シスコ無線lan : 提案入門編 その1 - cisco...ap クライアント...
TRANSCRIPT
Cisco Confidential 2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
本日のアジェンダ
ビジネス無線LAN最新動向
無線LANの種類/製品ラインナップ
最新無線LANソリューション
Cisco Confidential 4 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
モビリティ市場の急拡大 無線LANインフラがあって当たり前の時代に! タブレット、スマートフォンの拡大 フリーアドレス 場所に制約されない業務・コミュニケーション ペーパーレス促進 資料共有の迅速化 生産、物流、店舗、倉庫、あらゆるワークスペースでのモビリティ確保 オール無線LANオフィスによる工事費削減 組織変更にも迅速に対応
高速、安定通信
ネットワークへの要望
人、ロケーションを 把握する管理性
動画・音声 リッチコンテンツ化
場所を選ばない アクセス
モバイルデバイス の増加
新しいユーザーニーズ
管理端末増加による セキュリティの確保
Cisco Confidential 5 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
スマートデバイスに欠かせない無線LANインフラ
1) 重要度: 無線LANは、スマートデバイスソリューションの重要な構成要素
2) 信頼性: 中小規模でも価格優先のコンシューマクラスのアクセスポイントから 信頼性を重視したエンタープライズグレードのアクセスポイントへシフト
3) 規模拡大: 従来の会議室、役員室のみ、といった限られた範囲での利用から、オフィス全体の無線LAN化によりアクセスポイント数十〜数百台規模に拡大
4) エリア拡大: 利用エリアもオフィスのみならず、工場/倉庫/店舗/屋外へと拡大
5) 拡張性: 無線LANを通信手段だけではなく、位置情報を活用したビジネスの拡大
無線LANの依存度、重要性とエリアの拡大
Cisco Confidential 6 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Wi-Fi ネットワークの統合 従来は別々だった複数の Wi-Fi ネットワークを単一のネットワークに統合しながら
仮想分離を使用してセキュリティを維持 (SSIDまたはポリシーベース)
発券
POS
業務用
発券
業務用
ゲスト
ゲスト
将来の拡張性維持と、 インフラコスト抑制が可能
POS 売上・在庫管理
Cisco Confidential 7 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
無線LANの種類/製品ラインナップ
Cisco Confidential 8 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
無線LAN製品のポートフォリオ
価格帯
性能
個人向け ・自律型
・基本セキュリティ ・家庭用CPU ・家庭用筐体
※参考 AP1台5端末程度
ローエンド ・自律型(一部設定ツール対応) ・基本セキュリティ/1x認証対応
・高性能CPU ・強化筐体
※参考 AP1台10端末程度
1万円
ミディアム ・集中管理型
・自動電波強度、チャネル設定 ・基本セキュリティ/1x認証対応
・高性能CPU ・強化筐体
・各種パラメータ設定
※参考 AP1台20端末程度
一般的な製品を対象としており、個別の製品によって機能は異なります。
プレミアムモデル ・集中管理型
・自動電波強度、チャネル設定 ・基本セキュリティ/1x認証対応
・電波障害回避 ・専用CPU ・強化筐体
・各種パラメータ設定
※参考 AP1台20端末程度
コンシューマ エンタープライズ(法人向)モデル
シスコのカバーエリア
Cisco Confidential 9 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
【参考】個人向無線LAN製品の特徴 通信速度や電波の強さを謳うメーカーも多いが、端末は1−3台程度の接続を前提としている。
端末を複数台利用の場合は処理能力が追いつかず、通信が安定しない。
電波干渉や、障害の発生に対しては対応できない
家庭内の環境を想定しており、オフィス等のホコリや急激な温度変化などを前提としていない。
個人向け 特徴
通信安定性 ✕ 電波の強さを売りにする製品が多い
1-5台程度の接続を想定している
筐体 (耐久性) ✕ プラスチック筐体 1年保証 機器の初期不良は新品交換
設定 (一括設定) ✕ 専用GUI,設定ツール 1台づつの設定
クライアントの接続ツールは充実(らくらく無線、AOSS等)
運用管理 ✕ 接続時の設定を継続利用
トラブル対応 ✕ 障害発生時の対策は主に機器の再起動
セキュリティ ▲ 最新の製品はWPA2-Entまで対応している。
