【ネットワーク】無線LANを社内に導入する場合のポイント

サーバ・ネットワーク
スポンサーリンク

今回は社内に無線LANを導入する場合に気を付けることや、こうした方が良いというポイントを紹介していきます。

いきなり結論

  1. 社内の全てのアクセスポイントのSSIDと認証情報を統一する。
  2. アクセスポイントは物理的に高い位置に設置する。
  3. 予算が許せばPoE対応のアクセスポイントが望ましい。
  4. 無線の周波数は5GHzのみで運用する。※2.4GHzは無効化する。
  5. 無線LAN用セグメントを確保し、無線LANはDHCPで運用する。
  6. 中継器はトラブルの元なので使用しない。
  7. セキュリティをガチガチにしたければクライアント証明書を導入する。

 

1.社内の全てのアクセスポイントのSSIDと認証情報を統一する

私事ですが、昔仕事で無線LANを扱うまでは、SSIDはアクセスポイント毎に異なる値を設定しないといけないものだと勘違いしておりました…。

ご存知の方も多いかと思いますが、昔の私のように勘違いしている人も居るかも知れないので、改めておさらいします。

SSIDはIPアドレスやホスト名みたいに同一ネットワーク内での重複が許されないものではなく、重複しても支障はないものです。

同じSSIDを使用したアクセスポイントが電波の受信圏内に複数存在した場合、クライアントの端末はより電波感度の良いアクセスポイントに繋がります。※ただし、ノートパソコンやタブレットで移動しながら無線LANを利用する場合は、端末が繋がっているアクセスポイントと物理的な距離が離れて電波感度が悪くなり、より近くに同じSSIDを持ったより電波感度の良いアクセスポイントが存在していたとしても、端末は自動で近くのアクセスポイントに接続し直してはくれません。いったん切断されれば、今度は近くのより電波の強いアクセスポイントに接続してくれます。

クライアント端末側で無線LANに接続する際に入力する認証情報(パスワード、認証キーなど)はSSID単位で端末側に保持され、同じSSIDの電波を受診した場合は、以前接続したアクセスポイントと異なっていても、保持された認証情報を使って自動的に接続しに行きます。

よって、全社内の全てのアクセスポイント、もしセキュリティ的に制限を効かせたければ、拠点毎の全てのアクセスポイントのSSIDと認証情報を統一しておくことで、クライアント端末は対象のSSIDに一度でも接続出来れば、以降は物理的に異なる位置に設置されているアクセスポイントでも自動で接続されます

 

2.アクセスポイントは物理的に高い位置に設置する

結構やりがちなのが、スイッチングHUBなどが床の隙間に設置しており、ついついその隣などにアクセスポイントも設置してしまうケース。

ただ、無線LANの電波は進行方向に障害物がある場合、透過はせず遮られます。電波は目には見えないので、遮蔽物があっても通り抜けているようにも感じれなくは無いですが、実際には障害物を回り込んだ電波を端末が拾っているだけで、アクセスポイントから最短経路の電波を拾っている訳ではありません。

テレビ局の電波塔でも電波を遠くまで飛ばすために遮蔽物の無い高い位置から電波を送信しています。無線LANも同じです。

アクセスポイントの設置ですが、望ましいのは天井てす。天井の蛍光灯などのように天井にぶら下がる形で設置してあげれば、壁で囲まれている範囲内において、電波の遮蔽物を大きく減らせます。

ただ、天井に設置するには天井にビスなどで穴を開けて据え付ける必要があり、そこまでLANケーブルや電源ケーブルを引っ張ってくる必要があるため、建物の契約上や部屋のレイアウト上難しい場合も多いかと思います。

よって、現実的には少し高い棚の上など、可能な限り高い位置に設置するように心がけましょう。

 

3.予算が許せばPoE対応のアクセスポイントが望ましい

そもそも「PoE」って何?って人も居るかと思いますが、PoEとは、「LANケーブルで電力の供給を受ける仕組み」です。

普通の電子機器は電源ケーブルをコンセントに挿して電力を供給します。ただ、ネットワーク機器の場合、パソコンなどと比較しても割りと小さい電力でも動きます。

アクセスポイントの機種にもよりますが、PoE対応を唱っている製品であれば、電源ケーブルは不要になり、LANケーブルからの通電だけで電力が賄えます

ここまでの話で、PoEのメリットについてピンときていない人も居るかも知れませんが、PoE対応の機器の場合、機器の設置場所に対する物理的な制約がかなり軽減されます。

