Panasonic AIRRECT APの802.1X 無線認証にクラウドRADIUS（SecureW2）を利用する

今回はパナソニックEWネットワークス株式会社様にご協力いただき、無線アクセスポイントのAIRRECT APをご提供いただきましたので、弊社が提供するクラウド型認証ソリューションのSecureW2との連携について検証を行いました。本記事では下記テーマについて検証レポートをまとめておりますので、これからAIRRECT APの導入をお考えの方や、クラウドRADIUSによるEAP-TLS（クライアント証明書認証）にご関心がある方はぜひ最後までご覧ください。

検証テーマ

• Panasonic AIRRECT APの無線認証にSecureW2のRADIUSサーバーを利用する
• SecureW2によるユーザーに応じたネットワークの動的制御（Dynamic VLAN）を実現する

Panasonic AIRRECT APのご紹介

今回は無線アクセスポイントのAIRRECT AP-6220をお借りして動作検証を行いました。 機器のスペックやその他製品の詳細情報はパナソニックEWネットワークス株式会社様の製品情報をご覧ください。

Panasonic AIRRECT AP-6220は、Wi-Fi 6Eに対応したハイパフォーマンスな業務用無線LANアクセスポイントです。企業や教育機関、医療施設など、安定した大容量通信が求められる環境向けに設計されています。さらに、エンタープライズ用途におけるセキュリティ要件を満たすために、WPA3や802.1X/EAPによる認証方式にも対応しており、無線侵入防止システムにより不正アクセスや不正サイトへの誘導を検知・遮断します。

AIRRECTシリーズの特徴として、パナソニックEWネットワークス株式会社様が提供するクラウド型ネットワーク管理サービス「AIRRECT Cloud」による一括管理が挙げられます。これにより、複数拠点に設置されたアクセスポイントを、VPNや専用コントローラーを用意することなく、遠隔から統合的に監視・設定・更新することができます。たとえば、支社・店舗・キャンパスといった複数のネットワーク環境を持つ組織でも、AIRRECT Cloudを利用すれば、アクセスポイントの状態監視・ファームウェア更新・電波設定の最適化を一元的に実施でき、運用負荷を大幅に削減できます。

一方で、AIRRECT Cloud及びAIRRECT AP単体ではRADIUS認証機能（内部RADIUS）や証明書発行機能を持たないため、EAP-TLS（証明書認証）を利用したネットワーク構成を実現する場合には別途RADIUSサーバーの構築が必要となります。そこで、SecureW2が提供するクラウドRADIUSおよびマネージドPKI（証明書管理）サービスを組み合わせることで、AIRRECT Cloudによるクラウドベースのアクセスポイント一括管理と、証明書を用いた無線LAN認証を同時に実現することが可能です。

前提条件

• SecureW2の管理者アカウントをお持ちであること
• SecureW2のネットワークポリシーを作成済みであること
• クライアントPCにSecureW2発行のクライアント証明書の配布・登録が完了していること
• AIRRECT Cloudにアクセスできる環境をご準備いただいていること

動作概要

IEEE802.1Xは以下の図のようなシーケンスに従って認証を行います。EAP-TLS認証では認証情報にID / パスワードではなく、クライアント証明書を用いる点が特徴です。

EAP-TLS認証の流れは次のとおりです。

1. ユーザーがアクセスポイントに対してネットワークのアクセスを要求します
2. アクセスポイントがユーザーにクライアント証明書の提示を要求します
3. ユーザーはアクセスポイントに対して適当なクライアント証明書を提示します
4. アクセスポイントはSecureW2に対してクライアント証明書の検証要求を行います
5. SecureW2がクライアント証明書を検証し、認証結果と認証許可した場合にはVLAN等の属性情報をアクセスポイントに返します
6. アクセスポイントは受け取った認証可否に従い、ユーザーのネットワークアクセスを許可または拒否します

※VLAN IDなどのRADIUS属性やベンダー固有属性（VSA）は、5番目の段階で認証結果と共にアクセスポイントに返されます。

このようにIEEE802.1XのEAP-TLS認証を行うことで、社内ネットワークへの不正な端末やユーザーによるアクセスを排除し、ID / パスワードを利用したネットワークのアクセス管理に比べより強固なセキュリティを実現できます。 加えて、RADIUSサーバーとしてActive DirectoryやIDaaSであるOneLogin, Okta などを利用する場合と比べて、重要なIdPにログインするためのID / パスワードをネットワークに流さないことも組織全体のセキュリティを向上させます。

