i_20220622 ワイヤレスLAN
- 半二重通信
- CSMA/CA「Carrier Sense Multiple Access with Collision Avoidance」でコリジョンを防ぐ
- 2.4GHz帯→障害物に強く、電波が遠くまで届きやすい
電波干渉が起こりやすいので不安定で速度低下が起きやすい。 - 5HzG帯→障害物が多いと電波が届きにくい
電波干渉が起こりにくく安定で高速通信が可能です。
<規格>
- 無線LANについてはIEEE 802.11で標準化が行われています。
(有線LAN(主にEthernet)の関連技術はIEEE 802.3で標準化が行われています) - アクセスポイントと通信機器は同じ規格で通信する必要がある。
| 規格 | 周波数帯 | 最大通信速度 |
|---|---|---|
| IEEE 802.11a | 5GHz 利用可能なチャネル数は20 チャネル間の重複がないため、 間隔を空ける必要がない | 54Mbps |
| IEEE 802.11b | 2.4GHz | 11Mbps/22Mbps |
| IEEE 802.11g | 2.4GHz | 54Mbps |
| IEEE 802.11n | 2.4GHz/5GHz | 65〜800Mbps |
| IEEE 802.11ac | 5GHz | 292.5M〜6.9Gbps |
| IEEE802.11 ( 無線LAN規格 ) の詳細 | ||
|---|---|---|
| IEEE802.11a | 伝送規格 | 5GHz帯での最大54Mbpsの無線LANの物理層仕様 |
| IEEE802.11b | 伝送規格 | 2.4GHz帯での最大11Mbpsの無線LANの物理層仕様 |
| IEEE802.11g | 伝送規格 | 2.4GHz帯での最大54Mbpsの無線LANの物理層仕様 |
| IEEE802.11i | セキュリティ | 802.11のMAC層を拡張し、セキュリティ機能と認証機構を強化するための仕様 |
| IEEE802.11e | QoS関連規格 | 802.11のMAC層を拡張し、QoS機能を追加するための仕様 |
| IEEE802.11n | 伝送規格 | 実効速度100Mbps以上の伝送速度を実現するための仕様(2009年9月標準化) |
| IEEE802.11ac | 伝送規格 | 802.11n後継の理論上6.93Gbpsの伝送速度を実現する仕様(2014年2月標準化) |
| IEEE802.11r | 認証の際にFT(Fast Transition)と呼ばれる高速認証プロトコルを利用することで、高速ローミングが可能となっています。 |
| 2.4GHz | ・障害物に強い ・遠くまで届く ・電波干渉が起きやすい⇒不安定、速度が低下しやすい |
| 5GHz | ・障害物に弱い ・通信距離が長くなると電波が弱くなりやすい ・電波干渉が起きにくい⇒安定、高速通信 |
アドホックモード
- 無線LANクライアントが相互に接続して通信する方式です。
- APを使用しない
- IBSSとも呼ばれる
インフラストラクチャモード
- 無線LANアクセスポイント(AP)を設置しAPを経由して接続する方式です。
BSS
1台のAPとAPに接続するクライアントで構成されたネットワークを、BSS(Basic Service Set)といいます。
ESS
複数台のAPを設置し、複数のBSSで構成された無線LANのネットワークをESS(Extended Service Set)といいます。
周波数帯
【アクセスポイント設定の注意点】
- カバレッジホール(通信できないエリア)ができないようにする
- オーバーラップ(周波数の重なり)ができないようにチャンネルを割り当てる
<覚え方:b5のノートは4g>
| 規格 | オーバーラップをさせないチャンネル |
|---|---|
| IEEE802.11b | 5ch以上あける |
| IEEE802.11g | 4ch以上あける |
| 高速通信技術 | |
|---|---|
| mimo | 送信側と受信側がそれぞれ複数のアンテナを用意し、同時刻に同じ周波数で複数の異なる信号を送受信できるようにするもの。 |
| チャンネルボンディング | 複数の通信チャネルをまとめて一つの通信に使用することで通信の高速化を図る技術 |
RF
RF(Radio Frequency)とは、電波や電気信号のうち、無線通信で使用する周波数。
DCA
- WLCの機能の一つ
- オーバーラップ(周波数の重なり)が起きないよう動的にチャンネルをAPに割り当てる
- 電波強度・干渉・ノイズ・負荷・利用率を解析する
AP
