専用のアクセス・ポイント(AP)と組み合わせて使うことで,無線LANの設計から運用管理,セキュリティ対策までを支援するLANスイッチが増えている。複数APの設定を一元管理できるだけでなく,チャネルや電波出力強度を自動的に調整したり,不正なAPを検知したりする機能を備えた製品が多い。

図1●無線LANの管理機能を豊富に備えたLANスイッチが増える
無線LANの設計からセキュリティ対策,導入後の運用までを支援する無線LAN専用スイッチが増えている。専用のアクセス・ポイント(AP)と組み合わせて使うことにより,チャネルや電波出力の自動調整,複数APの一括管理,不正なAPやPCの検知と通信の遮断,などの機能を提供する
図2●電波管理機能で設計の負荷を軽減
東京法科大学院は,無線LANの新規導入に当たって,電波管理機能とセキュリティ対策機能を重視して米Airespaceの無線LAN専用スイッチを採用した。同大学院の建物は,隣のビルで電波が反射する,非常階段を通じて他のフロアに電波がもれる,という環境にあった。APの設置場所を決める作業は難しいと思われたが,無線LAN専用スイッチの機能を活用して半日で終わった
図3●不正なAPやPCを検知して通信を遮断
専用APが不正なAPやPCの存在を検知し,Deauthenticationメッセージなどを送信することで,不正なAPへの通信を強制的に終了させる。ただし,隣接する建物で利用している正規のAPやPCの電波を検知した場合も不正と見なしてしまうため,運用方法に注意が必要
 これまで企業が無線LANを導入する場合,構築が難しい上に,運用が大変という問題があった。「使用するチャネルが干渉しないように調査しながら,APの設置場所を決めなければならない」,「APのファームウエアのバージョンアップや設定変更に手間がかかる」,「誰がどこに接続しているのかがすぐに分からない」,「不正なAPを設置されても分からない」などだ。

 こうした問題を解決するために登場したのが,無線LAN専用スイッチである(図1[拡大表示])。これらの製品は,専用のAPと組み合わせて利用することで,社内に分散設置したAPを一元管理できる。LANスイッチの管理画面にアクセスし,「ボタンをワン・クリックするだけで全APに設定を反映できる」(米Trapeze Networksの製品を販売する高千穂交易 ネットワークソリューション事業本部 ソリューション事業部 SEチーム 主任 井藤政樹氏)。どのAPの配下に誰が接続しているか,APごとのトラフィック状況なども調べられる。

 ユーザー認証や通信の暗号化,経路の制御など,これまでAPが実施していた処理もLANスイッチが代行する。実現方法は製品ごとに異なるが,IPアドレスを変更しなくてもサブネットが異なるAP間をローミングできる機能,特定のAP配下にユーザーが多い場合は他のAPに接続させるロードバランシング機能なども搭載する。

電波管理機能で設計を支援

 これらに加え,米Airespace,米Aruba Wireless Networks,NEC,Trapeze Networksなどの製品は,無線LANの電波管理機能を備える。AP同士がお互いの電波を感知し,使用するチャネルや電波の出力を自動的に調整してくれる。「チャネルの調整はほとんど意識しなくていい」(Aruba Wireless Networksの製品を販売するネットワークバリューコンポネンツ セールスエンジニア 永田史郎氏)。APが故障して,あるエリアが通信不能になった場合は,隣接する他のAPがそれを検知し,電波の出力を強くしてそのエリアをカバーするといった機能も備える。

 2004年4月に開校する東京法科大学院は,無線LANを新規に導入するに当たって,電波管理機能とセキュリティ対策機能を重視し,マクニカが販売するAirespaceの製品を採用した。授業のビデオ配信用にクライアント1台当たりの帯域を十分に確保する必要があり,狭い範囲にたくさんのAPを配置しなければならなかった。「フロア間の電波干渉が容易に想像できた」(無線LANの構築を担当したNTT東日本 法人営業本部 ソリューション第一営業部 システム部門 第一システム担当 宮古隆秀氏)。

 さらに建物を調べてみると,窓の先にある隣のビルで電波が反射して建物内に戻るほか,非常階段を通じて他のフロアにも電波が漏れてしまうような状況だった(図2[拡大表示])。チャネルが干渉した場合はスループットが低下してしまう。通常の無線LAN製品を使えばAPの設置場所を決める作業は大変になるところだったが,Airespaceの電波管理機能を活用して半日で終わった。「チャネルがぶつからないようにある程度自分で配置を考える必要があるが,無線LANの設計を支援してくれる。チャネルも機器が選択したものをそのまま使うだけ」(宮古氏)。

 セキュリティ面では,ESSID(クライアントをグループ分けするための識別子)とVLANのグループを「シームレスに連携できる」(宮古氏)という点を評価した。多くの無線LAN製品は1つのAPで複数のVLANを利用することができない。APを接続したLANスイッチでポートVLANを設定することになるため,「1AP=1VLAN」になってしまう。これに対してAirespaceは,1つのAPで複数のVLANを利用できるので,ユーザーごとに所属するVLANのグループを分けられる。この機能を使い,学生,教員,管理者,事務A/Bの5つでESSIDを変え,それぞれのグループにVLANを設定した。

社内の不正なAPを検知

 いずれの製品も,セキュリティ対策機能が充実している。IEEE802.1xによるユーザー認証,TKIP,AES,WEPによる通信の暗号化はほぼ当たり前。これらの対策で社内の無線LAN環境への不正侵入や盗聴は防げるが,不正なAPを勝手に設置された場合の対策にはならない。不正なAPを介して不正なPCが侵入したり,正規のPCが知らないうちに接続してしまったりする恐れがある。

 これを防ぐため,不正なAPやPCの存在を検知し,通信を遮断する機能を備えた製品が多い(図3[拡大表示])。具体的には,無線LANに流れるフレームのBSSID(APのMACアドレス)やESSIDなどを専用APが監視し,登録のないものは不正なAPと見なして警告を出す。さらに,不正なAPに接続しようとしている通信を検知した場合は,Deauthenticationと呼ばれるメッセージなどをクライアントに送り付けることで,強制的に通信を切断させる。

 ただし,運用方法に注意したい。隣接する建物の会社で無線LANを利用している可能性があるからだ。他社の正規APやPCの電波を検知した場合も,不正と見なしてしまうことになる。東京法科大学院では,「(Airespaceの機能を使って)通信を止めることもできるが,不正PCであることが明らかに分かっていないかぎり止められない。発見することに意義がある」(NTT東日本の宮古氏)と考えている。遮断までは実施していない。

他社製品との併用はできない

 このように便利な機能を備えるが,難点はまだ価格が高いこと。搭載するポート数や管理できるAPの数などにもよるが,200万円前後から。専用APは1台10万円前後のものが多い。製品によっては管理ソフトが別売になっていたり,不正APを検出する装置が専用APとは別になっていたりするものもある。メーカー間の互換性もない。これらはセットで導入しなければ,前述した機能をフルに使うことはできない。既に他社の無線LAN製品を導入している場合は既存資産を捨て,すべて入れ替えることになる。

(榊原 康=sakakiba@nikkeibp.co.jp)