ここでは、無線LANクライアントがUniFiアクセスポイントへ接続するためのポリシー設定について説明します。

[設定] > [ワイヤレスネットワーク] > [MACフィルター]で[MACアドレスのフィルタリングを有効化]し、接続を許可するクライアントのMACアドレスを登録し[保存]します。

  1. APの上位にUSGまたはUDMがある場合、それらに内蔵されるRADIUSサービスを利用できます。事前に「RADIUSサーバの設定」を確認してください。

  2. [設定] > [サービス] > [RADIUS]で[新しいユーザーを作成]します。
    社内で管理しているクライアントのMACアドレスを[名前 (RADIUS Username)]と[パスワード (Password)]の両方に設定します。
    [VLAN]を指定することで参加させるネットワークを制限できます。

  3. [設定] > [ワイヤレスネットワーク] > [RADIUS MAC認証]で[RADIUS MAC認証を有効化]し、[RADIUSプロファイル (RADIUSサーバ)]と[MACアドレスフォーマット]を指定し[保存]します。
    この例では、[Default]のRADIUSプロファイルと、":"コロン区切りのMACアドレス形式を選択しています。

[設定] > [ワイヤレスネットワーク] > [WPAエンタープライズ]でWPA2-Enterpriseによる802.1X認証を適用できます。
構成済みのRADIUSプロファイルを選択し、設定を[保存]します。

SSIDごとに1つ以上のタグ付きVLAN、および無線ごとに4つのSSIDが存在できます。

SSIDが使用するVLANは、[設定] > [ワイヤレスネットワーク] > [高度なオプション] > [VLAN]で設定できます。
なお、VLAN"1"はSSIDにタグ付けできません。

SSIDでVLANを設定する代わりに、RADIUS制御のVLANをUniFi APおよびUniFi Switchに適用できます。

  • [設定] > [プロファイル] > [RADIUS]で[VLANサポート]を有効にします。

  • [設定] > [サービス] > [RADIUS] > [ユーザー]で[VLAN]の番号、[トンネルタイプ (Tunnel Type)]を"13"、[トンネルミディアムタイプ (Tunnel Medium Type]を"6"に設定します。Tunnel-Private-Group-Idにはここで設定したVLAN番号がセットされます。

WLANグループは、SSIDやPSKのセット、および、より詳細な無線接続ポリシー等のWLAN設定をテンプレート化しておくための概念です。これを用いることで、新しいUniFi APに用途に応じたWLAN設定をすばやく適用できます。

  1. [設定] > [ワイヤレスネットワーク]の右上[WLANグループ]に着目します。

  2. [+]アイコンをクリックします。

  3. [新しいWLANグループを作成]します。WLANグループに名前をつけ、必要なオプションを選択します。
    なお、既存のグループから設定をコピーするオプションも利用できます。

  4. 新しいWLANグループ配下に、目的のSSIDを作成する必要があります。
    これらの新しいWLAN設定は、手動でAPに適用するまで勝手にプロビジョニングされることはありません。

  1. [デバイス]から、目的のAPをクリックし、[構成]タブに移動します。

  2. 無線 (2.4GHz, 5GHz) 毎に[WLANグループ]プルダウンからWLANグループ名を選択します。

  3. [キューの変更]を押し、変更内容をキューに保存します。

  4. 他の設定値に変更がなければ、[変更を適用]します。

ここでは、有線クライアントに適用するためのアクセス制限 (IEEE 802.1X モード) を、UniFi Switchに設定する方法について説明します。事前に「RADIUSサーバの設定」を確認してください。

コントローラの[デバイス]から目的のスイッチを選択し、[構成] > [サービス] > [セキュリティ]から、[802.1X制御を有効]にし、構成済みの[RADIUSプロファイル]を選択します。

[フォールバックVLAN]は、クライアントがユーザー名とパスワードまたはMAC認証バイパスによる認証に失敗したときに、ここで選択しておいた ネットワークへクライアントを接続します。

802.1Xによるアクセス制御の有効化は、スイッチ毎に行われます。これが有効になっていない場合、UniFi SwitchはオーセンティケータとしてRADIUS認証メッセージをRADIUSサーバに渡すことができません。

各ポートに手動で802.1Xポリシーを適用する代わりに、迅速な展開のためにポートプロファイルを定義しておくことが推奨されます。

[設定] > [プロファイル] > [スイッチポート]から、[802.1X コントロール]のための新しいプロファイルを作成します。

    [802.1X コントロール]モードの違い
  • [自動 (Auto)]:認証が正常に行われるまで、ポートは無許可です。

  • [強制認可 (Force Authorized)]:ポートは、認証なしで通常のトラフィックを送受信します。

  • [無認可として固定 (Force Unauthorized)]:ポートはサプリカント認証の試行を無視し、クライアントに認証サービスを提供しません。

  • [MACベース (Mac-based)]:同じポートに接続された複数のサプリカントがそれぞれ個別に認証できます。ポートに接続されている各ホストは、ネットワークにアクセスするために個別に認証する必要があります。ホストはMACアドレスによって区別されます。

RADIUSで動的VLAN割り当てを使用する場合、[タグネットワーク]にて使用されるVLANを選択しておく必要があります。

デフォルトでは、UniFiスイッチのポートは"ALL"に設定されており、そこにはタグなしのVLAN"1"があり、残りはタグ付きのVLANとなります。

  • VLANは、UniFi Network Controllerの[設定] > [ネットワーク]で定義する必要があります。[新しいネットワークを作成]する際にネットワークを[VLANのみ]として設定します。

  • 新しいネットワークを作成すると、[設定] > [プロファイル] > [スイッチポート]にそのプロファイルが自動的に追加されます。

ポートのプロファイルを変更するには、[設定] > [デバイス]から目的のスイッチをクリックして[プロパティ]を表示し、[ポート]タブで[編集]します。[スイッチポートのプロファイル]から、定義済みのプロファイルを選択します。


© Amalance LLC