AP(アクセスポイント)は電波を使って無線LANクライアントと通信を行うデバイスです。無線LANクライアントは有線LANに繋がったAPを経由して、有線LANに接続します。
ローミング
無線LANクライアントが接続中のAPから別のAPに接続し直すこと
ダイナミックアンカー
異なるサブネットに属しているAPへローミングするとき、ローミング前と同じIPアドレスを使用した通信を可能にする機能
WDS
WDS(Wireless Distribution System)はAP同士を無線接続する機能を指します。
- 複数の有線LANを無線接続する
- リピーター(中継機)として使用する。無線接続エリアを広げたり、電波の死角となっている場所へ電波を届けることができます。
802.11w
管理フレームの保護を目的としたIEEE規格は、802.11wです。
<IEEE802.11のMACフレーム>
- 制御フレーム(送信要求、応答要求)
- 管理フレーム
- データフレーム
管理フレーム
| 管理フレームのサブタイプ | 内容 |
|---|---|
| ビーコンフレーム | APが無線LANクライアントにSSIDなどを知らせるフレーム |
| プローブ要求フレーム | ネットワークを見つけるため無線LANクライアントが送信するフレーム |
| プローブ応答フレーム | プローブ要求フレームにAPが応答するフレーム |
| 認証フレーム | |
| 関連付け要求フレーム (アソシエーション要求) | APに接続を要求するフレーム |
| 関連付け応答フレーム (アソシエーション応答) | 関連付け要求フレームに応答するフレーム |
| 再関連付け要求フレーム | ローミングにより別のAPに接続を要求するフレーム |
- クライアント ← ビーコン ← AP
- クライアント → プローブ要求 → AP
(ビーコンを受信できなかった場合) - クライアント ← プローブ応答 ← AP
- クライアント → 認証要求 → AP
- クライアント ← 認証応答 ← AP
- クライアント → アソシエーション要求 → AP
- クライアント ← アソシエーション応答 ← AP
ワイヤレスLANのセキュリティ
ワイヤレスLANのセキュリティには4つの規格があります。
- WEP
- WPA
- WPA2…現在最も普及。
- WPA3…SAEという新しい認証方式
WPA3
- 認証方式にSAEを使用
- 前方秘匿性(前方秘匿性とは、鍵交換プロトコルに要求される性質の一つで、鍵交換に使った秘密鍵が漏えいしたとしても、過去の暗号文は解読されないという性質のこと)
- PMFの必須化
- 地所攻撃への耐性
【無線LANで使われる主なセキュリティ規格】
| 規格 | WEP | WPA | WPA2 | WPA3 |
|---|---|---|---|---|
| 暗号化方式 | TKIP(必須)または、 CCMP(任意) | CCMP(必須)または、 TKIP(任意) | GCMP | |
| 暗号化アルゴリズム | RC4 | RC4 | AES | AES |
| 整合性の検証 | CRC32 | MIC | CCM | |
| 認証方式 | IEEE802.1X(EAP) | IEEE802.1X(EAP) PSK認証 | IEEE802.1X(EAP) PSK認証 | IEEE802.1X(EAP) SAE認証 |
| 改ざん検出 (MIC) | Michael | CBC-MAC | GMAC | |
| セキュリティレベル | △ | ○ | ◎ |
【認証方式の別名】
PSK認証、SAE認証 ⇒ WPAパーソナル
IEEE802.1X(EAP)⇒ WPAエンタープライズ
Enhanced Open
- 主に飲食店やホテルなどの公衆Wi-Fiで使用されるセキュリティ規格です。WPA3の拡張機能として分類されます。
- パスワード認証は不要でネットワーク接続の容易さを維持しながら、尚且つ安全な通信を実現することができる。
- OWE(Opportunistic Wireless Encryption)という技術を用いて通信の暗号化を行います。
PSK
PSK(Pre-Shared Key)はユーザー認証方式です。PSKで採用されている暗号化アルゴリズムはAESで、暗号化キーの長さは128ビット/192ビット/256ビットをサポートしています。ビット数が大きほど暗号化強度は高くなります。
<PSKのパスワード文字列のフォーマット>
- HEX‥‥16進数(Hexadecimal)を意味し、0〜9、A〜Fで64桁
- ASCLL‥‥半角英数字で8〜63文字
AES
- AESは第三者による解読は不可能と言われている暗号化アルゴリズム
