アクセス ポイントと VLAN

適用対象： WatchGuard Cloud の管理対象アクセス ポイント (AP130、AP230W、AP330、AP332CR、AP430CR、AP432) 本トピックは、WatchGuard Cloud で管理する Wi-Fi 6 アクセス ポイント (AP130、AP230W、AP330、AP332CR、AP430CR、AP432) に適用されます。

Wi-Fi in WatchGuard Cloud アクセス ポイントで、VLAN (仮想 LAN) を使用することができます。同じ物理ネットワークに複数のアクセス ポイントが接続されている場合は、VLAN を使用して SSID 間のトラフィックを論理的に分離することができます。

たとえば、VLAN を作成して、プライベートの信頼済み Wi-Fi ネットワークとゲスト Wi-Fi ネットワークのトラフィックを分離すること、または既存の有線ネットワーク VLAN に基づいてトラフィックを分離することができます。

VLAN を使用すると、セキュリティを向上させ、アクセスを管理し、ネットワークのブロードキャスト トラフィックを削減することができます。

動的 VLAN について

アクセス ポイント ファームウェア v2.2 以降および WPA2 または WPA3 エンタープライズ認証を使用すると、認証の成功後に RADIUS サーバーから返されたユーザーに関する情報に基づき VLAN をワイヤレス クライアントに動的に割り当てることができる動的 VLAN を有効化することもできます。

VLAN は、Active Directory NPS (ネットワーク ポリシー サーバー) などの RADIUS サーバーにおけるユーザーまたはユーザーのグループ メンバーシップに基づいて自動的に割り当てられるため、これにより特定の VLAN に接続を割り当てるのに必要な管理が軽減されます。

詳細については、次を参照してください：アクセス ポイントの動的 VLAN を構成する。

VLAN 構成について

VLAN にはタグ付きまたはタグなしがあります。タグ付き VLAN は、IEEE 802.1Q 規格に基づき、ネットワーク パケットに追加される特定の VLAN ID を使用します。この VLAN ID を使用すると、ポートで 802.1Q VLAN タグ付けが有効化されているネットワーク スイッチや他のネットワーク デバイスにより、トラフィックが正しく処理されるようになります。ネットワーク トラフィックは、VLAN ID を使って構成されたスイッチ上の他のポートにのみ通信されます。

タグなし VLAN とは、ネットワーク トラフィックが特定の VLAN ID に割り当てられていないことを意味します。タグなしトラフィックがネットワーク スイッチまたはその他のゲートウェイ デバイスに到達すると、トラフィックは VLAN 0 のように既定のあるいはネイティブ VLAN の一部として扱われ、デバイス上の他のポートやその他のネットワーク スイッチやデバイスに通信することができます。

WatchGuard アクセス ポイントで SSID の VLAN タグ付けを有効化する場合、またはアクセス ポイントのタグ付き管理 VLAN を有効化する場合は、アクセス ポイントから接続するネットワーク スイッチ、Firebox、またはその他のゲートウェイ デバイスでも VLAN を有効化する必要があります。

既定の構成でアクセス ポイントを WatchGuard Cloud に追加すると、アクセス ポイントはタグなし VLAN がネットワークに接続し、WatchGuard Cloud と通信することを要求します。

• ネットワーク スイッチで VLAN タグ付けを構成する方法の詳細については、次を参照してください：管理対象ネットワーク スイッチに VLAN を構成する。
• Firebox における VLAN の詳細については、次を参照してください：Firebox で VLAN を構成する。
• VLAN、タグ付け、WatchGuard Firebox の全般的な情報については、次を参照してください：仮想ローカル エリア ネットワーク (VLAN) について。

ワイヤレス ネットワーク VLAN の例

プライベート Wi-Fi ネットワークとゲスト Wi-Fi ネットワーク間のトラフィックを分離するには、アクセス ポイント管理トラフィックおよびプライベート ワイヤレス SSID とゲスト ワイヤレス SSID に、以下の VLAN ID を割り当てることができます。

• 管理 VLAN — ほとんどの環境では、アクセス ポイント管理 VLAN トラフィックは通常、アクセス ポイントがワイヤレス管理アクセスから切断されるのを防止するため、タグなしです。既定の構成でアクセス ポイントを WatchGuard Cloud に追加すると、アクセス ポイントは、インターネットに接続して WatchGuard Cloud と通信するため、タグなし VLAN ネットワークへの接続を必要とします。
  
  アクセス ポイントの配備にタグ付け管理 VLAN を使用する場合は、管理 VLAN をタグ付き VLAN に変更する前に、そのアクセス ポイントがすでにネットワークに接続されており、タグなし VLAN で WatchGuard Cloud と通信していることを確認してください。
  この例では、アクセス ポイントへの管理通信用に VLAN ID 10 を使用します。

• プライベート Wi-Fi ネットワーク (VLAN ID 20) — 信頼済みネットワークへのワイヤレス接続のためのプライベート SSID 用タグ付き VLAN。

• ゲスト Wi-Fi ネットワーク (VLAN ID 30) — インターネットへのワイヤレス ゲスト アクセスのためのゲスト SSID 用タグ付き VLAN。

アクセス ポイントに管理 VLAN を構成する

アクセス ポイントとの管理通信用にタグ付き VLAN を構成する前に、まずそのアクセス ポイントがタグなし VLAN ネットワークからネットワークおよびインターネットに接続できることを確認してください。

