もとらぼ

ラボや仕事で検証した技術の備忘録

Extreme Cloud Appliance 設定(その4)- ネットワークとポリシーの設定

前回はデバイスの設定を行いました。

www.moto-lab.net

 

今回はネットワークとポリシー設定について書きたいと思います。

大まかな設定の流れは下記の通りです。

  1. サイトの設定
  2. バイスの設定
  3. ネットワークの設定 (今回はココ)
  4. ポリシーの設定 (ココも今回の記事に入っちゃいました)

 

ではネットワークとポリシーの設定について確認していきましょう。

 

ネットワークの設定

WLANサービスの追加

Configure - Networks - WLANs を選択します。

f:id:moto_827:20200229014638p:plain

 

"ADD" ボタンを押します。

f:id:moto_827:20200229014829p:plain

 

無線のSSIDの設定を行います

(例では WPA2-PSKの設定を行います)

f:id:moto_827:20200229015143p:plain

  • Network Name - 管理上の名前
  • SSID - 実際に無線で送信される名前
  • Auth Type - WPA2-Personal

 

次にWPA2-PSKのパスワードを設定します

"EDIT PRIVACY" ボタンを押します

f:id:moto_827:20200229015538p:plain


パスワードを入力して、CLOSE

f:id:moto_827:20200229015759p:plain

  • WPAv2 key - PSK用のパスワード

 

ポリシー設定

ロールの追加

このSSIDで利用するポリシーを選択します

(デフォルトでEnterprise Userというのがあります。例ではこのポリシーを利用します)

f:id:moto_827:20200229020545p:plain

 

ロールって?

ロールが何を行うのか詳細を見てみたいと思います

(これは特に設定しなくても問題ありませんが、このあたりがXCAの特徴的な機能の1つだったりします)

 

鉛筆のアイコンでロール設定モードになります

f:id:moto_827:20200229020827p:plain

 

ロール設定項目

f:id:moto_827:20200229021542p:plain

  • Bandwidth Limit - Enterprise Userロールは1ユーザあたり5Mbps制限になっています。チェックボックスを外すと無制限になります。
  • Default Action - Enterprise Userロールのデフォルト動作は転送OK
L2 (Mac Address) Rules

 MACレベルでのアクセス制御を行うことができる

f:id:moto_827:20200229023445p:plain

  • Name - ルールの名前
  • Action - 許可(Allow)/ 拒否(Deny)を選択
  • COS - ルールへのマッチ条件にCoSを使うかどうか
  • MAC Address Type - すべてのMAC / 特定のMACかを選択
  • MAC Address - 特定のMACの場合、そのMACアドレスを入力
L3,L4 (IP and Port) Rules

 IPとポート番号でのアクセス制御を行うことができる

f:id:moto_827:20200229024054p:plain

f:id:moto_827:20200229024315p:plain

  • Name - ルールの名前

  • Action - 許可(Allow)/ 拒否(Deny)を選択
  • COS - ルールへのマッチ条件にCoSを使うかどうか
  • Protocol -Any / User Defined / ICMP / ICMPv6 / TCP / UDP / GRE / IPsec-ESP / IPsec-AHから選択可能
  • IP / Subnet - IPaddress範囲でマッチ条件を指定できる
  • Port - ポート番号でマッチ条件を指定できる

L7(Application) Rules

 アプリケーションレベルでのアクセス制御を行う事ができる

(例はYoutubeをDenyしています)

 

アプリケーションの最初の数文字を入力すると、ApplicationのFingerprint(アプリを識別するデータベースのようなもの)から検索して選択する事ができます。

 

f:id:moto_827:20200229025405p:plain
通常アプリケーショントラフィック制御はファイアウォール等のゲートウェイ側で行うことが多いかと思います。そうなると端末からのトラフィックはアクセスポイントからエッジ、コアスイッチを抜けてファイアウォールまで届いてからドロップされます。

XCAのロール機能はアクセスポイントでトラフィックを制御します。

そうする事で余計なトラフィックがコアスイッチやファイアウォールに流れないので、ネットワークをより最適な状態に保つことが可能となります。

 

 VLANの設定

 デフォルトで untag のネットワークが作成されているので、これを選択して "SAVE" します。

f:id:moto_827:20200229114638p:plain

 

保存するまえに、このネットワークに対してAPのプロファイルを割り当てるか確認してくるので "YES"

f:id:moto_827:20200229114810p:plain

 

バイス登録の際に利用したプロファイルを選択します

(例ではAP3935を使用)

この選択により、Wireless設定で作成したSSIDとAPのRadioが紐づいて、電波をはくようになります。

f:id:moto_827:20200229115540p:plain

 

最後に電波をはいているか確認します

Monitor - Devices - Access Points

f:id:moto_827:20200229120427p:plain

 

以上で一番シンプルな(1ネットワーク / 1SSID)構成での設定が完了です。

次回は 複数VLAN / 複数SSID での設定を記載する予定です。