具体的な例だと、当記事の上項で、アクセスポイントは天井に設置するのが理想であり、可能な限り高い位置に設置すべきと記載しました。

それを実現する場合に、電源をどこから取るかというのがネックになることが多々あります。こういった場合に、ケーブルの延長がしやすく、這わせやすいLANケーブルだけが接続できれば使用できるという特性は非常に有利です。

ただ、デメリットとしては、PoE非対応の製品と比較した場合、価格が少し高くなるのと、対向のスイッチングHUB側でもPoEに対応している必要があるので、HUB側の入れ換えも必要になったりします。

 

4.無線の周波数は5GHzのみで運用する

こちらは以前に記事で書いています。

【ネットワーク】社内無線LANが遅い原因と対策
今回は社内の無線LANが遅い原因とその対策について紹介していこうと思います。 社内LANを無線化するメリット・デメリット まずは社内LANの無線化に関する一般的な知識を共有していきましょう。 社内LANの無線化とは 通常、社内の...

2.4GHz帯の電波は様々な電子機器で利用されており、それらの電子機器が発する電波の電波干渉により通信の突然の切断や電波感度の低下を引き起こします。

よって、無線LANのネットワーク内に、5GHzに対応していない古い端末が存在している環境では無ければ、アクセスポイントの電波は5GHzのみ有効な設定にしておくことを推奨します。因みに、もし2.4GHzと5GHzの電波が同じSSIDで混在する環境の場合は、クライアント側ではどちらの周波数の電波を優先して接続するといった仕様はこれまでの経験上無さそうで、ランダムでどちらかに繋がっている感じがします。

ただ、5GHzのみを推奨する環境とは、アクセスポイントを天井や高い棚の上などの、可能な限り遮蔽物が無い環境に設置出来た場合の想定であり、アクセスポイントを床や遮蔽物に囲まれた環境に設置しないといけない場合や、壁や扉を隔てた場所へも電波を十分に届かせたい場合は、より遮蔽物や障害物に強い2.4GHzとの混在環境や2.4GHzのみの環境の方が良い場合もあります。

 

5.無線LAN用セグメントを確保し、無線LANはDHCPで運用する

これはネットワーク構成の設計に関与できないと難しいですが、ある程度の規模の企業ですと、社内のPC等の各端末は固定IPで運用されていると思います。

ただ、無線LANで接続する端末も固定IPだと、無線LANの「物理的な場所の制約を受けずにネットワークに接続できる」というメリットが薄くなります。

例えば、ノートパソコンを持っている横浜営業所勤務のAさんが出張で東京の本社に来たといったケースでは、無線LAN端末も固定IPで運用している場合、Aさんはシステム管理者から本社用セグメントのIPアドレスをもらい、自身で設定変更する、またはシステム管理者に依頼して設定変更をしてもらう必要があります。

またAさんが帰るときは、横浜営業所でネットワークに接続できるようにIPアドレスなどのネットワーク設定を戻してあげる必要があります。

これだとAさんもシステム管理者もお互い面倒ですね。

だったら、無線LANに接続するネットワークだけはDHCPを有効にして運用してあげれば、Aさんは横浜営業所に居るときも東京本社に居るときも、ノートパソコンのネットワーク設定を変えることなく無線LANに接続できます。※前述の「SSIDを社内で統一」していることが前提

では、そういったネットワークを組む際の構成例を提示します。

これはルーター機能を持っているアクセスポイントでの例です。家庭用の無線LANルーターで作れます。

無線LAN用のセグメントを用意して、無線LANルーターのDHCP割り当てIPアドレスに対象のセグメント内のIPアドレスの範囲を割り当てます。

無線LANルーターのWAN側IPアドレスとして、有線LANで使用しているセグメントのIPアドレスを設定します。

無線LANルーターのWAN用ポートと社内の有線LANで使用しているHUBをLANケーブルで接続します。

既存のネットワーク構成や無線LANルーターの機種にもよりますが、この様な構成でいけるのではないでしょうか。

 

6.中継機はトラブルの元なので使用しない

無線LANの中継機は一見すると便利に思えます。例えば、建物の一階でアクセスポイントを設置して無線LANを利用しており、あとから建物の二階でも無線LANを利用したくなったが、一階の電波が二階まで直接届かないといったケースがあったとします。

