WAP351、WAP131、およびWAP371でのVAPの設定

目的

仮想アクセスポイント(VAP)は、ワイヤレスLANを複数のブロードキャストドメインに分割します。これらのドメインは、イーサネットVLANに相当するワイヤレスです。VAPは、1台の物理WAPデバイスで複数のアクセスポイントをシミュレートします。Cisco WAP131では最大4つのVAPがサポートされ、Cisco WAP351およびWAP371では最大8つのVAPがサポートされます。

このドキュメントの目的は、WAP351、WAP131、およびWAP371アクセスポイントでVAPを設定する方法を示すことです。

適用可能なデバイス

・ WAP351

・ WAP131

・ WAP371

[Software Version]

・ V1.0.0.39 (WAP351)

・ V1.0.0.39 (WAP131)

・ V1.2.0.2 (WAP371)

VAPの追加と設定

注：各VAPは、ユーザ設定のService Set Identifier(SSID)によって識別されます。複数のVAPに同じSSID名を設定することはできません。

注：ワイヤレスネットワークが機能するためには、設定済みのVAPが関連付けられている無線が有効になっていて、適切に設定されている必要があります。詳細については、『WAP131およびWAP351の基本的な無線設定』または『WAP371の基本的な無線設定』を参照してください

ステップ 1：Web設定ユーティリティにログインし、Wireless > Networksの順に選択します。Networksページが表示されます。

ステップ 2：Radioフィールドで、VAPを設定する無線のオプションボタンを選択します。

ステップ 3：新しいVAPを追加するには、Addをクリックします。新しいVAPがテーブルに表示されます。

注：WAP131は最大4つのVAPをサポートし、WAP371およびWAP351は最大8つのVAPをサポートします。

ステップ 4：VAPの編集を開始するには、テーブルエントリの左端にあるチェックボックスをクリックして、Editをクリックします。これにより、選択したVAPのグレー表示のフィールドを変更できます。

ステップ 5：VAPの使用を有効にするには、Enableチェックボックスにチェックマークが付いていることを確認します。

手順 6：VLAN IDフィールドで、VAPに関連付けるVLAN IDを指定します。WAP131またはWAP371を使用している場合は、VLAN IDを入力します。入力できる最大値は4094です。

注：入力するVLAN IDは、ネットワーク上に存在し、正しく設定されている必要があります。詳細については、『WAP351アクセスポイントでのVLAN設定』、『WAP131でのタグ付きおよびタグなしVLAN IDの管理』、または『WAP371でのタグ付きおよびタグなしVLAN IDの管理』を参照してください。

手順 7：SSID Nameフィールドにワイヤレスネットワークの名前を入力します。各VAPには一意のSSID名が必要です。

ステップ 8：SSID名をクライアントにブロードキャストする場合は、SSID Broadcastチェックボックスにチェックマークを入れます。これにより、使用可能なネットワークのリスト上のクライアントにSSID名が表示されます。

セキュリティ設定の構成

ステップ 1：Securityドロップダウンリストから、VAPへの接続に必要な認証方式を選択します。None以外のオプションを選択すると、追加のフィールドが表示されます。

使用可能なオプションは次のとおりです。

•None

•スタティック WEP

・ ダイナミックWEP

・ WPAパーソナル

・ WPAエンタープライズ

注：WPA PersonalおよびWPA Enterpriseは、最大限のセキュリティを確保するために推奨される認証タイプです。Static WEPとDynamic WEPはレガシー機器でのみ使用する必要があり、使用する無線を802.11aまたは802.11b/gモードのいずれかに設定する必要があります。詳細については、「WAP131およびWAP351の基本的な無線設定」または「WAP371の基本的な無線設定」を参照してください。

スタティック WEP

スタティックWEPは最も安全性の低い認証方式です。スタティックキーに基づいてワイヤレスネットワーク内のデータを暗号化する。この静的キーを不正に取得することは簡単になったため、WEP認証はレガシーデバイスで必要な場合にのみ使用する必要があります。

注：セキュリティメソッドとしてStatic WEPを選択すると、プロンプトが表示され、セキュリティメソッドの選択が非常に安全ではないことが通知されます。

ステップ 1：Transfer Key Indexドロップダウンリストで、デバイスがデータの暗号化に使用するWEPキーのインデックスを以下のキーのリストから選択します。

