仮想アクセスポイント(VAP)は、イーサネットVLANと同等のワイヤレスである複数のブロードキャストドメインにワイヤレスLANをセグメント化します。VAPは、1つの物理WAPデバイスで複数のアクセスポイントをシミュレートします。Cisco WAP131では最大4つのVAPがサポートされ、Cisco WAP351およびWAP371では最大8つのVAPがサポートされます。
このドキュメントの目的は、WAP351、WAP131、およびWAP371アクセスポイントでVAPを設定する方法を示すことです。
・ WAP351
・ WAP131
・ WAP371
・ V1.0.0.39(WAP351)
・ V1.0.0.39(WAP131)
・ V1.2.0.2(WAP371)
注:各VAPは、ユーザ設定のService Set Identifier(SSID)によって識別されます。 複数のVAPに同じSSID名を設定することはできません。
注:ワイヤレスネットワークを機能させるには、設定したVAPが関連付けられている無線を有効にして、適切に設定する必要があります。詳細は、「WAP131およびWAP351の基本的な無線設定の構成」または、「WAP371の基本的な無線設定の構成」を参照してください
ステップ1:Web構成ユーティリティにログインし、[Wireless] > [Networks]に移動します。[Networks]ページが表示されます。
ステップ2:[Radio] フィールドで、VAPを設定するワイヤレス無線のオプションボタンを選択します。
ステップ3:新しいVAPを追加するには、[追加]をクリックします。新しいVAPがテーブルに表示されます。
注:WAP131は最大4つのVAPをサポートし、WAP371およびWAP351は最大8つのVAPをサポートします。
ステップ4:VAPの編集を開始するには、テーブルエントリの左端にあるチェックボックスをクリックし、[Edit]をクリックします。これにより、選択したVAPのグレー表示フィールドを変更できます。
ステップ5:VAPの使用を有効にするには、[有効]チェックボックスがオンになっていることを確認してください。
ステップ6:[VLAN ID]フィールドで、VAPに関連付けるVLAN IDを指定します。WAP131またはWAP371を使用している場合は、VLAN IDを入力します。入力できる最大値は4094です。
注:入力するVLAN IDは、ネットワーク上に存在し、正しく設定されている必要があります。詳細については、『WAP351アクセスポイントでのVLAN設定』、『WAP131でのタグ付きVLAN IDおよびタグなしVLAN IDの管理』または『WAP371でのタグ付きVLAN IDIDののの管理』を確認』を参照してください。
ステップ7:[SSID Name]フィールドにワイヤレスネットワークの名前を入力します。各VAPには一意のSSID名が必要です。
ステップ8:クライアントにSSID名をブロードキャストする場合は、[SSIDブロードキャスト]チェックボックスをオンにします。これにより、使用可能なネットワークのリストにあるクライアントにSSID名が表示されます。
ステップ1:[Security]ドロップダウンリストから、VAPへの接続に必要な認証方法を選択します。[なし]以外のオプションを選択すると、追加のフィールドが表示されます。
使用可能なオプションは次のとおりです。
•None
•スタティック WEP
・ダイナミックWEP
・ WPAパーソナル
・ WPA Enterprise
注:WPA PersonalおよびWPA Enterpriseは、最大限のセキュリティを実現するために推奨される認証タイプです。Static WEPおよびDynamic WEPはレガシー機器でのみ使用し、使用する無線モードを802.11aまたは802.11b/gに設定する必要があります。詳細は、「WAP131およびWAP351の基本的な無線設定の構成」または「WAP371の基本的な無線設定の構成」を参照してください。
Static WEPは、最もセキュアでない認証方式です。スタティックキーに基づいてワイヤレスネットワークのデータを暗号化するこの静的キーを不正に取得するのは簡単になったため、WEP認証はレガシーデバイスで必要な場合にのみ使用する必要があります。
注:セキュリティ方式としてStatic WEPを選択すると、プロンプトが表示され、セキュリティ方式の選択が非常に安全ではないことが通知されます。
ステップ1:[Transfer Key Index] ドロップダウンリストで、デバイスがデータの暗号化に使用するキーのリストからWEPキーのインデックスを選択します。
ステップ2:キー長フィールドからラジオボタンを選択して、キーの長さが64ビットか128ビットかを指定します。
