ドキュメント

securew2

目次

Extreme Networksの無線認証にSecureW2のクラウドRADIUSを利用する

今回は株式会社Sanko IB様からExtreme Networksの無線アクセスポイントをご提供いただきましたので、弊社が提供するクラウド型認証ソリューションのSecureW2との連携について検証を行いました。本記事では下記2つのテーマについて検証レポートをまとめておりますので、これからExtreme Networksの導入をお考えの方や、クラウドRADIUSによるEAP-TLS(クライアント証明書認証)にご関心がある方はぜひ最後までご覧ください。

検証テーマ

  • Extreme Networksの無線LAN認証にSecureW2のRADIUSサーバーを利用する
  • SecureW2によるユーザーに応じたネットワークの動的制御(Dynamic VLAN)を実現する

Extreme Networks アクセスポイントのご紹介

今回はSanko IB様から下記3つのアクセスポイントをお借りして動作検証を行いました。
いずれのアクセスポイントでも同様に利用することができましたが、このレポートではAP410Cを扱います。各機器のスペック詳細はSanko IB様の 製品紹介ページ をご参照ください。

お借りした機器の紹介
  • AP410C(本検証で使用):写真右下の3台のなかで最も大きいアクセスポイント。高密度環境向けのデバイスで、5GHz帯域で最大4.8Gbps、2.4GHz帯域で最大2.4Gbps対応と非常に高性能な802.11axに対応したアクセスポイントです。
  • AP305C:写真左下の手のひらサイズのアクセスポイント。高効率の電力性能をもち、パフォーマンスとコストのバランスを重視したモデルで様々な業務環境へ導入が容易です。
  • AP302W:写真奥の縦長のアクセスポイント。ホテルや会議室などでは壁に埋め込み設置することもできるほか、背面や底面に有線LANのパススルーがついているのが特徴です。専用のスタンドを使用することで画像のように卓上で使用することもでき、無線LAN環境を随時必要なところに展開する際も壁や天井への固定が不要です。

Extreme Networksの最大の特徴は、クラウドにもアクセスポイントにもコントローラーを持たないことで、アクセスポイント同士が相互に協調し合うことで、本来コントローラーが担っている電波・チャネルの最適化や各種制御といった機能をコントローラーレスに実現しているとのこと。また、ネットワークの管理はクラウド上で行うことができるため、管理者がどこにいても業務ネットワークの状況を監視・制御できることも魅力の一つのようです。SecureW2も物理アプライアンス不要のクラウドRADIUSなので、この点からも相性の良さが伺えます。

> 引用:https://sanko-ib.co.jp/smart_network/wifi/aerohive/

前提条件

今回の検証では、以下の項目を前提条件としています。

  • SecureW2の管理者アカウントをお持ちであること
  • Extreme CloudIQの管理者アカウントをお持ちであること
  • Extreme CloudIQにアクセスポイントが登録済みであり、ライセンスが割り当てされていること
  • クライアントPCにSecureW2発行のクライアント証明書の配布・登録が済んでいること

動作概要

IEEE802.1Xは以下の図のようなシーケンスに従って認証を行います。
EAP-TLS認証では認証情報にID / パスワードではなく、クライアント証明書を用いることが特徴です。

認証のシーケンス図

EAP-TLS認証の流れは次のとおりです。

  1. ユーザーがアクセスポイントに対してネットワークのアクセスを要求
  2. アクセスポイントがユーザーにクライアント証明書の提示を要求
  3. ユーザーはアクセスポイントに対して適当なクライアント証明書を提示
  4. アクセスポイントはSecureW2に対してクライアント証明書の検証要求を行う
  5. SecureW2がクライアント証明書を検証し、認証結果と認証許可した場合にはVLAN等の属性情報をアクセスポイントに返す
  6. アクセスポイントは受け取った認証可否に従い、ユーザーのネットワークアクセスを許可または拒否する

※VLAN IDなどのRADIUS属性やベンダー固有属性(VSA)は、5番目の段階で認証結果と共にアクセスポイントに返されます。

このようにIEEE802.1XのEAP-TLS認証を行うことで、社内ネットワークへの不正な端末やユーザーによるアクセスを排除し、ID / パスワードを利用したネットワークのアクセス管理に比べより強固なセキュリティを実現できます。 加えて、RADIUSサーバーとしてActive DirectoryやIDaaSであるOneLogin, Okta などを利用する場合と比べて、重要なIdPにログインするためのID / パスワードをネットワークに流さないことも組織全体のセキュリティを向上させます。

作業詳細

主な作業内容は、Extreme NetworksとSecureW2でそれぞれ次のとおりです。

作業内容

基本的なExtreme NetworksとSecureW2の無線LAN利用設定を行うだけで簡単にSecureW2をクラウドRADIUSサーバーとしてご利用いただけます。お客様によって認証に加えて認可でもRADIUSを利用されたい場合には、SecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性(VSA)を認証結果に付与することもできます。

