シスコ無線lan : 提案入門編その1 - cisco...ap クライアント...

シスコ無線LAN : 提案入門編その１

シスコシステムズ合同会社

エンタープライズネットワーキング事業

ユニファイドアクセスグループ

2014年4月16日

ネットワーク基礎トレーニング

Cisco Confidential 2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

本日のアジェンダ

ビジネス無線LAN最新動向

無線LANの種類/製品ラインナップ

最新無線LANソリューション


ビジネス無線LAN最新動向


モビリティ市場の急拡大無線LANインフラがあって当たり前の時代に！タブレット、スマートフォンの拡大フリーアドレス場所に制約されない業務・コミュニケーションペーパーレス促進資料共有の迅速化生産、物流、店舗、倉庫、あらゆるワークスペースでのモビリティ確保オール無線LANオフィスによる工事費削減組織変更にも迅速に対応

高速、安定通信

ネットワークへの要望

人、ロケーションを把握する管理性

動画・音声リッチコンテンツ化

場所を選ばないアクセス

モバイルデバイスの増加

新しいユーザーニーズ

管理端末増加によるセキュリティの確保


スマートデバイスに欠かせない無線LANインフラ

1) 重要度：無線LANは、スマートデバイスソリューションの重要な構成要素

2) 信頼性：中小規模でも価格優先のコンシューマクラスのアクセスポイントから信頼性を重視したエンタープライズグレードのアクセスポイントへシフト

3) 規模拡大：従来の会議室、役員室のみ、といった限られた範囲での利用から、オフィス全体の無線LAN化によりアクセスポイント数十〜数百台規模に拡大

4) エリア拡大：利用エリアもオフィスのみならず、工場／倉庫／店舗／屋外へと拡大

5) 拡張性：無線LANを通信手段だけではなく、位置情報を活用したビジネスの拡大

無線LANの依存度、重要性とエリアの拡大


Wi-Fi ネットワークの統合従来は別々だった複数の Wi-Fi ネットワークを単一のネットワークに統合しながら

仮想分離を使用してセキュリティを維持（SSIDまたはポリシーベース）

発券

POS

業務用

発券

業務用

ゲスト

ゲスト

将来の拡張性維持と、インフラコスト抑制が可能

POS 売上・在庫管理


無線LANの種類/製品ラインナップ


無線LAN製品のポートフォリオ

価格帯

性能

個人向け・自律型

・基本セキュリティ・家庭用CPU ・家庭用筐体

※参考 AP1台5端末程度

ローエンド・自律型（一部設定ツール対応）・基本セキュリティ/1x認証対応

・高性能CPU ・強化筐体


１万円

ミディアム・集中管理型

・自動電波強度、チャネル設定・基本セキュリティ/1x認証対応

・高性能CPU ・強化筐体

・各種パラメータ設定


一般的な製品を対象としており、個別の製品によって機能は異なります。

プレミアムモデル・集中管理型

・自動電波強度、チャネル設定・基本セキュリティ/1x認証対応

・電波障害回避・専用CPU ・強化筐体

・各種パラメータ設定


コンシューマエンタープライズ（法人向）モデル

シスコのカバーエリア


【参考】個人向無線LAN製品の特徴通信速度や電波の強さを謳うメーカーも多いが、端末は1−3台程度の接続を前提としている。

端末を複数台利用の場合は処理能力が追いつかず、通信が安定しない。

電波干渉や、障害の発生に対しては対応できない

家庭内の環境を想定しており、オフィス等のホコリや急激な温度変化などを前提としていない。

個人向け特徴

通信安定性 ✕ 電波の強さを売りにする製品が多い

1-5台程度の接続を想定している

筐体 (耐久性) ✕ プラスチック筐体 1年保証機器の初期不良は新品交換

設定 (一括設定) ✕ 専用GUI,設定ツール 1台づつの設定

クライアントの接続ツールは充実（らくらく無線、AOSS等）

運用管理 ✕ 接続時の設定を継続利用

トラブル対応 ✕ 障害発生時の対策は主に機器の再起動

セキュリティ ▲ 最新の製品はWPA2-Entまで対応している。

「認証と暗号化」は可能だが、詳細な設定までは不可

拡張性 ✕ 管理ツール非対応

価格 (参考) 1台1万円程度 CPUや筐体、性能など、コストに制限される


自律型（個別管理）とコントローラ型（集中管理）の違い