ステップ 2：Key Lengthフィールドのオプションボタンを選択して、キーの長さが64ビットか128ビットかを指定します。

ステップ 3：Key Typeフィールドで、キーをASCII形式と16進形式のどちらで入力するかを選択します。ASCIIにはキーボード上のすべての文字、数字、記号が含まれますが、16進数には数字または文字A ～ Fのみを使用する必要があります。

ステップ 4：WEP Keysフィールドに、デバイスのWEPキーを4つまで入力します。このネットワークに接続する各クライアントは、デバイスで指定された同じスロットに同じWEPキーを1つ持つ必要があります。

ステップ5:（オプション）キーの文字列を表示する場合は、Show Key as Clear Textフィールドのチェックボックスをオンにします。

注：WAP351、WAP131、またはWAP371で別のファームウェアを使用すると、「Show Key as Clear Text」フィールドが表示されない場合があります。 

手順 6：802.1X Authenticationフィールドで、Open SystemオプションかShared Keyオプション、またはその両方を選択して、使用する認証アルゴリズムを指定します。認証アルゴリズムは、スタティックWEPがセキュリティモードである場合に、クライアントステーションがWAPデバイスとの関連付けを許可されているかどうかを判断するために使用される方法を定義します。

使用可能なオプションは次のように定義されています。

・ オープンシステム：この認証では、クライアントステーションに正しいWEPキーがあるかどうかに関係なく、クライアントステーションをWAPデバイスに関連付けることができます。このアルゴリズムは、プレーンテキストモード、IEEE 802.1Xモード、およびWPAモードで使用されます。認証アルゴリズムがOpen Systemに設定されている場合、任意のクライアントをWAPデバイスに関連付けることができます。

・ 共有キー：認証では、WAPデバイスと関連付けるためにクライアントステーションに正しいWEPキーが必要です。認証アルゴリズムが共有キーに設定されている場合、誤ったWEPキーを持つステーションはWAPデバイスと関連付けできません。

・ オープンシステムと共有キー：これらの認証アルゴリズムの両方を選択した場合、共有キーモードでWEPを使用するように設定されたクライアントステーションはWAPデバイスと関連付けるために有効なWEPキーを持つ必要があります。また、WEPをオープンシステムとして使用するように設定されたクライアントステーション（共有キーモードが無効）は、正しいWEPキーを持たない場合でも、WAPデバイスに関連付けることができます。

手順 7：[Save] をクリックします。

ダイナミックWEP

ダイナミックWEPとは、802.1xテクノロジーと拡張認証プロトコル(EAP)の組み合わせを指します。このモードでは、ユーザの認証に外部RADIUSサーバを使用する必要があります。WAPデバイスには、Microsoft Internet Authentication Server(IAS)などのEAPをサポートするRADIUSサーバが必要です。Microsoft Windowsクライアントを使用するには、認証サーバがProtected EAP(PEAP)およびMSCHAP v2をサポートしている必要があります。証明書、Kerberos、公開キー認証など、IEEE 802.1Xモードがサポートする各種の認証方式を使用できますが、WAPデバイスが使用する認証方式と同じものを使用するようにクライアントステーションを設定する必要があります。

ステップ 1：デフォルトでは、Use global RADIUS server settingsにチェックマークが付いています。別のRADIUSサーバのセットを使用するようにVAPを設定する場合は、このチェックボックスをオフにします。それ以外の場合は、ステップ8に進みます。

ステップ 2：Server IP Address Typeフィールドで、WAPデバイスが使用するサーバのIPアドレスタイプを選択します。オプションはIPv4またはIPv6です。IPv4では、ドット付き10進表記で表される32ビットの2進数を使用します。IPv6では、128ビットの2進数を表すために16進数とコロンを使用します。WAPデバイスは、このフィールドで選択したアドレスタイプのRADIUSサーバ（複数可）だけに接続します。IPv6を選択する場合は、ステップ4に進みます。

ステップ 3：手順2でIPv4を選択した場合は、すべてのVAPがデフォルトで使用するRADIUSサーバのIPアドレスを入力します。ステップ5に進みます。

注：最大3つのIPv4バックアップRADIUSサーバアドレスを設定できます。プライマリサーバで認証が失敗すると、設定されている各バックアップサーバが順番に試行されます。

ステップ 4：手順2でIPv6を選択した場合は、プライマリグローバルRADIUSサーバのIPv6アドレスを入力します。

注：最大3つのIPv6バックアップRADIUSサーバアドレスを設定できます。プライマリサーバで認証が失敗すると、設定されている各バックアップサーバが順番に試行されます。