基本的な無線LAN SSIDの設定とSecureW2 RADIUSの設定

まずはSecureW2のクラウドRADIUSをExtreme Networksの無線LANで参照するように設定します。
設定を始める前にSecureW2の以下の画像の情報(IPアドレス、ポート番号、シークレット)を控えておいてください。実際の値は管理コンソールのRADIUS Configurationからご確認いただけます。

ネットワークの設定
  1. お手持ちのアカウントで ExtremeCloud IQの管理コンソール にアクセスします。
  2. コンフィグタブからネットワークポリシーを作成します。
    ネットワークポリシーの作成
  3. 無線のみにチェックを入れて、ポリシー名を入力し、[次]をクリックします。
    ネットワークポリシーの作成
  4. SSIDの設定です。左上の[+]から無線ネットワークを追加します。
    ネットワークポリシーの作成
  5. 以下の画像の赤枠に設定値を入力していきます。SSID名や放送名は任意です。
    SSID認証タブから企業を選択し、この画面の下部の[+]からSecureW2をRADIUS認証サーバーとして追加します。
    認証のシーケンス図
  6. RADIUSサーバーの設定画面が表示されるので、任意のRADIUSサーバーグループ名を入力します。
    外部RADIUSサーバー > [+] をクリックし、外部RADIUSサーバーを追加します。
    認証のシーケンス図
  7. 新規RADIUSサーバーの設定画面で、予め用意しておいたSecureW2のRADIUS Configurationの情報をもとに以下のように入力して情報を保存します。
    項目名 既定値
    例:SecureW2_RADIUS1
    認証ポート SecureW2のAuthentication Portの値(②)を入力
    ⁠課金ポート SecureW2のAccounting Portの値(③)を入力
    共有秘密 SecureW2のShared Secretの値(④)を入力

    ※課金ポート(RADIUSアカウンティング)のポート番号は指定が必須のため上記の通り入力しますが、サーバーの種類で課金にチェックを入れる必要自体はありませんので認証だけにチェックを入れて進めます。

  8. IP/ホスト名 > [+] をクリックし、表示されたプルダウンから IP Address を選択します。
    IPアドレスの追加画面が表示されるため、以下のように入力し保存します。
    セカンダリサーバーを設定する際は、SecureW2の”Secondary IP Address”の値を入力してください。
    項目名 既定値
    Name 例:Primary
    IP Address 例:SecureW2のPrimary IP Address の値(①)を入力
  9. 以上の手順の6~8の設定をもう一度繰り返してセカンダリサーバーの設定も行います。SecureW2は万が一のトラブルの際にもサービスの提供が止まらぬよう、セカンダリのRADIUSサーバーも標準で提供しており、冗長性を確保することができます。
  10. 追加した外部RADIUSサーバーを選択し、[RADIUSを保存] をクリックします。
  11. SSIDの設定を保存したら、作成したネットワークポリシーをデバイスに適用していきます。
    上部の[有資格]をクリックし、ポリシーを適用したいデバイスにチェックを入れてポリシーをアップロードします。
  12. 以下のようなデバイスアップデートの画面が出てきたら、すべての構成の更新を選択し、[更新を実行する] をクリックします。
  13. デバイスを正常に展開しましたと表示されましたら、ネットワークポリシーの設定は完了です。

VLANの設定

IEEE802.1X認証において、RADIUSサーバーが接続許可を意味するAccess-Acceptメッセージを返すとき、認証結果とあわせてVLAN IDなどのRADIUS属性やベンダー固有属性をRADIUSサーバーからRADIUSクライアントへ連携すると、接続先のネットワークを制御することなどが可能です。SecureW2ではネットワークポリシーの設定を行うだけで簡単にRADIUS属性の指定やユーザー・デバイスに応じた値の定義が可能です。

また、このレポートでは詳細は割愛いたしますが、OneLoginやMicrosoft Entra IDをはじめとするIDaaSと連携するDynamic RADIUSも併用すると、Active DirectoryやLDAPなどのレガシーな認証基盤に依存しないクラウドネイティブなRADIUS基盤としてもご活用いただけます。

  1. SecureW2の管理コンソールから、Policy ManagementタブのNetwork Policyに移動して[Add Network Policy] からネットワークポリシーを作成します。
  2. 以下の画面でポリシー名を設定して保存します。
  3. 保存が成功すると上部にConditionsタブとSettingsタブが出現します。Conditionsタブに移動して、[Add rule]からポリシーを適用させる条件を設定します。
  4. 今回はRoles Policyによって振り分けますが、Device Policy証明書に記載されている内容(値)を条件としても利用することができます。
    IdentityからRoleのチェックボックスをクリックして保存します。うまく保存できると画面上部に以下の画像のようなメッセージが表示されます。
  5. 条件を設定します。以下の例ではSecureW2内のRoleが "Pentio VLAN Role" と一致した時にこのポリシーが適用されることになります。設定が完了したらUpdateで保存します。
  6. Settingsタブに移動して割り当てるRADIUS属性を設定をしていきます。Add Attributeをクリックします。
  7. DictionaryのプルダウンからRadius:IETFを選択し、以下の表を参考にそれぞれ設定します。
    Radius:IETFの属性(Attribute:) 値(Value:) 説明
    Tunnel-Type 13 VLAN(固定値)
    Tunnel-Medium-Type 6 IEEE-802(固定値)
    Tunnel-Private-Group-ID 任意のVLAN-ID(1-4094) 認証対象のユーザーや機器が認証をパスした後に所属させるVLAN-ID
    (例:100, 200)
  8. 画像のように設定できれば成功です。Updateをクリックして設定終了です。設定完了後、状況に応じてNetwork Policyの優先度を操作してください。

