ったのだが、そう単純な話では | | ‖ ない。デフォルト経路が問題になる。 * タグVLANはほどほどに `2e/12 無線LANを社内に広めて行くことになると、既存のネットワ−クケ−ブルを利用したい ためどうしてもタグVLANを使いたくなる。しかしほどほどにしないとネットワ−クの 構成が分からなくなってくる。その時はよくても、しばらく経つと分からなくなってしま う。十分注意したいことである。SI業者任せにするとますます分からなくなってしまう。 下の設定では LAN1 の8個のポ−トは全てタグVLANとなる。これらのポ−トにつなぐ ハブやネットワ−ク装置のポ−トはタグVLANにしないといけない。UTMなどを透過 モ−ドでつなぐなら構わないような気がするがダメである。透過モ−ドでも装置にIPア ドレスは振らないけない訳で、その時点でもう装置には通信できないことになる。 TeraTerm か telnet でアクセス。 --------------------------- Yamaha RTX1200 Password: | LAN1 | > show conf | 1□2□3□4□ □LAN2 | | | 5□6□7□8□ □LAN3 | ip route default gateway 192.168.9.2 --------------------------- ip route IP1desu gateway IP2desu vlan lan1/1 802.1q vid=101 vid は VLAN IDで他のネットワ−ク装置とID ip lan1/1 address 192.168.1.1/24 は一緒にすること。lan1/1,lan1/2 はLAN1ポ− vlan lan1/2 802.1q vid=102 トの1番、2番という意味ではない。LAN1の8 ip lan1/2 address 192.168.2.1/24 個のポ−トはどれも同じ物になり 192.168.1.0, vlan lan1/3 802.1q vid=103 192.168.2.0,192.168.3.0 のセグメントがある ip lan1/3 address 192.168.3.1/24 ということである。lan1/2 の 2 はそのただの ip lan3 address 192.168.9.1/24 識別の番号でしかない。 | snmp host any ip lan1/1 と書かれれば、上の絵で 1□となっ snmp community read-only public ているのだろうと思う、それが違うのだ。タグ snmp community read-write private VLANは物理的なネットワ−ク構成を分かり > administrator にくくする。多用するのは注意した方がいい。 Password: # ip filter 1 reject 192.168.1.11 * lan1/1 はネットワ−クアドレスは192.168.1.0 # ip filter 2 reject 128 168.1.12 * である。そのネットワ−ク上の192.168.1.11と # ip filter 9 pass * * 128 168.1.12のパソコンなりは、外へ出ていけ # ip lan1/1 secure filter out 1 2 9 ないように、他のパソコンなりは行けるように。 # save タグVLANでのパケットフィルタリングの設 セ−ブ中... CONFIG 終了 定である。TeraTerm の RS-232C で filter に # quit は30ぐらい列挙して行ったら下の行に行った > が問題なかった、telnet でも同じ挙動だった。 ------------------------------------------------------------------------------------ [ 付録 ] いろいろ ● 確認 Windows XP パソコンでの経路設定 パソコン PC にて 192.168.1.2 ヘのホスト経路を設定したとする。PC から 192.168.1.2 へはいける。それより向こうは FireWall を通りNATでインタ−ネットへ抜けることが できるはずである。PC から AA や BB にはアクセスできるのか、できないと思う。AA へ は 192.168.5.1 へのアクセスである。 PC からはあくまでも 192.168.1.2 へしかアクセ スできないはずなので。 インタ−ネット □BB : |.1 ------------------------ 192.168.6.0 |.2 □AA NAT----------.2 |.1 |FireWall|-------- 192.168.5.0 CC□ ---------- △PC |.3 |.2 |.7 ------------------------ 192.168.1.0 >route add 0.0.0.0 192.168.1.2 デフォルト経路を設定する。 >route -f コマンドで設定した経路情報を消去する。 >netstat -rn Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.2 192.168.1.7 10 127.0.0.1 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.1.0 255.255.255.0 192.168.1.7 192.168.1.7 10 192.168.1.7 255.255.255.255 127.0.0.1 127.0.0.1 10 192.168.1.255 255.255.255.255 192.168.1.7 192.168.1.7 10 224.0.0.0 240.0.0.0 192.168.1.7 192.168.1.7 10 255.255.255.255 255.255.255.255 192.168.1.7 192.168.1.7 1 Default Gateway: 192.168.1.2 ========================================================================= Persistent Routes: None > route delete 0.0.0.0 mask 0.0.0.0 192.168.1.2 > route add 192.168.1.2 mask 255.255.255.255 192.168.1.2 これで 192.168.1.2 は ping はいった、外には ping はいかなかった。 > route add 192.168.6.2 mask 255.255.255.255 192.168.1.2 更にこれを追加した、外には ping はいかなかった。 レイヤ3スイッチの ACL の機能をパソコンで確かめられないかと思ったのが、 そもそも できない相談だったのでないか。レイヤ3スイッチの本体の中でパケットのアクセス制御 によって制限をかける。それが経路制御になっている訳で。 ● タグVLAN下のネットワ−クトラブルの対応検討 `2g/03/E * タグVLANのテスト環境 △PC1 PC1のIPは192.168.10.2、DGは192.168.10.1。 VLAN11‖ .2|VLAN10 192.168.10.0 PC2のIPは192.168.20.2、DGは192.168.20.1。 VLAN12‖ |.1 --------------------- DG vlan-11 192.168.11.1 | ↑ (2) | <--- vlan-12 192.168.12.1 | |Layer 3 | ----------- △PC2 | |Switch |VLAN11,12 NAT|FortiGate|.1 |.2 | | (10)|〓〓〓〓〓〓〓〓〓〓〓| 80C |--------------- | |Cisco 3750 |↑ ↑|WAN LAN| 192.168.20.0 -----|--------------| |----------- | | | ここが VLAN11 で 192.168.11.1、 ここが VLAN11 で 192.168.11.2、 VLAN12 で 192.168.12.1 とみなす。 VLAN12 で 192.168.12.2 とみなす。 Cisco 3750 に telnet で入って ping 192.168.11.1、192.168.11.2 それに ping 192.168.12.1、192.168.12.2 をやってみる。応答があるはず。 FortiGate-80C の CLIコンソ−ルから、上に同じく4ヶ所に ping を打って みる。応答があるはず。ping 192.168.10.2 も行くはず。 パソコン PC1 から同じくやってみる。PC2 はVLANも何もしてないので 上記のところには ping は行かない。FortiGate-80C の設定に使うのみ。 FortiGate-80C の WAN インタ−フェ−ス名 wan1 は 192.168.9.1 と定義し た。80C 内と PC2 から ping 行った。3750 内から ping はだめ。 VLAN11 と VLAN12 を流れるパケットを FortiGate-80C にも来るようにして、おかしなパ ケットがないか調べることができるようにしたい。FortiGate-80C からは FortiAnalyzer にも解析用のパケットを送り、より詳しくパケットの様子を分かるようにしたい。80C の インタ−フェ−スは WAN で、ここにパケットが来るようにしたい。80C の LAN 側は関係 なしとする。80C のLAN 側はなくても構わないのだが、そういうことにできるのだろうか。 * レイヤ3スイッチの Cisco 3750 の設定 PC1> telnet 192.168.10.1 このパソコンは Windows XP。Windows 7だと User Access Verification DOS画面に telnet コマンドがない。 Password: Switch>enable Password: #conf t #vlan 10 VLANを1つ定義する。VLAN ID は 10 と #int vlan 10 する。#int gi 1/0/2 でこのVLANをポ− #ip address 192.168.10.1 255.255.255.0 ト 2 番に関連付ける。 #int gi 1/0/2 #switchport access vlan 10 #vlan 11 VLANを2つ定義する。VLAN 番号は 11と #int vlan 11 12 とする。