Wi-Fi アクセスポイント
Wi-FiをWi-FiアクセスポイントとしてサポートするCitrix SD-WANアプライアンスを構成できます。Citrix SD-WANアプライアンスをWi-Fiアクセスポイントとして構成すると、WLANを作成するために追加のアクセスポインストアプライアンスを保守する必要がなくなります。LAN上のデバイスは、Wi-Fi経由でCitrix SD-WAN アプライアンスに接続できます。
注
ホストマシンに IP アドレスを割り当てるために、ネットワーク上で DHCP サーバーが使用可能であることを確認します。ネットワーク上で別の DHCP サーバーが使用できない場合は、SD-WAN アプライアンスを DHCP サーバーとして構成できます。手順については、「 DHCP サーバー」を参照してください。
Citrix SD-WAN 110プラットフォームの次の2つのバリエーションはWi-Fiをサポートし、Wi-Fiアクセスポイントとして構成できます。
- Citrix SD-WAN 110-WiFi-SE
- Citrix SD-WAN 110-LTE-WiFi
プラットフォームについて詳しくは、「 Citrix SD-WAN 110 SE」を参照してください。
注:
Wi-Fi機能は、Citrix SD-WAN 11.3リリースの高可用性(HA)をサポートしていません。
Citrix SD-WAN Orchestrator サービスを介してアクセスポイントとして構成された Citrix SD-WAN アプライアンスを構成および管理できます。
Citrix SD-WAN 110アプライアンスでWi-Fi機能を構成するには、[構成]>[ **サイト構成** ]ページで適切なデバイスモデルとサブモデルが選択されていることを確認します。
Citrix SD-WAN 110アプライアンスをWi-Fiアクセスポイントとして機能させるには、Wi-Fiの詳細ページで 「 Wi-Fiを有効にする 」を選択します。
Wi-Fi 無線設定の指定
次の詳細を入力して Wi-Fi 無線設定を構成します。
-
国:アプライアンスが導入されている国。国によって、その国で許可されるワイヤレス無線設定が決まります。
注:
米国およびカナダに販売されるアプライアンスについては 、「 国 」フィールドは米国とカナダにロックされています。他の国に販売されるアプライアンスの場合、 **国フィールドはデフォルトでワールドワイドに設定され** 、適切な国を選択できます。
- バンド:Citrix SD-WAN 110アプライアンスは、2.4 GHzおよび5 GHzの周波数帯域をサポートします。5 GHz 帯域は 2.4 GHz 帯域よりも高いパフォーマンスを提供しますが、すべてのワイヤレスデバイスと互換性があるわけではありません。Citrix SD-WAN アプライアンスに接続するデバイスに基づいて、バンドとプロトコルを選択します。Citrix SD-WAN 110アプライアンスはデュアルバンドをサポートしていません。一度に選択できるバンドは1つだけです。
-
プロトコル: 選択したバンドに基づいてプロトコルを選択します。2.4 GHz 帯域は 802.11n プロトコルをサポートし、5 GHz 帯域は 802.11n プロトコルと 802.11ac プロトコルの両方をサポートします。
注
802.11ac プロトコルは 802.11n との下位互換性があります。5 GHz 帯域を選択した場合は、802.11ac プロトコルを使用することを推奨します。
-
チャネル:使用可能なチャネルは、選択した国とワイヤレスプロトコルによって異なります。デフォルトでは、チャンネルは Autoに設定されています。Citrix SD-WANアプライアンスは、帯域で使用可能なリストから干渉が最も少ないチャネルを選択します。お勧めしませんが、必要に応じて手動でチャンネルを選択することもできます。
- チャネル幅:20 MHz、40 MHz、または 80 MHz のチャネル幅を使用するようにチャネルを設定できます(特定の 5 GHz チャネルのみ)。デフォルトでは、チャンネル幅は選択したバンドとチャンネルで使用可能な最大チャンネル幅に設定されます。
SSID の設定
サービスセット識別子 (SSID) は、ワイヤレスネットワークプロファイルを識別してワイヤレス接続を確立および維持するために使用されます。Citrix SD-WAN アプライアンスでは、最大 4 つの SSID を設定できます。SSID を使用すると、企業ユーザー、ホームユーザー、ゲストなど、さまざまなタイプのユーザーにサービスを提供しながら、さまざまなセキュリティレベルでワイヤレスネットワークを構成できます。
注
Wi-Fi 無線設定はすべての SSID に共通です。
SSID を設定するには、次の詳細を入力します。
- SSIDタイプ: Citrix SD-WAN Orchestratorでは、 **コーポレートとホームの2種類のSSIDを設定できます**。コーポレートSSIDの場合は、コーポレートSSIDプロファイルを作成して使用することをお勧めします。詳細については、「 SSID プロファイル」を参照してください。
- SSID 名:ワイヤレスネットワークプロファイルの一意の識別子。SSID 名は大文字と小文字が区別され、最大 32 文字の英数字を使用できます。SSID 名の先頭または末尾にスペースを含めないでください。