集中管理型（Lightweight）自律型（Autonomous）

コントローラ

AP

クライアント

自律型（Autonomous）： APごとに設定、AP単体での導入が可能

集中管理型（Lightweight）：コントローラで設定、AP単体での導入は不可

※シスコのAPは自律型と集中管理型の切替可能です

AP

クライアント

接続設定電波管理

電波送受信機能

集中管理システムはアクセスポイントを一括設定、管理が可能


集中管理型を導入するメリット自律型集中管理型備考

設計現地調査

△ １、詳細サイトサーベイ必須２、チャネル計算、設計３、電波強度計算、設計

◎ 設置位置を基本としたサーベイ

設定

１、AP接続設定２、電波設計情報設定（電波強度、チャネル）

△

個別設定設定後の運用テスト ※1台あたり10分と仮定 10分×100台＝1000分合計17時間

◎

一括設定

開梱、設置、接続作業を除く ※設定内容により時間は異なります。

運用時

１、設定変更２、OSのアップデート３、APの追加設定４、クライアント端末接続状況監視

△

個別対応

◎

コントローラーからの集中設定

※作業内容により時間は異なります。

セキュリティ対策

情報漏洩、不正端末、不正AP対策

△ 暗号化、認証のみ

◎ コントローラーから監視可能１、不正AP検知２、不正接続端末監視３、管理フレーム暗号化

情報漏洩事故を未然に防ぐとともに、万が一の事故時も、原因調査が容易

ヘルプデスクサポート

利用者からIT管理者への問い合わせ ×

現地調査

◎ リモート画面による状況確認

１、リモート、AP状況確認２、リモート、クライアント端末状況確認

拡張性機能追加

× 無

◎ １、ゲストアクセス２、接続ポリシー変更３、位置情報分析


業界最高レベルの11n/11acシリーズ

Cisco Aironet 屋内アクセスポイント

ベーシック

700

スタンダード

1600

ミッションクリティカル

2600

プレミアモデル

3700

Enterprise Best In Class Value-Based Mission Critical

• 702w: 壁設置型AP

- ホテルや小部屋など

• 702i: コンパクトAP

• CleanAir Express*

• ClientLink 2.0

• VideoStream

• High Client Scalability

• CleanAir

• ClientLink 2.0

• VideoStream

• 802.11ac サポート

•高密度対応

High Density Experience

• CleanAir 80 MHz, ClientLink 3.0, VideoStream

•拡張モジュールによる投資保護: セキュリティ, 3G スモールセル, Wave 2 802.11ac

NEW

NEW


Cisco Aironet series屋内Access Point 機能比較効果 700 1600 2600 3700 備考

通信規格 11b/g/a/n 11b/g/a/n 11b/g/a/n 11b/g/a/n/ac 11nは全製品対応

11ac対応 Wave1:1.3Gbps －－－ ◎ Wave2はモジュールで対応

最大データレート理論上の最大通信速度 300Mbps 300Mbps 450Mbps 1.3Gbps

無線デザイン MIMO:ストリーム数字の大きい方が通信が安定

2x2:2 3x3:2 3x4:3 4x4:3 アンテナ数を増やすことでより通信を安定させる

BandSelect 2.4Ghz帯に比べ障害の少ない5Ghz帯の優先利用

◎ ◎ ◎ ◎ 集中管理コントローラと併用で利用可能

CleanAir 専用の電波調査システムで障害を回避

－ △ ◎ ◎ 自動回避や位置の特定も可能

ClientLink 独自のビームフォーミングで、オフィスのレイアウトや

－ ◎ ◎ ◎ 端末の規格に依存せずに、効果を実現可能

密閉構造一般的な製品よりも高い耐久性で構築可能

－ ◎ ◎ ◎ ほこり、ちりなどが機器内部に入り込まないため、故障率が低減

オプションモジュール

拡張機能を利用可能－－－ ◎ 11acWave2またはwIPSを、追加で利用可能

最適提案環境規模、環境、用途に応じて最適なソリューションが選択可能

小規模かつ電波障害が少ないエリ

ア

