部署間のWi-FiセキュリティをタグVLANで解決

最近、オフィスではフリーアドレス（決まった自席がなく、空いている席で事務作業をこなす）が多くなってきましたね。

それを実現させるのに重要な役割を果たす無線LAN、Wi-Fiですが、従来は他の電波を扱う機器の影響で接続が切れたり、遅く不安定だったりと、とても実務で使えるものではありませんでした。
現在では機器の性能向上が素晴らしく、現在手に入る無線親機でしっかりしたものであればまず安定して使えます。

単なるフリーアドレスであれば一般的な無線親機の設定のみで済むところではありますが、今回頂いたご依頼では、アクセスポイントAだとインターネットだけ使用できて、社内のファイルサーバーやプリンタには接続できない、アクセスポイントBは社内ネットワークすべてに接続できる、といった制限をかけてほしいという依頼でした。

無線親機で多機能なものでも、無線に繋がっているデバイスごとの通信を遮断したり、同じSSIDでは機器同士の通信ができるけども別のSSIDとは通信できないといった設定はできますが、どの機器に接続できるか？までは制御できないですね。

これを実現するには、タグVLANという機能が必要となり、この制御を行うためにレイヤー2スイッチングハブという機器を導入することが一般的です。

このレイヤー2スイッチングハブ（以下L2ハブ）と無線アクセスポイントでVLANの制御を行うことにより、アクセスポイント名ごとに接続するネットワークを変えることができます。

 

幸いなことに、ご依頼頂きました事務所にはすでにL2ハブが導入され、インターネット専用としてビジネス用無線親機がありますので、VLANを構築するだけでご要望にお応えできるのか？を検証いたしました。

まずはネットワークの基幹部分、L2ハブを設定します。
今回用いたのはTP-Link TL-SG1016DE V3とBuffalo WAPM-1266Rになります。

L2ハブに接続する機器は以下の通りとします。

ポート1～2： 【VLAN ID：1】ルーター等基幹エリア
ポート3～12： 【VLAN ID：2】社内NAS、PCエリア。無線はACのみ。
ポート13～14： 【VLAN ID：3】社内NWと断絶されたエリア。無線はACとB/G/N。
ポート15～16： タグVLAN専用ポート

無線LAN親機の設定は以下の通りです。
制御ポート（コントロールを受け付ける）はVLAN ID： 2とする。(=ポート3～12)
CRETBIRD_A1： 社内ネットワークに接続可能なSSID。無線機器同士の接続も可能。
CRETBIRD_A2・G2： 社内ネットワークに接続できないSSID。無線機器同士の接続も許可されない。

まずはL2ハブの設定から行います。

注意すべき点は、インターネット専用で社内LANに接続しないネットワークにも実在のポートが必要であるということ。仮想ネットワークで組めるものだと勘違いしていたのでなかなか実現できませんでしたが、ポートを実際に割り当てたらすんなりできました。

こちららPVIDの設定。TAGGEDポートはすべてのVLANに含まれていますが、PVIDの設定ではVLAN ID：１に所属させます。

次に、無線親機のLAN＃２ポートに直接PCを接続して設定します。LAN＃１ポートはタグ VLANの設定行ってしまった途端に通信できなくなりますので＃２ポートを使います。

最後に、どのVLAN IDから管理ユーザーとしてログインするかを設定し、終了です。

基本的にはマルチプルVLANの考え方に、タグ VLAN用のポートが追加されたものと考えるとわかりやすいかと思います。

クレバードでは、タグVLAN・VPNを含むネットワークのご相談をお受けしております。お気軽にお問い合わせください。