- SSID ブロードキャスト:SSID ブロードキャストを有効にすると、ネットワーク内のすべてのデバイスに SSID 名が表示され、Wi-Fi ネットワークを簡単に識別して接続できるようになります。SSID ブロードキャストを無効にすると、SSID 名は他のデバイスから見えなくなります。ただし、ネットワーク自体は隠さず、名前だけが隠されます。SSID 名を知っているユーザーは、引き続き Wi-Fi ネットワークに接続できます。
- クライアント分離: クライアント隔離は、同じ SSID に接続されているクライアントが相互に通信することを防ぎます。信頼できないクライアントが接続する可能性のあるオープン認証では、 Client Isolation を Onに設定することをお勧めします。
-
セキュリティ:Citrix SD-WANは、次の種類のWi-Fiセキュリティプロトコルをサポートしています。
- オープン:Wi-Fi ネットワークは安全ではなく、誰でもワイヤレスネットワークに接続できます。信頼できないクライアントが個人(自宅)ネットワークや企業ネットワークを危険にさらすのを防ぐために、オープン SSID を独自のルーティングドメインに分離することが推奨されます。
- WPA2 パーソナル:Wi-Fi ネットワークの保護には、Wi-Fi Protected Access (WPA) 2 プロトコルである事前共有キーモード (一般に「パーソナル」と呼ばれる) が使用されます。このプロトコルでは、パスフレーズを事前共有キー (PSK) として設定できます。SSID とパスフレーズを知っている人なら誰でも Wi-Fi ネットワークに接続できます。これは通常、ホームネットワークに使用されます。信頼できないクライアントが企業ネットワークを危険にさらすのを防ぐため、ホーム SSID を独自のルーティングドメインに分離することが推奨されます。
-
WPA2 Enterprise: Wi-Fi Protected Access (WPA) 2 プロトコル、エンタープライズ版は Wi-Fi ネットワークにアクセスするためのエンタープライズグレードの認証を提供するために使用されます。ログインにはユーザー名とパスワードが必要です。RADIUS サーバは、ユーザー名とパスワードを認証します。プライマリとセカンダリのRADIUSサーバをそれぞれ指すプライマリRADIUSプロファイルとセカンダリRADIUSプロファイルを選択できます。プライマリ RADIUS サーバがダウンすると、セカンダリサーバが認証に使用されます。RADIUSプロファイルの作成について詳しくは、「 RADIUSサーバープロファイル」を参照してください。
注
各サイトには、各 WPA2 エンタープライズ SSID に最大 2 つの RADIUS サーバプロファイルを割り当てることができます。
- WPA3 パーソナル:WPA2 パーソナルと同様に、PSK を使用してネットワークに接続します。最新バージョンの Wi-Fi Protected Access プロトコルを使用しています。このネットワークに接続できるのは、WPA3 をサポートするデバイスのみです。
- WPA3 移行:新しい WPA3 セキュリティプロトコルを使用して WPA3 対応デバイスを接続し、サポートされていないデバイスでも WPA2 セキュリティプロトコルを引き続き使用できるようにします。WPA3 または WPA2 パーソナルバージョンを使用するデバイスは、同じ PSK を使用してこのネットワークに接続できます。
- VLAN ID: SSIDをVLAN識別子に関連付けます。VLAN ID は、SSID を仮想インターフェイスに割り当てるときに再利用したり、外部 VLAN に関連付けたり、別のルーティングドメインに関連付けることができます。
また、企業 SSID 設定を SSID プロファイルとして保存することもできます。これにより、複数のサイトで SSID 構成を簡単に再利用および管理できます。詳細については、「 SSID プロファイル」を参照してください。
設定した SSID は、インターフェイスの設定時に仮想インターフェイスとして反映されます。さらに、SD-WAN構成でSSIDを使用したり、ネットワークセキュリティを強化したりできます。たとえば、特定の SSID 上のすべてのトラフィックを特定のルーティングドメインに属するようにマークしたり、特定の VLAN に割り当てたりするように設定できます。このルーティングドメインは、特定のネットワークとリソースにアクセスできるようにさらに構成できます。企業、自宅、およびゲストのワイヤレスネットワークを組み合わせて構成する場合、テナントを分離し、1 つのネットワーク内の不正クライアントや侵害されたクライアントが他のネットワークを危険にさらすのを防ぐために、それらを異なるルーティングドメインに関連付けることが重要です。
RADIUS サーバプロファイル
WPA2 Enterpriseプロトコルは、ワイヤレスネットワークにエンタープライズグレードの認証を提供します。WPA2 エンタープライズプロトコルを使用してワイヤレスネットワークにログインするには、ユーザー名とパスワードが必要です。ユーザー名とパスワードは、RADIUS プロファイルを使用して設定された RADIUS サーバによって認証されます。RADIUS プロファイルは、SSID の設定中に複数のサイトに適用できます。詳細については、「 SSID の設定」を参照してください。