ステップ 5：Key-1フィールドに、WAPデバイスがプライマリRADIUSサーバの認証に使用する共有秘密キーを入力します。

手順 6：Key-2からKey-4のフィールドに、設定したバックアップRADIUSサーバに関連付けられているRADIUSキーを入力します。サーバIPアドレス2はキー2、サーバIPアドレス3はキー3、サーバIPアドレス4はキー4を使用します。

ステップ7:（オプション）特定のユーザが消費したリソースのトラッキングと測定を有効にするには、Enable RADIUS Accountingフィールドで、このチェックボックスをオンにします。RADIUSアカウンティングを有効にすると、システム時刻と送受信されたデータ量が追跡されます。情報はRADIUSサーバに保存されます。これは、プライマリRADIUSサーバとすべてのバックアップサーバに対して有効になります。

注：RADIUSアカウンティングを有効にしている場合は、プライマリRADIUSサーバとすべてのバックアップサーバで有効になっています

ステップ 8：Active Serverフィールドで、アクティブな最初のサーバを選択します。これにより、WAPデバイスが設定された各サーバへの接続を順番に試行し、アクティブな最初のサーバを選択するのではなく、アクティブなRADIUSサーバを手動で選択できるようになります。

ステップ 9：Broadcast Key Refresh Rateフィールドに、このVAPに関連付けられているクライアントのブロードキャスト（グループ）キーがリフレッシュされる間隔を入力します。デフォルト値は 300 秒です。

ステップ 10：Session Key Refresh Rateフィールドに、VAPに関連付けられている各クライアントのセッション（ユニキャスト）キーをWAPデバイスがリフレッシュする間隔（秒単位）を入力します。デフォルト値は 0 です。

WPAパーソナル

WPA Personalは、AES-CCMPおよびTKIP暗号化を含むWi-Fi Alliance IEEE 802.11i標準です。WPAでは、Enterprise WPAセキュリティモードで使用されるIEEE 802.1XおよびEAPの代わりに、事前共有キー(PSK)が使用されます。PSKは、クレデンシャルの初期チェックにのみ使用されます。WPAはWPA-PSKとも呼ばれます。このセキュリティモードは、元のWPAをサポートするワイヤレスクライアントと下位互換性があります。

ステップ 1：WPA-TKIPをイネーブルにする場合は、WPA VersionsフィールドでWPA-TKIPチェックボックスにチェックマークを付けます。WPA-TKIPとWPA2-AESを同時に有効にできます。WAPは常にWPA2-AESをサポートしているため、ユーザが設定することはできません。

使用可能なオプションは次のように定義されています。

・ WPA-TKIP：ネットワークには、元のWPAとTKIPのセキュリティプロトコルのみをサポートする一部のクライアントステーションがあります。最新のWiFi Alliance要件によると、WPA-TKIPだけを選択することは推奨されていません。

・ WPA2-AES：ネットワーク上のすべてのクライアントステーションで、WPA2とAES-CCMP暗号/セキュリティプロトコルがサポートされています。このWPAバージョンは、IEEE 802.11i標準に準拠した最高のセキュリティを提供します。最新のWiFi Alliance要件によると、APは常にこのモードをサポートする必要があります。

・ WPA-TKIPおよびWPA2-AES：ネットワークにクライアントの混在があり、そのクライアントの一部がWPA2をサポートし、その他のクライアントが元のWPAのみをサポートする場合は、両方のチェックボックスをオンにします。この設定では、WPAとWPA2の両方のクライアントステーションが関連付けと認証を行いますが、サポートするクライアントに対してより堅牢なWPA2を使用します。このWPA設定では、一部のセキュリティの代わりに、より多くの相互運用性を使用できます。

注：WAPデバイスと関連付けできるようにするには、WPAクライアントにこれらのキー（有効なTKIPキーまたは有効なAES-CCMPキー）のいずれかが設定されている必要があります。

ステップ 2：Keyフィールドに、WPA Personalセキュリティの共有秘密鍵を入力します。8文字以上63文字以下で入力してください。

注：使用できる文字は、大文字と小文字のアルファベット、数字、および特殊記号(?!/\@#$%^&*)です。

ステップ3:（オプション）入力したテキストを表示する場合は、Show Key as Clear Textチェックボックスにチェックマークを付けます。デフォルトでは、このチェックボックスはオフになっています。

注：WAP351、WAP131、またはWAP371で別のファームウェアを使用すると、「Show Key as Clear Text」フィールドが表示されない場合があります。 