「認証と暗号化」は可能だが、詳細な設定までは不可
拡張性 ✕ 管理ツール非対応
価格 (参考) 1台1万円程度 CPUや筐体、性能など、コストに制限される
Cisco Confidential 10 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
自律型(個別管理)とコントローラ型(集中管理)の違い
集中管理型(Lightweight) 自律型(Autonomous)
コントローラ
AP
クライアント
自律型(Autonomous) : APごとに設定、AP単体での導入が可能
集中管理型(Lightweight) : コントローラで設定、AP単体での導入は不可
※シスコのAPは自律型と集中管理型の切替可能です
AP
クライアント
接続設定 電波管理
電波送受信機能
集中管理システムはアクセスポイントを一括設定、管理が可能
Cisco Confidential 11 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
集中管理型を導入するメリット 自律型 集中管理型 備考
設計 現地調査
△ 1、詳細サイトサーベイ必須 2、チャネル計算、設計 3、電波強度計算、設計
◎ 設置位置を基本としたサーベイ
設定
1、AP接続設定 2、電波設計情報設定(電波強度、チャネル)
△
個別設定 設定後の運用テスト ※1台あたり10分と仮定 10分×100台=1000分 合計17時間
◎
一括設定
開梱、設置、接続作業を除く ※設定内容により時間は異なります。
運用時
1、設定変更 2、OSのアップデート 3、APの追加設定 4、クライアント端末接続状況監視
△
個別対応
◎
コントローラーからの集中設定
※作業内容により時間は異なります。
セキュリティ対策
情報漏洩、不正端末、不正AP対策
△ 暗号化、認証のみ
◎ コントローラーから監視可能 1、不正AP検知 2、不正接続端末監視 3、管理フレーム暗号化
情報漏洩事故を未然に防ぐとともに、万が一の事故時も、原因調査が容易
ヘルプデスクサポート
利用者からIT管理者への問い合わせ ×
現地調査
◎ リモート画面による状況確認
1、リモート、AP状況確認 2、リモート、クライアント端末状況確認
拡張性 機能追加
× 無
◎ 1、ゲストアクセス 2、接続ポリシー変更 3、位置情報分析
Cisco Confidential 12 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
業界最高レベルの11n/11acシリーズ
Cisco Aironet 屋内アクセスポイント
ベーシック
700
スタンダード
1600
ミッションクリティカル
2600
プレミアモデル
3700
Enterprise Best In Class Value-Based Mission Critical
• 702w: 壁設置型AP
- ホテルや小部屋など
• 702i: コンパクトAP
• CleanAir Express*
• ClientLink 2.0
• VideoStream
• High Client Scalability
• CleanAir
• ClientLink 2.0
• VideoStream
• 802.11ac サポート
•高密度対応
High Density Experience
• CleanAir 80 MHz, ClientLink 3.0, VideoStream
•拡張モジュールによる投資保護: セキュリティ, 3G スモールセル, Wave 2 802.11ac
NEW
NEW
Cisco Confidential 13 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Aironet series屋内Access Point 機能比較 効果 700 1600 2600 3700 備考
通信規格 11b/g/a/n 11b/g/a/n 11b/g/a/n 11b/g/a/n/ac 11nは全製品対応
11ac対応 Wave1:1.3Gbps - - - ◎ Wave2はモジュールで対応
最大データレート 理論上の最大通信速度 300Mbps 300Mbps 450Mbps 1.3Gbps
無線デザイン MIMO:ストリーム 数字の大きい方が通信が安定
2x2:2 3x3:2 3x4:3 4x4:3 アンテナ数を増やすことでより通信を安定させる
BandSelect 2.4Ghz帯に比べ障害の少ない5Ghz帯の優先利用
◎ ◎ ◎ ◎ 集中管理コントローラと併用で利用可能
CleanAir 専用の電波調査システムで障害を回避
- △ ◎ ◎ 自動回避や位置の特定も可能
ClientLink 独自のビームフォーミングで、オフィスのレイアウトや
- ◎ ◎ ◎ 端末の規格に依存せずに、効果を実現可能
密閉構造 一般的な製品よりも高い耐久性で構築可能
- ◎ ◎ ◎ ほこり、ちりなどが機器内部に入り込まないため、故障率が低減
