日本語フォーラム

 View Only
last person joined: 2 days ago 

HPE Aruba Networking のソリューション、ネットワークマーケットに関する日本語ディスカッションフォーラム
Expand all | Collapse all

[Central] Personal Wireless Network でパーソナルな環境を簡単に作ろう

This thread has been viewed 13 times
  • 1.  [Central] Personal Wireless Network でパーソナルな環境を簡単に作ろう

    EMPLOYEE
    Posted May 19, 2024 08:00 PM

    今回はAruba Central の 2.5.8 からの新機能、「Personal Wireless Network」について解説したいと思います。

    Personal Wireless Network とは?

    Personal Wireless Network(以後PWN)とは、個々のユーザに属する無線端末専用の隔離されたネットワークのことです。
    以下の図の様に、同一PWNの端末間では通信が可能で(つまりユーザに属する端末間のみで通信が可能)、
    同一VLANのネットワーク内であっても、PWNが異なる端末同士の通信はできないように制御することができます。
    今までであれば、ユーザ間の通信を全てブロックする機能や、Roleの設定で宛先のセグメントで制御することはできました。
    PWNの機能では、ユーザ単位でパーソナルなネットワークを仮想的に簡単に構築することができます。


    Personal Wireless Network の利用シーン
    大学の研究室

    大学単位や学部単位でWi-Fiが提供されていたり、Eduroamの活用が主なWi-Fi接続ですが、
    研究室で利用しているPC, スマホ以外のいわゆるIoTに分類される端末接続も多く、それらをどのように安全にWi-Fiに接続するかが課題に上がることが多いようです。
    PWNを使えば、研究室単位で異なるPSKを配布するだけで、研究室単位でのパーソナルネットワークを提供することができます。

    工場の制御機器用ネットワーク
    工場内にはPSKしか使うことができない古い端末が多く残っています。すでにWi-Fiの活用は進んでいますが、
    PSKだけでは端末間の通信制御ができずセキュアなゼロトラストネットワークを実装することが困難です。
    また、クリティカルなネットワークなので、VLANなどネットワーク構成変更することが困難でもあります。
    PWNを使うことで、相互通信が必要な端末グループ毎にPSKを設定するだけで、不必要な端末間通信をブロックし、
    ゼロトラストに重要なセグメンテーションを実装したセキュアなネットワークを構築することができます。

    ショッピングモールなど複数のテナントが存在する環境
    複数の、それも多数のテナントが存在するエリアに、店舗毎のネットワークを効率よく提供することは意外と難しいです。
    超大型ショッピングモールであれば、店舗毎に有線LANを提供し、店舗毎にネットワークを組むこともありますが、
    Wi-Fiだけ提供してほしいような場合、PWNであれば簡単に、且つセキュアにそれを実現することができます。

    PWNで必要なMPSKについて

    MPSKは Multi Pre-Shared Key の略で、その名の通り同一SSIDで複数のPSKを使うことができる機能です。
    以前、こちらの記事でも紹介しましたが、その時はClearPassを使ったMPSKでしたが、
    Aruba Central だけでも MPSK が利用できるようになっています。(APはAOS10が必要です)
    ユーザ毎にMPSKを発行することができるので、PSKしか使えない環境でも、
    ユーザを識別した制御(具体的にはユーザにRoleを適用したRole Baseのアクセス制御)もできるようになります。
    ユーザの管理は、Cloud Authの外部連携と同様に、Entra ID, Google Workspace, Okta を利用するか、
    Named MPSK という機能名で、Aruba Central (Cloud Auth) でユーザを作成してMPSKを利用することもできます。
    PWNはMPSK を使い、Roleの制御とは別に仮想的にパーソナルなネットワークを提供することができます

    図:PSKとMPSKの違い

    Named MPSK を使ったPWN

    以下がNamed MPSKの設定例です。こちらで分かるように、ユーザ毎に異なるPSKのPassphraseを発行し、
    これらのPassphraseを使ってWi-Fiに接続してきた端末はPassphraseに紐づいたユーザ名でWi-Fiに接続します。

    図:Aruba Central Cloud Auth の Named MPSK の設定例

    2台の端末が ks@aruba.local の Passphrase で、1台
    test@aruba.local のPassphrase を使いWi-Fi に接続してきた場合、
    以下のように上2つの端末間は通信ができますが、それらと1番下の端末は接続できないようになります。


    機能としてはかなりシンプルですが、かなり使い勝手の良い機能だと思います。
    Wi-Fi エンジニアとしては、Wi-Fi 接続には802.1X、且つEAP-TLSを常に使って欲しいとも思いますが、
    現実的にはPSKを使わざるを得ない環境もまだ残っているので、
    そういった環境であっても、最低限のセキュリティを実現するために、是非PWNをご活用下さい。



    ------------------------------
    Keita Shimono,
    Aruba Japan SE Manager & Airheads Leader
    ------------------------------


  • 2.  RE: [Central] Personal Wireless Network でパーソナルな環境を簡単に作ろう

    Posted 30 days ago

    便利な機能ですね。ぜひ使ってみたいのですが、制限についてご教示ください。

    こちらの機能ですが、不可だと思われますが念のためご教示頂けますでしょうか。

    コントローラ従属(Clearpass機能なし)のCAPやRAPなどでは使えない認識でよいでしょうか。
    また、同様にIAP環境(ArubaCentral従属なし)だけでも使えない認識でよいでしょうか。

    よろしくお願いいたします。




  • 3.  RE: [Central] Personal Wireless Network でパーソナルな環境を簡単に作ろう

    EMPLOYEE
    Posted 29 days ago

    早速ご覧いただきコメントもありがとうございます!
    この機能はAOS10の機能となりますので、Aruba Central 必須となります。

    オンプレの場合は、今までのUser Role内のACLで制御できる範囲でご利用下さい。



    ------------------------------
    Keita Shimono,
    Aruba Japan SE Manager & Airheads Leader
    ------------------------------