注：Key Strength Meterフィールドでは、WAPデバイスが、使用されている文字タイプの数やキーの長さなどの複雑さ条件と照らし合わせてキーをチェックします。WPA-PSKの複雑性チェック機能が有効になっている場合、キーは最小基準を満たさない限り受け入れられません。WPA-PSKの複雑度の詳細については、『WAP131、WAP351、およびWAP371のパスワードの複雑度の設定』を参照してください。

ステップ 4：Broadcast Key Refresh Rateフィールドに、このVAPに関連付けられているクライアントのブロードキャスト（グループ）キーがリフレッシュされる間隔を入力します。デフォルト値は 300 秒です。

WPAエンタープライズ

RADIUSを使用したWPA Enterpriseは、Wi-Fi Alliance IEEE 802.11i標準を実装したもので、CCMP(AES)とTKIP暗号化が含まれています。Enterpriseモードでは、ユーザの認証にRADIUSサーバを使用する必要があります。セキュリティモードは、元のWPAをサポートするワイヤレスクライアントと下位互換性があります。

注：ダイナミックVLANモードはデフォルトで有効になっています。これにより、RADIUS認証サーバはステーションで使用するVLANを決定できます。

ステップ 1：WPA Versionsフィールドで、サポートするクライアントステーションのタイプのチェックボックスをオンにします。これらはすべてデフォルトで有効になっています。APは常にWPA2-AESをサポートしている必要があるため、設定はできません。

使用可能なオプションは次のように定義されています。

・ WPA-TKIP：ネットワークには、元のWPAとTKIPのセキュリティプロトコルのみをサポートする一部のクライアントステーションがあります。最新のWiFi Alliance要件では、アクセスポイントにWPA-TKIPのみを選択することは許可されていないことに注意してください。

・ WPA2-AES：ネットワーク上のすべてのクライアントステーションで、WPA2バージョンとAES-CCMP暗号/セキュリティプロトコルがサポートされています。このWPAバージョンは、IEEE 802.11i標準に準拠した最高のセキュリティを提供します。最新のWi-Fi Alliance要件によると、WAPは常にこのモードをサポートする必要があります。

・ 事前認証の有効化：WPAバージョンとしてWPA2のみ、またはWPAとWPA2の両方を選択した場合、WPA2クライアントの事前認証を有効にできます。WPA2ワイヤレスクライアントで事前認証パケットを送信する場合は、このオプションをオンにします。事前認証情報は、クライアントが現在使用しているWAPデバイスからターゲットWAPデバイスにリレーされます。この機能を有効にすると、複数のWAPに接続するローミングクライアントの認証を高速化できます。WPAバージョンにWPAを選択した場合、元のWPAではこの機能がサポートされないため、このオプションは適用されません。

注：RADIUSでWPAを使用するように設定されているクライアントステーションには、有効なTKIP RADIUSまたは有効なCCMP(AES)IPアドレスとRADIUSキーのいずれかのアドレスとキーが必要です。

ステップ 2：デフォルトでは、Use global RADIUS server settingsにチェックマークが付いています。別のRADIUSサーバのセットを使用するようにVAPを設定する場合は、このチェックボックスをオフにします。それ以外の場合は、ステップ9に進みます。

ステップ 3：Server IP Address Typeフィールドで、WAPデバイスが使用するサーバのIPアドレスタイプを選択します。オプションはIPv4またはIPv6です。IPv4では、ドット付き10進表記で表される32ビットの2進数を使用します。IPv6では、128ビットの2進数を表すために16進数とコロンを使用します。WAPデバイスは、このフィールドで選択したアドレスタイプのRADIUSサーバ（複数可）だけに接続します。

ステップ 4：手順2でIPv4を選択した場合は、すべてのVAPがデフォルトで使用するRADIUSサーバのIPアドレスを入力します。ステップ6に進みます。

注：最大3つのIPv4バックアップRADIUSサーバアドレスを設定できます。プライマリサーバで認証が失敗すると、設定されている各バックアップサーバが順番に試行されます。

ステップ 5：手順2でIPv6を選択した場合は、プライマリグローバルRADIUSサーバのIPv6アドレスを入力します。

注：最大3つのIPv6バックアップRADIUSサーバアドレスを設定できます。プライマリサーバで認証が失敗すると、設定されている各バックアップサーバが順番に試行されます。