小中規模

中大規模、または障害の多い環境

最高品質高密度 11ac


シリーズ

スケール（クライアント数と AP 数）

WLAN コントローラポートフォリオ

5500 500 の AP

7,000 のクライアント

WiSM2 1,000 の AP


8500 6,000 の AP


2500 75 の AP


ヴァーチャルコントローラ 200 の AP


Flex7500 6,000 の AP


3850 50 のAP


5760 1,000 の AP


クラウド在宅勤務者、支店、分散化した

企業に最適

ユニファイドアクセス/11ac対応

FlexConnect

管理センターでの一元管理

FlexConnect

クラウドサービス型


アンテナ内蔵ですっきりデザイン

オフィス、店舗内に最適

天井設置イメージ

－20℃～55℃の動作保証

物流倉庫、製造現場、商店街、駅ホーム等に最適

天井裏に本体、天井表面に天井マウントアンテナの設置にも対応

I シリーズ E シリーズ

ほこり・ちりが入り込まない密閉筐体

天井マウントアンテナ設置イメージ

堅牢な設計が故障率の低減させ、かつデザインもすっきり

衛生的!!

耐久性も重要な要素

※AP700シリーズは密閉構造ではありません


踏まれても・・・・・焼かれても・・・・・

雪に埋もれても・・・・・

動作を保証するものではありません。決して真似をしないでください。

それでもしっかり作動しました!!

頑丈なアクセスポイント


最新無線LANソリューション


シスコ無線LAN アーキテクチャ

アクセスポイント

Switch/Routed

Network

ネットワーク

コントロールシステム

（Prime Infrastructure）

• 無線LANコントローラがAP、端末、電波の監視制御を行う

• PIは主にGUI提供と、トラフィク、接続端末の統合管理を行う

• MSEは端末や干渉源の位置情報DBを提供する

モビリティサービスエンジン（MSE)

電波の見える化

端末、干渉源の位置特定

管理の自動化

規模と用途、導入スケジュールに応じて選択可能です

無線LANコントローラ


無線LANの導入が進むものの、現状の課題は？

無線LAN環境を構築・運用する上での課題

干渉対策

安定運用

調査概要方法：Webによるアンケート調査対象：TechTargetジャパン会員調査期間：2012年8月6日～19日総回答数：204件

電波監理

出典：TechTargetジャパン http://techtarget.itmedia.co.jp/tt/news/1209/04/news02.html


電波は目に見えない、いかにして管理する？

スマートデバイスを、無線LANをさらに活用したいが…。

よくある無線LAN導入の課題


よくある無線LANの課題の整理

管理の簡素化

セキュリティの確保

通信の安定化無線が止まると仕事がとまる

IT管理者のリソースは最小限にしたい

情報漏洩が不安対策はどこまで？



管理の簡素化






電波をチューニング ClientLink2.0/3.0

導入前場所によって不安定な通信

導入後クライアント位置に向かって電波ビームを送信

電波の強いポイント

X

ビームフォーミング 802.11n

Edge Client 802.11 a/g/n/ac 安定した通信

端末に特別な機能を実装していなくとも利用可能

電波の強いポイント

安定した通信を実現するために電波をコントロール

通信の安定化


受信アンテナを他社よりも多く実装し、弱い電波も手厚くフォロー！

大きなファイルの送付や、Web会議の実施時に安定化に貢献します

2x2 MIMOの他社AP 4x4 MIMOのシスコAP

無線アクセスポイントの機器選定は、下りの通信速度が注目されがちしかし、通信は双方向で行われるので、のぼり通信の安定性も重要！

アップリンク（のぼり通信）にも注目通信の安定化

スタンダード、プレミアクラスは４本のアンテナを搭載


Cisco BandSelect テクノロジー 5 GHz 対応デバイスに対して自動で帯域操作および選択

2.4GHz帯

5GHz帯

Bandselect未利用 Bandselect利用

5GHz帯

2.4GHz帯

チャネルに余裕があり、干渉源も少ない。

周波数帯の有効利用により、安定性と高速性を確保

混雑!