オプション モジュール
拡張機能を利用可能 - - - ◎ 11acWave2またはwIPSを、追加で利用可能
最適提案環境 規模、環境、用途に応じて最適なソリューションが選択可能
小規模かつ電波障害が少ないエリ
ア
小中規模
中大規模、または 障害の多い環境
最高品質 高密度 11ac
Cisco Confidential 14 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
シリーズ
スケール(クライアント数と AP 数)
WLAN コントローラ ポートフォリオ
5500 500 の AP
7,000 のクライアント
WiSM2 1,000 の AP
15,000 のクライアント
8500 6,000 の AP
64,000 のクライアント
2500 75 の AP
1,000 のクライアント
ヴァーチャルコントローラ 200 の AP
3,000 のクライアント
Flex7500 6,000 の AP
64,000 のクライアント
3850 50 のAP
2,000 のクライアント
5760 1,000 の AP
12,000 のクライアント
クラウド 在宅勤務者、支店、分散化した
企業に最適
ユニファイドアクセス/11ac対応
FlexConnect
管理センターでの一元管理
FlexConnect
クラウドサービス型
Cisco Confidential 15 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
アンテナ内蔵ですっきりデザイン
オフィス、店舗内に最適
天井設置イメージ
-20℃~55℃の動作保証
物流倉庫、製造現場、商店街、駅ホーム等に最適
天井裏に本体、天井表面に天井マウントアンテナの設置にも対応
I シリーズ E シリーズ
ほこり・ちりが入り込まない密閉筐体
天井マウントアンテナ 設置イメージ
堅牢な設計が故障率の低減させ、かつデザインもすっきり
衛生的!!
耐久性も重要な要素
※AP700シリーズは密閉構造ではありません
Cisco Confidential 16 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
踏まれても・・・・・ 焼かれても・・・・・
雪に埋もれても・・・・・
動作を保証するものではありません。決して真似をしないでください。
それでもしっかり作動しました!!
頑丈なアクセスポイント
Cisco Confidential 18 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
シスコ無線LAN アーキテクチャ
アクセスポイント
Switch/Routed
Network
ネットワーク
コントロールシステム
(Prime Infrastructure)
• 無線LANコントローラがAP、端末、電波の監視制御を行う
• PIは主にGUI提供と、トラフィク、接続端末の統合管理を行う
• MSEは端末や干渉源の位置情報DBを提供する
モビリティサービスエンジン (MSE)
電波の見える化
端末、干渉源の位置特定
管理の自動化
規模と用途、導入スケジュールに応じて選択可能です
無線LANコントローラ
Cisco Confidential 19 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
無線LANの導入が進むものの、現状の課題は?
無線LAN環境を構築・運用する上での課題
干渉対策
安定運用
調査概要 方法:Webによるアンケート 調査対象:TechTargetジャパン会員 調査期間:2012年8月6日~19日 総回答数:204件
電波監理
出典:TechTargetジャパン http://techtarget.itmedia.co.jp/tt/news/1209/04/news02.html
Cisco Confidential 20 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
電波は目に見えない、いかにして管理する?
スマートデバイスを、無線LANを さらに活用したいが…。
よくある無線LAN導入の課題
Cisco Confidential 21 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
よくある無線LANの課題の整理
管理の簡素化
セキュリティの確保
通信の安定化 無線が止まると仕事がとまる
IT管理者のリソースは最小限にしたい
情報漏洩が不安 対策はどこまで?
Cisco Confidential 22 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
よくある無線LANの課題の整理
管理の簡素化
セキュリティの確保
通信の安定化 無線が止まると仕事がとまる
IT管理者のリソースは最小限にしたい
情報漏洩が不安 対策はどこまで?
