無線LANクライアントと無線LANアクセスポイントの接続
有線LANであれば、クライアントコンピュータのNICとハブやスイッチのイーサ ネットポートをUTPケーブルで接続します。無線LANでは、無線LANクライアン トとアクセスポイントは「アソシエーション」というプロセスで接続します。
アソシエーションには、SSID(Service Set Identifier)が必要です。SSIDとは、 無線LANの論理的なグループを識別する識別情報です。あらかじめ無線LANアク セスポイントには、最大32文字の文字列でSSIDを設定します。SSIDは ESSID(Extended Service Set Identifier)と呼ぶこともあります。ESSIDは複 数のアクセスポイントをまたがった無線LANの論理的なグループです。このテ キストでは、単純にSSIDと記述していますが、複数のアクセスポイントにまた がった論理的な無線LANのグループとして考えています。
※1つのアクセスポイントに複数のSSIDを設定することも可能です。SSIDごと に認証や暗号化などのセキュリティの設定が可能です。
無線LANクライアントは、アクセスポイントが出している制御信号(ビーコン)
から利用可能な周波数(チャネル)を探します。利用可能なチャネルがわかれば、
SSIDを指定して無線LANアクセスポイントにアソシエーション要求を出します。
無線LANアクセスポイントは、アソシエーション応答で接続の可否を通知します。
ここまでのプロセスで無線LANクライアントは無線LANアクセスポイントに接続 します。有線LANにおいてUTPケーブルをハブやスイッチのイーサネットポート に接続することに相当します。また、無線LANアクセスポイントに認証の設定 がされていれば、アソシエーション後に認証のプロセスを行います。
無線LANアクセスポイントにアソシエーションした無線LANクライアントがデー タを送信するときは、CSMA/CAに従います。CSMA/CAでデータ送信可能であるこ とを確認すれば、IPなどのレイヤ3のパケットにIEEE802.11のヘッダを付加し て、電波に載せて無線LANアクセスポイントへ送信します。
SSIDとVLANのマッピング
SSIDは、1つのアクセスポイントで複数設定することができます。SSIDごとに
無線LANのポリシーを変えることができます。無線LANのポリシーとは、認証方
式や暗号化方式などのセキュリティ設定や利用する無線周波数帯、電波出力な
どの各種無線LANのパラメータを意味しています。
SSIDを複数設定しておいて、それを使い分けることで無線LANクライアントの
制御を柔軟に行うことができます。たとえば、アクセスポイントに社内用SSID
とゲスト用SSIDを設定します。社内用SSIDには強固なセキュリティ設定をして
おき、ゲスト用SSIDにはセキュリティ設定しないでおきます。社内にゲストを
迎えたときは、ゲスト用SSIDを利用してインターネットへの閲覧を可能にする
などの使い方ができます。
SSIDごとの無線LANクライアントの制御をより確実に行うためには、さらにア
クセスポイントでSSIDとVLANのマッピングを設定します。SSIDを特定のVLANに
マッピングすれば、無線LANクライアントが所属するサブネットを指定するこ
とができます。
SSIDとVLANのマッピングをして、アクセス制御する例として次の図の構成を考
えます。
社内用SSIDとして「Internal」を設定し、VLAN100(192.168.1.0/24)と対応づ
けます。社内用SSIDなので、セキュリティをきちんと考慮してWPA2によるユー
ザ認証/暗号化の設定をしているものとします。SSID「Internal」でアクセス
ポイントにアソシエーションすると、クライアントは192.168.1.0/24のサブネ
ットに所属することになります。
また、ゲスト用SSIDとして「Guest」を設定し、VLAN200(192.168.2.0/24)と対
応づけます。ゲスト用SSIDは認証や暗号化など行わず、SSIDさえ知っていれば
アソシエーションできるようにします。「Guest」のSSIDでアソシエーション
すると、クライアントは192.168.2.0/24のサブネットに所属することになりま
す。
アクセスポイントとスイッチ間のリンクは、複数のVLANを多重化しなければい
けないのでIEEE802.1Qトランクの設定が必要です。
クライアントのサブネットがそれぞれ異なるので、あとはルータやレイヤ3ス イッチなどのパケットフィルタリングでアクセス制御が可能です。社内用の 192.168.1.0/24のサブネットからは社内LANおよびインターネット接続ができ るようにします。そして、ゲスト用の192.168.2.0/24のサブネットからはイン ターネット接続のみを許可するようにアクセス制御を行うといった具合です。
社内用についても、さらにいくつかのSSIDを設定してアクセス制御できます。 たとえば、無線IP電話用のSSIDを設定して、そのSSIDを特定のVLANとマッピン グすれば、無線IP電話だけが所属するサブネットを構築して、QoS制御などを 簡単に行うことも可能です。
以上のように、SSIDをVLANにマッピングすることで無線LANクライアントをさ まざまにグループ化して、暗号化や認証だけでなくサブネットごとのアクセス 制御ができるようになります。
