間違いだらけのネットワーク作り(328) 2004/05/01
記事評「無線LANスイッチのすべて」(NetworkWorld6月号)

今日から5連休なのですが、特段の予定もなくのんびりしたものです。 幸いなことに5月末までに書き上げたい原稿が1本あるので、どうにもすることがなければ原稿を書くつもりです。 もう一つ連休がいいのは普段積読状態だった本を読めること。 ここ2、3ヶ月大岡信さんの本を続けて読んでいます。 今は「百人一句」という俳句の本。 まだ手付かずで机の上にあるのが「瑞穂の国うた」。 これも俳句や俳人についてのエッセイです。 大岡さんの本を読むと俳句の評価というのは作者で決まるのではなく、17文字から何を読み取れるかという読み手の力で決まるということがよく分かります。 正直いって、大岡さんの評がすんなり理解できる句もありますが、ちょっと分からないものもあります。 17文字の俳句よりもそれを評する文章の方が文学として価値が高いかも知れません。 とにかく、こんな詩形が成り立つのは日本語のゆたかさ、というか、あいまいさならではのことでしょう。 この連休でこの2冊は読み終わると思います。

とは言うものの、ここに俳句論を展開する訳にも行きません。 NetworkWorldは編集部から毎月送ってくれるのですが、読みたい記事があってもなかなかじっくり読む時間がありません。 今日は2週間前から机にのっていた6月号を取り上げ、無線LANスイッチの特集を読みました。  よくまとまった勉強用の記事なのでポイントをご紹介します。 

無線LANの進化

先ず、冒頭の無線LANの変遷がふーんという感じで参考になります。

○現在もっとも普及しているIEEE802.11bの標準化が1999年
○2000年頃から安価なアクセスポイント(AP)と無線LANカードが登場し、企業への導入が進む
○2001年前半にセキュリティ問題が顕在化。 802.11のOpen認証とWEPの脆弱性が指摘され、WEPの暗号を解読するツールが現れた。
その対策としてIPsecによる無線端末とスイッチ間のデータ保護・ユーザ認証や、Webブラウザを用いたユーザ認証(キャプティブポータル)を持つ無線LAN対応スイッチが登場
○2001年後半にIEEE802.1Xが標準化。 ユーザ個別認証とデータ保護機能を実装しセキュリティを飛躍的に高めた。 1Xは企業向けのAPで採用されるようになり、IPsecのようなオーバーヘッドの大きい対策は需要がなくなった。 当時の1X対応の無線LANスイッチはAPから送られたRADIUSサーバへの認証依頼を転送するだけだった。
○2002年には公衆無線LAN接続サービスへ期待が高まり、ユーザごとのアクセス制御、AP間を移動してもセッションが切れないモビリティ機能、ユーザモニタ機能、複数のAPの設定・監視機能などをもった製品が登場。 しかし、これらの製品は1X、モニタ機能、設定監視のためのMIBなどの多くの機能がAP側にあるFAT APのため、無線LANスイッチが無線端末とAP間の通信を自由に制御できなかった。 また、APが高価で企業が導入するメリットは少なかった。
○2003年Mini-PCIに対応した無線LANカードの登場により、無線LANはノートブックPCの標準的な機能になった。 さらにAPに搭載されていた機能の多くを無線LANスイッチに移し、APはThin APと呼ばれる必要最小限の機能を持たせた製品が登場した。 これが現在の無線LANスイッチ。 これらの製品では無線LANスイッチで無線端末とAP間の通信を制御できるため、不正なAPの検知、APの負荷分散、無線LAN設計構築支援機能、などが可能になった。 また、APが安価になったためトータルコストが抑制できる。

無線LANスイッチの機能

○セキュリティ
ユーザ認証:RADIUSによる802.1X認証、WPA内部データベースを用いたキャプティブポータル認証

○データ保護
WPA(Wi−FiProtectedAcces):データ保護と認証を規定。 ユーザとパケットごとに暗号鍵を変更するTKIPが標準機能として規定されている。 2004年にWPA2に改訂され、より強力なデータ保護機能AESが標準となる見込み。

IPsec:無線LAN専用の方式ではない。 1X登場以前によく使われた。 現在の無線LANスイッチはWPAとIPsecの両方に対応しているものが多い。

○不正APの検知
APが電波を受信した後、認証、接続の制御メッセージからMACアドレス、SSIDを抽出し管理下にないAPを管理画面に出して警告したり、切断メッセージを出して通信をブロックする。

○構築・運用管理機能

・サイトサーベイ
・AP構成管理
・モニタリング(ユーザ認証状況、電波状況、トラフィック状況など)
・負荷分散
・セルフヒーリング(故障APの検知と隣接APによるカバー)
・QoS(802.1p)

これらの機能に加えて、今後強化されるべき機能としてローミング、VoIPなどリアルタイム・アプリケーション向けのQoS機能が上げられていました。

無線SIP端末

無線SIP端末は今年普及し始めると思っています。 端末自体の課題としてはバッテリーの保つ時間がありましたが、これは待ち受けで48時間を超える製品が出てきて大きな問題ではなくなりました。 やはり、無線LANをセキュアで、VoIPのQoSが充分で、運用管理が容易で、かつ安価に構築出来るかどうかがポイントです。 ローミングはVLANとSSIDを使ったレイヤ2でのローミングでは不十分で、フロア間を移動している時など、レイヤ3でのローミングが不可欠になるでしょう。 それをSIPのセッションを切り替えつつ、会話上違和感のない短時間で出来るかどうかも重要なポイントです。 端末のIPアドレスが変わりますからSIPのRegisterはやり直しとなりますが、簡単なこととは思えません。

現在、PHSはSIP環境で既に利用いただいており、ローンミングも実現しています。 無線SIP端末がPHSのレベルに達するのに半年なのか、1年なのか、その程度の時間は必要なように感じます。 携帯電話端末と無線LANのデュアルモードは注目株ですが、超えるべきハードルも高そうです。
 
 

ホームページへ