こんばんは。無事にWLX202のweb管理画面にアクセスすることが出来るようになりました。事務所用とゲスト用に別々のSSIDを出すこともあり、各WLX202のWeb管理画面にアクセスさせないように設定していたんですね。各SSID毎にVLANを結び付けて、それとは別にWLX202用管理用VLANを設定してました。基本的に各VLAN間通信は禁止していました。これがまた曲者で、アクセス制限を間違うと身動き取れなくなってしまうんですよね。しかも、タグVLANでWLX202を動かしているものだから、PCと直結しても接続出来るわけもなく…。（訂正：WindowsでもタグVLANは通ります。@uhehehe366さんから御指摘いただきました。おっしゃる通りです。御指摘いただいたように、WindowsでもLinuxでも通ります。Macでも通ります。ただ、現場では通すことが出来る環境になかったということを言いたくて、誤解を招く表現になりました。この場を借りてお詫びをすると共に、御指摘いただいたとこなつ＠京都さんにはこの場を借りてお礼申し上げます。）

　特定のVLANに所属するIPアドレスからのみアクセス許可するように設定しておきましたので、このへんはクリア出来ました。

　簡易RADIUSサーバ機能を使って、個人毎にIDとパスワードで認証するようにしました。IEEE802.1X認証ですね。事前共有鍵は使いたくないですからねぇ。家庭用ならともかく、業務用では事前共有鍵の仕様は回避したいですよね。セキュリティ面を退職者が出るごとに事前共有鍵を更新しないといけませんね。コストを抑えてIEEE802.1X非対応の無線APを導入してしまうと、かなり面倒なことになることは容易に想像がつきます。

　そして、ゲスト用無線LANからはLAN内リソースには一切アクセスさせないようにしました。VLAN間通信の禁止で内部DMZと外部DMZに対してもアクセスさせないようにしました。ゲスト用アカウントも臨時発行出来るので、利用終了後即刻削除すれば不用意に利用されることもありません。

　とりあえず構築してみましたが、内部Webサーバ等での認証が必要になってくると、統一アカウントを考える必要が出てきます。となると、RADIUSとLDAPの連携を図る必要も出てきます。Raspberry Piで構築してみようかと思ってはいるのですが、余裕が出来てからの話になりそうです…。