ステップ3:[Key Type]フィールドで、キーをASCII形式または16進形式のどちらで入力するかを選択します。ASCIIには、キーボードに存在するすべての文字、数字、記号が含まれます。16進数では、数字または文字A ~ Fのみを使用する必要があります。
ステップ4:[WEP Keys]フィールドに、デバイスに対して最大4つの異なるWEPキーを入力します。このネットワークに接続する各クライアントは、デバイスで指定された同じスロットに同じWEPキーを1つ持っている必要があります。
ステップ5:(オプション)キーの文字列を表示する場合は、「クリアテキストとしてキーを表示」フィールドのチェックボックスをオンにします。
注:WAP351、WAP131、またはWAP371で別のファームウェアを使用している場合は、[Show Key as Clear Text]フィールドが表示されない可能性があります。
ステップ6:[802.1X Authentication]フィールドで、[Open System]または[Shared Key]オプションを選択して、使用する認証アルゴリズムを指定します。認証アルゴリズムは、Static WEPがセキュリティモードの場合に、クライアントステーションがWAPデバイスとの関連付けを許可するかどうかを決定するために使用する方法を定義します。
使用可能なオプションは次のように定義されます。
・オープンシステム:認証により、クライアントステーションが正しいWEPキーを持っているかどうかに関係なく、すべてのクライアントステーションをWAPデバイスに関連付けることができます。このアルゴリズムは、プレーンテキスト、IEEE 802.1X、およびWPAモードで使用されます。認証アルゴリズムが[Open System]に設定されている場合、どのクライアントもWAPデバイスに関連付けることができます。
・共有キー:認証では、クライアントステーションがWAPデバイスに関連付けるために正しいWEPキーを持っている必要があります。認証アルゴリズムがShared Keyに設定されている場合、誤ったWEPキーを持つステーションはWAPデバイスと関連付けることができません。
・オープンシステムと共有キー:これらの認証アルゴリズムの両方を選択した場合、共有キーモードでWEPを使用するように設定されたクライアントステーションは、WAPデバイスと関連付けるために有効なWEPキーを持っている必要があります。また、オープンシステムとしてWEPを使用するように設定されたクライアントステーション(共有キーモードが有効になっていない)は、正しいWEPキーを持っていなくてもWAPデバイスに関連付けることができます。
ステップ7:[Save]をクリックします。
ダイナミックWEPは、802.1xテクノロジーと拡張認証プロトコル(EAP)の組み合わせを指します。 このモードでは、ユーザの認証に外部RADIUSサーバを使用する必要があります。WAPデバイスには、Microsoft Internet Authentication ServerなどのEAPをサポートするRADIUSサーバが必要です。Microsoft Windowsクライアントと連携するには、認証サーバがProtected EAP(PEAP)およびMSCHAP v2をサポートする必要があります。証明書、Kerberos、公開キー認証など、IEEE 802.1Xモードでサポートされるさまざまな認証方式を使用できますが、クライアントステーションを設定します。
ステップ1:デフォルトでは、[Use global RADIUS server settings]にチェックマークが付いています。別のRADIUSサーバセットを使用するようにVAPを設定する場合は、このチェックボックスをオフにします。それ以外の場合は、ステップ8に進みます。
ステップ2:[サーバIPアドレスの種類]フィールドで、WAPデバイスが使用するサーバIPアドレスの種類を選択します。オプションはIPv4またはIPv6です。IPv4では、ドット付き10進表記で表される32ビットの2進数を使用します。IPv6では、16進数とコロンを使用して、128ビットの2進数を表します。WAPデバイスは、このフィールドで選択したアドレスタイプのRADIUSサーバにのみ接続します。[IPv6]を選択した場合は、ステップ4に進みます。
ステップ3:ステップ2で[IPv4]を選択した場合は、すべてのVAPがデフォルトで使用するRADIUSサーバのIPアドレスを入力します。次に、ステップ5に進みます。
注:最大3つのIPv4バックアップRADIUSサーバアドレスを設定できます。プライマリサーバで認証が失敗すると、設定された各バックアップサーバが順番に試行されます。
ステップ4:ステップ2でIPv6を選択した場合は、プライマリグローバルRADIUSサーバのIPv6アドレスを入力します。