- RC4よりも暗号化強度は強いAES > RC4
- 暗号化キーの長さが大きいほど強度は強くなります。128ビット/192ビット/256ビット
IEEE802.1X
IEEE802.1Xとは、有線LANや無線LANにおけるユーザ認証の規格です。
IEEE802.1X認証を行うためにはサプリカント、認証装置、認証サーバの3つの構成要素が必要となります。
| 構成要素 | 説明 |
|---|---|
| サプリカント (Supplicant) | IEEE802.1Xにおけるクライアントのこと。またはクライアントにインストールするソフトウェア。 認証を受けるクライアントはPCにインストールする必要があるが、最近のPCには標準搭載されている。 |
| 認証装置 (Authenticator) | サプリカントと認証サーバの仲介役となるネットワーク機器。IEEE802.1X対応のLANスイッチまたは 無線LANアクセスポイントのこと。これらの機器はサプリカントと認証サーバとの認証結果を受けて、 ネットワークへのアクセス制御を行う。Ciscoは有線/無線LANスイッチともにIEEE802.1Xに標準対応。 |
| 認証サーバ (Authentication Server) | ユーザ認証を行うサーバのこと。IEEE802.1X/EAPに対応したRadiusサーバを使用する。 |
EAP
EAPは、IEEE802.1xで採用されている認証用のプロトコルです。
<EAPの認証方式>
| 認証方式 | クライアント 証明書 | サーバ 証明書 | セキュリティ レベル | 認証方法 |
|---|---|---|---|---|
| LEAP | 不要 | 不要 | △ | クライアントとサーバがIDとパスワードを使用して相互に認証する |
| EAP-FAST | 不要 | 不要 | ○ | クライアントとサーバがPAC(Protected Access Credential)を使用して相互に認証する |
| EAP-TLS | 必要 | 必要 | ◎ | クライアントとサーバが電子証明書によって相互に認証する |
| PEAP | 不要 | 必要 | ○ | クライアントはユーザIDとパスワードで認証サーバは電子証明書によって認証する |
Cisco無線LANソリューション
<Ciscoが提供する、WLANで使用するAPには以下の2種類があります。>
分散管理型
分散管理型で使用されるAPのことを、Autonomous AP(自律型AP)といいます。
- 家庭用やSOHO(Small Office/Home Office)環境
- <SOHO>
- 小規模ネットワークになる
- 様々な機能をあわせ持ったルータが適している
- 外部へのアクセスにはブロードバンド回線が適している
- <SOHO>
- 個々のAPが独立して動作し、管理者はそれぞれのAPに対してSSIDやセキュリティの設定などを行います。
- GUIを使用して自律型APにアクセスする際、事前に管理IPアドレスの設定が必要
- <SSHでのログイン>
最新のIOSではSSHバージョン1、2のどちらもサポートしており、バージョン指定しない場合はバージョン2が使用されます。
<ログイン方法>
- Console Portへの直接接続(CLI操作)
- Telnet/SSHを使ったリモート接続(CLI操作)
- HTTP/HTTPSを使ったリモート接続(ブラウザを使ったGUI操作)
集中管理型
- 大規模環境(エンタープライズ)向けの管理ソリューションです。
- シスコ無線LANコントローラ(WLC)とLightweight AP(集中管理型AP)の2つのコンポーネントで構成されています。
DHCP option43
DHCP option43を利用することで、APにWLCの管理インターフェースのIPアドレスを教えることができます。
<通信の流れ>
- LAPは、無線LANクライアントから電波によってデータを受けとる
- LAPは受信したデータをCAPWAPでカプセル化してWLCに転送する
- WLCはCAPWAPカプセル化を解除し、SSIDに対応したVLAN番号をデータに付加して有線LANに転送する
- スイッチは付加されているVLANにしたがって適切なネットワークに転送する
- WLCとスイッチ間は複数のVLANを通すためにトランクリンクにする必要があります。
- LAPとスイッチとWLCはそれぞれLANケーブルで接続します。
LAG
<WLCとスイッチ間のLAG(Link Aggregation Group)>
スプリットMACアーキテクチャ
スプリットMAC(Media Access Control)アーキテクチャとは、アクセス制御の役割をAPとWLANコントローラで分割(スプリット)する方式です。