手順 6：Key-1フィールドに、WAPデバイスがプライマリRADIUSサーバへの認証に使用する共有秘密キーを入力します。

手順 7：Key-2 ～ Key-4 フィールドに、設定したバックアップRADIUSサーバに関連付けられているRADIUSキーを入力します。サーバIPアドレス2はキー2、サーバIPアドレス3はキー3、サーバIPアドレス4はキー4を使用します。

ステップ8:（オプション）特定のユーザが消費したリソースの追跡と測定を有効にする場合は、「Enable RADIUS Accounting」フィールドでチェックボックスをオンにします。RADIUSアカウンティングを有効にすると、特定のユーザのシステム時間と、送受信されたデータ量を追跡できます。

注：RADIUSアカウンティングを有効にした場合は、プライマリRADIUSサーバとすべてのバックアップサーバで有効になります。

ステップ 9：Active Serverフィールドで、アクティブな最初のサーバを選択します。これにより、WAPデバイスが設定された各サーバへの接続を順番に試行する代わりに、アクティブなRADIUSサーバを手動で選択できるようになります。

ステップ 10：Broadcast Key Refresh Rateフィールドに、このVAPに関連付けられているクライアントのブロードキャスト（グループ）キーがリフレッシュされる間隔を入力します。デフォルト値は 300 秒です。

ステップ 11Session Key Refresh Rateフィールドに、VAPに関連付けられている各クライアントのセッション（ユニキャスト）キーをWAPデバイスがリフレッシュする間隔（秒単位）を入力します。デフォルト値は 0 です。

MACフィルタ

MACフィルタは、このVAPにアクセスできるステーションを、設定されたMACアドレスのグローバルリストに制限するかどうかを指定します。

ステップ 1：MAC Filterドロップダウンリストで、目的のMACフィルタリングのタイプを選択します。

使用可能なオプションは次のように定義されています。

・ 無効 – MACフィルタリングを使用しません。

・ ローカル：MACフィルタリングセクションで設定したMAC認証リストを使用し、MACフィルタリングの詳細については、『WAP351およびWAP131でのMACフィルタリングの設定方法』を参照してください。

・ RADIUS：外部RADIUSサーバ上のMAC認証リストを使用します。

チャネル分離

チャネル分離がディセーブルになっている場合、ワイヤレスクライアントはWAPデバイスを介してトラフィックを送信することで、互いに正常に通信できます。有効にすると、WAPデバイスは同じVAP上のワイヤレスクライアント間の通信をブロックします。WAPデバイスでは、WDSリンクを介したネットワーク上の有線デバイスと無線クライアント間、および無線クライアント間ではなく、別のVAPに関連付けられた他の無線クライアントとの間のデータトラフィックの送受信が許可されます。

ステップ 1：チャネル分離を有効にする場合は、Channel Isolationフィールドでチェックボックスをオンにします。

ステップ 2：[Save] をクリックします。

注：新しい設定を保存した後、対応するプロセスを停止して再起動できます。この状態が発生すると、WAPデバイスの接続が失われる可能性があります。接続が失われてもワイヤレスクライアントへの影響が最も小さい場合は、WAPデバイスの設定を変更することをお勧めします。

バンドステア

バンドステアはWAP371でのみ使用できます。Band Steerは、2.4 GHz帯域から5 GHz帯域にデュアルバンド対応クライアントを誘導することで、5 GHz帯域を効果的に利用します。これにより、2.4 GHz帯域が解放され、デュアル無線をサポートしていないレガシーデバイスで使用できるようになります。

注：バンドステアを使用するには、5 GHzと2.4 GHzの両方の無線を有効にする必要があります。無線を有効にする方法の詳細については、『WAP371での基本的な無線設定の設定方法』を参照してください。

ステップ 1：バンドステアはVAPごとに設定され、両方の無線で有効にする必要があります。バンドステアを有効にする場合は、バンドステアフィールドのチェックボックスをオンにします。

注：時間の影響を受けやすい音声またはビデオトラフィックを使用するVAPでは、Band Steerは推奨されません。5 GHzの無線で使用する帯域幅が少なくなっても、クライアントはその無線に誘導しようとします。

ステップ 2：[Save] をクリックします。

VAPの削除

ステップ 1：削除するVAPのチェックボックスをオンにします。

ステップ 2：Deleteをクリックして、VAPを削除します。

ステップ 3：Saveをクリックして、削除した内容を永久に保存します。

更新履歴

改定	発行日	コメント
1.0	11-Dec-2018	初版