通信の安定化


新たな課題の出現無線利用の普及 → 電波干渉問題の増加

Wi-Fi 機器 Bluetooth 電子レンジ

無線監視カメラ

コードレス電話

非Wi-Fi 機器

+

様々な無線機器(規格)が登場した結果、無線通信 (電波) で干渉の問題が多発している

=

• パフォーマンスの劣化

• 安定しない品質

• 通信可能範囲が狭い

• 音声品質が悪い

• 管理費の増大

• ユーザー満足度の低下

• 不正利用

業務は止まり、管理も大変

通信の安定化

http://www.cisco.com/wirelesssecurity


電波障害事例

某コンビニエンスストアでの干渉状況モニタリング

Jammer (電波妨害装置) → EDRRM動作（特別な障害）

電子レンジ → PDA動作（断続的に発生）

AQI

Threshold

無線LANサービス完全停止！

様々な無線機器が登場し、電波干渉が多発！

通信の安定化


• CleanAir Radio ASIC

電波環境調査専用の通信回路を搭載

100

63 97

35

20

90

検知分類位置特定評価軽減対策

専用のチップが、障害の場所、影響を総合的に判断し、自動で障害を軽減します。 11acでは、80Mhzの広いチャネルを検知、より正確に、安定した無線を提供します。

• 電波干渉源の特定

Wi-Fi、non-Wi-Fi の干渉源を検知

• 通信品質のインパクトを評価

障害レベルを見える化（数値化）

• 干渉発生時、自動でチャネル変更

• 対策不可の場合は管理者にアラート

電波品質パフォーマンス

障害の事前検知 11ac対応CleanAir 通信の安定化


電波強度及びエリアの見え方

通信の安定化


電波干渉源の見え方

通信の安定化


電波環境の可視化

カバレッジ＝電波の強さ（一般的な機能）

（Only Cisco !) AirQuarity＝電波の品質を数値化干渉源（ノイズ）の種類、位置、影響範囲を表示

スペシャリスト不要！！＝誰が見ても理解できる情報 •出張削減 •迅速な障害対応と対応策提示 •原因の明確化と報告書の明瞭化

干渉デバイスの影響度を数値化！

100

63

97

干渉源を見つけるだけではありません！！

電波環境の遠隔管理

通信の安定化



管理の簡素化






センター側で無線LANの状態を常に把握

人のスキルに依存しないため、正確/迅速なトラブルシューティングが可能

CleanAirで実現する正確かつ迅速なトラブルシューティング

干渉源を特定

干渉が発生

APが問題に気づく

管理者が自席から確認

現地調査から解放

現地調査用の専門ツールや専門知識は不要

管理の簡素化


多数のアクセスポイント利用時の通信品質を自動的に高品質に保ちます。

電波強度とチャネル設定を集中管理アクセスポイントと無線LANコントローラーとの組合せで実現

アクセスポイント無線LANコントローラー

管理の簡素化

【主な機能】 • 一括設定/一括アップデート • 優れたRRM (電波管理機能） • ゼロタッチコンフィグ • 電波出力の自動調整 • 電波チャネルの自動調整 • 障害発生時のデッドスポットカバー • アクセスポイント間ローミング

http://www.cisco.com/en/US/products/ps11630/index.html


干渉


例えば外部の持込AP2台と干渉すると・・・

パフォーマンスが最大33%まで減少

コントローラで干渉を検知

コントローラが空きチャネルを選択

安定通信を維持

チャネル数には限りがある。（2.4GHz=3ch、5GHz=19ch（W52,W53,W56））

干渉は突然やってくる（外来波、電子レンジ、コードレスホン、レーダー

管理の簡素化集中管理のメリットチャネル干渉の自動回避


順位

信号強度

1 -45 dBm

2 -49 dBm

3 -58 dBm

4 -69 dBm

5 -72 dBm

6 -88 dBm

AP-1 送信リスト

-58 dBm > -70 dBm → 送信電力を絞る制御

【しくみ】 3番目に近い順位のAPから見て、自APの信号強

度がTPC_Threshold (デフォルト値： -70dBm。設定可能) を超えないように出力を調整します。

実際の送信電力の制御には、急激な変化を抑えるために、緩やかに強度調整を行います

AP1

業界最高の送信電波出力調整機能（RRM : Radio Resource Management)