シスコ無線LANコントローラ
シスコ無線LANコントローラー(Cisco WLC:Wireless LAN Controller)
<シスコ無線LANコントローラの推奨設定>
- PSKではなくIEEE 802.1Xを使用
- トランクポートでは必要なVLANのみ許可
- コントローラの内部DHCPを無効にする
- 隣接APには異なるチャネルを割り当てる
WLANの作成では次の2つのパラメータを設定する必要があります。
- プロファイル名
- SSID‥Lightweight APに割り当てるSSID
※<BSSIDとESSID>
・BSSID(BSS IDentifier)は無線ネットワーク識別子の1つで、48ビットの数値で構成されます。BSSIDは通常、APのMACアドレスと同じものになります。
・ESSID(ESS IDentifier)は無線ネットワーク識別子の1つで、最大32文字までの任意の英数字を設定できます。
無線LANクライアントを扱うユーザは、ESSIDを選択して無線ネットワークに接続します。
なお、「SSID」と呼ぶ場合は一般的に「ESSID」を指しています。
- LAPは自身のIPアドレスの取得を試みます
- 自身のIPアドレスが取得できた場合次のいずれかの方法でWLCのIPアドレスを検出し、WLCへのjoinを試みます
- DHCPオプション43
- DNSによるcisco-capwap-controllerの名前解決
- WLCを検出するブロードキャストをサブネットに送信
- 静的に指定されたIPアドレスを使用
Lightweight APには、FlexConnectと呼ばれる動作モードが用意されています。FlexConnectで動作しているLightweight APはWLCとの接続が切断された状態でも、クライアントの認証や、クライアントデータのスイッチング処理をLightweightで行うことができ、引き続きサービスを提供することが可能です。
| モード | 概要 |
|---|---|
| Local | ・LAPのデフォルトのモード ・電波を使って無線LANクライアントとデータを送受信する ・無線通信に1つのチャネルを利用し、他のチャネルとの干渉を監視する |
| FlexConnect (Hybrid REAP) | ・WAN経由でWLCと接続するときに使用するモード ・WLCとの接続が切断された場合でも対応可能(ローカルスイッチング) |
| Monitor | 不正なAPの検出、および侵入検知(IDS)用の専用センサーやRFIDタグ追跡用のセンサーとして動作するモード |
| Rogue Detector | 有線ネットワーク上に不正なAPやクライアントがいない監視するモード |
| Sniffer | 特定のチャネル上のすべてのパケットを収集して、指定したデバイスに送信するモード |
| Bridge | ・APがブリッジとして動作するモード ・メッシュネットワークでの距離が離れたAPの中継などに利用する |
| SE-Connect | スペクトラムアナライザ専用モード (無線電波の干渉などの状況を調べるモード) |
CAPWAP
無線アクセスポイントとWLC間(WLCとLAPとの間)で、無線LANクライアントのデータや制御情報の送受信で使用されるプロトコル。
WLCとLightweight APの間のCAPWAPによる接続は、CAPWAPトンネルと呼ばれます。
SSIDブロードキャスト
SSIDブロードキャストとは、APが自身のSSIDを無線LANクライアント側に表示させるためにビーコン信号を発信する機能のことです。
【WLCのセキュリティ設定】
| レイヤ | パラメータ |
|---|---|
| Layer2 | なし(None) WPA+WPA2 802.1X 静的WEP |
| Layer3 | なし(None) Web Policy |
CPU ACL
CPU ACLでは次のようなトラフィック、アクセスの制御が可能です。
- SNMP、HTTPS、SSH、Telnetなどの管理プロトコル
- RADIUSやDHCPなどのネットワークサービスプロトコル
【Cisco無線LANコントローラ(WLC)には管理用の特別なポートやインターフェイスが用意されています。】
物理ポート
| コンソールポート | ・コンソールケーブルによりPCと接続 ・WLCの設定や障害対応を行うために使われる |
| ディストリビューション システムポート | ・LANケーブルによりスイッチと接続(スイッチ側はトランクポート) ・通常のトラフィックや管理トラフィックを送受信するために使われる ・LAGに対応 |