注:最大3つのIPv6バックアップRADIUSサーバアドレスを設定できます。プライマリサーバで認証が失敗すると、設定された各バックアップサーバが順番に試行されます。
ステップ5:[Key-1]フィールドに、WAPデバイスがプライマリRADIUSサーバへの認証に使用する共有秘密キーを入力します。
ステップ6:[Key-2 to Key-4]フィールドに、設定されたバックアップRADIUSサーバに関連付けられたRADIUSキーを入力します。サーバIPアドレス2はキー2、サーバIPアドレス3はキー3、サーバIPアドレス4はキー4を使用します。
ステップ7:(オプション)[Enable RADIUS Accounting]フィールドで、特定のユーザが消費したリソースの追跡と測定を有効にする場合は、チェックボックスをオンにします。RADIUSアカウンティングを有効にすると、システム時間と送受信されるデータの量が追跡されます。情報はRadiusサーバに保存されます。これは、プライマリRADIUSサーバとすべてのバックアップサーバで有効になります。
注:RADIUSアカウンティングを有効にしている場合は、プライマリRADIUSサーバとすべてのバックアップサーバで有効になります
ステップ8:[Active Server]フィールドでアクティブな最初のサーバを選択します。これにより、WAPデバイスが設定された各サーバに順番に接続し、アクティブな最初のサーバを選択するのではなく、アクティブなRADIUSサーバを手動で選択できます。
ステップ9:[Broadcast Key Refresh Rate] フィールドで、このVAPに関連付けられているクライアントのブロードキャスト(グループ)キーが更新される間隔を入力します。デフォルト値は 300 秒です。
ステップ10:[Session Key Refresh Rate] フィールドに、VAPに関連付けられた各クライアントのセッション(ユニキャスト)キーをWAPデバイスが更新する間隔を入力します。デフォルト値は 0 です。
WPA Personalは、AES-CCMPおよびTKIP暗号化を含むWi-Fi Alliance IEEE 802.11i標準です。WPAでは、エンタープライズWPAセキュリティモードで使用されるIEEE 802.1XおよびEAPではなく、事前共有キー(PSK)を使用します。PSKは、クレデンシャルの初期チェックにのみ使用されます。WPAはWPA-PSKとも呼ばれます。このセキュリティモードは、元のWPAをサポートするワイヤレスクライアントに対して下位互換性があります。
ステップ1:[WPA Versions]フィールドで、WPA-TKIPを有効にする場合、[WPA-TKIP]チェックボックスをオンにします。WPA-TKIPとWPA2-AESを同時に有効にできます。WAPは常にWPA2-AESをサポートしているため、設定できません。
使用可能なオプションは次のように定義されます。
・ WPA-TKIP:ネットワークには、元のWPAおよびTKIPセキュリティプロトコルのみをサポートするクライアントステーションがあります。最新のWiFi Alliance要件に従って、WPA-TKIPのみを選択することは推奨されません。
・ WPA2-AES:ネットワーク上のすべてのクライアントステーションがWPA2およびAES-CCMP暗号化/セキュリティプロトコルをサポートします。このWPAバージョンは、IEEE 802.11i規格に準拠した最高のセキュリティを提供します。最新のWiFi Alliance要件に従って、APはこのモードを常にサポートする必要があります。
・ WPA-TKIPとWPA2-AES:ネットワークにクライアントが混在している場合は、クライアントの中にWPA2をサポートするものもあれば、元のWPAのみをサポートするものもあります。両方のチェックボックスをオンにします。この設定では、WPAとWPA2のクライアントステーションの両方が関連付けと認証を行うことができますが、これをサポートするクライアントにはより堅牢なWPA2が使用されます。このWPA設定により、一部のセキュリティに代わる相互運用性が向上します。
注:WAPデバイスと関連付けできるようにするには、WPAクライアントに次のキー(有効なTKIPキーまたは有効なAES-CCMPキー)のいずれかが必要です。
ステップ2:[Key]フィールドで、WPAパーソナルセキュリティの共有秘密キーを入力します。8文字以上63文字以下で入力してください。
注:使用できる文字は、大文字と小文字のアルファベット、数字、および特殊文字(?!/\@#$%^&*)です。
ステップ3:(オプション)入力したテキストを表示する場合は、「クリアテキストとしてキーを表示」チェックボックスをオンにします。デフォルトでは、このチェックボックスはオフになっています。
