前回 Personal Wireless Network の概要について紹介しました。(こちら)
今回は Personal Wireless Network (PWN) の設定について簡単に解説します。
設定はとてもシンプルです。
MPSKは簡単のため、Named MPSK (Central Cloud Authでユーザを管理する方式)を使います。
- WLAN の設定でMPSKとPWNを設定する
- MPSK の設定に必要なロールを設定しておく
- MPSK を設定する(ここでステップ1で設定したWLANを指定する)
大まかには以上のステップだけで完了です。
1. WLAN の設定でMPSKとPWNを設定する
WLANの作成手順のセキュリティのところで、キー管理を「MPSK AES」、プライマリサーバーを「Cloud Auth」、パーソナル無線ネットワークを「有効化」します。
2. MPSK の設定に必要なロールを設定しておく
MPSKの設定で、ユーザ単位でロールを指定する必要があるので、あらかじめロールを設定しておきます。
ロールの内容はここでは省略します。
ロールの設定は、APグループのセキュリティタブで設定できます。
3. MPSK を設定する(ここでステップ1で設定したWLANを指定する)
最後にMPSKの設定です。ここではNamed MPSKを設定します。
グローバルレベルで「セキュリティ > 認証およびポリシー > 右上の設定」へ進み、「MPSKの管理」をクリックします。
次にMPSK ネットワークで新しい設定を追加します。ここで、ステップ1で設定したMPSKが有効なWLANを指定します。
追加後、右上のギアマークをクリックし、MPSKの設定を行います。
パスワードポータルはCloud ID連携の時に利用しますが、Named MPSKでは利用しません。
MPSKの設定でユーザを作成し、ステップ2で作成したユーザに適用するロールを指定します。
設定はこれだけで完了です。あとは、ユーザ毎のMPSK Passphrase をユーザに配布し、端末がそのPassphrase を使ってWi-Fi にアクセスするだけです。
動作確認
端末がMPSKを使ってWi-Fiへ接続すると、以下のようにMPSKに紐づいたクライアント名(ユーザID)が表示されています。
クライアントのセッション情報を見てみると、異なるPWN間(クライアント名が異なる端末間)の通信が拒否されていることがわかります。
端末がどのPWNに属しているかはCLIのshow commandで確認することができます。
※PWNの識別子をPAN IDと言います。PANはPersonal Area Networkの略でPWNのより一般的な言い回しです。
show ap association の表示結果の一番右列にuser-panidと表示されていることが確認できます。
AP-505# show ap association
The phy column shows client's operational capabilities for current association
Flags: H: Hotspot(802.11u) client, K: 802.11K client, M: Mu beam formee, R: 802.11R client, W: WMM client, w: 802.11w client, V: 802.11v BSS trans capable, P: Punctured preamble, U: HE UL Mu-mimo, O: OWE client, S: SAE client, E: Enterprise client, m: Agile Multiband client, C: Cellular Data Capable - network available, c: Cellular Data Capable - network unavailable, T: Individual TWT client, t: Broadcast TWT client
PHY Details: HT : High throughput; 20: 20MHz; 40: 40MHz; t: turbo-rates (256-QAM)
VHT : Very High throughput; 80: 80MHz; 160: 160MHz; 80p80: 80MHz + 80MHz
HE : High Efficiency; 80: 80MHz; 160: 160MHz; 80p80: 80MHz + 80MHz
<n>ss: <n> spatial streams
Association Table
-----------------
Name bssid mac auth assoc aid l-int essid vlan-id phy_cap phy assoc. time num assoc Flags DataReady UAC user-panid
---- ----- --- ---- ----- --- ----- ----- ------- ------- --- ----------- --------- ----- --------- --- ----------
AP-505 b8:3a:5a:91:e6:32 ee:42:00:6b:fe:4a y y 2 10 pwn 1 5GHz-VHT-80sgi-2ss-RVM 5GHz-VHT-80sgi-2ss 4h:12m:8s 1 WVRM Yes 0.0.0.0 4006073
AP-505 b8:3a:5a:91:e6:32 d6:41:12:43:85:29 y y 3 1 pwn 1 5GHz-VHT-80sgi-2ss-RVM 5GHz-VHT-80sgi-2ss 4m:51s 1 WVRM Yes 0.0.0.0 3450429
AP-505 b8:3a:5a:91:e6:32 62:e3:83:6c:a4:df y y 1 20 pwn 1 5GHz-HE-80-2ss-RVM 5GHz-HE-80-2ss 17m:15s 1 WVRM Yes 0.0.0.0 4006073
Num Clients:3
上記でも端末のMACとPANIDの紐付けは確認できますが、
show ap mpskcache で、端末毎のMPSK関連情報を表示することもできます。
AP-505# show ap mpskcache ee:42:00:6b:fe:4a
Station MAC address :ee:42:00:6b:fe:4a
Seq no :1115
Key :(6): 90 39 fd 85 b4 86
ESSID :pwn
Name :ks@aruba.local
Role :employee
Server :Not set
VLAN :1
To Del :0
Expire :0s
Vlanhow :255
Rolehow :0
ACL Rule Index :229374
User panid :4006073
---:
AP-505#
このように、設定もとても簡単なので、興味のある方は一度お試しください。
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------