作業詳細

主な作業内容は、AIRRECT APとSecureW2でそれぞれ次のとおりです。

基本的なAIRRECT APとSecureW2の無線LAN利用設定を行うだけで簡単にSecureW2をクラウドRADIUSサーバーとしてご利用いただけます。認証に加えて認可でもRADIUSを利用したい場合は、SecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性（VSA）を認証結果に付与することもできます。

基本的なAIRRECT APのSSID設定

まずはSecureW2のクラウドRADIUSをAIRRECT APで参照するように設定します。
設定を始める前にSecureW2の以下の画像の情報（IPアドレス、ポート番号、シークレット）を控えておいてください。実際の値は管理コンソールのRADIUS Configurationからご確認いただけます。

1. AIRRECT Cloudにログインし、構成 > Wi-Fiをクリックします。

   

2. [ SSIDを追加 ] をクリックします。

   

3. SSID名を設定し、[ 次へ ] をクリックします。

   

4. アソシエーションのセキュリティレベルをWPA3に設定し、[ WPA3-Enterprise ] を選択します。

   

5. [ 追加 / 編集 ] をクリックします。

   

6. 以下の表に従って設定を行います。設定が完了したら [ 終了 ] をクリックしてください。
   

   項目名	設定値
   RADIUSサーバー名	例：SW2_DVP_AsiaPacific-1_Primary
   IPアドレス / FQDN	SecureW2のPrimary IP Address①
   認証ポート	SecureW2のAuthentication Port③
   アカウンティングポート	SecureW2のAccounting Port④
   共有シークレット	SecureW2のShared Secret⑤

   

7. [ 追加 ] タブをクリックして、「AsiaPacific-1 Secondary」と「Global-1 Primary」2つのサーバー設定を追加します。

   

8. ダイナミックVLANにチェックを入れ、自動VLANを選択し、[ 次へ ] をクリックします。

   

9. [ SSIDを保存して有効にする ] をクリックします。

   

10. [ SSIDを有効にする ] をクリックします。

    

11. SSIDが有効になったことが確認できたらAIRRECT APのSSID設定は完了です。

    

VLANの設定

IEEE802.1X認証において、RADIUSサーバーが接続許可を意味するAccess-Acceptメッセージを返すとき、認証結果とあわせてVLAN IDなどのRADIUS属性やベンダー固有属性をRADIUSサーバーからRADIUSクライアントへ連携すると、接続先のネットワークを制御することなどが可能です。SecureW2ではネットワークポリシーの設定を行うだけで簡単にRADIUS属性の指定やユーザー・デバイスに応じた値の定義が可能です。

また、このレポートでは詳細は割愛いたしますが、OneLogin、Okta、Microsoft Entra IDなどのIDaaSと連携するDynamic RADIUSを併用することで、Active DirectoryやLDAPなどのレガシーな認証基盤に依存しないクラウドネイティブなRADIUS基盤としてもご活用いただけます。

1. SecureW2 Management Portal（管理コンソール）の Policy Management > Network から[ Add Network Policy ] をクリックします。

   

2. ポリシーの名前を入力し、[ Save ] をクリックします。

   

3. Conditionsタブに移動し、[ Add rule ] をクリックします。Conditionsタブでは、このNetwork Policyを適用させる対象の条件として利用する変数の種類を指定します。

   

4. ここでは例としてSecureW2のRoleを変数として設定します。各環境に合わせて適切な変数を指定してください。
   CertificateからCommon Nameを選択して[ Save ] をクリックします。画面上部に「'Role' selected」と表示されれば成功です。

   

5. 正常に設定が反映されると、以下の画像のように変数の値を指定できます。今回は例として、無線認証時に提示する証明書のCommon Nameを設定します。
   変数の値を設定できたら、[ Update ] をクリックします。

   

6. Settingsタブに移動し、[ Add Attribute ] をクリックします。この画面で使用するRADIUS属性の設定を行います。

   