注:WAP351、WAP131、またはWAP371で別のファームウェアを使用している場合は、[Show Key as Clear Text]フィールドが表示されない可能性があります。
注:Key Strength Meterフィールドは、WAPデバイスがキーを複雑さの基準(使用する文字の種類やキーの長さなど)と照合する場所です。WPA-PSK複雑度チェック機能が有効になっている場合、キーは最小基準を満たしていない限り受け入れられません。WPA-PSKの複雑度の詳細については、『WAP131、WAP351、およびWAP371のパスワード複雑度の設定』を参照してください。
ステップ4:[Broadcast Key Refresh Rate] フィールドで、このVAPに関連付けられているクライアントのブロードキャスト(グループ)キーが更新される間隔を入力します。デフォルト値は 300 秒です。
RADIUSを使用したWPA Enterpriseは、CCMP(AES)、およびTKIP暗号化を含むWi-Fi Alliance IEEE 802.11i標準の実装です。エンタープライズモードでは、ユーザを認証するためにRADIUSサーバを使用する必要があります。セキュリティモードは、元のWPAをサポートするワイヤレスクライアントと下位互換性があります。
注:ダイナミックVLANモードはデフォルトで有効になっており、RADIUS認証サーバがステーションに使用するVLANを決定できます。
ステップ1:[WPA Versions]フィールドで、サポートするクライアントステーションのタイプのチェックボックスをオンにします。これらはデフォルトで有効になっています。APは常にWPA2-AESをサポートしている必要があるため、設定できません。
使用可能なオプションは次のように定義されます。
・ WPA-TKIP:ネットワークには、元のWPAおよびTKIPセキュリティプロトコルのみをサポートするクライアントステーションがあります。最新のWiFi Alliance要件に従って、アクセスポイントに対してWPA-TKIPのみを選択することは許可されないことに注意してください。
・ WPA2-AES:ネットワーク上のすべてのクライアントステーションで、WPA2バージョンとAES-CCMP暗号化/セキュリティプロトコルがサポートされています。このWPAバージョンは、IEEE 802.11i規格に準拠した最高のセキュリティを提供します。最新のWi-Fi Alliance要件に従って、WAPはこのモードを常にサポートする必要があります。
・ Enable pre-authentication:WPA2のみ、またはWPAとWPA2の両方をWPAバージョンとして選択した場合、WPA2クライアントの事前認証を有効にできます。WPA2ワイヤレスクライアントが事前認証パケットを送信するようにするには、このオプションをオンにします。事前認証情報は、クライアントが現在使用しているWAPデバイスからターゲットWAPデバイスにリレーされます。この機能を有効にすると、複数のWAPに接続するローミングクライアントの認証を高速化できます。元のWPAはこの機能をサポートしていないため、WPAバージョンに対してWPAを選択した場合、このオプションは適用されません。
注:RADIUSでWPAを使用するように設定されたクライアントステーションには、次のアドレスとキーのいずれかが必要です。有効なTKIP RADIUSまたは有効なCCMP(AES)IPアドレスとRADIUSキー。
ステップ2:デフォルトでは、[Use global RADIUS server settings]にチェックマークが付いています。別のRADIUSサーバセットを使用するようにVAPを設定する場合は、このチェックボックスをオフにします。それ以外の場合は、ステップ9に進みます。
ステップ3:[サーバIPアドレスの種類]フィールドで、WAPデバイスが使用するサーバIPアドレスを選択します。オプションはIPv4またはIPv6です。IPv4では、ドット付き10進表記で表される32ビットの2進数を使用します。IPv6では、16進数とコロンを使用して、128ビットの2進数を表します。WAPデバイスは、このフィールドで選択したアドレスタイプのRADIUSサーバにのみ接続します。
ステップ4:ステップ2で[IPv4] を選択した場合は、すべてのVAPがデフォルトで使用するRADIUSサーバのIPアドレスを入力します。次に、ステップ6に進みます。
注:最大3つのIPv4バックアップRADIUSサーバアドレスを設定できます。プライマリサーバで認証が失敗すると、設定された各バックアップサーバが順番に試行されます。
ステップ5:ステップ2でIPv6を選択した場合は、プライマリグローバルRADIUSサーバのIPv6アドレスを入力します。
