前回はデバイスの設定を行いました。
今回はネットワークとポリシー設定について書きたいと思います。
大まかな設定の流れは下記の通りです。
- サイトの設定
- デバイスの設定
- ネットワークの設定 (今回はココ)
- ポリシーの設定 (ココも今回の記事に入っちゃいました)
ではネットワークとポリシーの設定について確認していきましょう。
ネットワークの設定
WLANサービスの追加
Configure - Networks - WLANs を選択します。
"ADD" ボタンを押します。
無線のSSIDの設定を行います
(例では WPA2-PSKの設定を行います)
- Network Name - 管理上の名前
- SSID - 実際に無線で送信される名前
- Auth Type - WPA2-Personal
次にWPA2-PSKのパスワードを設定します
"EDIT PRIVACY" ボタンを押します
パスワードを入力して、CLOSE
- WPAv2 key - PSK用のパスワード
ポリシー設定
ロールの追加
このSSIDで利用するポリシーを選択します
(デフォルトでEnterprise Userというのがあります。例ではこのポリシーを利用します)
ロールって?
ロールが何を行うのか詳細を見てみたいと思います
(これは特に設定しなくても問題ありませんが、このあたりがXCAの特徴的な機能の1つだったりします)
鉛筆のアイコンでロール設定モードになります
ロール設定項目
- Bandwidth Limit - Enterprise Userロールは1ユーザあたり5Mbps制限になっています。チェックボックスを外すと無制限になります。
- Default Action - Enterprise Userロールのデフォルト動作は転送OK
L2 (Mac Address) Rules
MACレベルでのアクセス制御を行うことができる
- Name - ルールの名前
- Action - 許可(Allow)/ 拒否(Deny)を選択
- COS - ルールへのマッチ条件にCoSを使うかどうか
- MAC Address Type - すべてのMAC / 特定のMACかを選択
- MAC Address - 特定のMACの場合、そのMACアドレスを入力
L3,L4 (IP and Port) Rules
IPとポート番号でのアクセス制御を行うことができる
-
Name - ルールの名前
- Action - 許可(Allow)/ 拒否(Deny)を選択
- COS - ルールへのマッチ条件にCoSを使うかどうか
- Protocol -Any / User Defined / ICMP / ICMPv6 / TCP / UDP / GRE / IPsec-ESP / IPsec-AHから選択可能
- IP / Subnet - IPaddress範囲でマッチ条件を指定できる
- Port - ポート番号でマッチ条件を指定できる
L7(Application) Rules
アプリケーションレベルでのアクセス制御を行う事ができる
(例はYoutubeをDenyしています)
アプリケーションの最初の数文字を入力すると、ApplicationのFingerprint(アプリを識別するデータベースのようなもの)から検索して選択する事ができます。
通常アプリケーショントラフィック制御はファイアウォール等のゲートウェイ側で行うことが多いかと思います。そうなると端末からのトラフィックはアクセスポイントからエッジ、コアスイッチを抜けてファイアウォールまで届いてからドロップされます。
XCAのロール機能はアクセスポイントでトラフィックを制御します。
そうする事で余計なトラフィックがコアスイッチやファイアウォールに流れないので、ネットワークをより最適な状態に保つことが可能となります。
VLANの設定
デフォルトで untag のネットワークが作成されているので、これを選択して "SAVE" します。
保存するまえに、このネットワークに対してAPのプロファイルを割り当てるか確認してくるので "YES"
デバイス登録の際に利用したプロファイルを選択します
(例ではAP3935を使用)
この選択により、Wireless設定で作成したSSIDとAPのRadioが紐づいて、電波をはくようになります。
最後に電波をはいているか確認します
Monitor - Devices - Access Points
以上で一番シンプルな(1ネットワーク / 1SSID)構成での設定が完了です。
次回は 複数VLAN / 複数SSID での設定を記載する予定です。