Cisco Confidential 24 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
電波をチューニング ClientLink2.0/3.0
導入前 場所によって不安定な通信
導入後 クライアント位置に向かって電波ビームを送信
電波の強いポイント
X
ビームフォーミング 802.11n
Edge Client 802.11 a/g/n/ac 安定した通信
端末に特別な機能を実装していなくとも利用可能
電波の強いポイント
安定した通信を実現するために電波をコントロール
通信の安定化
Cisco Confidential 25 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
受信アンテナを他社よりも多く実装し、弱い電波も手厚くフォロー!
大きなファイルの送付や、Web会議の実施時に安定化に貢献します
2x2 MIMOの他社AP 4x4 MIMOのシスコAP
無線アクセスポイントの機器選定は、下りの通信速度が注目されがち しかし、通信は双方向で行われるので、のぼり通信の安定性も重要!
アップリンク(のぼり通信)にも注目 通信の安定化
スタンダード、プレミアクラスは4本のアンテナを搭載
Cisco Confidential 26 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco BandSelect テクノロジー 5 GHz 対応デバイスに対して自動で帯域操作および選択
2.4GHz帯
5GHz帯
Bandselect未利用 Bandselect利用
5GHz帯
2.4GHz帯
チャネルに余裕があり、干渉源も少ない。
周波数帯の有効利用により、安定性と高速性を確保
混雑!
通信の安定化
Cisco Confidential 28 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
新たな課題の出現 無線利用の普及 → 電波干渉問題の増加
Wi-Fi 機器 Bluetooth 電子レンジ
無線監視カメラ
コードレス電話
非Wi-Fi 機器
+
様々な無線機器(規格)が登場した結果、 無線通信 (電波) で干渉の問題が多発している
=
• パフォーマンスの劣化
• 安定しない品質
• 通信可能範囲が狭い
• 音声品質が悪い
• 管理費の増大
• ユーザー満足度の低下
• 不正利用
業務は止まり、管理も大変
通信の安定化
Cisco Confidential 29 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
電波障害事例
某コンビニエンスストアでの干渉状況モニタリング
Jammer (電波妨害装置) → EDRRM動作(特別な障害)
電子レンジ → PDA動作(断続的に発生)
AQI
Threshold
無線LANサービス 完全停止!
様々な無線機器が登場し、電波干渉が多発!
通信の安定化
Cisco Confidential 30 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
• CleanAir Radio ASIC
電波環境調査専用の通信回路を搭載
100
63 97
35
20
90
検知 分類 位置特定 評価 軽減対策
専用のチップが、障害の場所、影響を総合的に判断し、自動で障害を軽減します。 11acでは、80Mhzの広いチャネルを検知、より正確に、安定した無線を提供します。
• 電波干渉源の特定
Wi-Fi、non-Wi-Fi の干渉源を検知
• 通信品質のインパクトを評価
障害レベルを見える化(数値化)
• 干渉発生時、自動でチャネル変更
• 対策不可の場合は管理者にアラート
電波品質 パフォーマンス
障害の事前検知 11ac対応CleanAir 通信の安定化
Cisco Confidential 31 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
電波強度及びエリアの見え方
通信の安定化
Cisco Confidential 32 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
電波干渉源の見え方
通信の安定化
Cisco Confidential 33 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
電波環境の可視化
カバレッジ=電波の強さ (一般的な機能)
(Only Cisco !) AirQuarity=電波の品質を数値化 干渉源(ノイズ)の種類、位置、影響範囲を表示
スペシャリスト不要!! =誰が見ても理解できる情報 •出張削減 •迅速な障害対応と対応策提示 •原因の明確化と報告書の明瞭化
干渉デバイスの影響度を数値化!
100
63
97
干渉源を見つけるだけではありません!!
電波環境の遠隔管理
通信の安定化
Cisco Confidential 34 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
よくある無線LANの課題の整理
管理の簡素化
セキュリティの確保
通信の安定化 無線が止まると仕事がとまる
IT管理者のリソースは最小限にしたい
情報漏洩が不安 対策はどこまで?