注:最大3つのIPv6バックアップRADIUSサーバアドレスを設定できます。プライマリサーバで認証が失敗すると、設定された各バックアップサーバが順番に試行されます。
ステップ6:[Key-1] フィールドに、WAPデバイスがプライマリRADIUSサーバへの認証に使用する共有秘密キーを入力します。
ステップ7:[Key-2 to Key-4]フィールドで、設定されたバックアップRADIUSサーバに関連付けられたRADIUSキーを入力します。サーバIPアドレス2はキー2、サーバIPアドレス3はキー3、サーバIPアドレス4はキー4を使用します。
ステップ8:(オプション)[Enable RADIUS Accounting]フィールドで、特定のユーザが消費したリソースの追跡と測定を有効にする場合は、チェックボックスをオンにします。RADIUSアカウンティングを有効にすると、特定のユーザのシステム時間と、送受信されるデータの量を追跡できます。
注:RADIUSアカウンティングを有効にすると、プライマリRADIUSサーバとすべてのバックアップサーバで有効になります。
ステップ9:[Active Server]フィールドでアクティブな最初のサーバを選択します。これにより、WAPデバイスが設定された各サーバに順番に接続するのではなく、アクティブなRADIUSサーバを手動で選択できます。
ステップ10:[Broadcast Key Refresh Rate]フィールドで、このVAPに関連付けられているクライアントのブロードキャスト(グループ)キーが更新される間隔を入力します。デフォルト値は 300 秒です。
ステップ11:[Session Key Refresh Rate]フィールドで、VAPに関連付けられた各クライアントのセッション(ユニキャスト)キーをWAPデバイスが更新する間隔を入力します。デフォルト値は 0 です。
[MAC Filter]は、このVAPにアクセスできるステーションが、設定されているMACアドレスのグローバルリストに制限されるかどうかを指定します。
ステップ1:[MAC Filter]ドロップダウンリストで、MACフィルタリングのタイプを選択します。
使用可能なオプションは次のように定義されます。
・ Disabled:MACフィルタリングを使用しません。
・ Local — MACフィルタリングの詳細については、「WAP351およびWAP131でのMACフィルタリングの設定方法」を参照してください。
・ RADIUS:外部RADIUSサーバのMAC認証リストを使用します。
チャネル分離が無効になっている場合、ワイヤレスクライアントはWAPデバイスを介してトラフィックを送信することで、互いに正常に通信できます。有効にすると、WAPデバイスは同じVAP上のワイヤレスクライアント間の通信をブロックします。WAPデバイスは、WDSリンクを介して、ネットワーク上の無線クライアントと有線デバイスの間のデータトラフィックを許可し、別のVAPに関連付けられている他の無線クライアントとの間のデータトラフィックは許可しません。
ステップ1:[Channel Isolation]フィールドで、[Channel Isolation]を有効にする場合は、チェックボックスをオンにします。
ステップ2:[Save]をクリックします。
注:新しい設定を保存した後、対応するプロセスを停止して再起動できます。この状況が発生すると、WAPデバイスの接続が失われる可能性があります。接続が失われてもワイヤレスクライアントに影響が最も少ない場合は、WAPデバイスの設定を変更することをお勧めします。
バンドステアはWAP371でのみ使用できます。バンドステアは、デュアルバンド対応クライアントを2.4 GHzバンドから5 GHzバンドにステアリングすることで、5 GHzバンドを効果的に利用します。これにより、デュアル無線をサポートしていないレガシーデバイスで使用できるように2.4GHz帯域が解放されます。
注:バンドステアを使用するには、5 GHz無線と2.4 GHz無線の両方を有効にする必要があります。無線を有効にする方法の詳細については、『WAP371での無線基本設定の設定方法』を参照してください。
ステップ1:バンドステアはVAPごとに設定し、両方の無線で有効にする必要があります。[バンドステア]を有効にするには、[バンドステア]フィールドのチェックボックスをオンにします。
注:時間に敏感な音声またはビデオトラフィックを使用するVAPでは、バンドステアは推奨されません。5 GHz無線が使用する帯域幅が少なくなっても、クライアントをその無線に誘導しようとします。
ステップ2:[Save]をクリックします。
ステップ1:削除するVAPのチェックボックスをオンにします。
ステップ2:[Delete]をクリックし、VAPを削除します。
ステップ3:[Save]をクリックし、削除を完全に保存します。