今回はDynamic VLANが実現可能かを検証するために、同じ手順でVLAN-ID=200のネットワークポリシーも作成しておきます。

動作確認

以上の設定を終えたところで、MacBook Proを使用して動作確認を行いました。今回はWi-Fiの接続設定や証明書の配布を手作業で行っていますが、Microsoft Intune、Jamf ProなどのMDM(モバイルデバイス管理)製品とSecureW2を連携しておくと、これらも自動化することができます。

  1. Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。
  2. 証明書の選択画面が表示されますので、適切なNetwork policyを含む証明書を選択します。
  3. 次の画面が表示されますので、[続ける] をクリックします。
  4. キーチェーンの変更の許可が要求されますので、ユーザー名とパスワードを入力し、[許可]をクリックします。
  5. 作成した無線LANへの接続ができたことが確認できました。
  6. 今度はVLAN-IDが正しく付与されて、DHCPで指定した範囲内のIPからアドレスが払い出されているか確認します。
    今回の例では、VLAN-IDが100の際にDHCPサーバーから192.168.100.2/24 - 192.168.100.254/24の範囲で、200の場合は192.168.200.2/24 - 192.168.200.254/24でIPアドレスを割り振る設定にしているため、設定した範囲のIPアドレスが正しく割り振られていることが確認できます。

    WireSharkからもVLAN-IDが正常に割り振られていることが確認できました。
    "taro.yamada@pentio.com"というユーザーがネットワークに参加する場合はVLAN=100
    "hanako.sato@pentio.com"というユーザーがネットワークに参加する場合はVLAN=200に所属させていることがわかります。

おわりに

今回の検証ではExtreme Networksの無線LAN認証にSecureW2のRADIUSサーバーを利用し、SecureW2から発行されたクライアント証明書を用いてIEEE802.1XのEAP-TLS認証ができるかの検証を行いました。また、SecureW2からのRADIUS属性の割り当てを行うDynamic VLANの動作検証も行い、ユーザーごとに異なるVLANへの割当も確認することができました。ご覧頂いたみなさんには、クラウドRADIUSであるSecureW2はExtreme Networksのアクセスポイントと一緒に利用できるところ、そしてそれが簡便な設定で実現できることが伝われば嬉しい限りです。

また実際に両方の製品を触りながら感じた点として、Extreme NetworksとSecureW2はどちらも多拠点展開に向いている製品だと感じました。

Extreme Networksでは、アクセスポイント同士が協調することで本来コントローラーが持っている各種制御を自動で行うため、無線コントローラを拠点ごとに設置する必要がありません。クラウド上のコンソールでネットワークの管理も可能です。

SecureW2はクラウド型RADIUSであるため、物理アプライアンスの設置は一切不要です。日本国内か海外かに関わらず世界中のどこからでも自社の認証基盤としてRADIUSエンドポイントを提供します。

この2製品の組み合わせであれば、従来は本社・支社・コールセンター・工場など各種部門が複数拠点に分散してしまった際に課題となりやすかった統合認証基盤の導入、無線LANコントローラとRADIUSアプライアンスの設置コストという課題を解消できそうです。 ぜひExtreme NetworksとSecureW2の導入を併せて検討してみてはいかがでしょうか。

以上で「Extreme Networksの無線認証にSecureW2のクラウドRADIUSを利用する」検証レポートを終わります。

参考

本検証で使用した機種のスペックシート

機種名 AP410C(本検証で使用) AP305C AP302W
無線規格 802.11ax(Wi-Fi6)対応
無線アンテナ 5 GHz 4x4:4
2.4 GHz 2x2:2
2.4 GHz/5GHz/センサー		 5 GHz 2x2:2
2.4 GHz 2x2:2
ネットワークインターフェース 2.5Gポート(PoE+) × 1
1Gポート × 1		 1Gポート(PoE) × 1 1Gポート(PoE) × 1
イーサネット・パススルー なし なし イーサネット × 3ポート
パッシブパススルー × 1ポート
設置場所 天井・壁 天井・壁 壁(埋め込み)
独立(別売スタンド使用)
サイズ(H×W×D) 205mm x 205mm x 37mm 133mm x 133mm x 37mm 175mm x 105.9mm x 29.2mm

問い合わせはこちら

ペンティオでは、SecureW2の無料トライアルを承っております。社内環境をヒヤリングさせていただいた後にトライアル環境を準備いたします。

※トライアル環境のご手配には数日お時間をいただきます
製品に関するお問い合わせはこちら無料トライアルのお申込みはこちら