| サービスポート | ・LANケーブルによりスイッチと接続(スイッチ側はアクセスポート) ・ネットワークの緊急時のシステムの復旧とメンテナンスで使用する ・アウトオブバンド管理(通常トラフィックは流さない)なのでディストリビューションポートで服装などがあっても影響を受けない ・離れた場所からWLCを操作 |
| 冗長ポート | ・LANケーブルによりWLCと接続 ・大規模なネットワークでWLCを冗長化するために使われる |
- ディストリビューションシステムポート…スイッチとWLCを接続するための物理ポート
- サービスポート…WLCを制御するための管理専用ポート、管理用と通常のトラフィックを完全に分離することができる。(out-of-band)
論理インターフェイス
| インターフェイス | 特徴 |
|---|---|
| Service Port インターフェイス | サービスポートとの関連付されるインターフェイス |
| Management インターフェイス (管理インターフェイス) | ・WLCやLightweight APの管理に使用 ・Pingの宛先や、WLC間の通信の制御などで使用 |
| APマネージャインターフェイス | このインターフェイスに割り当てられたIPアドレスは、Lightweight APがクライアントのフレームをCAPWAPでカプセル化して転送する際の宛先IPアドレスとして使用される。 |
Virtual インターフェイス (仮想インターフェイス) | ・WLCのモビリティー機能で使用される。(モビリティー機能とは、複数のWLCでグループ構成し、クライアント情報などを共有する機能。) ・代理DHCPサーバや、Web認証などの宛先になる仮想的のインターフェイス |
| Dynamic インターフェイス (動的インターフェイス) | SSIDとVLANのマッピングを行うインターフェイス |
GUIメニュー
- WLCはコンソールポートを使った CLI(コマンドラインインターフェイス)による操作や、ブラウザを使った GUIによる操作が可能です。
- CLIログインのタイムアウト値はデフォルトで「5分」
GUIを使用して自立型APにアクセスする際、管理IPアドレスの設定必要
- MONITOR …WLC・LAP・無線LANクライアントの情報を確認できます。
- CONTOROLLER …WLCのインターフェースの設定などを行えます。
- WLANs …WLANに割り当てるプロファイル名や SSIDなどの設定を行えます。「Band Select」機能を使用することで、アクセスポイントと無線LANクライアントがデュアルバンドに対応している場合に、5GHz帯の周波数を優先的に使用する
- Layer 2タブ …WPA2-PSK
- Layer 3タブ …Web認証の有効化/無効化
- Advancedタブ …AAAオーバライドの設定を有効 ⇒RADIUSサーバが持つユーザ情報に基づいてユーザを特定のVLANに動的に割り当てることができます。
- Layer 2タブ …WPA2-PSK
- WIRELESS …LAPの設定を行えます。
- SECURITY …RADIUSサーバの宛先指定などのセキュリティに関する設定を行えます。
- MANAGEMENT …HTTP/HTTPSによるWLCへのアクセスを許可/拒否などの WLC自体の管理に関する設定を行えます。
- COMMANDS …WLCへのコンフィグのダウンロードや、WLCからのコンフィグのアップロードなどの操作が行えます。
PMF
PMF(Protected Management Frame)はWLCで管理フレームのセキュリティを強化するためのサービスです。PMFの設定では以下の2つのパラメータを指定します。
- Combackタイマー…関連付け要求を拒否されたクライアントが再度要求を施行するまでに待機する時間
- SAクエリタイムアウト…WLCがSAクエリプロセス(なりすましのアソシエーション要求を拒否するために正当なクライアントとWLCの間で行われるやりとり)の待機する時間
シスコ3階層
Cisco Meraki
Cisco Merakiとは、自律型アクセスポイント(AP)を始めとしたネットワーク機器の設定やネットワークの管理をクラウド上で行うシステムです。
- クラウド上でネットワークを管理するシステムである
- GUIで操作できる
- 通常のAPを導入するには、APにコンソールケーブルを接続してCLIで設定を行う必要があります。
- クラウド管理型の場合、LANケーブルを差し込みインターネットに接続するだけで、クラウド管理システムに事前に設定された情報を取得、自動で設定を適用しAPが利用可能になります(ゼロタッチ)。