Cisco Confidential 35 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
センター側で無線LANの状態を常に把握
人のスキルに依存しないため、正確/迅速なトラブルシューティングが可能
CleanAirで実現する 正確かつ迅速なトラブルシューティング
干渉源を特定
干渉が発生
APが問題に気づく
管理者が自席から確認
現地調査から解放
現地調査用の専門ツールや専門知識は不要
管理の簡素化
Cisco Confidential 36 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
多数のアクセスポイント利用時の通信品質を自動的に高品質に保ちます。
電波強度とチャネル設定を集中管理 アクセスポイントと無線LANコントローラーとの組合せで実現
アクセスポイント 無線LANコントローラー
管理の簡素化
【主な機能】 • 一括設定/一括アップデート • 優れたRRM (電波管理機能) • ゼロタッチコンフィグ • 電波出力の自動調整 • 電波チャネルの自動調整 • 障害発生時のデッドスポットカバー • アクセスポイント間ローミング
Cisco Confidential 37 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
干渉
無線LANコントローラ
例えば外部の持込AP2台と干渉すると・・・
パフォーマンスが最大33%まで減少
コントローラで干渉を検知
コントローラが空きチャネルを選択
安定通信を維持
チャネル数には限りがある。 (2.4GHz=3ch、5GHz=19ch(W52,W53,W56))
干渉は突然やってくる(外来波、電子レンジ、コードレスホン、レーダー
管理の簡素化 集中管理のメリット チャネル干渉の自動回避
Cisco Confidential 38 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
順位
信号強度
1 -45 dBm
2 -49 dBm
3 -58 dBm
4 -69 dBm
5 -72 dBm
6 -88 dBm
AP-1 送信リスト
-58 dBm > -70 dBm → 送信電力を絞る制御
【しくみ】 3番目に近い順位のAPから見て、自APの信号強
度がTPC_Threshold (デフォルト値: -70dBm。設定可能) を超えないように出力を調整します。
実際の送信電力の制御には、急激な変化を抑えるために、緩やかに強度調整を行います
AP1
業界最高の送信電波出力調整 機能 (RRM : Radio Resource Management)
管理の簡素化 集中管理のメリット 電波出力自動調整
AP全体の電波強度を相互に測定し最適に調整
各APは、お互いのAPがどれくらいの信号強度で見えるかを受信リストとして管理。 コントローラは、各APの受信リストを収集し、APごとに送信リストを作成。
Cisco Confidential 39 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
しくみ : Cost Metric (CM) に基づくCH最適化アルゴリズムを採用 CM計算要素
管理外APによる干渉の度合い 管理内APおよびクライアントによる干渉の度合い Wi-Fi 規格外のノイズ CleanAirにより検知される、Wi-Fi 規格外の障害 チャネル使用率 (QBSS)
1、コントローラは、CMの最も低いAPをチャネルプラン変更開始候補(CPCI)として選出 2、隣接APおよび更にその隣接AP(準隣接AP)を対象にチャネル変更の必要性をシミュレーション 3、各APにCH変更指示
AP-5 AP-5
AP-6
AP-15 AP-11
AP-9
AP-10 AP-18
AP-19
AP-16
AP-21
AP-22
CPCI 隣接AP 準隣接AP
管理の簡素化 集中管理のメリット チャネルの自動設定
同一チャネルで影響し合うAPを高度なシュミレーションで最適化
• APのチャネル割当を緩やかに最適化します。 • 強力な干渉の影響を受けた場合には直ちにCHを変更します。 • CH変更前にクライアントに通知し、通信切断時間を1秒以内におさめます
Cisco Confidential 40 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
カバレッジホールの自動検出・修復 (CHDM) 機能
通常時(3台のAPが稼働) AP障害時は、隣接APがカバレッジホールを検出し軽減する
電波を調整しフォロー
何らかの要因で、特定のAPが作動しない場合、カバレッジホールを検出し、出力調整によりフォローします。
カバレッジホール付近に接続が弱い端末がある場合、最適な通信状況になるようフォロー
Only Cisco
管理の簡素化 集中管理のメリット ー障害発生時の出力カバーで通信継続
Cisco Confidential 41 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
よくある無線LANの課題の整理
管理の簡素化
セキュリティの確保
通信の安定化 無線が止まると仕事がとまる
IT管理者のリソースは最小限にしたい
情報漏洩が不安 対策はどこまで?
