お客様からWi-Fiを社内用とゲスト様用に分けたいという希望をいただくことがあります。
今までBUFFALO社の法人向けWi-Fiアクセスポイントはゲストポート機能がなく、VLANでネットワークを分けルータやスイッチングハブでアクセス制限することでゲストポート機能に似た構成ができましたが、機器の追加が必要でした。
また個人向けWi-Fiルータにもゲストポート機能はありますが、VPN環境やWi-Fiに接続できる端末台数の制限などにより個人向けWi-Fiルータは企業で導入するには難しかったです。
今回検証で利用したBUFFALO社の法人向けアクセスポイント「WAPM-AX8R」および「WAPM-AX4R」はゲストポート機能があり、単体で社内用とゲスト用のWi-Fiネットワークが構築できるというメリットあるので今回検証をおこないました。
目次
検証内容
ゲストポート機能を利用してどの程度アクセス制限されるのか確認するため下記を実施しました。
- ping応答
- 共有フォルダへのアクセス
PCおよびNASに共有フォルダを作成しアクセスできるか確認 - 管理画面へのログイン(管理画面ログイン)
ルータやNASの管理画面が表示・ログインできるか確認 - ネットワークツールの使用
ネットワークツールを利用し検知できるか確認
ネットワーク構成
今回のネットワーク構成は下記になります。
機器構成
今回使用するWi-Fi機器は「WAPM-AX4R」になります。ファームウェアは「Ver 1.37」です。
パソコンは社内用Wi-Fi、ゲスト用Wi-Fi、社内有線LAN接続する3台を用意しました。
その他にルータ、NASも設置しました。
設定内容
IPアドレス
IPアドレスの設定は下記になります。
- ルータのみ固定IPアドレス「192.168.10.254」
- その他の機器はDHCPで取得
ルータ
DHCP範囲は「192.168.10.2-192.168.10.10」になります。
Wi-Fi機器「WAPM-AX4R」
「WAPM-AX4R」の無線設定は下記になります。
■社内用Wi-Fi
| Wi-Fi | 有効 |
| SSID | Work |
| 次の場合に有効にする | 通常時と緊急時 |
| 使用デバイス | 2.4GHz、5GHz |
| ステアリング | 無効 |
| 優先制御 | 通常 |
| VLAN ID | VLANモード:Untagged Port VLAN ID:1 |
| ANY接続 | 許可する |
| プライバシーセパレーター | 使用しない |
| ロードバランス | 2.4GHz:128/128 5GHz: 128/128 |
| Wi-Fiの認証 | WPA2 Personal |
| 暗号化方式 | AES |
| キー更新間隔 | 60分 |
| 事前共有キー | (8~63文字の任意の値) |
| Management Frame Protection | 無効 |
| Fast Transition (802.11r) | 無効 |
| 追加認証 | 追加認証を行わない |
■ゲスト用Wi-Fi
| Wi-Fi | 有効 |
| SSID | Guest |
| 次の場合に有効にする | 通常時と緊急時 |
| 使用デバイス | 2.4GHz、5GHz |
| ステアリング | 無効 |
| 優先制御 | 通常 |
| VLAN ID | VLANモード:Untagged Port VLAN ID:1 |
| ANY接続 | 許可する |
| プライバシーセパレーター | ゲストポート 例外IPアドレス:なし |
| ロードバランス | 2.4GHz:128/128 5GHz: 128/128 |
| Wi-Fiの認証 | WPA2 Personal |
| 暗号化方式 | AES |
| キー更新間隔 | 60分 |
| 事前共有キー | (8~63文字の任意の値) |
| Management Frame Protection | 無効 |
| Fast Transition (802.11r) | 無効 |
| 追加認証 | 追加認証を行わない |
社内用Wi-Fiとゲスト用Wi-Fiの設定の違いは赤字で示した内容になります。
- SSID
社内用Wi-Fi SSID「Work」、ゲスト用Wi-Fi SSID「Guest」にしました。 - プライバシーセパレーター(ゲストポートの有効・無効)
社内用Wi-Fi:使用しない、ゲスト用Wi-Fi:ゲストポート を選択しました。
検証結果
まず注目したいのがIPアドレスです。ルータ以外の機器はDHCPで取得する設定になっていますが、ゲスト用Wi-Fiの接続されている「ノートPC_G」も社内ネットワークと同じIPアドレス帯のIPアドレスになります。
「WAPM-AX4R」のマニュアルには
- 本製品に接続されているWi-Fi機器同士の通信、および、有線LAN端子の先のネットワークに存在するプライベートIPv4アドレスを持つ端末との通信もDHCP/DNSプロトコルを除き禁止します。
とあるので、社内ネットワークと同じIPアドレス帯を使用しつつ、「DHCP/DNSプロトコル」のみ通過させるため社内ネットワークと同じIPアドレスになります。
続いて各機器から検証した結果が下記になります。
「〇」・・・接続できる
「×」・・・接続できない
「-」・・・検証できない(※自機に対して検証しておりません)
上記の検証結果から
ゲスト用Wi-Fiに接続している「ノートPC_G」からはインターネット接続以外、社内の機器へping応答も含め接続することはできませんでした。
また、ネットワークツールの結果が下記になります。
上記ツールを利用した場合、社内ネットワークの機器を検知することができました。
ゲストポート機能の例外IPアドレス設定
ゲストポート機能には同じネットワーク内の有線LAN接続機器と通信させたい時の「例外IPアドレス設定」があります。ゲスト用Wi-FiからNASやパソコンの共有ファイルに接続させたい時に利用します。
設定方法
ゲスト用Wi-Fi設定からゲストポートを選択した際、「例外IPアドレス」の項目があるので通信させたい機器のIPアドレスを登録します。
検証結果
例外IPアドレスに各機器のIPアドレスを登録し検証した結果が下記になります。
各機器のIPアドレスを「例外IPアドレス」に登録することで相互で通信が可能になることが確認できました。
しかしながら、「例外IPアドレス」に「社内用Wi-Fiパソコン」を登録しても「ゲスト用Wi-Fiパソコン」と相互に通信することができませんでした。
まとめ
設定・検証を行いましたが「WAPM-AX4R」単体を設定・設置するだけで「社内用Wi-Fi」と「ゲスト用Wi-Fi」を簡単に構築することができました。機器を追加したり難しい設定がないので必要なお客様には手軽に導入できる機器と感じました。
セキュリティー面では「社内用Wi-Fi」と「ゲスト用Wi-Fi」が同じIPアドレス帯を利用するので、機器の通信はできなくてもネットワークツールを利用することで「ゲスト用Wi-Fi」から「社内用ネットワーク」の機器などを検知される恐れがあります。
まずはどのようなネットワークを構築するかしっかりと検討した上で、自社に合った機器選定・設定が必要になりますのでいつでもご相談くださいませ。
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet02.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet03.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