相手装置の VLAN ID と番号を合 #ip address 192.168.11.1 255.255.255.0 わせること。 #vlan 12 #int vlan 12 #ip address 192.168.12.1 255.255.255.0 #int gi 1/0/10 2つのVLANをタグVLANとして定義す #switchport trunk encapsulation dot1q る。Cisco ではタグVLANのことをトラン #switchport trunk allowed vlan 11,12 クと呼ぶ。 #switchport mode trunk #vlan database 続いて #vlan 10, #vlan 11, #vlan 12 とや る。本当にこの操作はいるのかな。 #show run 現在の設定を出す。 * FortiGate-80C の設定 PC2 の Mozilla から FortiGate に http://192.168.20.1 にアクセスして設定 [システム]->[ネットワ−ク]->[インタ−フェ−ス] インタ−フェ−ス名 internal、タイプ 物理インタ−フェ−ス、 IP/ネットワ−クマスク 192.168.20.1/255.255.255.0 インタ−フェ−ス名 wan1、タイプ 物理インタ−フェ−ス、 IP/ネットワ−クマスク 192.168.9.1/255.255.255.0 << 何でも構わないのかな。 インタ−フェ−ス名 vlan-11、タイプ VLAN、インタ−フェ−ス wan1、VLAN ID 11 IP/ネットワ−クマスク 192.168.11.2/255.255.255.0 インタ−フェ−ス名 vlan-12、タイプ VLAN、インタ−フェ−ス wan1、VLAN ID 12 IP/ネットワ−クマスク 192.168.12.2/255.255.255.0 [ル−タ]->[スタティック]->[スタティックル−ト] IP/ネットワ−クマスク ゲ−トウェイ デバイス ここがミソ。デフォルトゲ ------------------------------------------------ −トウェイが複数作れると 0.0.0.0/0.0.0.0 192.168.11.1 vlan-11 は思ってなかった。ここに 0.0.0.0/0.0.0.0 192.168.12.1 vlan-12 気付くのに時間がかかった。 [ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] WAN 側でも vlan-11,12 の ▼internal - wan1 選択肢が出てくる。これも ---------------------------------------- 使って設定しないといけな 1 all all always ALL ACCEPT NAT有効 いのだろうか。分からん!。 * 実際のネットワ−ク接続装置の様子 建物Bの中でネットワ−クのトラブルが発生。全体でブラウザの応答などが遅くなってし まっているという状況。末端のハブなどでル−プは起こって無いものとする。どこかのパ ソコンが大量のパケットを建物Bの中のどこかに送っているのかも知れない。そのパソコ ンが VLAN 11 と 12 や 13 との間でパケットがやりとりされていれば、 レイヤ3スイッ チの Cisco 3750 に入っているはずである。ポ−ト(10)のパケットの様子をみることがで きれば、何か分かるかも知れない。確かそのようなコマンドがあったように思うが。レイ ヤ2スイッチでミラ−ポ−トを利用して、全部のパケットをあるポ−トに来るようにして そこに FortiGate を置くというのはどうか。 懇意にしている Fortinet 社のエンジニア さんによれば FortiGate に Virtual Wire Pair という機能があって、IPアドレスもい らないし、NATでも透明型でも使えて、便利で人気があると言うことである。 <建物A> <建物B> △PC1 VLAN11‖ .2|VLAN10 192.168.10.0 これらタグVLANで無線アクセスポイント。 VLAN12‖ |.1 VLAN11,12,13 -------------------- ‖ ‖ ■80C ←d | (2) | c→‖ ‖ ‖ | Layer 3 |タグVLAN ----------- △PC2 ただの | Switch |VLAN11,12,13 | Layer 2 |.1 |.2 VLAN | (10)|〓〓〓〓〓〓〓〓〓〓〓| Switch |------------- | Cisco 3750 | ↑ ↑ | | ↑ VLAN13 192.168.13.0 -------------------- |a a'| ----------- |b UTMを a または a' の位置に透過的に設置する。VLAN11,12,13 を流れるパケットを全 部これで監視する。b の位置に透過的に設置する、ここならタグVLANではないので設 定は通常の透過モ−ドでいい、直ぐに設置できるだろう。 しかし VLAN11,12 のパケット は来ないので監視としては不十分である。c の位置に透過的に設置する。d の位置に設置 する、ここはポ−トは空いていたとする、NATモ−ドで FortiGate-80C を設置する。