既定の構成では、アクセス ポイントが WatchGuard Cloud に接続して構成を受信するためにはタグなし VLAN ネットワークへの接続が必要です。

アクセス ポイントへの管理通信にタグ付き VLAN を構成するには、WatchGuard Cloud で以下の手順を実行します。

1. ネットワークおよびインターネットに接続できるタグなし VLAN を持つネットワークにアクセス ポイントを接続します。
   これにより、WatchGuard Cloud から構成を受信した後でも、アクセス ポイントがネットワークへの接続を維持できるようになります。
2. 構成 > デバイス の順に選択します。
3. クラウド管理のアクセス ポイントを選択します。
4. デバイス構成 を選択します。
5. 設定 タイルで、デバイス設定 を選択します。

6. 管理 VLAN を有効化する チェックボックスを選択します。
7. 1 ～ 4094 の中から VLAN ID を選択します。
   この例では、VLAN 10 を使用します。
8. 保存 をクリックします。
9. 構成をアクセス ポイントに配備します。

タグなし管理 VLAN ネットワークがインターネットにアクセスできない場合は、アクセス ポイントの CLI (Command Line Interface) から、管理 VLAN 用に手動でアクセス ポイント VLAN 設定を構成する必要があります。CLI からアクセス ポイントに構成を保存し、デバイスが正しい VLAN で構成されると、デバイスは WatchGuard Cloud に接続し、クラウド構成を受信できるようになります。詳細については、次を参照してください：アクセス ポイントの Command Line Interface。

10. ネットワーク スイッチなどのネットワーク デバイス、Firebox、その他のネットワーク デバイスなどを更新し、同じタグ付き VLAN ID を使用できるようにします。

SSID に対して VLAN を構成する

ワイヤレス ネットワーク SSID に対してタグ付き VLAN を構成するには、WatchGuard Cloud で以下の手順を実行します。

1. 構成 > デバイス の順に選択します。
2. クラウド管理のアクセス ポイントを選択します。
3. デバイス構成 を選択します。
4. Wi-Fi ネットワーク タイルで、SSID を選択します。
5. プライベート Wi-Fi ネットワークの既存の SSID を選択する、または新しい SSID を作成します。
6. ワイヤレス構成の ネットワーク セクションで、VLAN を有効化する チェックボックスを選択します。
7. 1 ～ 4094 の中から VLAN ID を選択します。
   この例では、プライベート Wi-Fi ネットワークに VLAN 20 を使用します。

8. 保存 をクリックします。
9. 上記の手順を繰り返して、ゲスト Wi-Fi ネットワークの VLAN ID を 30 に設定します。

10. 構成をアクセス ポイントに配備します。
11. ネットワーク スイッチなどのネットワーク デバイス、Firebox、その他のネットワーク デバイスなどを更新し、同じタグ付き VLAN ID を使用できるようにします。

Firebox で VLAN を構成する

アクセス ポイントを Firebox インターフェイスに接続する場合は、Firebox インターフェイスに VLAN を構成して、SSID の VLAN タグ付けを有効化する必要があります。

アクセス ポイントを接続する Firebox インターフェイスの インターフェイスの種類 を VLAN に設定します。次に、アクセス ポイントに使用する VLAN を構成します。

Firebox で VLAN を作成する方法については、次を参照してください：Firebox VLAN を構成する。

• タグ付きトラフィックを VLAN インターフェイスに送信するよう、各 SSID が使用する VLAN を Firebox で構成します。
• アクセス ポイントの管理接続がタグなし VLAN として構成されている (管理 VLAN ID が構成されていない) 場合、アクセス ポイント管理接続がタグなしトラフィックを VLAN インターフェイスに送信するために使用する VLAN を Firebox 上で構成します。
• アクセス ポイントでタグ付き管理 VLAN を有効化する場合、アクセス ポイント管理接続がタグ付きトラフィックを VLAN インターフェイスに送信するために使用する VLAN を Firebox 上で構成します。
• 各 VLAN の DHCP サーバー または DHCP リレー を有効化します。
• アクセス ポイントでは、管理通信に使用される VLAN の DHCP サーバーから IP アドレスが取得されます。
• SSID に接続するワイヤレス クライアントでは、その SSID の VLAN にある DHCP サーバーから IP アドレスが取得されます。

管理対象ネットワーク スイッチに VLAN を構成する

VLAN タグ付けを有効化し、アクセス ポイントを管理対象スイッチに接続する場合は、スイッチに VLAN を構成する必要もあります。そのスイッチで 802.1Q VLAN タグ付けがサポートされている必要があります。

対象となるスイッチで、次の操作を行います:

1. アクセス ポイントに構成されている VLAN と同じ ID と SSID が割り当てられている VLAN を追加します。
2. 各 SSID に割り当てられている VLAN タグ付きトラフィックが送受信されるように、アクセス ポイントに接続するスイッチ インターフェイスを構成します。
3. アクセス ポイントでタグ付き管理 VLAN を有効化する場合、アクセス ポイント管理用のタグ付きトラフィックを送受信するためにアクセス ポイントに接続するスイッチ インターフェイスを構成します。

スイッチで VLAN を有効化して構成する手順については、ネットワーク スイッチのドキュメントを参照してください。

アクセス ポイントの SSID で VLAN タグ付けが有効化されている場合は、802.1Q VLAN タグ付けがサポートされていないスイッチにアクセス ポイントを接続しないでください。

関連トピック

アクセス ポイントの SSID 設定を構成する

アクセス ポイント デバイス設定を構成する