管理の簡素化集中管理のメリット電波出力自動調整

AP全体の電波強度を相互に測定し最適に調整

各APは、お互いのAPがどれくらいの信号強度で見えるかを受信リストとして管理。コントローラは、各APの受信リストを収集し、APごとに送信リストを作成。


しくみ： Cost Metric (CM) に基づくCH最適化アルゴリズムを採用 CM計算要素

管理外APによる干渉の度合い管理内APおよびクライアントによる干渉の度合い Wi-Fi 規格外のノイズ CleanAirにより検知される、Wi-Fi 規格外の障害チャネル使用率 (QBSS)

１、コントローラは、CMの最も低いAPをチャネルプラン変更開始候補(CPCI)として選出２、隣接APおよび更にその隣接AP（準隣接AP）を対象にチャネル変更の必要性をシミュレーション３、各APにCH変更指示

AP-5 AP-5

AP-6

AP-15 AP-11

AP-9

AP-10 AP-18

AP-19

AP-16

AP-21

AP-22

CPCI 隣接AP 準隣接AP

管理の簡素化集中管理のメリットチャネルの自動設定

同一チャネルで影響し合うAPを高度なシュミレーションで最適化

• APのチャネル割当を緩やかに最適化します。 • 強力な干渉の影響を受けた場合には直ちにCHを変更します。 • CH変更前にクライアントに通知し、通信切断時間を１秒以内におさめます


カバレッジホールの自動検出・修復 (CHDM) 機能

通常時（3台のAPが稼働） AP障害時は、隣接APがカバレッジホールを検出し軽減する

電波を調整しフォロー

何らかの要因で、特定のAPが作動しない場合、カバレッジホールを検出し、出力調整によりフォローします。

カバレッジホール付近に接続が弱い端末がある場合、最適な通信状況になるようフォロー

Only Cisco

管理の簡素化集中管理のメリットー障害発生時の出力カバーで通信継続



管理の簡素化






今までの無線LANセキュリティセキュリティの確保

セキュリティの状態設定項目効果

オフィスレベル0

無線LANのセキュリティをまったく施していない状態なしなし


市販されている無線LAN機器で実施可能なセキュリティ対策暗号解読される可能性がある

WEP 通信内容暗号化

MACアドレスフィルタリングアクセスポイントに接続可能な端末を制限

SSID SSIDを隠ぺい


オフィスで利用するにあたり高いセキュリティレベル新しい製品のみで対応しているWPA、WPA２を使用

WPA-PSK/WPA2-PSK 強固な暗号方式を実現


SSID SSIDを隠ぺい


オフィスレベルにも耐えうるレベル暗号鍵の動的配布、更新が可能

802.1X認証ユーザの認証実施

WPA-AES/WPA2-AES 強固な暗号方式を実現


SSID SSIDを隠ぺい暗号化と認証

参照URL:『安心して無線LANを利用するために』総務省 http://www.soumu.go.jp/joho_tsusin/071214_1.html

2007年総務省『安心して無線LANを利用するために』主に、暗号化と認証の2点が制定、推奨されていました

http://www.soumu.go.jp/joho_tsusin/071214_1.html


これからの無線LANセキュリティの確保

認証、暗号化は必須項目です。

不正機器対策や侵入防御、通信の妨害への対応が推奨されています。

抜粋


参照URL: 2013年１月『企業が安心して無線LANを導入.運用するために』総務省 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000035.html