RADIUS プロファイルは本質的に動的です。RADIUSプロファイルに加えられた変更は、RADIUSプロファイルが使用されているすべての異なるサイトに反映されます。各 WPA2 エンタープライズ SSID には、最大 2 つの RADIUS サーバプロファイルを割り当てることができます。 RADIUS プロファイルを管理するには、ネットワークレベルで [ 構成 ] > [ セキュリティ ] > [ RADIUS プロファイル] に移動します。使用可能なすべての RADIUS プロファイルのリストが表示されます。これらのプロファイルは編集または削除できます。
RADIUS プロファイルを作成するには、[ 追加 ] をクリックし、次の詳細を入力します。
- RADIUSプロファイル名:RADIUSサーバプロファイルを識別する一意の名前。
- 認証サーバーIP: RADIUS認証サーバーのIPアドレス。認証サーバーは、管理インターフェイスまたは帯域内管理からアクセスできるデータセンターに配置されている場合があります。
- 認証サーバーポート:RADIUS認証サーバーのポート番号。デフォルトのポート番号は 1812 です。
- 認証サーバーシークレット:認証サーバーに接続するためのシークレットパスフレーズ。秘密鍵を知っている権限のあるクライアントのみが認証サーバーに接続して認証リクエストを送信できます。
- NAS識別子:RADIUSサーバーとCitrix SD-WANアプライアンスに同じネットワークアクセスサーバー(NAS)識別子を設定します。これにより、RADIUSサーバは正しいRADIUSクライアントを識別して認証を実行できます。これは完全修飾ドメイン名です。特別なタグ {SITENAME} が使用されています。NAS 識別子のタグは、各サイトのそれぞれのサイト名に置き換えられます。
RADIUS アカウンティングサーバは、オプションでネットワーク監視および統計データを収集します。アカウンティングプロセスは、RADIUS サーバへのアクセスが許可され、RADIUS Access-Accept メッセージに Acct-Interim-Interim-Interval AVP が含まれている場合に開始されます。この場合、Citrix SD-WAN RADIUSクライアントは、合計時間、合計データ、転送されたパケット数などのセッションの詳細をアカウント暫定インターバル秒ごとに報告します。アカウンティングサーバは、認証サーバと同じでも、別のサーバでもかまいません。オプションの RADIUS アカウンティング機能を有効にするには、[ RADIUS アカウンティングの設定 ] を選択し、次の詳細を入力します。
- アカウントサーバー IP: アカウンティングサーバーの IP アドレス。
- アカウントサーバーポート:アカウンティングサーバーのポート番号。デフォルトのポート番号は 1813 です。
- アカウントサーバーシークレット: アカウンティングサーバーに接続するためのシークレットパスフレーズ。秘密鍵を知っている権限のあるクライアントのみが、アカウンティングサーバに接続してアカウンティング要求を送信できます。
サイトの構成中に、 Wi-Fi の詳細ページから RADIUS プロファイルを直接作成することもできます。編集、複製、削除などの操作を実行することもできます。
SSID プロファイル
サービスセット識別子 (SSID) は、ワイヤレスネットワークプロファイルを識別してワイヤレス接続を確立および維持するために使用されます。Citrix SD-WAN アプライアンスでは、最大 4 つの SSID を設定できます。SSID を使用すると、企業ユーザー、ホームユーザー、ゲストなど、さまざまなタイプのユーザーにサービスを提供しながら、さまざまなセキュリティレベルでワイヤレスネットワークを構成できます。
企業のSSIDを使用する大規模な導入環境では、同じSSID設定が多数のアプライアンスに複製されることが予想されます。よく使用される設定は SSID プロファイルとして保存できます。SSID プロファイルは本質的に動的です。SSID プロファイルに加えられた変更は、この SSID プロファイルが使用されているすべてのサイトに反映されます。
SSID プロファイルを管理するには、ネットワークレベルで [ 構成 ] > [ セキュリティ ] > [ SSID プロファイル] に移動します。使用可能なすべての SSID プロファイルのリストが表示されます。
新しい SSID プロファイルを作成するには、[ 追加] をクリックします。SSID の設定の詳細については、「 SSID の設定」を参照してください。
編集、複製、削除などの操作を実行することもできます。
Wi-Fi 診断
Wi-Fi トラフィックの詳細をネットワークレベルでキャプチャするには、[ トラブルシューティング] > [診断 ] に移動し、[ パケットキャプチャ ] チェックボックスを選択します。適切な Wi-Fi インターフェイスを選択します。
注:
ワイヤレスクライアント間のトラフィックは、Citrix SD-WAN 110プラットフォームのデータパスから分離されているため、パケットキャプチャには含まれません。
パケットキャプチャの詳細については、「 診断」を参照してください。