Cisco Confidential 42 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
今までの無線LANセキュリティ セキュリティの確保
セキュリティの状態 設定項目 効果
オフィス レベル0
無線LANのセキュリティをまったく施していない状態 なし なし
オフィス レベル1
市販されている無線LAN機器で実施可能なセキュリティ対策 暗号解読される可能性がある
WEP 通信内容暗号化
MACアドレスフィルタリング アクセスポイントに接続可能な端末を制限
SSID SSIDを隠ぺい
オフィス レベル2
オフィスで利用するにあたり高いセキュリティレベル 新しい製品のみで対応しているWPA、WPA2を使用
WPA-PSK/WPA2-PSK 強固な暗号方式を実現
MACアドレスフィルタリング アクセスポイントに接続可能な端末を制限
SSID SSIDを隠ぺい
オフィス レベル3
オフィスレベルにも耐えうるレベル 暗号鍵の動的配布、更新が可能
802.1X認証 ユーザの認証実施
WPA-AES/WPA2-AES 強固な暗号方式を実現
MACアドレスフィルタリング アクセスポイントに接続可能な端末を制限
SSID SSIDを隠ぺい 暗号化と認証
参照URL:『安心して無線LANを利用するために』 総務省 http://www.soumu.go.jp/joho_tsusin/071214_1.html
2007年 総務省『安心して無線LANを利用するために』 主に、暗号化と認証の2点が制定、推奨されていました
Cisco Confidential 43 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
これからの無線LANセキュリティの確保
認証、暗号化は必須項目です。
不正機器対策や侵入防御、通信の妨害への対応が推奨されています。
抜粋
セキュリティの確保
参照URL: 2013年1月 『企業が安心して無線LANを導入.運用するために』 総務省 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000035.html
Cisco Confidential 44 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
想定される脅威 優先度 脅威への情報セキュリティ対策 可否 実現方法や対応技術
① 無線LAN区間における通信内容の窃取及び改ざん
◎ WPA/WPA2(CCMP)の採用と適切な設定 ◎ WPA/WPA2機能を実装済み
◎ アクセスポイントの管理者パスワードの適切な設定 ◎ 管理者アクセス時の認証や通信暗号化を実施
② 内部ネットワークへの侵入
◎ WPA/WPA2(CCMP)の採用と適切な設定 ◎ WPA/WPA2機能を実装済み
◎ アクセスポイントの管理者パスワードの適切な設定 ◎ 管理者アクセス時の認証や通信暗号化を実施
〇 電波の伝搬範囲の適切な設定 〇 自動調整機能やマニュアルでの設定機能有り
〇 ログの収集・保存・分析 〇 運用管理ツールで提供
△ 無線IDS/IPSの導入 〇 IDS機能はコントローラで提供 IPS機能は無線LAN専用のIPS製品を提供可能
③ 利用者へのなりすまし
◎ WPA/WPA2(CCMP)の採用と適切な設定 ◎ WPA/WPA2機能を実装済み
◎ アクセスポイントの管理者パスワードの適切な設定 ◎ 管理者アクセス時の認証や通信暗号化を実施
〇 電波の伝搬範囲の適切な設定 〇 自動調整機能やマニュアルでの設定機能有り
〇 ログの収集・保存・分析 〇 運用管理ツールで提供
△ 無線IDS/IPSの導入 〇 IDS機能はコントローラで提供 IPS機能は無線LAN専用のIPS製品を提供可能
④ 不正なアクセスポイントによる通信内容の窃取
◎ WPA/WPA2(CCMP)の採用と適切な設定 ◎ WPA/WPA2機能を実装済み
△ 電波状況の監視 〇 運用管理ツールでの電波の可視化を実現
△ 無線IDS/IPSの導入 〇 IDS機能はコントローラで提供 IPS機能は無線LAN専用のIPS製品を提供可能
⑤ 通信の妨害
〇 ログの収集・保存・分析 〇 運用管理ツールで提供
△ 管理フレームの暗号化・改ざん検知(IEEE802.11w) ◎ IEEE802.11w機能を実装済み
△ 電波状況の監視 〇 運用管理ツールでの電波の可視化を実現
△ 無線IDS/IPSの導入 〇 IDS機能はコントローラで提供 IPS機能は無線LAN専用のIPS製品を提供可能
◎必須対策 ◯有効事項 △検討事項
