読者です 読者をやめる 読者になる 読者になる

NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

RTX1210+SWX2200+FWX120+WLX202で無線LAN環境設定(3)

 こんばんは。ゴールデンウィークも終わり、久しぶりに出勤するのがたいへん堪えました。(^^; まず朝早く起きるという点がつらかったですね。9日間(やや)乱れた生活をしてましたし。(^^; と、しばらく仕事から離れていると、仕事内容を思い出すのに時間を要したり、ケアレスミスをやらかしたり…。(^^;

 そんなことはさておき、今回はYAMAHA製ネットワーク機器で無線LAN環境設定を構築した話の続き(3話目)をお送りします。

 今回解決したかったのは、事前共有鍵の問題です。家庭内LANでも出来れば回避したいのですが、費用対効果の問題でこちらはなかなか実現しません。(Raspberry PiでFreeRADIUS走らせて、hostapd(<--だったかな?)をインストールして無線AP化を実現させたいです。)

 最も問題なのは、中小零細企業または個人商店で無線LANを使っておられる方々でしょうか。「無線LANはWPA2でAES使ってればOKですよね。PSKで問題なし。」と思っておられる方も少なくないのではないでしょうか。職員や社員が事前共有鍵を使って接続してるということは、彼らが退職した際に事前共有鍵を変更しないといけないことになります。でないと、退職者が無線APに接続出来てしまうことになります。

 これは地味に面倒だと思いませんか?退職者だけアカウントを無効にしてやれば、他の方々はそのまま使い続けることが出来ます。

 IEEE802.1Xではこういった問題が解消されます。ユーザごとにIDとパスワードを発行することが可能になります。適宜発行/削除してやればいいことになります。

 そういう意味では、中小零細企業または個人商店の方々こそ必要な機能ではないでしょうか。

 そこで、今回はWLX202に付属する簡易RADIUSサーバ機能を使用しました。ただ、1台だけではダメ(なよう)なので、2台導入しました。1台をサーバに、もう1台をクライアントに設定しました。あらかじめWLX202管理用VLANを設定しておき、接続予定のSWX2200のポートにタグを追加しました。これでめでたくWLX202のweb管理画面にアクセスすることが可能になります。

 ここで注意しておきたい点としては、LAN1でタグVLANを構成した場合のように、タグなしのLANに接続すれば、RTX1210のダッシュボードからSWX2200を選択し、(リンクが表示され)WLX202のweb管理画面にたどり着きます。

 今回のケースのように、LAN3ポートを使ってタグVLANを構築し、複数のタグVLANを設定したポートに接続した場合、上記のようには行きませんでした。直接WLX202のIPアドレスに接続してやる必要があります。この点は要注意です。

 実際にWLX202のweb管理画面にログインして気づいたことですが、「ブラウザはMS製を使え」ということです。最初、chromeを使って設定しようとしまして、ノートンセキュリティが(結果論ですが)悪さをしてくれて、設定上の必要項目を入力しようとすると、ブラウザの入力部分が点滅しまくって入力を受け付けてくれませんでした。試しにFirefoxでも同様の症状が見られました。結局、MS Edgeで事なきを得ました。

 このへんも実際にやってみないと分かりませんね。ソフト的な組み合わせの問題があるということのようです。

 設定に関する具体論を書こうかと思いましたが、長くなりましたので、「RTX1210+SWX2200+FWX120+WLX202で無線LAN環境設定(4)」で書いてみようかと思います。(今、環境が手元にないので、このあたりを拾ってから書きます。<(_ _)>)