PR

無線LAN の標準規格には拡張技術を含めて策定中のものがあり,実運用上カバーできていない部分もある。無線LANシステム・ベンダーは,そうした標準でカバーできていない機能や,運用を簡単にするソリューションを独自機能などを使って提供している。今回から無線LANシステムの拡張機能を解説する。

 無線LANの拡張機能にはさまざまな種類がある。以下では,運用上不可欠と言える機能や,運用を容易にする機能を中心に見ていく。

アクセス・ポイントを統合管理する

 企業で無線LANを導入する場合,多数のアクセス・ポイントが必要になり,現在では100台を超えるケースも珍しくない。アクセス・ポイントには多くの設定項目があり,1台ずつ個別に設定を行うにはオペレーションの負荷が大きい。また,個別では管理も難しい。

 そこで無線LANシステム・ベンダーは,アクセス・ポイントを集中的に設定,管理する方法を提供している。ベンダーによって設定や管理の機能を,LANスイッチやコントローラ(アプライアンス)に統合しているが,ここでは総称として「無線LANスイッチ」と呼ぶ。無線LANスイッチで集中設定を行うと,設定内容は自動的にアクセス・ポイントへ反映され,設定負荷と入力ミスを最小化できる。また,集中管理によってオペレーション負荷を軽減できる。アクセス・ポイントを30台以上利用する環境では必須と言える。

高速暗号処理にアクセラレータを使う

 暗号化は無線LAN通信に欠かせない。しかし,1台のアクセス・ポイントに多くの無線クライアントがアソシエーションする企業ネットワークでは,暗号処理のボトルネックが懸念される。企業向け無線LANシステムでは,高速な暗号処理対策として内部に暗号処理専用のアクセラレータが組み込まれている(図1)。アクセラレータは,無線LANスイッチに搭載され,アクセス・ポイントでは暗号処理を行わず,無線LANスイッチで集中的に行う。アクセラレータの利用はCPUパワーの低いアクセス・ポイントから負荷を軽減するという効果もある。このアクセラレータの利用と処理形態が,数千台の無線クライアントを接続する企業ネットワーク環境においても高速処理を実現し,ボトルネックを発生させない。

図1●アクセラレータを使い高速暗号処理
図1●アクセラレータを使い高速暗号処理
無線LANスイッチに搭載された暗号用アクセラレータで,WEP,TKIP,AESなどの暗号・復号処理を高速化。大規模な企業ネットワークでも暗号処理がボトルネックにならないよう設計されている

VLANを柔軟に割り当てる

 企業ネットワークでは最適なアクセス制御を行うため,ユーザーに合ったアクセス権とともにVLAN(Virtual LAN)を割り当てたいという要求がよくある。このような要求に応えるため無線LANシステムでは,ユーザーに割り当てるVLANを柔軟に設定できるようになっている。例えば,ESSID(Extended Service Set Identifier)やアクセス・ポイント単位でVLANを割り当てたり,認証の結果に基づいてVLANを割り当てることができる。無線LANシステムでは,VLANの割り当てに場所は絶対条件にはならない。

チャネル,送信出力を自動調整する

 アクセス・ポイントを最適な環境に設置,設定しても,隣接する会社や無線LAN以外の機器との電波干渉を防ぐのは難しい。そこで無線LANシステムでは,キャリブレーション機能のさらなる拡張で,動的に電波干渉を認識し,アクセス・ポイントの設定を干渉の少ないチャネルへ自動変更する。この自動調整機能があれば,隣接の会社の電波環境が変わっても,常に最適な環境に保つことができる。

 無線LANシステムは,チャネルの動的変更機能を実装してから1世代が経過しており,現在では干渉のしきい値も設定できる。また,無線クライアントがアソシエーションしているアクセス・ポイントや音声通信を行っているアクセス・ポイントのチャネルは変更しないなどの調整もできるようになっている。

ローミングを“アシスト”する

 IEEE802.11では,アソシエーションやローミングはステーション(無線クライアント)側がイニシエータになる。つまりローミングの際は,どのタイミングでローミングを開始し,次のアクセス・ポイントと再アソシエーションするかは,ステーションの判断で決まる。電波は環境にも大きく影響されるが,機器の種類によっても影響を受ける。具体的には,アンテナの大きさ,向き,受信感度などである。

 さまざまな機器を利用する企業ネットワークの環境では,ステーションによってローミングに長い処理時間を要することもあるが,通常のアクセス・ポイントでは救済方法が無かった。無線IP電話の導入が進む現状では,悩み事の一つとなり得る。

 このような問題の一つのソリューションとして企業向け無線LANシステムでは,ステーションにローミングを誘発するような機能を搭載している。無線LANシステムは,各ステーションの受信信号強度(RSSI:Received Signal Strength Indicator)を監視し,環境に合わせあらかじめ設定されたしきい値よりRSSIが低くなったステーションには,アソシエーションを解除するパケットを送信し,再アソシエーションを促す。

 アソシエーションを解除されたステーションは,その時点で信号のより強いアクセス・ポイントを選択して再アソシエーションし,結果的にローミングを完了する(図2)。このようなローミングをアシストする機能が搭載されていれば,ステーションが認識しているアクセス・ポイントの信号強度だけでなく,ステーションの信号強度によってもローミングが開始される。

図2●ローミング・アシスト
図2●ローミング・アシスト
ステーション(無線クライアント)の受信信号強度(RSSI:Received Signal Strength Indicator)がしきい値より低くなった場合,アクセス・ポイントは該当ステーションとのアソシエーションを解除する。アソシエーションを解除されたステーションは,付近のアクセス・ポイントを探し,信号のより強いアクセス・ポイントと再アソシエーションし,ローミングを完了する

不正アクセス・ポイントを検出する

 不正アクセス・ポイントの検出機能は,無線LANシステムではお馴染みになっている。ユーザー企業はこの機能を使って,自社のネットワークに接続された不正アクセス・ポイントの検出,およびそれを利用したアクセスの抑止ができる。

 検出の方法は,無線LANパケットのヘッダーに含まれるMACアドレスとBSSID(Basic Service Set Identifier),および有線ネットワークの情報を収集し,それらを比較して判断する。アクセスの抑止は電波を妨害するのではなく,無線,有線のプロトコルに従い,双方で抑止を行う。

 この不正アクセス・ポイントの検出機能を応用することによって,自社アクセス・ポイントへの外部からのアクセスや,同一ESSID(Extended Service Set Identifier)を使うハニーポット攻撃などを防ぐこともできる。

位置情報を検出する

 無線LANシステムから,無線クライアントがどのアクセス・ポイントとアソシエーションしているかの情報を得ることによって,ステーションの大まかな場所を知ることができる。単体のアクセス・ポイントを複数使った場合に比べれば,これだけでも有用な情報と言えるが,アソシエーション・レートによってはセルが大きくなり,正確な情報とは言えなくなる。

 そこで無線LANシステムでは,拡張機能を使って無線クライアントの位置情報を提供する。位置の特定方式の一つに信号強度から算出する方法がある。この方式は,無線クライアントから送信された電波の受信信号強度から無線クライアントまでの距離を算出し,3点測量の方法によって位置を特定する(図3)。3台以上のモニターまたはアクセス・ポイントで無線クライアントの位置を算出できれば,高い精度で位置を特定できる。同様にして,レスポンス・タイムから無線クライアントの位置を特定する方式もある。

図3●ステーション位置情報の取得
図3●ステーション位置情報の取得
アクセス・ポイントが受信した電波の受信信号強度(RSSI)から無線クライアントまでの距離を計算。3点測量の方法で無線クライアントの位置を特定する