シスコなら対応可能 ◎自律型で対応可能 ◯集中管理(コントローラー)で対応可能 ※一部機能はオプション (詳細は次項)
セキュリティの確保 想定される脅威対策とシスコ製品の対応
Cisco Confidential 45 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
手引書の記載内容 シスコでの対応
優先度 脅威への情報セキュリティ対
策 可否
実現方法や対応技術
◎ WPA/WPA2(CCMP)の採用と適切な設定
〇 WPA/WPA2機能を実装済み
◎ アクセスポイントの管理者パスワードの適切な設定
〇 管理者アクセス時の認証や通信暗号化を実施
〇 電波の伝搬範囲の適切な設定 〇 自動調整機能やマニュアルでの設定機能有り
〇 ログの収集・保存・分析 〇 運用管理ツールで提供
△ 無線IDS/IPSの導入 〇 IDS機能はコントローラで提供 IPS機能は無線LAN専用のIPS製品を提供可能
△ 電波状況の監視 〇 運用管理ツールでの電波の可視化を実現
△ 管理フレームの暗号化・改ざん検知(IEEE802.11w)
〇 IEEE802.11w機能を実装済み
手引書に記載されている 「想定される脅威」
① 無線LAN区間における通信内容の窃取及び改ざん
② 内部ネットワークへの侵入
③ 利用者へのなりすまし
④ 不正なアクセスポイントによる通信内容の窃取
⑤ 通信の妨害
手引書で記載されている対策事項は、シスコ製品で全て対応可能です。
セキュリティの確保 想定脅威に対する対策のマッピング
Cisco Confidential 46 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
セキュリティの確保 アーキテクチャ
AP
無線LAN コントローラー
集中管理型 主なセキュリティ機能 • ユーザ認証:LEAP, EAP-TLS, PEAP に対応 • 暗号化:固定WEP, TKIP, WPA, WPA2 に対応 • 不正AP検知:自社以外のAPの検出 • 17種類の代表的な無線攻撃・侵入検知と防御 • クライアントMFP(管理パケットの暗号化)
拡張セキュリティ機能 • 100種類の無線攻撃・侵入検知と防御 • 不正APへの自社クライアント接続検知と防御 • 不正APの自社LAN接続検知と防御 • 不正APの位置表示、接続スイッチ&ポートの特定とシャットダウン • 不正クライアントの検知と位置表示
情報の可視化とより確実な不正デバイス対策を実現可能
モニタAP MSE
PI
AP+コントローラで実現
PI+MSE+モニタAPで実現 より高度なセキュリティを必要とするユーザーには
集中管理の導入で、5つの基本セキュリティを確保
セキュリティの確保
Cisco Confidential 47 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
無線LANの課題の解決 まとめ
管理の簡素化
セキュリティの確保
通信の安定化
手間をかけない!!
仕事を止めない!!
情報漏洩させない!!
Cisco Confidential 48 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
無線LANの課題の解決 まとめ
管理の簡素化
セキュリティの確保
通信の安定化
1、管理の自動化 - 集中管理 2、見える化 - PI/MSE 3、トラブル原因の具体的な特定 - CleanAir
1、電波をチューニング - ClientLink2 / 4*4MIMO (受信アンテナ) 2、周波数帯の有効利用 - BandSelect 3、電波強度とチャネルの設定 - 集中管理 4、障害の事前検知 - CleanAir
1、窃取及び改ざん対策 2、侵入対策 3、なりすまし対策 4、不正機器設置対策 5、妨害対策
コントローラ +
PI/MSE/モニタAP
Cisco Confidential 49 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
シスコ無線LAN アーキテクチャ
アクセスポイント
Switch/Routed
Network
ネットワーク
コントロールシステム
(Prime Infrastructure)
• 無線LANコントローラがAP、端末、電波の監視制御を行う
• PIは主にGUI提供と、トラフィク、接続端末の統合管理を行う
• MSEは端末や干渉源の位置情報DBを提供する
モビリティサービスエンジン (MSE)
電波の見える化
端末、干渉源の位置特定
管理の自動化
規模と用途、導入スケジュールに応じて選択可能です
無線LANコントローラ