WLCとは
WLC(Wireless LAN Controller、無線LANコントローラ)は、Ciscoの無線LANネットワークで中心的な役割を担う装置です。アクセスポイント(AP)を一括で管理・制御する機能を持ち、従来のようにAPごとに個別設定を行う必要がなくなるため、大規模な無線LAN環境で特に重要になります。
WLCの役割
WLCは、APに対して「電波出力の調整」「認証処理」「暗号化方式の制御」「ローミングの管理」などを集中して実行します。APは単に電波を送受信し、最低限の処理(暗号化や復号)を行うだけで、その他の制御処理はWLCに任せる形になります。この仕組みにより、無線LANネットワーク全体を統一したポリシーで運用でき、セキュリティと利便性が向上します。
WLCとAPの関係
WLCとAPはCAPWAP(Control And Provisioning of Wireless Access Points)というプロトコルで接続されます。APは起動時にWLCを探索してJoinし、WLCからOSイメージや設定を受け取って稼働状態になります。クライアントの無線トラフィックはCAPWAPトンネルを経由してWLCに送られ、そこで処理されるのが基本動作です。FlexConnectモードを使えば、WLCを経由せずにAPがローカルでトラフィックを処理することも可能です。
WLCのメリット
WLCを導入すると、以下のような利点があります。
- 複数APの一元管理による運用効率化
- ローミング制御によりシームレスな移動通信を実現
- セキュリティポリシーの集中管理
- 電波干渉の調整や負荷分散による無線品質の向上
- 冗長化構成により高い可用性を確保
WLCのインターフェース
WLCには用途ごとに異なるインターフェースが定義されています。
- Management:APとのCAPWAPトンネル確立やGUI/CLI管理アクセスに使用する基本インターフェース
- Service-port:ローカル管理専用の物理ポート
- Virtual:Mobility GroupやWeb認証、DHCP Proxyなどで利用される仮想アドレス
- Dynamic:SSIDに対応するVLANを割り当てるために管理者が作成するユーザー定義インターフェース
IEEE802.1X認証の構成手順
ここではWLCを用いたIEEE802.1X認証の設定を順を追って整理します。認証方式にはPEAP-MS-CHAPv2を例に説明しますが、EAP-TLSを使用する場合でもWLC側の設定内容は変わりません。IEEE802.1X認証の設定は「VLANインターフェースの作成」「RADIUSサーバの登録」「SSIDの作成」の3つのステップに分かれます。
Step 1:VLANインターフェースの作成
まずクライアントが所属するVLANをWLCに定義します。例としてVLAN 80を利用します。GUIで「CONTROLLER」⇒「Interfaces」を開き、右上の「New」を選択します。「Interface Name」に任意の名称(例:vlan80)を入力し、「VLAN Id」に80を指定します。次の画面でインターフェースのIPアドレス(例:192.168.80.1/24)、サブネットマスク、デフォルトゲートウェイ、DHCPサーバのIPアドレスを設定し、Applyで登録します。これでクライアント用のVLANがWLC上で利用可能になります。
Step 2:RADIUSサーバの登録
次に認証処理を行うRADIUSサーバをWLCに登録します。GUIで「SECURITY」⇒「AAA」⇒「RADIUS」⇒「Authentication」を開き、「New」を選択します。RADIUSサーバのIPアドレス(例:192.168.200.200)、Shared Secret(RADIUS側と一致させる)、Port Number(通常1812。古い環境では1645の場合あり)を入力してApplyを押します。登録後、サーバリストに正しく表示されていることを確認します。
Step 3:SSIDの作成と認証設定
最後にクライアントが接続するSSIDを作成し、VLANおよびRADIUSサーバと関連付けます。GUIで「WLANs」を開き、「Create New」⇒「Go」を押します。「Profile Name」と「SSID」を入力し(通常は同じ名前にする)、Applyを押します。
GeneralタブではStatusをEnabledに設定しSSIDを有効化します。Radio Policyで使用する周波数をa/b/g(すべて有効)に設定し、Interfaceには作成したVLAN80を指定します。Broadcast SSIDを無効化するとステルスSSIDとなり、セキュリティを強化できます。
SecurityタブではLayer 2 SecurityをWPA+WPA2に設定し、WPA2 Policyにチェックを入れ、WPA2 EncryptionでAESを選択します。Auth Key Mgmtとして802.1Xを指定します。その後、AAA ServersのServer 1のプルダウンから登録済みのRADIUSサーバを選択します。
Advancedタブでは必要に応じてAllow AAA Overrideを有効化します。これによりRADIUSサーバが返す属性情報に基づいてVLANを動的に割り当てることができます。その場合、インターフェースはmanagementを指定します。
以上の設定を終えると、クライアントがSSIDに接続した際にIEEE802.1X認証が行われ、RADIUSサーバで認証が成功すればネットワークに参加できます。試験では「設定の3ステップ」「RADIUSの役割」「Allow AAA Overrideの意味」が問われやすいため重点的に覚えておく必要があります。
WLCにおけるMACアドレスフィルタリング設定
企業ネットワークでは、無線LAN・有線LANともにIEEE802.1X認証の導入が最も推奨される方法です。しかし、既存環境との互換性やコスト、運用上の都合から802.1X認証を導入できない場合もあります。その場合、無線LANでは最低限のセキュリティ対策として MACアドレスフィルタリング や WEB認証 を利用することになります。ここではWLCを使ったMACアドレスフィルタリングの設定方法を解説します。
SSIDへのMACフィルタリング適用
まず、どのSSIDに対してMACフィルタリングを適用するかを決めます。ここでは例として、VLAN10(192.168.10.0/24)にマッピングされた「Blue」というSSIDに対して設定を行います。
- GUIで 「WLANs」 を選択し、BlueのSSIDが割り当てられている「WLAN ID 1」をクリックします。
- 「Security」⇒「Layer2」 タブを開き、MAC Filtering 項目を有効化します。
これでBlueのSSIDにMACアドレス認証を適用できるようになります。
WLCローカルDBへのMACアドレス登録
外部サーバを使って認証する方法もありますが、ここではWLC内部のローカルデータベースにMACアドレスを登録する方法を紹介します。
- GUIで 「SECURITY」⇒「MAC Filtering」 を開き、「NEW」 を選択します。
- 「MAC Address」欄に許可する端末の無線NICのMACアドレスを入力します。
- 「Interface Name」でMACフィルタを適用するVLANを指定します(例:vlan10)。
- Apply を押して登録を完了します。
この方法ではWLCに端末ごとのMACアドレスを直接登録するため、小規模環境であれば有効です。
CLIでのMACアドレス登録
登録する端末数が数台程度ならGUIでも問題ありませんが、100台以上になるとGUIでは現実的ではありません。その場合はCLIを用いて設定するのが一般的です。
(WLC)# config macfilter add 00:00:00:11:11:11 2 vlan10この例では、WLAN ID「2」のSSIDに紐づくVLAN10に対して、MACアドレス 00:00:00:11:11:11 を許可しています。MACアドレスは必ず xx:xx:xx:xx:xx:xx 形式で入力する必要があります。
ポイント
- MACフィルタリングは簡易的なアクセス制御であり、セキュリティを強化する基本機能のひとつです。
- ただしMACアドレスは偽装可能であるため、802.1X認証と比べてセキュリティレベルは低い点を理解しておく必要があります。
- 試験では「MACアドレスフィルタリングの設定場所」「ローカルDBと外部サーバの違い」「CLIコマンドの形式」が問われやすいため注意しましょう。