ゲートウェイ ワイヤレス コントローラを使用して BOVPN に AP デバイスを配備する
構成ファイル — Policy Manager v11.12 で作成
構成ファイル — Fireware v11.12 用に作成
ユースケース
企業は、WatchGuard アクセスポイント (AP) を使用して、社内の従業員とゲストのために、本社と支社のロケーションに同じワイヤレス ネットワークを配備したいと考えています。
各支社の WatchGuard Firebox でゲートウェイ ワイヤレス コントローラを使用して、本社の Firebox と同じ構成を使用することができます。これは支社が少ない企業の小規模な配備には適していますが、この例では、企業は本社の Firebox で 1 つのゲートウェイ ワイヤレス コントローラを使用して、 Branch Office VPN (BOVPN) 経由で本社とリモートの支社のすべての AP デバイスを検出および管理することを望んでいるとします。
このソリューションは、Firebox のゲートウェイ ワイヤレス コントローラによりローカルで管理されている AP デバイスでの使用を想定しています。また、WatchGuard は Wi-Fi Cloud 管理ソリューションも提供しています。これにより、クラウドベースの管理機能で、すべての拠点の企業ワイヤレス ネットワークを管理することができます。詳細については、WatchGuard Wi-Fi Cloud を参照してください。
この構成の例は、基本的なガイドとして提供されています。実際のネットワーク環境では、追加の構成が必要な場合があります。
解決方法の概要
本社の Firebox のゲートウェイ ワイヤレス コントローラを使用して、Branch Office VPN 経由で、ローカルまたはリモートの支社にインストールされている AP デバイスを管理することができます。
仕組み
すべての AP デバイスを本社のゲートウェイ ワイヤレス コントローラとペアリングしてから、リモートの支社へのインストールに適した静的 IP アドレスを割り当てる必要があります。リモート AP デバイスが支社にインストールされると、Branch Office VPN 経由で、本社のゲートウェイ ワイヤレス コントローラと AP デバイスの間の通信が可能となり、AP デバイスを管理できるようになります。
サンプル構成ファイル
参考のため、このドキュメントにはサンプル構成ファイルが含まれています。Policy Manager で開いて、サンプルの構成ファイルの詳細を調べることができます。
- BOVPN 経由の単一の SSID を持つ Firebox M200 — M200_ADV_WIFI_BOVPN_SINGLE SSID.xml
- BOVPN 経由の単一の SSID を持つ Firebox T50-W — T50W_BO_ADV_BOVPN_SINGLE SSID.xml
- BOVPN 経由の 2 つの SSID を持つ Firebox M200 — M200_WIFI_BOVPN_TWO SSID.xml
- BOVPN 経由の 2 つの SSID を持つ Firebox T50-W — T50W_WIFI_BOVPN_TWO SSID.xml
要件
この構成例には、以下の要件があります。
- ワイヤレス調査を実行して、使用するチャネルを最適化し、リモートの支社に十分なワイヤレス カバレッジを提供します。
- ゲートウェイ ワイヤレス コントローラをホストする Firebox が、本社とすべての支社の AP デバイスを管理するのに十分な規模であることを確認します。
- この構成例は、Fireware v11.12 以降を実行している WatchGuard Firebox を対象としています。リモートの支社は、サードパーティ製のファイアウォールを BOVPN エンドポイントとして使用することができます。AP デバイス管理のために、ファイアウォールで VPN 経由の TCP ポート 443 と UDP 2829 が許可されている必要があります。
- WatchGuard Firebox に有効なセキュリティ登録が必要です。
単一の SSID および 2 つの SSID の構成
この例では、本社に Firebox M200 、支社に Firebox T50W があり、これらが Branch Office VPN 経由でリンクされているとします。
最初の例では、本社とリモートの支社のロケーションからのゲスト ユーザー ブロードキャストに単一の SSID を使用します。2 つ目の例では、本社とリモートの支社のロケーションからのゲスト ユーザー ブロードキャストに 2 つの SSID (1 つは内部ユーザー用、もう 1 つはゲストユーザー用) を使用します。
Firebox M200 のゲートウェイ ワイヤレス コントローラにより、本社のワイヤレス ネットワークの単一の AP デバイスを管理します。リモートの支社にインストールされるすべての AP デバイスをゲートウェイ ワイヤレス コントローラとペアリングし、静的 IP アドレスを割り当てます。これにより検出が可能となり、リモート ロケーションにインストールできるようになります。
構成の説明
リモート オフィス間の Wi-Fi LAN ゾーンでは、10.x.y.0 を使用します。x はサイトにリンクされ、y はワイヤレス ゾーンにリンクされます。
単一の SSID
- 本社の信頼済み LAN:10.220.1.0/24
- 本社の Wi-Fi ゾーン:10.220.6.0/24
- 支社の信頼済み LAN:10.50.1.0/24
- 支社の Wi-Fi ゾーン:10.50.6.0/24
本社オフィスの管理下にある 2 つのロケーションにおける BOVPN 全体の単一 SSID 設定
2 つの SSID
- 本社の信頼済み LAN:10.220.1.0
- 本社のゲスト Wi-Fi ネットワーク:10.220.50.0
- 本社の内部 Wi-Fi ネットワーク:10.220.55.0
- 支社の信頼済み LAN:10.50.1.0
- 支社のゲスト Wi-Fi ネットワーク:10.50.50.0
- 支社の内部 Wi-Fi ネットワーク:10.50.55.0
本社オフィスの管理下にある 2 つのロケーションにおける BOVPN 全体の 2 つの SSID 設定
リモートの支社にインストールされるすべての AP デバイスを、まず本社のゲートウェイ ワイヤレス コントローラとペアリングします。WatchGuard AP は、DHCP が有効になっている Firebox の信頼済みネットワークまたは任意ネットワークに接続されている必要があります。AP とゲートウェイ ワイヤレス コントローラのペアリングの方法については、次を参照してください:WatchGuard AP デバイスの検出およびペアリング.
ゲートウェイ ワイヤレス コントローラのペアリングされたアクセスポイント
WatchGuard AP を検出してゲートウェイ ワイヤレス コントローラとペアリングしたら、既定の DHCP アドレスではなく、静的 IP アドレスを割り当てます。そうすると、VPN 経由で AP デバイスを簡単に管理できるようになります。静的 IP アドレスは、リモートの支社で定義されているのと同じネットワークで構成する必要があります。
この例では、新しいロケーションが反映されるように、ペアリングされている AP デバイスの設定を編集し、AP の名前を変更します。そして、AP でリモート ワイヤレス ネットワークの静的 IP アドレスが使用されるように、ネットワーク設定を変更します。
構成を保存すると、割り当てられている IP アドレスがリモートの支社のネットワーク用であるため、AP デバイスへの接続が失われます。
これで、それぞれの支社に AP を配達して、新しいネットワークにインストールすることができるようになりました。AP がリモートの支社のネットワークに接続されると、本社のゲートウェイ ワイヤレス コントローラから AP を管理することができます。
AP が接続されていれば、本社の Firebox のゲートウェイ ワイヤレス コントローラに オンライン と表示されます。
結論
リモートの支社に配達される複数の AP で、これらの手順を繰り返します。本社で AP デバイスを配備してペアリングし、意図されている宛先ネットワークの静的 IP アドレスを割り当てる必要があります。