7. DictionaryのプルダウンからRadius:IETFを選択します。今回のシナリオではDynamic VLANの利用を想定しているため、以下の表を参考にそれぞれ設定を行います。

   Radius:IETFの属性(Attribute:)	値(Value:)	説明
   Tunnel-Type	13	VLAN（固定値）
   Tunnel-Medium-Type	6	IEEE-802（固定値）
   Tunnel-Private-Group-ID	任意のVLAN-ID（1-4094）	認証対象のユーザーや機器が認証をパスした後に所属させるVLAN-ID （例：100, 200）

   

8. 画像のように設定できたら、[ Update ]をクリックして設定を終了します。他のNetwork Policyが存在している場合は、適宜ポリシーの優先度を操作してください。

   

9. 今回はDynamic VLANが実現可能かを検証するために、同じ手順でVLAN-ID=200のネットワークポリシーも作成しておきます。

   

動作確認

以上の設定を終えたところで、MacBook Proを使用して動作確認を行いました。今回はWi-Fiの接続設定や証明書の配布を手作業で行っていますが、Microsoft Intune、Jamf ProなどのMDM（モバイルデバイス管理）製品とSecureW2を連携しておくと、これらも自動化することができます。

1. Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。

   

2. 証明書の選択画面が出てきたら、認証に使用する証明書を選択し、OKをクリックします。

   

3. 以下のようなウィンドウが表示されたら、続けるをクリックします。

   

4. 以下のようなウィンドウが表示されたら、PC管理者のユーザー名とパスワードを入力して許可します。

   

5. 作成した無線LANへの接続ができたことが確認できました。

   

6. 今度はVLAN-IDが正しく付与されて、DHCPで指定した範囲内のIPからアドレスが払い出されているか確認します。
   今回の例では、VLAN-IDが100の際にDHCPサーバーから192.168.100.2/24 - 192.168.100.254/24の範囲で、200の場合は192.168.200.2/24 - 192.168.200.254/24でIPアドレスを割り振る設定にしているため、設定した範囲のIPアドレスが正しく割り振られていることが確認できます。

   

   

   WiresharkからもVLAN IDが正常に割り当てられていることを確認できました。
   "example@pentio.com"というユーザーがネットワークに参加する場合はVLAN＝100
   "hanako.sato@pentio.com"というユーザーがネットワークに参加する場合はVLAN＝200に所属させていることがわかります。

   

   

SecureW2からも、それぞれのVLAN用ネットワークポリシーに基づいて「Pentio_Network」への接続が許可されたログを確認することができました。

おわりに

今回の検証ではPanasonic AIRRECT APの無線LAN認証にSecureW2のRADIUSサーバーを利用し、SecureW2から発行されたクライアント証明書を用いてIEEE802.1XのEAP-TLS認証ができるかの検証を行いました。また、SecureW2からのRADIUS属性の割り当てを行うDynamic VLANの動作検証も行い、ユーザーごとに異なるVLANへの割当も確認することができました。

Panasonic AIRRECT APは、Wi-Fi 6による高速・高密度通信と、クラウドによる一括管理を両立した国産メーカーならではの信頼性と使いやすさを備えており、高品質な通信基盤を求める企業や教育機関、医療機関などの業務環境で活躍できるアクセスポイントです。また、クラウド管理サービス「AIRRECT Cloud」との連携により、複数拠点のアクセスポイントを一元的に設定・監視でき、ネットワーク管理者の運用負荷を大幅に軽減します。一方で、AP単体では内部RADIUSや証明書発行機能を持たないため、従来のオンプレミス認証環境と同様のセキュリティ要件をクラウド環境で再現するには、外部のRADIUS基盤との連携が求められます。

SecureW2のマネージドPKIおよびCloud RADIUSを組み合わせることで、AIRRECT Cloudによるネットワーク管理と、証明書ベースのEAP-TLS認証を同時に実現することが可能です。これにより、デバイス認証の導入や認証・認可を常に検証するセキュリティ設計の実現など、次世代の無線LAN運用へと段階的に移行することができます。クラウド型ネットワーク管理とクラウドRADIUSの組み合わせは、拠点の拡大やリモートワークなど、変化の多いIT環境にも柔軟に対応できる構成です。AIRRECT AP-6220とSecureW2を組み合わせることで、単なる無線環境の構築にとどまらず、「セキュリティ」と「運用効率」を両立した新しい企業ネットワーク基盤を実現できるでしょう。

参考

本検証で使用した機種のスペックシート

＊本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。