http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000035.html





想定される脅威優先度脅威への情報セキュリティ対策可否実現方法や対応技術

① 無線LAN区間における通信内容の窃取及び改ざん

◎ ＷＰＡ／ＷＰＡ２（ＣＣＭＰ）の採用と適切な設定 ◎ WPA/WPA2機能を実装済み

◎ アクセスポイントの管理者パスワードの適切な設定 ◎ 管理者アクセス時の認証や通信暗号化を実施

② 内部ネットワークへの侵入



〇電波の伝搬範囲の適切な設定〇自動調整機能やマニュアルでの設定機能有り

〇ログの収集・保存・分析〇運用管理ツールで提供

△ 無線ＩＤＳ／ＩＰＳの導入〇 IDS機能はコントローラで提供 IPS機能は無線LAN専用のIPS製品を提供可能

③ 利用者へのなりすまし






④ 不正なアクセスポイントによる通信内容の窃取


△ 電波状況の監視〇運用管理ツールでの電波の可視化を実現


⑤ 通信の妨害


△ 管理フレームの暗号化・改ざん検知（ＩＥＥＥ802.11w） ◎ IEEE802.11w機能を実装済み



◎必須対策 ◯有効事項 △検討事項

シスコなら対応可能 ◎自律型で対応可能 ◯集中管理（コントローラー）で対応可能 ※一部機能はオプション（詳細は次項）

セキュリティの確保想定される脅威対策とシスコ製品の対応


手引書の記載内容シスコでの対応

優先度脅威への情報セキュリティ対

策可否

実現方法や対応技術

◎ ＷＰＡ／ＷＰＡ２（ＣＣＭＰ）の採用と適切な設定

〇 WPA/WPA2機能を実装済み

◎ アクセスポイントの管理者パスワードの適切な設定

〇管理者アクセス時の認証や通信暗号化を実施





△ 管理フレームの暗号化・改ざん検知（ＩＥＥＥ802.11w）

〇 IEEE802.11w機能を実装済み

手引書に記載されている「想定される脅威」

① 無線LAN区間における通信内容の窃取及び改ざん

② 内部ネットワークへの侵入

③ 利用者へのなりすまし

④ 不正なアクセスポイントによる通信内容の窃取

⑤ 通信の妨害

手引書で記載されている対策事項は、シスコ製品で全て対応可能です。

セキュリティの確保想定脅威に対する対策のマッピング


セキュリティの確保アーキテクチャ

AP

無線LAN コントローラー

集中管理型主なセキュリティ機能 • ユーザ認証：LEAP, EAP-TLS, PEAP に対応 • 暗号化：固定WEP, TKIP, WPA, WPA2 に対応 • 不正AP検知：自社以外のAPの検出 • １７種類の代表的な無線攻撃・侵入検知と防御 • クライアントMFP（管理パケットの暗号化）

拡張セキュリティ機能 • １００種類の無線攻撃・侵入検知と防御 • 不正APへの自社クライアント接続検知と防御 • 不正APの自社LAN接続検知と防御 • 不正APの位置表示、接続スイッチ＆ポートの特定とシャットダウン • 不正クライアントの検知と位置表示

情報の可視化とより確実な不正デバイス対策を実現可能

モニタAP MSE

PI

AP+コントローラで実現

PI+MSE+モニタAPで実現より高度なセキュリティを必要とするユーザーには

集中管理の導入で、５つの基本セキュリティを確保


http://www.cisco.com/en/US/products/ps11630/index.html


無線LANの課題の解決まとめ

管理の簡素化


通信の安定化

手間をかけない!!

仕事を止めない!!

情報漏洩させない!!


無線LANの課題の解決まとめ

管理の簡素化


通信の安定化

１、管理の自動化－集中管理２、見える化－ PI/MSE ３、トラブル原因の具体的な特定－ CleanAir

１、電波をチューニング－ ClientLink2 / 4*4MIMO (受信アンテナ) ２、周波数帯の有効利用－ BandSelect ３、電波強度とチャネルの設定－集中管理４、障害の事前検知－ CleanAir

１、窃取及び改ざん対策２、侵入対策３、なりすまし対策４、不正機器設置対策５、妨害対策

コントローラ＋

PI/MSE/モニタAP


シスコ無線LAN アーキテクチャ

アクセスポイント

Switch/Routed

Network

ネットワーク

コントロールシステム

（Prime Infrastructure）

• 無線LANコントローラがAP、端末、電波の監視制御を行う

• PIは主にGUI提供と、トラフィク、接続端末の統合管理を行う

• MSEは端末や干渉源の位置情報DBを提供する

モビリティサービスエンジン（MSE)

電波の見える化

端末、干渉源の位置特定

管理の自動化

規模と用途、導入スケジュールに応じて選択可能です


Thank you.

シスコ無線lan : 提案入門編 その1 - cisco...ap クライアント...

Documents

シスコ無線lan : 提案入門編その1 - cisco...ap クライアント...