こういう場合に、例えば一階と二階をつなぐ階段の踊り場に無線LAN中継機を設置して、二階まで電波を届かせることが可能になります。

ただ、私は中継機の利用は推奨しません。

理由は「アクセスポイントと中継機間の通信が不安定でも末端のクライアント端末では気づけない」からです。

以下がイメージ図です。

これを見ていただけるとわかりますが、クライアント端末と無線LAN中継機との間は電波感度が良く、クライアント端末的には電波状況は良好に見えます。ただ、無線LAN中継機とアクセスポイントとの間は電波感度が悪く、通信が不安定な状態です。

この場合、クライアント端末側では電波状況は良好なはずなのに何故か通信が不安定な状態になります。

只でさえ無線LANは有線LANとは違いネットワーク構成が目に見えるものではなく、トラブル対応時の難易度が高いのに、それが更に大変になります。

よって安易に中継機は導入せず、ちゃんと内装工事をして然るべき場所までLANケーブルを牽いたうえでアクセスポイントを増設するとか、発想を変えてPLCを導入してみるとか(※PLCは半二重通信、且つ建物内の電力の仕様状況で通信に影響をきたす為、安定するかはわかりませんが…)、中継機以外の選択肢を検討すべきだと思われます。

 

7.セキュリティをガチガチにしたければクライアント証明書を導入する

これはこういった仕組みもあるんだと参考にしていただく程度で良いかと思います。

企業が無線LANを導入する場合、気を付けないといけないのがセキュリティです。※もちろん一般家庭への導入でも同じですが

有線LANで作られたネットワークでは、そのネットワークに接続するには、物理的に端末をLANケーブルに挿す必要があります。

単純なことですが、無線LANと比較した場合強固なセキュリティと言えます。

対して無線LANで作られたネットワークに対しては、電波が届く範囲であれば誰でもどこからでも接続できます。

もちろん無線LANに接続するには認証情報も必要になるため、そこを何らかの方法でクリアする前提ですが、認証情報さえわかれば物理的に建物のなかに侵入しなくてもネットワークに接続出来るのは非常に脅威です。

企業のシステム管理者としては、社内の許可された端末しか無線LANに接続できないようにしたいと考えました。

そこで出てくるのが「クライアント証明書認証」という仕組みです。

仕組みとしては、「証明書」と呼ばれる特殊なファイルを作成し、パソコン等の端末にインストールします。

アクセスポイント側では自身の電波に接続してきた端末に決められた証明書がインストールされているかをチェックし、インストールされている場合のみ接続を許可します。

イメージ図は以下です。

例えるならドアのカギを暗証番号を使って開けていたのが、カードキーをかざすだけで開けることが出来るようになった感じでしょうか。

ただ、この仕組みを導入した場合、証明書を発行する仕組みを構築する必要がありますし、発行した証明書の管理方法も考える必要があります。手間もそれなりに掛かるので、セキュリティ意識の高い企業では無い限りここまでやらなくても良いかと思います。

また、逆にここまで作り込んだらRADIUS認証とも連携して、端末と人を紐付けた認証までやりたくなりますが、構築や運用の難易度がだいぶ高くなるので、十分勉強してから臨んだほうがよいでしょう。因みに認証局として証明書発行処理やRADIUSでの認証連携をさせる場合に、私のイメージでは「NetAttest」というアプライアンス製品がよく利用されているように思えます。

 

今回の記事は以上です。皆さまの無線LANの導入について、何らかの参考になれば幸いです。

では今回もごきげんよう。

関連記事は以下です。

【ネットワーク】社内無線LANが遅い原因と対策
今回は社内の無線LANが遅い原因とその対策について紹介していこうと思います。 社内LANを無線化するメリット・デメリット まずは社内LANの無線化に関する一般的な知識を共有していきましょう。 社内LANの無線化とは 通常、社内の...
にわか情シス向け ネットワーク用語ザックリ解説
今回はネットワーク関連の用語や名称を何となく解説していきます。 深く知るのは必要に迫られたらで良いと思うので、何となく知ったか振りができる程度になれれば良いかと…。 ルーター ネットワークを作る上での基本となる機器。 ...
タイトルとURLをコピーしました